Die Anwendung der DSGVO seit 25. Mai 2018 bringt eine europaweite Verpflichtung zur Bestellung einer/eines betrieblichen Datenschutzbeauftragten (bDSB) mit sich. Ein bDSB ist zwingend zu bestellen, wenn die Kerntätigkeit des Verantwortlichen in Verarbeitungsvorgängen besteht, die aufgrund Art, Umfang und/oder Zweck eine umfangreiche, regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen.
Unter „Kerntätigkeit“ fallen dabei Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie nötig sind – insbesondere, aber nicht nur sind dies: Kundenservice, Marketing, Produktdesign, Auskunfteien oder Adresshandel.
„Art, Umfang und Zweck“ ist anhand objektiver Merkmale zu beurteilen. Insbesondere die Zahl der betroffenen Personen, die Menge der betroffenen Daten und/oder die Vielzahl der verschiedenen Datensätze. Dazu die Dauer oder geografische Reichweite der Datenverarbeitung.
Faktor 20 Personen – oder Datenschutzfolgeabschätzung
Die DSGVO lässt den Mitgliedstaaten die Befugnis, weitere Bestellpflichten zu regeln, solange der nationale Gesetzgeber nicht von den oben beschriebenen Rechten und Aufgaben abweicht. Hiervon hat der deutsche Gesetzgeber im Rahmen der Änderung des Bundesdatenschutzgesetzes (BDSG) Gebrauch gemacht.
Die Bestellpflicht des BDSB wird abweichend zur DSGVO erweitert. Das heißt, ein bDSB muss bestellt werden, wenn mindestens zwanzig Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind – oder unabhängig von der Personenanzahl, wenn Daten verarbeitet werden, die der Datenschutzfolgeabschätzung unterliegen.
Eine freiwillige Bestellung von Datenschutzbeauftragten ist möglich.
Die Position des bDSB kann innerhalb des Betriebs durch einen eigenen Mitarbeiter besetzt werden (auch als „Teilzeit“-Tätigkeit neben seinen eigentlichen Aufgaben), wenn er die persönlichen und fachlichen Voraussetzungen dafür besitzt. Es kann auch ein externer Datenschutzbeauftragter bestellt werden. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragte benannt werden. Dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein.
Im Folgenden werden die Pflicht zur Bestellung eines bDSB, die persönlichen und sachlichen Anforderungen sowie seine Rechte und Pflichten beschrieben.
Anforderungen an die Bestellung, Stellung und Aufgaben des bDSB
1. Bestellpflicht
- Nicht bestellt werden darf eine Person, die in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht (insb. Mitglieder der Unternehmensleitung, IT – und Personalleiter sowie IT-Administratoren).
- Der oder die bDSB muss aufgrund der beruflichen Qualifikation und des Fachwissens benannt werden, um die Aufgaben aus Art. 39 DSGVO übernehmen zu können. Zu den Fachkundevoraussetzungen gehört ein Verständnis der allgemein datenschutzrechtlichen und spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das eigene Unternehmen relevant sind, sowie technisch-organisatorische Kenntnisse, insbesondere Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit. Diese Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung zum bDSB vorliegen.
- Eine Form und bestimmte Dauer für die Bestellung besteht nicht; die Bestellung sollte aus Nachweisgründen jedoch in Textform erfolgen (siehe unten stehendes Muster).
- Die Kontaktdaten des bDSB sind zu veröffentlichen (etwa auf der Unternehmenshomepage) und müssen der jeweiligen Landesdatenschutzbehörde gemeldet werden.
2. Stellung
- Der oder die bDSB ist weisungsunabhängig bzgl. seiner Aufgabenerfüllung und berichtet unmittelbar der höchsten Managementebene des Verantwortlichen.
- Ein bDSB darf wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden.
- Es besteht ein Anspruch auf ordnungsgemäße und frühzeitige Einbindung in alle datenschutzrechtlichen Fragen. Jedem bDSB sind zur Aufgabenerfüllung das notwendige Zeitbudget sowie die nötige Unterstützung (Fortbildung, finanzielle, materielle und personelle Ausstattung) zu gewähren.
- Einem bDSB ist Zugang zu allen personenbezogenen Daten und damit zusammenhängenden Verarbeitungsvorgängen zu geben.
- Der oder die bDSB ist zur Wahrung der Geheimhaltung und Vertraulichkeit bei der Erfüllung seiner Aufgaben verpflichtet. Dies gilt insbesondere in Bezug auf die Identität von betroffenen Personen, die sich an den bDSB gewandt haben. Ein gesetzliches Zeugnisverweigerungsrecht steht ihm zu, soweit der Leitung oder einer bestimmten Person des Verantwortlichen ein solches Recht zusteht. Akten oder Schriftstücke des bDSB unterliegen insofern einem Beschlagnahmeverbot.
