Die meisten Unternehmen wissen, dass Sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Doch welche konkreten Pflichten und Aufgaben mit dieser Stellung verbunden sind, ist vielen Unternehmen und selbst den betroffenen Datenschutzbeauftragten oft unklar.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte wirkt auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hin, so steht es im Bundesdatenschutzgesetz. Hinwirken bedeutet in diesem Fall, dass der Datenschutzbeauftragte die Umsetzung der datenschutzrechtlichen Vorschriften nicht selbst vornimmt, sondern analysiert und den Stand des Datenschutzniveaus im Unternehmen kontrolliert. Er macht der Geschäftsführung und den einzelnen Abteilungen Vorschläge zur Verbesserung oder Implementierung einer Datenschutzorganisation im Unternehmen. Der Datenschutzbeauftragte selbst hat also keine Entscheidungsgewalt, sondern ist organisatorisch der Geschäftsleitung unterstellt.

Ab dem 25. Mai 2018 ändert sich dies und der Datenschutzbeauftragte muss nicht nur auf die Einhaltung der entsprechenden Datenschutzvorschriften hinwirken, sondern erhält nach der Datenschutz-Grundverordnung eine umfassende Überwachungspflicht. Der Datenschutz im Unternehmen wird wichtiger denn je.

Der Schwerpunkt der Tätigkeit des Datenschutzbeauftragten liegt dann unter anderem in der Überwachung der Einhaltung dieser Verordnung sowie der Unterstützung der Unternehmensleitung bei datenschutzrechtlichen Belangen. Zudem kümmert er sich um Sensibilisierung und Schulung der beteiligten Mitarbeiter.

Wann ist ein Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet?

Nach den derzeit geltenden Regelungen besteht eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten, wenn mindestens 10 Personen ständig mit der computergestützten Verarbeitung personenbezogener Daten beschäftigt sind.

Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen gibt es noch eine Reihe weiterer Fälle, in denen ein Datenschutzbeauftragter zu bestellen ist. Dies betrifft u.a. Unternehmen, die besonders sensitive Daten verarbeiten, z.B.  Gesundheitsdaten.

Wie erfolgt die Bestellung zum Datenschutzbeauftragten?

Die Bestellung des Datenschutzbeauftragten muss schriftlich und gesondert erfolgen, d.h. in einer eigenen Vereinbarung außerhalb eines beabsichtigten oder bestehenden Vertrages. Zudem muss die Bestellung eine Aufgabenbeschreibung enthalten, sowie die Verpflichtung des Unternehmens, durch personelle und materielle Unterstützung die Arbeit des Datenschutzbeauftragten zu ermöglichen. Grund des Formzwanges ist, dass allen Beteiligten die Bedeutung des Amts vor Augen geführt werden soll. Denn ein Datenschutzbeauftragter trägt erhebliche Verantwortung für das Unternehmen.

Welche Voraussetzungen muss der Datenschutzbeauftragte mitbringen?

Der Datenschutzbeauftragte muss einige Voraussetzungen erfüllen, insbesondere benötigt er die erforderliche Fachkunde und Zuverlässigkeit. Das Maß der erforderlichen Fachkunde bestimmt sich nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten.

Das Erfordernis der Zuverlässigkeit beschreibt eine klare Trennung zwischen der verantwortlichen Stelle und dem Beauftragten. Denn wo die Trennung fehlt, können Interessenkonflikte entstehen, wenn sich etwa der Kontrolleur selbst kontrollieren muss. Daher kann grundsätzlich weder der IT-Leiter noch die Geschäftsführung selbst die Aufgaben des Datenschutzbeauftragten übernehmen. An diesen Anforderungen ändert sich auch nichts mit der Geltung der DSGVO.

Interner oder externer Datenschutzbeauftragter?

Für den Datenschutz im Unternehmen ist es grundsätzlich gleichgültig, ob ein interner oder externer Datenschutzbeauftragter bestellt wird, solange er die Voraussetzungen erfüllt.

Der Vorteil eines internen Datenschutzbeauftragten ist, dass dieser Insiderwissen über das Unternehmen sowie Geschäftsabläufe und verantwortliche Personen hat. Demgegenüber bietet die Bestellung eines externen Datenschutzbeauftragten den Vorteil, dass dieser als Außenstehender objektiv auf das Unternehmen blicken und so unbefangen den Datenschutz einbringen kann. Außerdem genießt der externe Datenschutzbeauftragte, anders als sein internes Pendant, keinen besonderen Kündigungsschutz. Zudem bringt er oftmals ein höheres Maß an Fachwissen und mehr Erfahrung mit.

Diese Punkte sind im Hinblick auf die steigenden Anforderungen an die Position des Datenschutzbeauftragten selbst, aber auch wegen der nach der DSGVO hinzukommenden erforderlichen Nachweis- und Rechenschaftspflichten für das Unternehmen nicht zu unterschätzen.