Sprache:

Das neue Datenschutzrecht 2018 – Erweiterte Pflichten zur Bestellung eines Datenschutzbeauftragten

Ab 25. Mai 2018 ändern die europaweit geltende Datenschutzgrundverordnung (DSGVO) sowie das neue deutsche Bundesdatenschutzgesetz (BDSG-neu) viele altbekannte Vorgaben im Datenschutzrecht. So werden etwa die bisher nach dem BDSG geltenden Pflichten zur Bestellung eines betrieblichen Datenschutzbeauftragten erweitert.

Auch Unternehmer mit weniger als 10 Mitarbeitern sollten daher dringend prüfen, ob sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen! Bei Verstößen gegen die Regelungen zum Datenschutzbeauftragten können Geldbußen von bis zu 10 000 000 EUR oder 2 % des weltweiten Jahresumsatzes verhängt werden!

Im Folgenden erläutert unsere Mitarbeiterin Frau Rechtsassessorin Karoline Nutz, in welchen Fällen die Benennung eines Datenschutzbeauftragten nach der künftigen Rechtslage Pflicht wird und was es sonst bei der Benennung zu beachten gibt.

Benennung eines Datenschutzbeauftragten

Wie schon nach alter Rechtslage besteht künftig für Unternehmer die Pflicht zur Benennung eines Datenschutzbeauftragten, soweit mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Gleich bleibt auch, dass Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, verarbeiten, unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen haben (§ 38 Abs. 1 BDSG-neu).

Ausgehend davon, dass bei der Verarbeitung sensibler Daten eine gehobene Kontrolle notwendig ist, soll nach den neuen Regelungen in den folgenden Fällen ein betrieblicher Datenschutzbeauftragter benannt werden:

  • Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b).
  • Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung persönlicher Daten besonderer Kategorien (z.B. Gesundheitsdaten oder konfessionelle Daten) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten (Art. 37 Abs. 1 lit. c).
  • Die Datenverarbeitungen des Unternehmens unterliegen einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO; dies ist der Fall, wenn die Datenverarbeitung die Wahrscheinlichkeit eines hohen Eintrittsrisikos für die Rechte und Freiheiten natürlicher Personen mit sich bringt (§ 38 Abs. 1 BDSG-neu).

Unterschiede ergeben sich auch im Verfahren um die Benennung eines Datenschutzbeauftragten. Die DSGVO fordert die „Benennung“ (anstatt wie bisher: „Bestellung“) eines Datenschutzbeauftragten. Ob dies entsprechend der noch gültigen Rechtslage schriftlich zu erfolgen hat oder nicht, ist nicht abschließend geklärt. Es empfiehlt sich daher, eine schriftliche Benennung vorzunehmen.

Die Kontaktdaten des Datenschutzbeauftragten müssen künftig veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.

Neu ist zudem die in Art. 37 Abs. 2 DSGVO enthaltene Möglichkeit zur Benennung eines Konzerndatenschutzbeauftragten. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

Anforderungen an den Datenschutzbeauftragten

Unternehmen können darüber hinaus wählen, ob sie die Position des Datenschutzbeauftragten intern oder extern besetzen.

Die auserwählte Person muss aufgrund ihrer beruflichen Qualifikation, dem Fachwissen, das sie auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt sowie ihrer Fähigkeit zur Erfüllung der in der DSGVO verankerten Aufgaben benannt werden. Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 DSGVO und umfassen die unternehmensinterne Unterrichtung, Beratung und Überwachung hinsichtlich datenschutzrechtlicher Vorschriften sowie die Zusammenarbeit mit der Aufsichtsbehörde.

Zwar kann theoretisch „jedermann“ Datenschutzbeauftragter sein. Die stetigen technischen und rechtlichen Neuerungen bedingen jedoch eine sorgfältige Auswahl des Datenschutzbeauftragten, um als Unternehmen bei der Umsetzung des Datenschutzrechts bestmöglich unterstützt zu werden.

Im Einzelfall kann es von Vorteil sein, einen externen Datenschutzbeauftragten mit dem nötigen Fachwissen zu benennen. Zudem besteht bei internen Datenschutzbeauftragten vermehrt die Gefahr eines Interessenkonflikts, wenn diese zusätzlich einer anderen Tätigkeit nachgehen und sich dann unter Umständen selbst kontrollieren müssen.

Was sollten Unternehmer jetzt tun?

Unternehmer sollten prüfen, ob eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Überdies kann die Benennung eines Datenschutzbeauftragter auch ohne bestehende Pflicht freiwillig erfolgen. Um die Umsetzung des neuen Datenschutzrechts voranzutreiben, kann eine freiwillige Benennung Sinn machen – vorausgesetzt, die Person des Datenschutzbeauftragten ist hinreichend qualifiziert.