Wann benötigen Unternehmen einen Datenschutzbeauftragten?

Seit dem 25. Mai 2018 gilt die neue Datenschutzverordnung, kurz DSGVO. Die Gültigkeit erstreckt sich über alle Mitgliedsstaaten der EU. Mit ihr kamen viele Neuheiten und Änderungen, wenn es um Datenschutzbeauftragte geht. Das hat Fragen aufgeworfen, zum Beispiel, wann es erforderlich ist, einen Datenschutzbeauftragten für Unternehmen zu benennen. Außerdem ist dort geklärt, welche Aufgaben ihm zugeteilt werden.

Wann muss ein Unternehmen einen Datenschutzbeauftragten gemäß der DSGVO benennen?

Die Antwort auf diese Frage findet sich im Artikel 37 DSGVO. Und zwar müssen Unternehmen einen Datenschutzbeauftragten benennen, wenn im Unternehmen hauptsächlich Verarbeitungsvorgänge durchgeführt werden und im Hinblick auf ihre Form, Ihre Zwecke und ihren Umgang eine regelmäßige, systematische und umfangreiche Überprüfung betroffener Mitarbeiter notwendig ist. Des Weiteren muss ein Datenschutzbeauftragter benannt werden, wenn die hauptsächliche Tätigkeit in der breiten Verarbeitung von speziellen Datenkategorien nach Artikel 9 DSGVO oder personenbezogener Daten liegt, die sich um Straftaten oder strafrechtliche Verurteilungen bewegen. Dazu gehören zum Beispiel Daten gemäß Artikel 9 DSGVO, die sehr sensibel sind. Zum Beispiel über die ethnische und rassische Herkunft, weltanschauliche und religiöse Überzeugung, politische Meinung, Gesundheitsdaten oder sexuelle Überzeugung.

In den Fällen, die in der Datenschutzverordnung für Unternehmen verankert sind, zeigt sich, dass sie sich den Risiken der Datenverarbeitung widmet, nicht der Personenanzahl, die meistens mit der Verarbeitung dieser personenbezogenen Daten betraut sind. In der Praxis wird sich bei diesen Fällen jedoch vermutlich eine Frage ergeben. Wie in allen anderen juristischen Tätigkeiten auch, muss auf die Kleinigkeiten geachtet werden. In jedem Unternehmen müssen sich die Verantwortlichen die Frage stellen, ob die Verarbeitung dieser Daten tatsächlich zu den hauptsächlichen Tätigkeiten zählen. Lediglich in diesem Fall ist das Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen.

In der DSGVO heißt es im Erwägungsgrund 97, dass die hauptsächliche Tätigkeit von Unternehmen damit gemeint ist. Dabei handelt es sich um den vordergründigen Geschäftszweck, also um den Schwerpunkt des Unternehmens und seine Ausrichtung. Ist die Verarbeitung von personenbezogenen Daten nur nebensächlich relevant, muss kein Datenschutzbeauftragter benannt werden.

Welche Gründe gibt es noch, einen Datenschutzbeauftragten benennen zu müssen?

Zusätzlich zum Artikel 37 DSGVO müssen Unternehmen auch die nationalen Gesetze in Bezug zum Datenschutzbeauftragen einhalten. Das ist in der Öffnungsklausel des Artikels 37 im Absatz 4 der DSGVO hinterlegt. Er berechtigt die Mitgliedsstaaten, nationale Datenschutzvorschriften zu erstellen. In Deutschland gibt es zusätzliche nationale Regelungen, die in Paragraf 38 I BDSG nF nachzulesen sind.

Gemäß dieser Regelung muss ein Datenschutzbeauftragter benannt werden, wenn mindestens zwanzig Mitarbeiter permanent personenbezogene Daten automatisiert verarbeiten müssen oder bei Verarbeitungen im Zuge einer Datenschutzfolgeabschätzung gemäß Artikel 35 DSGVO.

