Ein Datenschutzbeauftragter (kurz: DSB) ist für viele Unternehmer eine wichtige Person, überwacht sie doch die Einhaltung der Datenschutzgrundsätze. Neu ist, dass nun erst ab 20 Personen ein DSB bestellt werden muss.
——
Neu ab 2019!
Mit dem 2. DSAnpUG-EU wurde die Zahl ab der ein Datenschutzbeauftragter zu bestellen ist, auf 20 Personen angehoben! Damit entfallen zwar die umfangreichen Pflichten nach DSGVO nicht, allerdings müssen Sie nicht zwingend einen DSB mehr beschäftigen.
——
Erfahren Sie in diesem Artikel:
- Wann Sie überhaupt einen DSB bestellen müssen.
- Wie Sie das alles richtig dokumentieren und ihn richtig bestellen.
- Was die Aufgaben eines DSB in der Praxis sind.
- Wer überhaupt DSB werden kann.
- Was Sie ein externer oder interner DSB kosten wird.
- Was die Folgen sind, wenn Sie keinen DSB bestellen, obwohl Sie es müssten.
Inhalte
- Wann ein Datenschutzbeauftragter zu bestellen ist
- Dokumentation über die Benennung eines DSB
- Muster zur Bestellung eines Datenschutzbeauftragten:
- Die Aufgaben des Datenschutzbeauftragten
- Wer Datenschutzbeauftragter werden kann
- Was kostet ein Datenschutzbeauftragter?
- Die Folgen der Nichtbestellung eines DSB
- Die wichtigsten Fragen zum Datenschutzbeauftragten (FAQ)
- Quellen:
Wann ein Datenschutzbeauftragter zu bestellen ist
Im Grunde gibt es sechs Kriterien, die bestimmen, ob man einen Datenschutzbeauftragten nach DSGVO oder neuem BDSG bestellen muss. Die Rechtsgrundlagen finden sich in Art. 37 DSGVO und § 38 BDSG (neu). Für die meisten Unternehmer ist die neu beschlossene 20 Mitarbeiter Grenze das wichtigste.
1. Behörde oder sonstige öffentliche Stelle
Ausgenommen sind Gerichte, ansonsten zählen hierunter alle öffentlichen Stellen, wie z.B. Ämter. Art. 37 (1) a) DSGVO.
2. Kerntätigkeit ist die umfangreiche regelmäßige und systematische Überwachung von Betroffenen
Gemäß Art. 37 (1) b) DSGVO. Hier geht es darum, dass Sie einen DSB dann bestellen müssen, wenn die Überwachung regelmäßig und systematisch erfolgt, z.B. wenn Sie als Sicherheitsfirma Videoüberwachung im Auftrag ausführen.
3. Kerntätigkeit ist die Verarbeitung besonderer Kategorien personenbezogener Daten oder Daten über strafrechtliche Verurteilungen und Straftaten
Besondere Kategorien sind: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Art. 37 (1) c) DSGVO. Wenn Sie die diese Daten als Kerntätigkeit verarbeiten, müssen Sie auch einen Datenschutzbeauftragten bestellen.
4. Beschäftigung von mindestens zwanzig Personen mit der automatisierten Verarbeitung personenbezogener Daten
Dabei sind alle Arbeitsplätze zu zählen, die regelmäßig Daten verarbeiten. § 38 (1) S. 1 BDSG (neu). Diese Regelung ist neu und seit der Verabschiedung des Zweites Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU) von 10 auf 20 erhöht worden.
5. Eine Datenschutz-Folgenabschätzung muss durchgeführt werden
Wenn Sie gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung für Ihre Verarbeitungen durchführen müssen, weil sie z.B in besonders großem Umfang durchgeführt wird oder die Freiheiten der Personen zu sehr einschränkt, sollten Sie hier „Ja“ wählen. § 38 (1) S. 2 BDSG (neu).
