Datenschutzbeauftragter | Wer ihn braucht und was er macht

12.12.2018

 

 

Die im Mai 2018 in Kraft getretene neue DSGVO sieht schärfere Regeln für den Umgang mit personenbezogenen Daten vor. Unter anderem ist die Bestellung eines Datenschutzbeauftragten in den meisten Fällen Pflicht.

Braucht mein Unternehmen jetzt einen Datenschutzbeauftragten?

Ob ihr Unternehmen davon betroffen ist, ist im Bundesdatenschutzgesetz (BDSG) genau definiert. Laut Artikel 37 der DSGVO ist ein Unternehmen in folgenden Fällen gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen:

  • Es werden mindestens neun Mitarbeiter beschäftigt. Ob in Teilzeit, auf freiberuflicher Basis oder als Aushilfe spielt dabei keine Rolle.  Sobald diese Mitarbeiter mit personenbezogenen Daten in Kontakt kommen, was bei Arbeiten am Computer anzunehmen ist, ist ein DSB Vorschrift. Denn schon alleine das Speichern einer Kunden E-Mail Adresse gilt als Umgang mit personenbezogenen Daten.
  • Ebenso wenn mehr als 20 Mitarbeiter auf andere Weise als automatisiert personenbezogene Daten verarbeiten.
  • Immer Pflicht ist ein DSB, wenn Unternehmen geschäftsmäßig personenbezogene Daten übermitteln. Hier spielt die Anzahl der Mitarbeiter keine Rolle. Wie beispielsweise beim Adresshandel oder bei Markt- und Meinungsforschungsunternehmen.
  • Ein Datenschutzbeauftragter ist außerdem in jedem Fall zu bestellen, wenn das Unternehmen besonders sensible Daten verarbeitet, wie Gesundheits- oder Bonitätsdaten, Daten zur sexuellen Orientierung, Religion und andere Daten, die im Falle eines Missbrauchs hohe Risiken für die Betroffenen mit sich bringen. Auch wenn ein Unternehmen eine Videokamera auf dem Gelände installiert hat, werden diese Daten als besonders sensibel betrachtet.

Was macht ein Datenschutzbeauftragter? 

Grundsätzlich zählen zu den Aufgaben eines Datenschutzbeauftragten das Sicherstellen der Einhaltung aller Datenschutzbestimmungen. Fallen ihm hierbei Verstöße gegen die DSGVO auf, muss zusammen mit der Geschäftsleitung eine Lösung gefunden werden. Folgende Aufgaben fallen in seinen Tätigkeitsbereich:

  • Überwachung des ordnungsgemäßen Ablaufes nach Datenschutzbestimmungen. Gibt es hier Auffälligkeiten, ist die Geschäftsleitung umgehend zu informieren. Der Datenschutzbeauftrage selbst ist zu regelmäßiger Fort- und Weiterbildung verpflichtet um auf dem neuesten Stand zu sein.
  • Die Schulung der Mitarbeiter gehört ebenfalls zu seinen Aufgaben. Er muss die Mitarbeiter für IT- und Cybersicherheit sensibilisieren. Dazu zählt der Umgang mit Passwörtern, das sichere Arbeiten am Laptop unterwegs, etc.
  • Datenschutzbeauftragte sind außerdem Ansprechpartner für das Unternehmen in allen Angelegenheiten zum Thema Datenschutz.
  • Der DSB ist nicht verpflichtet, Auffälligkeiten bzw. Verstöße direkt der Datenschutzbehörde zu melden. Vielmehr sollten innerhalb des Unternehmens Maßnahmen ergriffen werden. Im Falle einer Beschwerde muss er der Behörde jedoch dabei helfen, den Fall aufzuklären.
  • Weiterhin ist er für die Datenschutz-Folgeabschätzung verantwortlich. Dabei handelt es sich um die Pflicht, vor Beginn einer geplanten Datenverarbeitung abzuschätzen, welche Folgen die Verarbeitung für den Schutz personenbezogener Daten mit sich bringen könnte.

Zusammenfassend ergeben sich also für den Datenschutzbeauftragten drei Hauptaufgaben. Die Unterrichtung und Beratung des Auftraggebers, inklusive Sensibilisierung der Mitarbeiter, die Überwachung der Einhaltung von Vorgaben und die Datenschutz-Folgeabschätzung.

Datenschutzbeauftragter – intern oder extern?

Es liegt in der Hand des Geschäftsführers, ob er einen internen oder externen Datenschutzbeauftragten benennen will. An erster Stelle sollte die notwendige Qualifikation stehen, die ein DSB für die Erfüllung seiner Aufgaben braucht. Dazu zählt vor allem das notwendige Wissen im Bereich Datenschutz. Hat ein interner Mitarbeiter diese Qualifikationen noch nicht, müsste er erst Fortbildungen besuchen, um sich diese anzueignen. Das ist mit Kosten verbunden. Dafür kennt er die Abläufe im Unternehmen schon viel besser, haftet jedoch im Falle eines Fehlers nur mit beschränkter Arbeitnehmerhaftung. Ein DSB von extern muss sich erst noch einarbeiten, jedoch haftet er im Falle einer Fehleinschätzung selbst. Zuletzt ist noch der besondere Kündigungsschutz erwähnenswert. Während ein interner DSB besonderen Kündigungsschutz genießt, kann das Arbeitsverhältnis mit einem externen DSB fristgerecht beendet werden.

Mitarbeiterschulung
Wir unterstützen Sie dabei, Ihre Mitarbeiter über die gängigen Angriffsszenarien aufzuklären und für die Risiken eines Cyber-Angriffs zu sensibilisieren.
Mehr erfahren
Cyber-Versicherung
Mit dem Abschluss einer Cyber-Versicherung erhalten Sie im Notfall 24/7 Hilfe durch IT-Spezialisten. Sämtliche Kosten für die Wiederherstellung Ihrer IT-Systeme, Rechtsberatung und Haftung bei Datenschutzverletzungen sind abgedeckt.
Mehr erfahren