Was macht eigentlich ein Datenschutzbeauftragter?

Datenschutzbeauftragter nach DSGVO
28.08.201936 Mal gelesen
Zusammenstellung zum Berufsbild des Datenschutzbeauftragten im Unternehmen. Bedeutungsgewinn nach Änderung der Datenschutzgesetze (DSGVO und BDSG)

Was macht eigentlich ein Datenschutzbeauftragter?

Der Artikel ist für Unternehmer und Gewerbetreibende bestimmt.
Spätestens seit Mai 2018 ist der Beruf des Datenschutzbeauftragten in aller Munde. Die Änderungen im Datenschutzrecht auf europäischer und bundesdeutscher Ebene trugen maßgeblich dazu bei.

 

Was ist eigentlich der Datenschutzbeauftragte?

Der oder die Datenschutzbeauftragte ist eine nach dem Gesetz unabhängige Person, die aufgrund gesetzlicher Verpflichtung von einem Unternehmen oder einer öffentlichen Stelle (z.B. Behörde) bestellt werden muss. Dies geschieht meist über einen schriftlichen Bestellungsvertrag und eine Bestellungsurkunde.

 

Was ist besser: interner oder externer Datenschutzbeauftragte?

Unternehmen und Behörden steht es frei, den Datenschutzbeauftragten entweder intern oder extern zu bestellen. Der Interne ist ein normaler Mitarbeiter im Unternehmen, der - ähnlich wie ein Betriebsratsvorsitzender - eine zusätzliche Aufgabe erhält. Dieser Mitarbeiter muss mit entsprechenden Ressourcen ausgestattet werden, damit er seine Arbeit pflichtgemäß erfüllen kann. Dies bedeutet, er muss beispielsweise ein Tag in der Woche von seiner üblichen Arbeit freigestellt werden, damit er sich um den Datenschutz kümmern kann. Der Arbeitgeber muss auch für seine Aus- und Weiterbildung sorgen, ihm ggf. ein separates Büro einrichten und für Technik und Ausstattung sorgen. Dazu gehören beispielsweise Fachliteratur oder Onlinezugänge.

Der Externe ist eine nicht zum Unternehmen gehörende Person, meist ein Informatiker oder ein Rechtsanwalt, der entsprechende Fachkunde in eigener Verantwortung erworben hat und sich selbst regelmäßig weiterbildet. Über einen Dienstvertrag werden seine Aufgaben und die Vergütung geregelt.

Und was ist nun besser? Für beide Alternativen gibt es gute Gründe. Der interne Mitarbeiter ist meist intensiver in das Unternehmen mit eingebunden, steht aber meist vor der Herausforderung, den Datenschutz fachlich zu meistern und nebenbei auch noch seine "normale Arbeit" zu packen. Der externe Datenschutzbeauftragte verfügt meist über eine fundierte fachliche Qualifikation und kann den "best practice" aufgrund seiner anderen Auftraggeber auch bei Ihnen zum Einsatz bringen.

 

Welche Aufgaben hat der Datenschutzbeauftragte?

In erster Linie richtet sich das nach dem individuellen Dienstvertrag zwischen den Parteien. Das Gesetz weist in Art. 39 der Datenschutz-Grundverordnung dem Datenschutzbeauftragten verschiedene Aufgaben zu. Darunter gehört beispielsweise die Unterrichtung und Beratung der Geschäftsführung und der Beschäftigten über ihre Pflichten nach dem Datenschutzrecht. Er ist außerdem dazu berufen, die Einhaltung des Datenschutzrechts zu überwachen und die Beschäftigten auf den Datenschutz zu sensibilisieren. Falls eine Kommunikation mit der Aufsichtsbehörde erforderlich sein sollte, ist er der Mittler.

 

Ist der Datenschutzbeauftragte verschwiegen?

Die Verschwiegenheitsverpflichtung steht im Gesetz, Art. 38 Absatz 5 Datenschutz-Grundverordnung. Demnach muss er auch die Geheimhaltung wahren.

 

Benötigt jedes Unternehmen einen Datenschutzbeauftragten?

