Menü
header-image

Rechtsgebiete/Datenschutz - DSGVO - BDSG/Datenschutzbeauftragter

Datenschutz - Benennung eines Datenschutzbeauftragten

Unter bestimmten Voraussetzungen besteht für die für die Datenverarbeitung verantwortliche Stelle die Pflicht, einen Datenschutzbeauftragten zu benennen. Zum Einen spielt dabei die Zahl der mit der Datenverarbeitung beauftragten Personen eine Rolle, zum Anderen die Art und der Umfang der Datenverarbeitung. Die einschlägigen gesetzlichen Bestimmungen ergeben sich aus Artikel 37 (1) DSGVO und aus § 38 BDSG.

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte soll den für die Datenverarbeitung Verantwortlichen bei Fragen des Datenschutzes fachlich unterstützen, die Einhaltung der Vorschriften der DSGVO überwachen und als Ansprechpartner für Aufsichtsbehörden und Betroffene fungieren. Insofern sorgt der Datenschutzbeauftragte dafür, dass Fragen des Datenschutzes aufgegriffen und gemäß den gesetzlichen Bestimmungen behandelt werden.

Konkret bedeutet dies:

  • Unterrichtung und Beratung des Verantwortlichen und der verarbeitenden Personen hinsichtlich ihrer Pflichten nach dem Datenschutzrecht.
  • Überwachung der Einhaltung der gesetzlichen Vorgaben.
  • Beratung im Zusammenhang mit Datenschutzfolgenabschätzungen und Risikobewertungen.
  • Zusammenarbeit mit der Landes-Datenschutzbehörde.
  • Anlaufstelle für die Landes-Datenschutzbehörden für Fragen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.
  • Beratung Betroffener nach dem Datenschutzrecht.

Pflicht zur Benennung eines Datenschutzbeauftragten

Die Pflicht zur Benennung eines Datenschutzbeauftragten hängt dabei nicht nur von der Anzahl der Personen (fälschlicherweise wird hier oft nur auf Mitarbeiter abgestellt) ab, die mit der Verarbeitung personenbezogener Daten beschäftigt sind. Vielmehr ist die Benennung eines Datenschutzbeauftragten in einer Vielzahl weiterer Fälle erforderlich.

Die Benennungspflicht gilt grundsätzlich auch für Berufsgeheimnisträger (Ärzte, Rechtsanwälte, Steuerberater).

Voraussetzungen für die Benennung als Datenschutzbeauftragter

  • Der Datenschutzbeauftragte kann nur eine natürliche Person sein.
  • Der Datenschutzbeauftragte muss die fachliche Qualifikation aufweisen, die für die Ausübung dieser Aufgabe erforderlich ist.
  • Der Datenschutzbeauftragte muss von dem Unternehmen und jeder Niederlassung aus leicht erreichbar sein.
  • Es kann ein externer oder ein interner Datenschutzbeauftragter ernannt werden.
  • Die Benennung darf nicht zu einer Interessenkollission führen. Ein Interessenkonflikt besteht immer dann, wenn der für die Datenverarbeitung rechtlich Verantwortliche oder sachlich Beauftragte seine eigene Tätigkeit als Datenschutzbeauftragter kontrollieren soll. Die Benennung einer leitenden Person innerhalb der Organisation (Inhaber, Geschäftsführer, Vorstand, u.ä.) scheidet damit regelmässig aus. Ein Interessenkonflikt kann auch aus dem Aufgabenbereich erwachsen (EDV-Beauftragter soll gleichzeitig Datenschutzbeauftragter sein).

Rechtliche Stellung des internen Datenschutzbeauftragten

Ein Mitarbeiter der als interner Datenschutzbeauftragter benannt wird, genießt betriebsratsähnliche Rechte. Der Datenschutzbeauftragte ist auch gegenüber dem Verantwortlichen in datenschutzrechtlichen Fragen weisungsbefugt und berechtigt, Einblick in alle datenschutzrechtlich relevanten Vorgänge und Unterlagen zu nehmen.

Meldung an die Aufsichtsbehörde

Nach Artikel 37 (7) DSGVO hat der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde (Landes-Datenschutzbehörde) mitzuteilen. Die Landes-Datenschutzbehörden stellen hierfür Online-Meldeportale zur Verfügung (Bayerisches Landesamt für Datenschutzaufsicht - LDA Bayern).

Veröffentlichung der Kontaktdaten

Der Verantwortliche hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen. Dabei ist es nicht notwendig, den Namen des Datenschutzbeauftragten zu veröffentlichen. Es genügt die Bekanntgabe einer eMail Adresse der Form Datenschutzbeauftragter@maildomain.tld und einer postalischen Adresse der Form "Der Datenschutzbeuaftragte c/o ...". Sichergestellt sein muss allerdings, dass die Nachrichten an den Datenschutzbeauftragten auch nur von diesem oder seinem Vertreter gelesen werden können.

(wdc)