DSGVODatenschutzbeauftragter

Mit der Datenschutz-Grundverordnung wird das Konzept Datenschutzbeauftragter auf europäischer Ebene etabliert. Die Pflicht zur Bestellung eines Datenschutzbeauftragten trifft Unternehmen je nach deren Kerntätigkeit, also Tätigkeiten, die essentiell für die Erreichung der Ziele des Unternehmens sind. Umfassen diese die umfangreiche Verarbeitung besonderer personenbezogener Daten oder Datenverarbeitungen, die besonders einschneidend für den Betroffenen sind, muss ein betrieblicher Datenschutzbeauftragter bestellt werden. Zudem enthält die Vorschrift zur Bestellung eines Datenschutzbeauftragten auch eine Öffnungsklausel für die Mitgliedsstaaten. Diesen steht es frei zu entscheiden, ob ein betrieblicher Datenschutzbeauftragter von Unternehmen unter engeren Voraussetzungen zu bestellen ist. Besteht eine solche Pflicht nach der Datenschutz-Grundverordnung oder einem nationalen Gesetz, kann bei einer Unternehmensgruppe auch ein gemeinsamer betrieblicher Datenschutzbeauftragter bestellt werden. Dessen Sitz muss so gewählt werden, dass er für Aufsichtsbehörden, externe Betroffene und Mitarbeiter leicht erreichbar ist.

Konzernen und Unternehmen stehen zwei Möglichkeiten offen ihrer Bestellpflicht nachzukommen. Entweder sie ernennen einen Mitarbeiter zum internen Datenschutzbeauftragten oder es wird ein externer Datenschutzbeauftragter bestellt. Bei der Wahl ist darauf zu achten, dass ein interner Datenschutzbeauftragter keinem Interessenskonflikt unterliegt; etwa weil er als Mitarbeiter der IT-Abteilung, Personalabteilung oder der Geschäftsführung sich selbst kontrollieren müsste. Egal für welche Option man sich entscheidet, ein Datenschutzbeauftragter muss eine gewisse Fachkunde im Bereich des Datenschutzrechts und der IT-Sicherheit mitbringen, die sich an der Komplexität der Datenverarbeitung und Größe des Unternehmens orientiert.

Zu den Aufgaben des Datenschutzbeauftragten zählen: Das Hinwirken auf die Einhaltung aller relevanten Datenschutzvorschriften, die Überwachung bestimmten Prozesse wie der Datenschutz-Folgenabschätzung, die Sensibilisierung und Schulung der Mitarbeiter sowie die Zusammenarbeit mit der Aufsichtsbehörde. Daher darf der betriebliche Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Trotz der Überwachungsfunktion bleibt das Unternehmen für die Einhaltung der datenschutzrechtlichen Vorschriften selbst verantwortlich. Der Datenschutzbeauftragte ist daher „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden. Ist der Datenschutzbeauftragte bestellt, hat der Verantwortliche die Kontaktdaten zu veröffentlichen und die Bestellung der Aufsichtsbehörde mitsamt der Kontaktdaten mitzuteilen.

Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen, stellt eine bußgeldbewehrte Ordnungswidrigkeit dar.