Dass sich ab dem 25. Mai 2018 mit der neuen DSGVO die Richtlinien in Punkto Datenschutz deutlich verschärfen, ist mittlweile bekannt. Doch immer noch gibt es zahlreiche Fragen zur Datenschutz-Grundverordnung. Ein Kernthema sind die Datenschutzbeauftragten (DSB) und ihre künftige Funktion. Was es mit ihnen auf sich hat, wann es notwendig ist einen Datenschutzbeauftragen im Unternehmen zu haben und welche Rolle dieser genau spielt – wir sind allen wichtigen Fragestellungen im aktuellen Beitrag nachgegangen.
Datenschutzbeauftragte in Behören und Unternehmen sind an sich nichts Neues. Sie sind verantwortlich für die Einhaltung und Überwachung des Datenschutzes, klingt bis hierher doch ganz einfach. Mit der neuen Datenschutz-Verordnung wird ihnen nun eine neue Rolle zu teil und ihre Aufgaben und Pflichten ändern sich in gewissem Maße. Fest steht: die Bedeutung der Datenschutzbeauftragten nimmt mit Inkrafttreten der neuen DSGVO weiter zu. Haben Sie ab dem 25. Mai 2018 keinen DSB benannt, obwohl Sie gesetztlich dazu in der Pflicht stehen, kann das nun teuer werden!
Wer braucht künftig einen Datenschutzbeauftragten?
Laut Artikel 37 der neuen Datenschutz-Grundverordnung brauchen alle Unternehmen, die personenbezogene Daten wie Namen, E-Mail-Adresse, Kontonummern etc. automatisiert verarbeiten, einen Datenschutzbeauftragten.
Ab wann muss ein Unternehmen einen Datenschutzbeauftragten stellen?
Ab dem 25. Mai sind deutlich mehr Unternehmen und öffentliche Einrichtungen gesetzlich verpflichtet einen Datenschutzbeauftragten zu bestellen als bisher. Der entsprechende DSB muss in der Datenschutzerklärung des Unternehmens namentlich benannt und seine Kontaktdaten veröffentlicht werden (im Intranet und/oder auf der Firmen-Website). Zudem muss der DSB samt Kontaktdaten zeitnah der zuständigen Aufsichtsbehörde mitgeteilt werden. Versäumen Sie dies, kann es bei möglichen Kontrollen zu Sanktionen kommen.
Sie müssen einen Datenschutzbeauftragten benennen, wenn:
- In Ihrem Unternehmen mehr als 9 Personen tätig sind, die mit personenbezogenen Daten arbeiten. Hierzu zählen auch Praktikanten, Teilzeitkräfte und freie Mitarbeiter.
- Ihr Unternehmen personenbezogene Daten an Dritte übermittelt.
- Die Datenverarbeitung in Ihrem Unternehmen auf besondere Daten abzielt (Gesundheitsdaten, Daten zu Straftaten, politischen Haltungen, ehtnischer Herkunft etc.).
- Ihr Unternehmen eine Datenschutz-Folgenabschätzung durchführen muss.
- Die Datenverarbeitung die Kerntätigkeit Ihres Unternehmen ist und eine regelmäßige und systematische Überwachung von Personen notwendig ist.
Wenn Sie sich nicht sicher sind ob Sie in der Pflicht stehen einen Datenschutzbeauftragten zu bestellen, können Sie dennoch freiwillig eine Person benennen, die sich künftig um alle datenschutzrechtliche Angelegenheiten kümmert. So können Sie ruhigen Gewissens sein, dass sich ein DSB fachmännisch um alle Belange des Datenschutzes kümmert. Zudem sind Sie nicht in der Pflicht Fragen zu Dokumentationen, Folgeabschätzung usw. nachzukommen, sondern können an Ihren Datenschutzbeauftragten verweisen.
Wer kann Datenschutzbeauftragter werden?