6. Verarbeitung personenbezogener Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung
Dies gilt also für Adresshändler, Auskunfteien oder Umfrageportale. § 38 (1) S. 2 BDSG (neu).
Dokumentation über die Benennung eines DSB
Ermitteln Sie mit diesem Tool, ab wann Sie einen Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG (neu) bestellen müssen. Sie erhalten kostenlos ein fertiges PDF im Anschluss, welches Sie unterschreiben und abheften können. Sie müssen das PDF aber gar nicht generieren und können sich einfach ohne Angabe einer E-Mail Adresse Ihr Ergebnis anzeigen lassen. Mit diesem Generator haben Sie ein Muster zur Hand, welches Ihnen zeigt, ob Sie verpflichtet sind oder nicht.
Darüber hinaus müssen Sie Ihren Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde melden und die Bestellung oder auch die Nicht-Bestellung dokumentieren.
Wichtig ist auch die Kontaktdaten des DSB in die Datenschutzerklärung zu schreiben. Dabei bietet es sich an das Format „datenschutz@firma.de“ zu verwenden.
Muster zur Bestellung eines Datenschutzbeauftragten:
Hier erhalten Sie ein einfaches Muster zur Bestellung mit Hinweisen zum Ausfüllen.
Die Aufgaben des Datenschutzbeauftragten
Der Datenschutzbeauftragte ist für die Einhaltung der Datenschutzgrundsätze im Unternehmen zuständig. Dies bedeutet aber nicht, dass er für den Datenschutz allein verantwortlich ist. Vielmehr ist er als Projektmanager zu sehen, der Aufgaben auch delegieren kann und muss.
Es kann ein interner und externer DSB bestellt werden, wobei die Aufgaben gleich sind, beim internen allerdings ein Mitarbeiter des Unternehmens die Rolle übernimmt.
In der Praxis sieht dies oft anders aus, oft umfassen die Aufgaben folgende Bereiche:
- Schulungen für Mitarbeiter
- Erstellung der Datenschutzdokumentation
- Kommunikation mit der Aufsichtsbehörde
- Bearbeitung von Betroffenenrechten
- Erstellung und Einholung von AV Verträgen
- uvm.
Wer Datenschutzbeauftragter werden kann
Grundsätzlich jeder, der die Mindestvorgaben von Art. 37 Abs. 5 DSGVO einhält, also der:
- eine ausreichende berufliche Qualifikation hat,
- Fachkunde auf dem Gebiet des Datenschutzes, welche sowohl praktisch als auch theoretisch vorhanden ist,
- und auch dazu in der Lage ist, das Amt auszufüllen, also die Fähigkeit besitzt.
Der DSB ist dabei Weisungsfrei und muss genügend Ressourcen zur Verfügung haben. Juristische Personen (GmbHs, UGs) fallen damit natürlich aus dem Muster und nur natürliche Personen können DSB werden.
Sie können dabei einen internen Datenschutzbeauftragten ausbilden oder einen externen DSB bestellen. Beides hat seine vor und Nachteile.
Was kostet ein Datenschutzbeauftragter?
Die Kosten für einen Datenschutzbeauftragten können sehr schwanken, je nach dem, ob Sie einen externen oder internen DSB bestellen. In diesem Artikel zu den Kosten von verschiedensten DSGVO Dienstleistungen erhalten Sie einen guten Überblick.
Die Folgen der Nichtbestellung eines DSB
Sollten Sie tatsächlich verpflichtet sein, einen DSB zu bestellen und dies nicht tun, so müssen Sie mit einem Bußgeld rechnen, sowie ggf. für viel Geld einen Nachbestellen.
Nicht zu verachten ist auch das Risiko einer Nichtbestellung durch einen Interessenkonflikt. Wenn z.B. der IT Chef zum internen DSB beannt wurde, kann bei einer Prüfung das Ergebnis im Raum stehen, dass der benannte DSB seinen Aufgaben auf Grund von Interessenskonflikten nicht nach kommen konnte. Dann kann eine unwirksame Bestellung vorliegen. Das selbe Ergebnis liegt vor, wenn der DSB zu wenig Ressourcen zur Verfügung gestellt bekommt.
