Datenschutzbeauftragter

Personen die für die Datenverarbeitung verantwortlich sind, dürfen nicht als interner DSB benannt werden

Der Datenschutzbeauftragte muss nicht zwangsläufig ein externer Dienstleister sein. Bei internen DSB muss allerdings darauf geachtet werden, dass die Person eine fachliche Qualifikation besitzt. Die Wahrnehmung seiner Aufgaben in keinen Interessenskonflikt stehen, z.B. Mitglied der Geschäftsführung, der Leiter der IT-Abteilung oder Personalabteilung. Diese Personen sind in der Regel für die Datenverarbeitung verantwortlich und würden sich selbst kontrollieren. Eine automatisierte Verarbeitung von personenbezogenen Daten ist dann gegeben, wenn z.B. mehr als 20 Mitarbeiter digitale Kundendateien benutzen oder die Kundendaten auf einem Laptop, PC oder Smartphone verwenden.

Der DSB sollte durch die Geschäftsleitung beauftragt werden. Dies sollte in schriftlicher Form erfolgen, schon wegen der Nachweispflicht. Die Kontaktdaten sind der Landesdatenschutzbehörde zu melden. Auch sollten sie die Kontaktdaten des internen DSB im Unternehmen weitergeben und auch auf der Webseite veröffentlichen. Somit ist sichergestellt, dass der DSB von allen Mitarbeitern und externen Stellen über E-Mail oder telefonisch jederzeit erreichbar ist.

Benennung Datenschutzbeauftragter

Ein Datenschutzbeauftragter muss nach den neuen Regeln dann benannt werden, wenn mindestens 20 Mitarbeiter mit der Verarbeitung von personenbezogenen Daten dauerhaft zutun haben. Haben sie mehrere Standorte im Unternehmen reicht es aus, einen Datenschutzbeauftragten zu benennen für alle Standorte. Hier ist nur darauf zu achten, dass der DSB genügend Zeit hat seine Aufgaben wahrzunehmen. Aus meiner Erfahrung heraus, ist es immer besser die Email Adresse nicht namentlich sondern als Funktion, beispielsweise datenschutz(a)mustermann.de zu verwenden. 

Stellung des Datenschutzbeauftragten im Unternehmen

Der DSB unterrichtet unmittelbar an die Geschäftsleitung. Er ist somit eine Stabsstelle, gleichzusetzen mit einem QMB oder der Fachkraft für Arbeitssicherheit. Ferner ist der Datenschutzbeauftragte weisungsunabhängig und ist bei allen rechtlichen Datenschutzvorgängen frühzeitig einzubinden. Der DSB genießt wie ein Betriebsrat einen besonderen Kündigungsschutz. Sein Arbeitsverhältnis darf während der Ausübung als DSB und für ein Jahr danach nicht gekündigt werden, es sei denn, die Kündigung erfolgt aus einem wichtigen Grund. Ebenfalls muss der DSB genügend Zeit haben, sich bei Fortbildungen weiterzubilden.

Datenschutzbeauftragter

Externe Datenschutzbeauftragte

Haben sie einen externen Dienstleister mit der Wahrnehmung der Aufgaben als DSB betraut, so regelt der Dienstleistungsvertrag welche Aufgaben durch den externen DSB wahrzunehmen sind.  Im einzelnen sind das:

  1. Einhaltung der Dokumentationspflichten
  2. Beratung und Überwachung von Datenschutz-Folgeabschätzungen
  3. Zusammenarbeit mit der Landesdatenschutzbehörde
  4. Ansprechpartner für externe und interne Personen (Mitarbeiter, interessierte Kreise)

Verantwortung DSB

Die Verantwortung eines DSB sind die ordnungsgemäße Erfüllung seiner gesetzlichen Aufgaben. Er ist nicht verantwortlich für die Umsetzung der datenschutzrechtlichen Vorschriften. Wie auch in der ISO 9001 bleibt der Geschäftsführer für das rechtmäßige Handeln des Unternehmens verantwortlich. Der DSB berät die Geschäftsleitung in allen datenschutzrechtlichen Themen. Bei einer fahrlässigen Nichtbestellung eines Datenschutzbeauftragten fallen erhebliche Bußgelder an. Bis zu 2% des Jahresumsatzes bis max. 10 Mio. EUR.

 

Zusammenfassung

  • Ein DSB muss ab einer Unternehmensgröße von 20 Mitarbeiter einen Datenschutzbeauftragten benennen, sofern diese Dauerhaft personenbezogene Daten verarbeiten. 
  • Der DSB ist weisungsunabhängig und berät die Geschäftsleitung in allen Datenschutzrechtlichen Themen.
  • Er ist verantwortlich für die Überwachung der Durchführung von Datenschutz-Folgeabschätzungen
  • Er ist Ansprechpartner für interne Mitarbeiter und externe interessierte Kreise
  • Der DSB ist verpfllichtet mit der Landesdatenschutzbehörde zusammen zuarbeiten