Management

EU DSGVO und Datenschutzbeauftragte (2): Das gilt ab Mai!

Mitarbeiter, Mann, Frau, Kollegen, Mitarbeiter, Desktop, Shreibtisch, Fenster, Glasscheibe, Lächeln, Bildschirmarbeit, Compliance, Transparenz, Prozessdokumentation, Prozesshandbuch, personenbezogene Daten, Zugriffsrechte, EU DSGVO, BDSG, wann Unternehmen einen Datenschutzbeauftragten benötigen, Sensibilisieren

Der Text der Gesetzgebung zur EU DSGVO lässt Raum für thematisch relevante Fragezeichen – und für Spekulationen. Wie viel mehr Datenschutzbeauftragte wird es mit der EU DSGVO geben – im Vergleich zu vorher? Schließlich verschärfen auch die Kriterien im Zuge des BDSG, das die europäische Grundverordnung hierzulande ergänzt, die Vorgaben noch zusätzlich. Wir beantworten die Frage, wann ein Unternehmen einen Datenschutzbeauftragten nun benötigt, welche Aufgaben mit der Benennung aufgetragen werden und welche Rahmenpunkte auch Ihr Unternehmen kennen sollte.

Wann braucht ein Unternehmen einen Datenschutzbeauftragten?

„Braucht nun jedes Unternehmen einen Datenschutzbeauftragten?“ Die Antwort auf diese Frage zur EU DSGVO ist wohl ein klares Jain – mit starker Tendenz zum Ja. Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) stellt in ihren Kurzpapieren und Vorgaben zum Datenschutzbeauftragten und zur Benennung fest:

  • Die Benennung kann aus den Konditionen der EU DSGVO erforderlich sein.
  • Sie kann aus den Spezifikationen auf nationaler Ebene erforderlich sein.
  • In der Regel werden alle, die zuvor einen Datenschutzbeauftragten bestellen mussten, die auch in Zukunft tun müssen.

Ein wenig enger wird es mit den Regelungen des BDSG, also den Spezifikationen auf nationaler Ebene. Also zur Frage, wann Ihr Unternehmen einen Datenschutzbeauftragten braucht, sollten Sie diese Kriterien kennen:

  1. Personenzahl und Tätigkeiten: Mitarbeiter, die Tätigkeiten am Computer ausführen, kommen höchst wahrscheinlich mit personenbezogenen Daten in Kontakt – das Speichern einer E-Mail-Adresse eines Kunden genügt dafür. Trifft dies auf zehn oder mehr Beschäftigte in Ihrem Unternehmen zu – unabhängig von der Auslastung nach Wochenstunden etwa – dann benötigt Ihr Unternehmen einen Datenschutzbeauftragten.
  2. Besonders sensible Daten: Wenn Ihr Unternehmen personenbezogene Daten verarbeitet, für die eine Datenschutz-Folgenabschätzung relevant wird, dann benötigt Ihr Unternehmen einen Datenschutzbeauftragten.
  3. Kerntätigkeit im Unternehmen: Sollten Sie in Ihrem Unternehmen Personen oder personenbezogene Daten umfangreich oder systematisch überwachen, dann benötigt Ihr Unternehmen einen Datenschutzbeauftragten.
  4. Übermittlung an Dritte: Sofern Sie geschäftsmäßig personenbezogene Daten zur anonymisierten oder nicht-anonymisierten Übermittlung oder Markt- oder Meinungsforschung verarbeiten, dann benötigt Ihr Unternehmen einen Datenschutzbeauftragten.

Das betrifft also schon den Großteil. Zudem gilt: Auch wenn es nicht muss, darf ein Unternehmen einen Datenschutzbeauftragten benennen. Im Zweifelsfall wird das Bearbeiten von Anfragen – von betroffenen Personen und auch von den Behörden – erheblich vereinfacht.

Aufgabenfeld in Unternehmen für die Datenschutzbeauftragten

Wie auch im ersten Teil schon besprochen, vereint es einige Vorteile, wenn Unternehmen einen Datenschutzbeauftragten benennen. Umso mehr im Zuge der DSGVO: Um folgende Aufgaben geht es.

