Das Wichtigste rund um den Datenschutzbeauftragten

Als Unternehmer dürften Sie sich spätestens mit Inkrafttreten der DSGVO gefragt haben: „Brauche ich eigentlich einen Datenschutzbeauftragten“? Die Antwort auf diese Frage hängt nicht nur von der Zahl der Mitarbeiter in Ihrem Unternehmen ab, sondern beispielweise auch davon, welche Daten Sie verarbeiten. Aber wenn Sie wissen, dass Sie einen Datenschutzbeauftragten brauchen, stellen sich jede Menge Folgefragen. Was macht ein Datenschutzbeauftragter eigentlich? Ist er künftig für meinen Datenschutz allein verantwortlich? Und wie bestelle ich einen Datenschutzbeauftragten? Die Antworten auf die wichtigsten Fragen rund um den Datenschutzbeauftragten lesen Sie hier.

Was ist ein Datenschutzbeauftragter und was sind seine Aufgaben?

Ein Datenschutzbeauftragter prüft, ob Sie die Datenschutzbestimmungen einhalten. Diese Aufgabe kann sowohl ein interner als auch ein externer Datenschutzbeauftragter übernehmen. Er muss die Abläufe im Unternehmen prüfen, überwachen und kontrollieren. Hierzu baut er eine interne Datenschutzorganisation auf, legt Prozesse fest. Er informiert das Personal über Änderungen und schult es regelmäßig.

Findet er bei seinen Kontrollen einen datenschutzrechtlichen Verstoß, muss er sich mit der Unternehmensleitung Ihres Unternehmens zusammensetzen und ihn beraten bei den Fragen:

  • Inwiefern verstoßen Sie gegen geltendes Datenschutzrecht?
  • Wie können Sie den Verstoß gegen Datenschutzrecht beseitigen?
  • Was gibt es für Alternativen?

Der Datenschutzbeauftragte entscheidet allerdings nicht, welche Maßnahmen Sie ergreifen. Das tut die Unternehmensleitung selbst.

Grund: Der Datenschutzbeauftragte ist nicht für die Einhaltung des Datenschutzes verantwortlich. Das ist das Unternehmen selbst bzw. dessen Geschäftsführung. Deshalb haftet das Unternehmen auch für die Verstöße.

Er sitzt an der Schnittstelle zwischen IT-Abteilung, Marketingabteilung und Geschäftsführung des Unternehmens. Er reagiert auf datenschutzrechtliche Fragen von Kunden und gibt den Datenschutzbehörden Auskunft. All diese Verantwortung für den Datenschutz des Unternehmens macht ihn im Endeffekt doch in gewisser Weise verantwortlich für diesen Bereich.

Zusammengefasst: Im Wesentlichen hat ein Datenschutzbeauftragter also folgende Aufgaben: Ein Datenschutzbeauftragter…

  • muss Ihr Unternehmen über Ihre datenschutzrechtlichen Pflichten aufklären und deren Einhaltung überwachen.
  • berät und unterstützt Ihr Unternehmen bei der Durchführung der sogenannten Datenschutz-Folgenabschätzung
  • ist Ansprechpartner für Geschäftsführung, Mitarbeiter und Vertrieb und Marketing in allen Fragen im Umgang mit Nutzer- und Kundendaten
  • Reagiert auf und kümmert sich um die Anfragen von Behörden und Betroffenen
  • führt ein Verarbeitungsverzeichnis

I am text block. Click edit button to change this text. Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Was ist ein Verarbeitungsverzeichnis?

Unternehmen ausführlich zu dokumentieren. Dabei müssen Sie detailliert folgende Punkte festhalten:

  • Welche Kategorien von personenbezogenen Daten speichern Sie?
  • Auf welcher Rechtsgrundlage speichern Sie die personenbezogenen Daten?
  • Wie lange speichern Sie die personenbezogenen Daten?
  • An wen geben Sie die personenbezogenen Daten weiter?
  • Wie schützen Sie die personenbezogenen Daten?

Diese Punkte müssen Sie für jeden einzelnen Datenverarbeitungsvorgang festhalten, also zum Beispiel für:

  • Verarbeitung von Bewerber- und Personaldaten
  • interne und externe Unternehmenskommunikation
  • Kundenbetreuung
  • Marketing
  • Social Media Auftritte
  • Finanzen und Buchhaltung
  • Videoüberwachung
  • Datenvernichtung

Wichtig: In dem Verzeichnis müssen Sie auch die Datenverarbeitungsvorgänge aufnehmen, die im Rahmen einer Auftragsverarbeitung anfallen.

Wann brauche ich einen Datenschutzbeauftragten?

Fast jedes Unternehmen muss sich darüber Gedanken machen, ob es einen Datenschutzbeauftragten bestellen muss. Denn: Sobald Sie in irgendeiner Form mit Kunden- oder Nutzerdaten in Berührung kommen, verarbeiten Sie Daten. Ob online im Internet oder offline.

Ist dieser Punkt bei Ihnen erfüllt, geht es im nächsten Schritt um die Anzahl Ihrer Mitarbeiter:

1) Anzahl der Mitarbeiter

  • Jedes Unternehmen, das mehr als 10 Personen dauerhaft mit automatisierter Datenverarbeitung beschäftigt, muss einen Datenschutzbeauftragten haben.
  • Verarbeitet ihr Unternehmen die Daten nicht automatisiert, sind sie erst ab 20 Mitarbeitern dazu verpflichtet.

Ein Unternehmen verarbeitet Daten dann automatisiert, wenn dies mit Hilfe von Datenverarbeitungsanlagen geschieht (z.B. am Computer). „In der Regel“ bedeutet, dass die Verarbeitung personenbezogener Daten für die Beschäftigten zu deren „Berufsalltag“ gehört.