Nein. Es gibt verschiedene gesetzliche Vorschriften, die bestimmen, wann ein Unternehmen einen Datenschutzbeauftragten bestellen muss. Die meist-zitierte Vorschrift ist die sogenannte "10er Regel". Sie findet sich in § 38 Bundesdatenschutzgesetz und besagt, dass eine Pflicht zur Bestellung besteht, wenn im Unternehmen in der Regel mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Halbtagskräfte und Aushilfen zählen üblicherweise voll. Diese "10er Regel" wurde im Juni 2019 per Gesetzesänderung vom Bundestag auf 20 Personen angehoben. Andere Vorschriften (Art. 37 Datenschutz-Grundverordnung) stellen auf die Kerntätigkeit des Unternehmers ab. Die Anforderungen sind sehr abstrakt formuliert. Daher muss die Entscheidung in jedem Einzelfall nach fachkundiger Prüfung getroffen werden.

 

Kümmert sich der Datenschutzbeauftragte nach seiner Bestellung um den Datenschutz bei mir?

Seine Aufgabe liegt in jedem Fall nicht darin, Datenschutz im Unternehmen umzusetzen, sondern die Geschäftsleitung zu beraten, auf die Umsetzung hinzuwirken und diese zu überwachen. Er darf also vom Verantwortlichen nicht mit den Worten "na dann machen Sie mal" aufgefordert werden, das Unternehmen datenschutzkonform zu machen. Die Ausführung obliegt nach wie vor der Geschäftsleitung oder intern eingesetzten Projektmitarbeitern.

 

Kann der Datenschutzbeauftragte für mich Verträge abschließen?

Nein, er besitzt keine Vertretungsvollmacht. Dies würde zu einem Interessenkonflikt führen, der ausdrücklich verboten ist. Es ist auch nicht an Anweisungen der Geschäftsführung gebunden.

 

Was macht der "Landesdatenschutzbeauftragte"?

In jedem Bundesland gibt es mindestens einen Landesdatenschutzbeauftragten, der für alle Unternehmen und/oder Behörden in seinem Bundesland als Aufsichtsbehörde zuständig ist. Er hat die gesetzliche Aufgabe, den Datenschutz zu überwachen und bei Verstößen Bußgelder zu verhängen. Darüber hinaus gibt es auch noch einen "Bundesbeauftragten für den Datenschutz". Er sitzt in Berlin und hat noch einmal spezielle Zuständigkeiten.

 

Was ist die Meldepflicht?

Wenn ein Unternehmen einen Datenschutzbeauftragten bestellen muss, sind Name und Anschrift an den zuständigen Landesdatenschutzbeauftragten zu melden. Behörden müssen immer einen Datenschutzbeauftragten und teils auch einen Vertreter bestellen. Diese Meldepflicht dient der Aufsichtsbehörde einerseits als Kontrolle, ob alle verpflichteten Unternehmen eine Bestellung vorgenommen haben und andererseits als Ansprechpartner bei Fragen zum Unternehmen. Wer die Meldepflicht versäumt, begeht bereits einen Datenschutzverstoß.

 

Wo finde ich geeignete Datenschutzbeauftragte?

Viele Datenschutzbeauftragte sind in dem Bundesverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. organisiert. In jedem Fall empfiehlt es sich, auf eine fundierte Qualifikation zu achten. Fragen Sie in jedem Fall, wo der Datenschutzbeauftragte seine Ausbildung abgeschlossen hat. Aufgrund der zunehmenden Verrechtlichung des Datenschutzes bietet es sich auch an, einen Rechtsanwalt zu beauftragen, wenn er die notwendige Qualifikation zum Datenschutzbeauftragten erworben hat.

 

Zur Person Marc Oliver Giel

Herr Giel ist Rechtsanwalt, Fachanwalt für IT-Recht und Datenschutzbeauftragter (TÜV). Er bietet durch seine Mehrfachqualifikation höchste Beratungsqualität sowohl in rechtlicher Hinsicht als auch bezüglich der Umsetzung datenschutzrechtlicher Anforderungen im Unternehmen. Über seine Firma DATAMOG steht er Unternehmen als externer Datenschutzbeauftragter zu Verfügung.  

Kontakt zum Autor: Marc Oliver Giel, Lagerstraße 11 A, 64807 Dieburg, Telefon 06071 928135