Nach der Änderung des BDSG besteht – wie bereits nach bisheriger Fassung des BDSG – ein besonderer Kündigungsschutz für den bDSB. Das Arbeitsverhältnis darf während der Tätigkeit als Datenschutzbeauftragter und nach deren Beendigung für ein Jahr nicht gekündigt werden – es sei denn, die Kündigung erfolgt aus wichtigem Grund.
3. Aufgaben
Ein bDSB hat schwerpunktmäßig die Einhaltung der datenschutzrechtlichen Vorschriften und den datenschutzkonformen Umgang mit personenbezogenen Daten im Betrieb zu überwachen. In diesem Zusammenhang hat er gemäß Art. 39 DSGVO folgende Aufgaben zu erfüllen:
- Unterrichtung über die bestehenden datenschutzrechtlichen Pflichten und Beratung bei der Lösung datenschutzrechtlicher Fragen.
- Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften (DSGVO, BDSG sowie weitere Rechtsvorschriften) und der unternehmenseigenen Datenschutzbestimmungen inkl. Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung von Mitarbeitern.
- Auf Anfrage die Beratung bei der Datenschutz-Folgenabschätzung und das Überwachen ihrer Durchführung.
- Zusammenarbeit mit der Aufsichtsbehörde und Zuständigkeit für die vorherige Konsultation datenschutzrechtlicher Fragen an die Aufsichtsbehörde.
- Ansprechpartner für betroffene Personen und Mitarbeiter zu allen mit der Verarbeitung ihrer Daten zusammenhängenden Vorgänge – einschließlich der, der Wahrnehmung ihrer Rechte.
Über diese Mindestaufgaben hinaus nimmt der oder die bDSB eine beratende und unterstützende Funktion ein. Insbesondere sind dies: Unterstützung des Verantwortlichen beim Etablieren von Prozessen bzw. Dokumentationen zur Erfüllung der umfassenden Nachweispflicht, Unterstützung bei der Melde- und Benachrichtigungspflicht zu Datenschutzverletzungen sowie die Erfüllung der Betroffenenrechte (Recht auf Auskunft, Berichtigung, Einschränkung oder Löschen von Daten).
Die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, liegt grundsätzlich beim Verantwortlichen, kann aber – vom Verantwortlichen – auf den oder die bDSB übertragen werden.
Bei der Erfüllung seiner Aufgaben hat jeder bDSB die Pflicht zur risikoorientierten Tätigkeit. Das heißt, es obliegt der eigenen Entscheidung des bDSB, welche Verarbeitungsvorgänge aufgrund des damit verbundenen Risikos vorrangig geprüft werden.
Haftung
Nach den Leitlinien der sogenannten Artikel-29-Datenschutzgruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) vom Dezember 2016 trägt der bDSB im Falle der Nichteinhaltung der DSGVO keine persönliche Verantwortung. Aus der DSGVO gehe klar hervor, dass es Sache des Verantwortlichen ist, sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.
Folgen bei Nichtbestellung
Das vorsätzliche oder fahrlässige Versäumnis, einen betrieblichen Datenschutzbeauftragten nicht oder nicht rechtzeitig zu bestellen, kann nach bisherigem BDSG mit einem Bußgeld in Höhe von bis zu 50.000 € belegt werden. Die DSGVO sieht hier höhere Bußgelder von bis zu 10 Millionen EURO oder 2 % des weltweiten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist.
Muster für eine interne Bestellung
Bestellung zum/zur Datenschutzbeauftragten
Herrn/Frau
Name
Anschrift
Hiermit bestellen wir Sie im gegenseitigen Einvernehmen und mit sofortiger Wirkung/zum … zum/zur betrieblichen Datenschutzbeauftragten gem. Art. 37 ff. EU-Datenschutz-Grundverordnung, § 38 BDSG. In Ihrer Funktion als Datenschutzbeauftragte/r sind Sie der Geschäftsleitung unmittelbar unterstellt.
Zuständiges Mitglied der Geschäftsleitung ist Herr/Frau ................................ Ihre Aufgaben als Datenschutzbeauftragte/r ergeben sich aus der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz, die wir in der Anlage konkretisiert haben.
In Ihrer Aufgabe als betriebliche/r Datenschutzbeauftragte/r sind Sie weisungsfrei. Über Ihre Tätigkeit werden Sie der zuständigen Geschäftsleitung (Zeitraum angeben: z. B.: 1x jährlich) Bericht erstatten. [1] Diese Regelung ist nicht verpflichtend in den gesetzlichen Vorschriften vorgesehen, kann aber von dem Unternehmen so getroffen werden.
Ort, Datum
Unterschrift Unternehmensleitung
Mit der Bestellung bin ich einverstanden: .....................................
Ich möchte diesen Beitrag teilen