  • Die Verantwortlichen im Unternehmen beraten, ohne selbst über Entscheidungsgewalt zu verfügen.
  • Die Einhaltung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten überwachen.
  • Mitarbeiter sensibilisieren und schulen für datenschutzrelevante Themen.
  • Zusammenarbeiten mit der Datenschutzbehörde: Zwar besteht keine Pflicht zur freiwilligen Meldung, wenn etwas nicht regelkonform auffällt. Datenschutzbeauftragte sind müssen jedoch der Behörde bei der Aufklärung von Sachverhalten helfen, wenn diese ihn oder sie kontaktiert.
  • Fungieren als Kontaktperson für betroffene Personen und Bearbeiten von deren Anfragen.
  • Beraten zur und Überwachen der Folgenabschätzung, wenn das Unternehmen eine solche anfertigen muss.
  • Dokumentieren der Verarbeitungsprozesse von personenbezogenen Daten im Unternehmen.
  • Dokumentieren der eigenen Tätigkeiten zur Nachweisbarkeit der ordnungsgemäßen Erfüllung der Aufgaben.

Die Arbeit des Datenschutzbeauftragten ist risikoorientiert zu erfüllen: Allen einhergehenden Risiken zu den Prozessen der Datenverarbeitung ist ausreichend Rechnung zu tragen. Zudem ist Rechenschaft nur gegenüber der höchsten Leitungsebene des Unternehmens abzulegen und es gilt, Geheimhaltung und Vertraulichkeit zu wahren. Das bedeutet auch, dass in jedem Unternehmen die Datenschutzbeauftragten zur Verschwiegenheit verpflichtet sind, wenn es um Anfragenstellende geht – hier besteht sogar das Zeugnisverweigerungsrecht.

Weitere Details zum Datenschutzbeauftragten im Unternehmen

Neben den bereits genannten formalen Kriterien gibt es noch weitere Punkte, die Unternehmen für die Datenschutzbeauftragten berücksichtigen sollten. Hierbei handelt es sich unter anderem um allgemeine Punkte zu den Formalitäten, oder auch

  • Die Kontaktdaten des Datenschutzbeauftragten im Unternehmen müssen den Aufsichtsbehörden mitgeteilt werden.
  • Unternehmen müssen diese Kontaktdaten und die der zuständigen Landesdatenschutzbehörde öffentlich sichtbar machen.
  • Zur Mithilfe der Aufgabenerfüllung müssen Unternehmen ihren Datenschutzbeauftragten alle erforderlichen Ressourcen, Zugriffsrechte und Weiterbildungsmaßnahmen zur Verfügung stellen.
  • Eine Unternehmensgruppe darf einen gemeinsamen Beauftragten benennen, sofern dieser von allen leicht und auch persönlich zu erreichen ist.
  • Wenn ein Unternehmen einen Datenschutzbeauftragten ernennt, muss dies aufgrund der beruflichen Qualifikation, des Fachwissens zum Datenschutzrecht und der praktischen Expertise basieren.
  • Es kann auch ein Externer im Sinne eines Dienstleistungsvertrages beauftragt werden.
  • Bei der Benennung wird aus Gründen der Rechtssicherheit die Schriftform empfohlen.
  • Bei einer Neubesetzung sind Interessenskonflikte mit anderen Aufgaben im Unternehmen für die Datenschutzbeauftragten zu vermeiden.
  • Bleibt die Besetzung dieselbe, gelten Bestellungsurkunden weiterhin; darin aufgeführte Zusatzvereinbarungen oder Aufgabenzuweisungen sollten jedoch überprüft und gegebenenfalls angepasst werden.
  • Der Datenschutzbeauftragte verfügt über eine Weisungsfreiheit und muss frühzeitig in alle Fragen eingebunden werden, die personenbezogene Daten betreffen.
  • Der besondere Abberufungs- und Kündigungsschutz hat weiterhin Bestand.

Insgesamt ist das Aufgabenpensum der Datenschutzbeauftragten in Unternehmen proaktiver geworden: Es geht nicht mehr nur um eine Beratungsfunktion, sondern auch um eine gewisse Form der Überwachung. Da sie jedoch keine Entscheidungsgewalt an sich innehaben, sind sie etwa dazu angehalten, immer wieder nachzufragen um sicherzustellen, dass personenbezogene Daten entsprechend der Auflagen von EU DSGVO und BDSG gesichert sind.

Und zu guter Letzt ein Hinweis, nicht nur zur Abschreckung zur EU DSGVO: Wenn ein Unternehmen einen Datenschutzbeauftragten nicht benennt (obwohl es einen benötigt) oder diesen nicht hinreichend unterstützt, droht eine Geldbuße.

Die Zeit und das Pensum EU DSGVO für Datenschutzbeauftragte drängen – bereiten Sie sich rechtzeitig vor!

 

Anmerkung der Redaktion: Dieser Beitrag stellt weder eine rechtliche Beratung noch einen Ersatz derselben dar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.