Wirtschaft

Datenschutzbeauftragter – wann, wie und wer?

Sturmtruppen, Sturmtruppler, Soldat, Star Wars, Datenschutzbeauftragter
Brauchst du einen Datenschutzbeauftragten? (Foto: Unsplash.com / Liam Tucker)
geschrieben von Carlo Piltz

Wann braucht mein Unternehmen einen Datenschutzbeauftragten? Wie wird man Datenschutzbeauftragter und wer übernimmt diese Aufgabe im Idealfall? Die Antworten auf diese drei zentralen Fragen liefern wir dir in verständlicher Form.

Dass Unternehmen, die mit personenbezogenen Daten umgehen, unter gewissen Voraussetzungen einen Datenschutzbeauftragten (DSB) benennen müssen, dürfte allgemein bekannt sein.

Mit Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 wurde diese Pflicht, die in Deutschland schon lange existiert, jedoch auf europäischer Ebene vereinheitlicht. Die DSGVO sieht konkrete Aufgaben und Pflichten für den Datenschutzbeauftragten vor.

Wann ist der DSB zu benennen, was ist dabei zu beachten und was hat er zu tun? Diesen Fragen beantworten wir im Folgenden.

Wann ist ein Datenschutzbeauftragter zu benennen?

Bei der Antwort auf diese Frage ist zu beachten, dass die Anforderung, wann ein DSB zu benennen ist, sowohl auf europäischer als auch auf deutscher Ebene verankert sind.

Nach Artikel 37 Absatz 1 DSGVO muss ein Unternehmen einen DSB vor allem dann benennen, wenn die Kerntätigkeit in der Durchführung von Datenverarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.

Dazu zählen zum Beispiel Unternehmen mit digitalen Geschäftsmodellen, die im Kerngeschäft Online-Tracking anbieten. Zudem muss ein DSB benannt werden, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten, wie etwa Gesundheitsdaten, besteht.

In Deutschland ist außerdem nach Paragraph 38 Absatz 1 Satz 1 BDSG dann ein DSB zu benennen, wenn das Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Was konkret unter „ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“ zu verstehen ist, wird durchaus kontrovers diskutiert. Allgemein ganz informativ sind die „Antworten auf häufig gestellte Fragen“ der Datenschutzbehörde in Nordrhein-Westfalen.

Danach bedeutet „ständig“, dass die Tätigkeit auf Dauer angelegt ist. Die betreffende Person wird immer dann tätig, wenn es notwendig ist. Das gilt selbst dann, wenn die Tätigkeit nur in zeitlichen Abständen anfällt. Das kann auch einmal im Monat sein.

„Beschäftigt“ umfasst alle Formen des Beschäftigungsverhältnisses. Es beinhaltet sowohl die Leitung als auch angestellte Beschäftigte, Aushilfen, Azubis oder Leiharbeitskräfte. Sie alle sind gleichermaßen zu berücksichtigen. Unerheblich ist auch, ob die jeweiligen Personen in Voll- oder Teilzeit arbeiten.

Wie ist ein Datenschutzbeauftragter zu benennen?

Zu der Form der Benennung sieht die DSGVO keine speziellen Regelungen vor. Insbesondere eine Schriftform, etwa in der Form eines Papiers oder einer Urkunde, ist nicht vorgeschrieben.

Aus Beweisgründen empfiehlt sich jedoch, die Benennung schriftlich festzuhalten. Zudem sollte darauf geachtet werden, die Aufgaben des DSB explizit zu dokumentieren, damit sich alle Beteiligten über die Aufgaben im Klaren sind.

Wer kann als Datenschutzbeauftragter benannt werden?

Der DSB wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Dazu findet man einige Anhaltspunkte in Artikel 37 Absatz 5 DSGVO.

Eine weitere Grundlage für den DSB liegt in der Fähigkeit zur Erfüllung der gesetzlich definierten Aufgaben in Artikel 39 DSGVO.

Zur Konkretisierung dieser Anforderungen lohnt sich zum Beispiel ein Blick in das Arbeitspapier „Der behördliche und betriebliche Datenschutzbeauftragte nach neuem Recht“ der Hessischen Datenschutzbehörde.

Die Behörde geht davon aus, dass Kenntnisse des nationalen und Europäischen Datenschutzrechts sowie ein vertieftes Verständnis der DSGVO zu fordern sind. Daneben ist es nach Ansicht der Behörde für die Erfüllung der dem DSB obliegenden Aufgaben unerlässlich, dass er über organisatorische und vertiefte technische Kenntnisse verfügt.

Achtung: Zwar kann der DSB nach Artikel 38 Absatz 6 DSGVO neben den Aufgaben, die mit der Benennung einhergehen, auch andere Aufgaben und Pflichten sowie in Teilzeit übernehmen.

Jedoch ist das Unternehmen verpflichtet, den DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden und ihn bei der Erfüllung seiner Aufgaben zu unterstützen.

Zudem muss das Unternehmen sicherstellen, dass zusätzlich wahrgenommene Tätigkeiten nicht zu einem Interessenkonflikt führen. Das ist ein in der Praxis sehr wichtiger Aspekt.

Nach Ansicht der Hessischen Datenschutzbehörde bestehen etwa in der Regel Interessenkonflikte, wenn zum Beispiel die Benennung des Geschäftsführers oder eines nahen Verwandten, des Personalleiters, des Marketing- oder Vertriebsleiters, des IT-Leiters oder eines Beschäftigten der IT- oder Personal-Abteilung angedacht ist, diese Person aber Datenverarbeitungsprozesse bestimmen oder wesentlich beeinflussen kann.

Deutsche Datenschutzbehörden haben wegen eines Interessenkonflikts des DSB oder einer unterlassenen Benennung auch schon Bußgelder gegen Unternehmen verhängt.

Fazit

Unternehmen sollten wissen, wann sie einen DSB verpflichtend zu benennen haben. Daneben besteht immer die Möglichkeit, einen DSB freiwillig zu benennen.

Außerdem sollte man einen wichtigen Aspekt beachten. Konkret geht es um die Pflicht zur Benennung eines DSB. Diese ist nicht an die allgemeine Pflicht zur Einhaltung der DSGVO geknüpft.

Das bedeutet: Auch wenn ein Unternehmen keinen DSB benennen muss, muss es dennoch für die Einhaltung aller übrigen DSGVO-Pflichten sorgen.

Auch interessant:

Über den Autor

Carlo Piltz

>Studium der Rechtswissenschaften, Göttingen
>Promotion zum Thema „Soziale Netzwerke im Internet – eine Gefahr für das Persönlichkeitsrecht?“
> Referendariat in Berlin (mit Stationen u. a. bei der Europäischen Kommission in Brüssel)
> Rechtsanwalt und Salary Partner bei reuschlaw Legal Consultants, Berlin

Dr. Piltz berät und begeleitet Mandanten im Rahmen der Umsetzung datenschutzrechtlicher Anforderungen und bei Projekten der Digitalisierung. Als Experte im Bereich Datenschutzrecht war er u.a. als Sachverständiger zum neuen Bundesdatenschutzgesetz sowie dem neuen Berliner Landesdatenschutzgesetz tätig. Daneben vertritt er Mandanten in verwaltungsrechtlichen Streitigkeiten und Gerichtsverfahren.