Die wichtigsten Fragen zum Datenschutzbeauftragten (FAQ)
Sie benötigen dann einen DSB, wenn Sie mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. D.h. ab 20 Personen, die regelmäßig Umgang mit personenbezogenen Daten haben, müssen Sie einen Datenschutzbeauftragten bestellen.
Das gilt ab dem Zeitpunkt an dem die 20 Mitarbeiter überschritten oder mit der automatisierten Verarbeitung begonnen wurde.
Jeder, der die Fachkunde dazu besitzt, dafür beruflich qualifiziert ist und dazu in der Lage ist. Außerdem darf kein Interessenskonflikt bestehen, ein Geschäftsführer kann also nicht Datenschutzbeauftragter werden.
Es reicht also nicht, einfach jemanden zu benennen. Die Person sollte auch ausreichend geschult sein und ihr sollten Ressourcen in Form von Zeit, Budget und ggf. Mitarbeitern zur Verfügung gestellt werden.
In Frage kommen externe und interne Personen.
Er ist für die Überwachung der Umsetzung der Datenschutzgrundsätze zuständig. Er soll aber auch die verantwortliche Stelle Unterrichten und Beraten und soll mit der Aufsichtsbehörde in Kontakt treten. Er ist nicht für die Einhaltung der Datenschutzgrundsätze bzw. der DSGVO zuständig und kann auch nicht mit einem Bußgeld belegt werden. Diese Verantwortlichkeit trifft immer die verantwortliche Stelle.
Datenschutzbeauftragter wird man durch Berufung durch ein Unternehmen. Man sollte vorher eine Ausbildung, z.B. bei TÜV oder Dekra absolviert haben und bereits Erfahrungen im IT Umfeld gesammelt haben.
Zukünftige interne Datenschutzbeauftragte werden mit Hilfe einer Benennung zum Datenschutzbeauftragten. Diese sollte immer schriftlich erfolgen und über die Pflichten und Rechte aufklären. Beide Parteien, die verantwortliche Stelle und der DSB in Spe sollten unterschreiben.
Externe Datenschutzbeauftragte werden vertraglich bestellt und sollten eine ausreichende Qualifikation vorweisen. Oft werden Haftungsregelungen bei Fahrlässigkeit oder anderen Mängeln im Vertrag vereinbart. Allen gemein ist, dass ein DSB bei der zuständigen Behörde gemeldet werden muss. Diese haben meistens eigene Meldeformulare oder eine E-Mail Adresse.
Grundsätzlich können keine Personen Datenschutzbeauftragter werden, bei denen ein (potentieller) Interessenkonflikt vorliegt. Diese sind regelmäßig die Geschäftsführung, Leitungskader, Mitarbeiter der Personalabteilung, Geldwäschebauftragte, EDV-Dienstleister / Systemhäuser. Die Folge kann eine unwirksame Bestellung sein, welche ein Bußgeld nach sich ziehen kann.
Ein Datenschutzbeauftragter sollte sich sowohl in den Bereichen der Informatik und IT-Sicherheit auskennen als auch Rechtsthemen nicht verschlossen sein. Er oder sie sollte sich gut vernetzen können, da oft auch zwischen Abteilungen vermittelt werden muss und Kommunikation wichtig ist. Darüber hinaus sollte ein DSB auch eine Ausbildung durchlaufen, um seine Fachkunde nachzuweisen.
Es gibt viele verschiedene Angebote, reine online Anbieter bis hin zum lokalen Einzelkämpfer. Sie sollten vor der Beauftragung unbedingt den Kostenrahmen klären und ein persönliches Gespräch führen und nur solche Personen beauftragen, welche seriös wirken.
Intern sollten Sie nach Personen Ausschau halten, die gut im Unternehmen vernetzt sind und die nötige IT- und Rechterfahrung mitbringen.