Datenschutzbeauftragter kann im Grunde jeder werden, es gibt in dieser Hinsicht keine konkreten Vorgaben in der DSGVO oder im neuen BDSG (Bundesdatenschutzgesetz). Ein DSB sollte sich aber in jedem Fall mit der technischen Datenverarbeitung innerhalb seiner Unternehmens auskennen und auch bei juristischen Fragen zum Thema Datenschutz belesen sein. Es wäre zudem vorteilhaft wenn der entsprechende Datenschutzbeauftragte über anerkannte Zertifikate (z.B. TÜV) verfügt, um seine Kenntnisse zu belegen.
Bei der Frage ob interner oder externer Datenschutzbeauftragter kann jedes Unternehmen frei entscheiden. Während ein interner DSB sich bereits im Unternehmen auskennt und mit allen Mitarbeitern und Daten vertraut ist, muss sich ein externer DSB erst in die datenschutzrechtlichen Themen Ihres Unternehmens einarbeiten. Dafür bringt er aber im Gegensatz zu einem internen DSB in der Regel deutlich mehr Datenschutz-Fachwissen mit. Die Entscheidung liegt also ganz bei Ihnen.
Welche Aufgaben haben Datenschutzbeauftragte?
- Er berät und informiert (innerhalb des Unternehmens) über datenschutzrechtliche Pflichten und deren Einhaltung
- Er sensibilisiert und schult Mitarbeiter regelmäßig zu Datenschutz-Themen
- Er überwacht die Einhaltung der DSGVO Vorgaben
- Er arbeitet eng mit der zuständigen Aufsichtbehörde zusammen
- Er berät zu Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
- Er ist verantwortlich für die Risikobeurteilung
- Er handelt weisungsfrei und unterliegt einem besonderen Kündigungsschutz
- Er ist Ansprechpartner für alle betroffenen Personen, die Beschwerden, Nachfragen etc. zu datenschutzrechtlichen Themen haben
- Er muss sich regelmäßig fort-und weiterbilden, um stets auf dem neusten Kenntnisstand bleiben zu können
- Er ist zuständig für die Überwachung der Löschung personenbezogener Daten
Gibt es eine Ausbildung zum Datenschutzbeauftragten?
Eine anerkannte Ausbildung zum Datenschutzbeauftragten gibt es nicht. Laut der DSGVO sind zudem keine konkreten Vorgaben, Zertifikate etc. zu den Qualifikationen eines DSB festgehalten.
Nach Art. 27 Abs. 5 der DSGVO sind lediglich folgende Kriterien aufgeführt, die ein Datenschutzbeauftrager erfüllen muss:
- berufliche Qualifikation
- Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
- Fähigkeit zur Erfüllung seiner Aufgaben
Dennoch muss der entsprechende DSB regelmäßig geschult werden, um stets auf dem aktuellen Stand zu bleiben. Hierfür gibt es zahlreiche zertifizierte Seminare und Schulungen (DEKRA, TÜV) an denen Datenschutzbeauftragte jederzeit teilnehmen können.
FAZIT: Die DSGVO und ihre Datenschutzbeauftragen
Mit dem Einzug der neuen EU Datenschutz-Verordnung wird die Rolle der Datenschutzbeauftragen weiter gestärkt. Damit das Risiko von Bußgeldern und Sanktionen bezüglich Datenschutzverletzungen in Ihrem Unternehmen möglichst gering ist, sollten Sie umgehend prüfen, ob Sie einen DSB benötigen bzw. ob Sie gestzlich verpflichtet sind einen DSB zu benennen.
Haben Sie noch weitere Fragen rund um die Rolle der Datenschutzbeauftragen, wir beraten Sie gern!
Was haben Unternehmen nun zu tun?
- Prüfen Sie anhand unserer Kriterien (Mitarbeiteranzahl, Kerntätigkeit etc.) ob Sie mit Ihrem Unternehmen verpflichtet sind einen Datenschutzbeauftragen zu stellen.
- Falls ja, wägen Sie ab, ob ein interner oder ein externer Datenschutzbeauftrager für Sie in Frage kommt.
- Haben Sie einen Datenschutzbeauftragen benannt, veröffentlichen Sie umgehend seine Kontaktdaten an enstprechenden Stellen (Intranet, Unternehmenswebseite)
- Informieren Sie die zuständige Aufsichtbehörde über Ihren Datenschutzbeauftragen und teilen Sie bis zum 25. Mai 2018 dessen Kontaktdaten mit.