Menü
header-image

Rechtsgebiete/Datenschutz - DSGVO/Der Datenschutzbeauftragte

Der Datenschutzbeauftragte

Aufgaben, Stellung und Benennung

Unter bestimmten Voraussetzungen besteht für die für die Datenverarbeitung verantwortliche Stelle die Pflicht, einen Datenschutzbeauftragten zu benennen. Zum Einen spielt dabei die Zahl der mit der Datenverarbeitung beauftragten Personen eine Rolle, zum Anderen die Art und der Umfang der Datenverarbeitung. Die einschlägigen gesetzlichen Bestimmungen ergeben sich aus Artikel 37 (1) DSGVO und aus § 38 BDSG.

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte soll den für die Datenverarbeitung Verantwortlichen bei Fragen des Datenschutzes fachlich unterstützen, die Einhaltung der Vorschriften der DSGVO überwachen und als Ansprechpartner für Aufsichtsbehörden und Betroffene fungieren. Insofern sorgt der Datenschutzbeauftragte dafür, dass Fragen des Datenschutzes aufgegriffen und gemäß den gesetzlichen Bestimmungen behandelt werden.

Die Mindestaufgaben des Datenschutzbeauftragten sind in den Artikeln 38 und 39 DSGVO definiert:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  • Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters;
  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung, Risikobewertung und Überwachung ihrer Durchführung;
  • Zusammenarbeit mit der Landes-Datenschutzbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen;
  • Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

Pflicht zur Benennung eines Datenschutzbeauftragten

Die Pflicht zur Benennung eines Datenschutzbeauftragten hängt dabei nicht nur von der Anzahl der Personen (fälschlicherweise wird hier oft nur auf Mitarbeiter abgestellt) ab, die mit der Verarbeitung personenbezogener Daten beschäftigt sind. Vielmehr ist die Benennung eines Datenschutzbeauftragten in einer Vielzahl weiterer Fälle erforderlich.

Die Benennungspflicht gilt grundsätzlich auch für Berufsgeheimnisträger (Ärzte, Rechtsanwälte, Steuerberater).

Voraussetzungen für die Benennung als Datenschutzbeauftragter

  • Der Datenschutzbeauftragte kann nur eine natürliche Person sein.
  • Der Datenschutzbeauftragte muss die fachliche Qualifikation aufweisen, die für die Ausübung dieser Aufgabe erforderlich ist.
  • Der Datenschutzbeauftragte muss von dem Unternehmen und jeder Niederlassung aus leicht erreichbar sein.
  • Es kann ein externer oder ein interner Datenschutzbeauftragter ernannt werden.

Interessenkollission

Die Benennung darf nicht zu einer Interessenkollission führen. Ein Interessenkonflikt besteht immer dann, wenn der für die Datenverarbeitung rechtlich Verantwortliche oder sachlich Beauftragte seine eigene Tätigkeit als Datenschutzbeauftragter kontrollieren soll. Der Datenschutzbeauftrage darf also innerhalb der verantwortlichen Stelle gleichzeitig keine Position innehaben, in der er Zwecke und Mittel der Datenverarbeitung festlegt. Damit kommen in der Regel alle Inhaber einer leitenden Stelle innerhalb eines Unternehmens oder einer Organisation für eine Benennung als Datenschutzbeauftragter nicht in Betracht. Datenschutzbeauftragter können deshalb z.B. nicht der Unternehmensinhaber, der Leiter Marketing, der Leiter der Rechtsabteilung, der Finanzvorstand, der Leiter Operativer Geschäftsbereich, der Leiter der Personalabteilung oder der Leiter der IT-Abteilung sein. Aber auch Mitarbeiter in nachgelagerten Positionen können nicht als Datenschutzbeauftragter benannt werden, wenn diese Mitarbeiter in Ihren Funktionen oder Aufgabengebieten Entscheidungen über Mittel und Zwecke der Datenverarbeitung treffen.

Rechtliche Stellung des internen Datenschutzbeauftragten

Ein Mitarbeiter der als interner Datenschutzbeauftragter benannt wird, genießt betriebsratsähnliche Rechte. Der Datenschutzbeauftragte ist auch gegenüber dem Verantwortlichen in datenschutzrechtlichen Fragen weisungsbefugt und berechtigt, Einblick in alle datenschutzrechtlich relevanten Vorgänge und Unterlagen zu nehmen.

Meldung an die Aufsichtsbehörde

Nach Artikel 37 (7) DSGVO hat der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde (Landes-Datenschutzbehörde) mitzuteilen. Die Landes-Datenschutzbehörden stellen hierfür Online-Meldeportale zur Verfügung (Bayerisches Landesamt für Datenschutzaufsicht - LDA Bayern).

Veröffentlichung der Kontaktdaten

Der Verantwortliche hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen. Dabei ist es nicht notwendig, den Namen des Datenschutzbeauftragten zu veröffentlichen. Es genügt die Bekanntgabe einer eMail Adresse der Form Datenschutzbeauftragter@maildomain.tld und einer postalischen Adresse der Form "Der Datenschutzbeuaftragte c/o ...". Sichergestellt sein muss allerdings, dass die Nachrichten an den Datenschutzbeauftragten auch nur von diesem oder seinem Vertreter gelesen werden können.

(wdc)