Müssen personenbezogene Daten übermittelt, anonymisiert übermittelt oder im Zuge der Markt- oder Meinungsforschung erhoben werden, muss ebenfalls ein Datenschutzbearbeiter benannt werden. Dabei spielt es keine Rolle, wie viele Mitarbeiter mit der Verarbeitung betraut sind. Bei nicht automatisierter Verarbeitung muss kein Datenschutzbeauftragter mehr benannt werden. Daher obliegt es allen Unternehmen, die möglichen Fälle zu prüfen und bei Bedarf zu handeln und sich um einen Datenschutzbeauftragten zu kümmern. Muss er benannt werden und das Unternehmen hat eine falsche Einschätzung vorgenommen oder diesen Punkt ignoriert, ist mit einem hohen Bußgeld zu rechnen. Das ist nicht nur in der DSGVO, sondern auch im BDSG nF geregelt.

Welche Fähigkeiten und Qualifikationen benötigt der Datenschutzbeauftragte?

Nach Artikel 37 Absatz 5 der DSGVO werden Datenschutzbeauftragte auf der Basis ihres Fachwissens und beruflichen Qualifikationen ernannt. Welche Bedeutung das hat, wird in der DSGVO nicht weiter erklärt. Es ist aber erforderlich, dass ein Datenschutzbeauftragter fundierte Kenntnisse im Datenrechtsschutz besitzen muss. Zudem muss er technisches Verständnis besitzen, damit er wichtige Sachverhalte richtig einschätzen und lösen kann. Eine Vorgabe zu einem speziellen Beruf gibt es dagegen nicht. Die Fähigkeiten im fachlichen Zusammenhang sind von Bedeutung. Wann und woher die Kenntnisse des Datenschutzbeauftragten stammen ist nicht wichtig. Er muss nur im Besitz der Fachkenntnisse sein. Der Datenschutzbeauftragte muss außerdem kommunikativ und zuverlässig sein, damit er die Verantwortung für alle Aufgaben übernehmen kann.

Des Weiteren muss er in der Lage sein, seine Tätigkeit komplett unabhängig verrichten zu können. Es dürfen keine Interessenskonflikte entstehen. Steht die Auswahl eines Datenschutzbeauftragten bevor, sollten Unternehmen auf bestimmte Aspekte, wie Zuverlässigkeit, IT-Verständnis und Rechtskenntnisse, achten. Sie sollten penibel prüfen, ob er seinen Verpflichtungen als Datenschutzbeauftragter in vollem Umfang nachkommen kann.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter muss datenschutzrechtliche Vorschriften einhalten. Das heißt, er muss alle Verantwortlichen und ihre Mitarbeiter beraten können, die mit der Verarbeitung personenbezogener Daten beauftragt werden und Verpflichtungen gemäß Datenschutzrecht einhalten müssen. Der Datenschutzbeauftragte muss das Einhalten der datenschutzrechtlichen Vorschriften überprüfen und zur Datenschutz-Folgenabschätzung beratend zur Seite stehen. Diese muss er auch überwachen. Darüber hinaus arbeitet er mit den Aufsichtsbehörden zusammen.

Soll ein externer oder interner Datenschutzbeauftragter benannt werden?

Am Ende bleibt die Frage offen, ob ein externer oder interner Datenschutzbeauftragter benannt werden soll. Ein externer erhält einen Dienstleistungsvertrag. Eine pauschale Antwort kann darauf nicht gegeben werden. Es gibt jedoch gute Gründe für einen externen Datenschutzbeauftragten. Die Kosten für einen externen Datenschutzbeauftragten beginnen ab 150 Euro pro Monat. Er haftet für seine Beratung, während ein interner Datenschutzbeauftragter nur beschränkt haftbar ist. Dafür haftet dann die Geschäftsführung in vollem Umfang.

Ein weiterer Grund für die Benennung eines externen Datenschutzbeauftragten ist, dass das Vertragsverhältnis mit ihm nach Ablauf der Laufzeit oder durch eine Kündigung zu beenden ist. Das ist bei einem internen Datenschutzbeauftragten nicht möglich, der auf der Basis des neuen BDSG dazu berufen wurde. Er hat einen speziellen Kündigungsschutz. Es gibt noch zusätzliche Kriterien, die für die Ernennung eines externen Datenschutzbeauftragten sprechen. Empfehlenswert ist es, auf der Grundlage von Kündigungsschutz, Haftung, Kosten, Kompetenz und weiteren abzuschätzen, welche Art Datenschutzbeauftragter besser geeignet ist.