Beispiel: Callcenter-Mitarbeiter nehmen telefonische Bestellungen auf und tun dies auch regelmäßig. Wenn ein Zeitungausträger einmalig als Krankheitsvertretung Bestellungen aufnimmt und sonst nur Zeitungen austrägt, gehört diese Tätigkeit nicht zu seinem Berufsalltag.

Wichtig: Auch freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Teilzeitkräfte sind mit „Beschäftigte“ gemeint. Egal ist, ob die Beschäftigtenzahl kurzzeitig unter 10 Personen fällt.

Aber: Es gibt Ausnahmen. In bestimmten Fällen müssen Sie ganz unabhängig davon, wie viele Mitarbeiter bei Ihnen beschäftigt sind, einen Datenschutzbeauftragten bestellen.

2) Kerntätigkeit macht umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich

Für die erste Ausnahme müssen zwei Punkte erfüllt sein: Die Tätigkeit

1) Gehört zum Kerngeschäft Ihres Unternehmens

Kerngeschäft ist die Tätigkeit dann, wenn die Verarbeitung ein zentraler Bestandteil der unternehmerischen Tätigkeit oder Geschäftsstrategie ist.

2.  besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.

Beispiele:

  • Verarbeitung von Gesundheitsdaten für ein Krankenhaus
  • Verarbeitung von Adressdaten für Auskunfteien
  • Die Verwaltung von Personaldaten innerhalb eines Unternehmens ist dagegen in eher eine Nebentätigkeit.

Eine genaue Einordnung ist hier schwierig. Es kann aber Anhaltspunkte dafür geben, dass dieser Fall vorliegt. Dies richtet sich zum Beispiel danach,

    • wie lange Sie die Personen überwachen
    • wie viele Personen davon betroffen sind
    • um welche Datenmenge es geht.

3) Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Datenkategorien

Es gibt noch eine weitere Ausnahme. Unabhängig von der Beschäftigtenzahl brauchen Sie in jedem Fall einen Datenschutzbeauftragten, wenn Ihr Unternehmen besonders sensible Daten verarbeitet, zum Beispiel Gesundheitsdaten (Beispiel: Krankenkasse). Weitere dieser besonderen Datenkategorien sind:

  • Gesundheitsdaten
  • personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen
  • Daten zum Sexualleben oder zur sexuellen Orientierung
  • Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht
  • genetische und biometrische Daten

4) Datenschutz-Folgenabschätzung erforderlich

Auch wenn Ihr Unternehmen verpflichtet ist, eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO), müssen Sie unabhängig vom Vorliegen weiterer Voraussetzungen einen Datenschutzbeauftragten bestellen.

Die DSGVO nennt dafür als Beispiel das Profiling:

„Die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“

5) Ebenfalls müssen Sie in jedem Fall den Datenschutzbeauftragten bestellen, wenn Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten

Beispiel: Marktforschungsinstitute

Wie bestelle ich einen Datenschutzbeauftragten?

Einen Datenschutzbeauftragten müssen Sie schriftlich bestellen. Er sollte die erforderliche Fachkunde haben, also eine juristische Ausbildung oder eine TÜV- oder IHK-Zertifizierung.

Wenn Sie einen Mitarbeiter des Unternehmens als Datenschutzbeauftragten auswählen, kennt dieser die Abläufe und Strukturen im Unternehmen, das Geschäftsmodell und die Herausforderungen, die „Interna“. Allerdings untersteht er auch den Weisungen des Geschäftsführers und kann so seine Aufgabe nicht immer ganz eigenverantwortlich erledigen.

Ein externer Datenschutzbeauftragter muss dagegen aufwändig und zeitintensiv eingearbeitet werden und sich alle Abteilungen im Detail anschauen. Sitzt er nicht im Haus, ist unter Umständen nicht so schnell und leicht erreichbar. Insbesondere ist das so, weil externe Datenschutzbeauftragte in der Regel für viele Unternehmen tätig sind.

Praxistipp: Wägen Sie Vor- und Nachteile für Ihr Unternehmen ab. Befragen Sie im Zweifel einen Anwalt.

Was kostet ein Datenschutzbeauftragter?

Es gibt verschiedene Wege einen Datenschutzbeauftragten zu bestellen. Je nach Variante kommen unterschiedliche Kosten auf Sie zu.

  • Beschäftigen Sie einen internen Datenschutzbeauftragten, müssen Sie das Gehalt entsprechend einplanen. Eine Vollzeitstelle lohnt sich in der Regel nur in großen Unternehmen.
  • Externe Datenschutzbeauftragte sind am besten in einer auf Datenschutzrecht spezialisierten Kanzlei zu finden. Denn die Vielzahl an komplizierten Regelungen und der ständigen Aktualisierung spricht dafür, eine Person zu engagieren, deren Täglich Brot das Datenschutzrecht ist. Je nachdem, wie gut Ihr Unternehmen schon ausgerüstet ist, muss der Rechtsanwalt für bestimmte Tätigkeiten eingesetzt werden.
  • Wem dies zu teuer ist, der kann sich für eine Mischung aus internem Datenschutzbeauftragten und externer Hilfe entscheiden: Es gibt Tools, die interne Datenschutzbeauftragte so unterstützen, dass sie nicht alles selbst machen müssen. Trotzdem können Sie als Unternehmer die Sicherheit haben, professionelle Unterstützung zu erhalten: Prive unterstützt Sie bei:
    • Datenschutzbeauftragten bestellen
    • Rechtstexte und Verträge online erstellen
    • Datenschutzverträge und -verpflichtungen online abschließen