Inhaltsverzeichnis
Datenschutzbeauftragter DSGVO und BDSG (neu)
Wie in vielen anderen Punkten auch, herrscht in Sachen Datenschutzbeauftragter DSGVO in den Unternehmen Unklarheit. Braucht Ihr Unternehmen mit der neuen EU Datenschutzgrundverordnung nun (noch?) einen Datenschutzbeauftragten (DSB)?
Grundsätzlich sind zur Beantwortung dieser Frage zwei Gesetzestexte heranzuziehen. Zum Einen die DSGVO und zum Anderen das neue Bundesdatenschutzgesetz. Die DSGVO bietet beim Datenschutzbeauftragten die Möglichkeit einer nationalen Öffnungsklausel, welche in Deutschland umgesetzt wurde.
Letztendlich kann man sagen, es wird in Deutschland relativ ähnlich bleiben, wie vorher auch. Trotzdem liegt der Unterschied im Detail. Nachfolgend eine detailliertere Ausführung, wann ein DSB benötigt wird.
Übrigens, wenn hier von Datenschutzbeauftragter DSGVO und BDSG (neu) gesprochen wird, dann impliziert das immer die männliche und weibliche Form!
Wann muss ein Datenschutzbeauftragter benannt werden?
Im Folgenden werden die Voraussetzungen nach DSGVO und BDSG (neu) aufgelistet. Für Sie als Unternehmen in Deutschland sind beide relevant. Das heißt, wenn eine der Vorbedingungen auf Sie zutrifft, egal aus welchem Gesetz, benötigen Sie einen DSB.
Datenschutzbeauftragter DSGVO
Artikel 37 GSDVO regelt die Anforderungen, wann ein DSB benannt werden muss. Es wird an dieser Stelle nicht von „Bestellung“ gesprochen, nur von der „Benennung“.
Artikel 37 listet folgende Kriterien für die Benennung eines Datenschutzbeauftragten auf:
- öffentliche Stellen (Ausnahme Gerichte)
- wenn Sie im Rahmen ihres Kerngeschäfts Verarbeitungen durchführen, welche umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht
- wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung von Daten besonderer Kategorien besteht (gemäß Artikel 9 und 10), darunter fallen Daten zu
- rassischer und ethnischer Herkunft
- politischen Meinungen
- religiösen oder weltanschaulichen Überzeugungen
- Gewerkschaftszugehörigkeit
- und die Verarbeitung von
- genetischen und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person
- Gesundheitsdaten
- Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
- Treffen diese Punkte bei Ihnen zu, dann lesen Sie unbedingt Artikel 9 in seiner Gesamtheit, da die obige Liste nur eine Zusammenfassung der detaillierten Gesetzestexte darstellt.
Datenschutzbeauftragter BDSG (neu)
§38 des BDSG (neu) ergänzt den Artikel 37 – Datenschutzbeauftragter DSGVO folgendermaßen:
- wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben
Dieser Punkt ist nach wie vor der Hauptgrund für viele Unternehmen, einen DSB zu beauftragen. Große Unternehmen mit IT Abteilung und Personalabteilung haben diese Grenze relativ schnell erreicht!
Unabhängig von dieser 20 Personen-Regelung wird ein DSB benötigt, wenn Ihr Unternehmen personenbezogene Daten
- verarbeitet, die einer Datenschutz-Folgeabschätzung unterliegen.
- für Zwecke der Markt- oder Meinungsforschung übermittelt (personenbezogen oder anonymisiert).
Wer darf die Aufgabe des Datenschutzbeauftragten übernehmen und wie sieht diese aus?
- Artikel 37 Absatz 5 regelt, dass der benannte DSB auf Grund seiner beruflichen Qualifikation und des Fachwissens auf diesem Gebiet benannt werden muss. Es muss also das fachliche Know-how gewährleistet werden. Zudem muss er die in Artikel 39 genannten Anforderungen bewerten und erfüllen können. §7 des BDSG (neu) deckt sich weitgehend mit diesen Inhalten.
Aufgaben des DSB nach Artikel 39 DSGVO, §7 BDSG (neu)
- Beratung des Unternehmens, welche gesetzlichen Pflichten des Datenschutzes umzusetzen sind
- Überwachung der Einhaltung dieser Pflichten, sowie der Strategie zum Schutz der personenbezogenen Daten
- Sensibilisieren der Mitarbeiter, die personenbezogene Daten verarbeiten
- Beratung bei der Datenschutz-Folgeabschätzung und Überwachung der Durchführung (Artikel 35 DSGVO)
- Zusammenarbeit mit der Aufsichtsbehörde, Kontaktperson für die Aufsichtsbehörde
- Unterstützung bei der Risikobewertung der Verarbeitungsvorgänge
Interner oder externer Datenschutzbeauftragter DSGVO und BDSG (neu)
- Diese Frage stellt sich für ein Unternehmen natürlich immer. Beides hat natürlich seine Berechtigung. Was ich hier zum Thema interner oder externer DSB schreibe, basiert natürlich rein auf meiner persönlichen Meinung und Erfahrung.
Wann ist ein interner Datenschutzbeauftragter sinnvoll?
- Wenn Sie bereits eine Person im Haus haben, die das Thema fachlich aufgrund von bestehendem Know-how mit zusätzlichen Schulungen stemmen kann. IT Background sollte vorhanden sein.
- Wenn die Person tatsächlich genügend Ressourcen für die Ausübung dieser zusätzlichen Tätigkeit bekommt und das nicht „noch zusätzlich mitmachen“ soll.
- Wenn Ihr Unternehmen aufgrund der Anzahl der Mitarbeiter oder Ihrer Prozesse viel Abstimmung und Rückfragen des DSB benötigt.
Wann ist ein externer Datenschutz besser geeignet?
- Wenn Sie nicht extra eine Person für den Datenschutz ausbilden, regelmäßig weiterbilden wollen und auch die Ressourcen und Kapazitäten dafür nicht haben.
- Wenn Sie im Tagesgeschäft nicht viele Anfragen zum Thema Datenschutz erwarten.
- Wenn Sie auf das Know-how eines Externen zugreifen möchten, der aufgrund seiner Tätigkeit als DSB für mehrere Unternehmen viel Praxiserfahrung aufweisen kann.
- Wenn Sie nach den gesetzlichen Anforderungen zwar einen DSB benötigen, aber aufgrund der Unternehmensgröße diesen intern nicht abbilden können.
Beide Varianten haben ihren Vor- und Nachteil, das ist natürlich klar. Sind Sie nicht sicher, wie Sie sich entscheiden sollen? Ich freue mich über Ihren Kommentar.
Sehr geehrte Frau Stoiber. Wir sind eine Fahrschule in Hamburg und ich habe 18 Mitarbeiter incl mir,die ständigen digitalen Zugriff auf Schülerdaten haben. Die Daten werden über den Vogelverlag verarbeitet. Benötige ich nun einen Dsgvo Beauftragten oder nicht ? und wenn ja,ddann bräuchte ich einen externen….bzw kann mein Sohn eine solche Qualifikation erwerben und tätig werden ?
Liebe Frau Sutt,
vielen Dank für Ihre Anfrage. Bei 18 Personen, die personenbezogene Daten verarbeiten (was bei Ihnen ja zutrifft), benötigen Sie einen Datenschutzbeauftragten.
Grundsätzlich kann Ihr Sohn die Beauftragung übernehmen, wenn er nicht als Geschäftsführer eingetragen ist.
Er muss fachlich die Anforderungen eines DSB erfüllen. Das heißt, er muss sich mit geeigneten Fortbildungen das KnowHow erwerben.
Viele Grüße
Regina Stoiber
Halli Frau Stoiber,
Ich bin Geschäftsführerin in einem kleinen Transportunternehmen, im Büro sind der Gesellschafter und ich. Wir beschäftigen 32 Fahrer die für unsere Kunden täglich weitere Kunden beliefern.
brauch ich für unsere Firma einen externen DSB?
Vielen lieben Dank für Ihre Antwort
Hallo Alexandra,
ich gehe davon aus, dass die Fahrer nur die Adressen der Kunden erhalten, damit sie die Ware ausliefern können und ggf. noch eine Unterschrift erhalten, wenn die Ware ausgehändigt wurde.
In diesem Fall ist die Verarbeitung der Daten nicht der primäre Zweck der Tätigkeit der 32 Fahrer. In diesem Fall brauchen Sie keinen DSB nach der aktuellen bekannten Situation.
Viele Grüße
Regina Stoiber