Der Datenschutzbeauftragte

 

Der Datenschutzbeauftragte war auch schon in Zeiten vor der DS-GVO in vielen Unternehmen verpflichtend zu bestellen . Die Voraussetzungen für eine Pflicht zur Bestellung waren gem. BDSG:

  • Mindestens 10 Personen, welche mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind
  • Mindestens 20 Personen, welche mit der nicht automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind

Weiterhin bestand eine Bestellpflicht für nicht-öffentliche Stellen, wenn

  • automatisierte Verarbeitungen erfolgen, die einer Vorabkontrolle gem. § 4d Abs. 5 BDSG unterlagen, oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeitet wurden

Hier war unabhängig von der Anzahl, der mit der automatisierten Verarbeitung beschäftigten Personen, ein Datenschutzbeauftragter zu bestellen.

Datenschutzbeaiftragter-Göttingen

 

Datenschutzbeauftragte nach DS-GVO

 

Ab dem 25.05.2018 änderte sich die „Datenschutzwelt“ ganz erheblich. Von da ab gilt die europäische Datenschutz-Grundverordnung (DS-GVO). Die DS-GVO muss nicht erst vom deutschen Parlament in nationales Recht umgesetzt werden (wie EU-Richtlinien), sondern sie gilt automatisch als oberste Norm im Datenschutzrecht. Lediglich die in der DS-GVO vorgesehenen Öffnungsklauseln können von den jeweiligen Mitgliedsstaaten ausgefüllt werden. Dies ist in Deutschland mit dem BDSG-neu geschehen.

Aber auch in der Zeit nach dem Inkrafttreten der DS-GVO und des BDSG-neu wird sich in Deutschland nicht viel an den Voraussetzungen bei der Benennung (vorher Bestellung) eines Datenschutzbeauftragten ändern:

In der DS-GVO wird die Pflicht zur Benennung des Datenschutzbeauftragten in Art. 37 geregelt. Demnach ist ein Datenschutzbeauftragter zu benennen wenn:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit. a)
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b)
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht (Art. 37 Abs. 1 lit. c)

Hiermit wäre für viele Unternehmen keine Benennung eines Datenschutzbeauftragten mehr notwendig. Aber an dieser Stelle macht das BDSG-neu entscheidende Ergänzungen. In § 38 Abs.1 Satz 1 BDSG-neu heißt es:

  • Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 (d.h. DS-GVO) benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen….
  • Weiterhin ist ein Datenschutzbeauftragter zu benennen, wenn das Unternehmen Verarbeitungen durchführt, welche eine  Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO unterliegen oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten (unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen)

Somit bestehen unter der DS-GVO nahezu keinerlei Veränderungen in der Pflicht zur Benennung eines Datenschutzbeauftragten.

 

In der DS-GVO wird jetzt jedoch explizit auf die Möglichkeit verwiesen, einen externen Datenschutzbeauftragten zu benennen (Art. 37 Abs.6 DS-GVO).

Es ist jedoch zu beachten, dass der Bußgeldrahmen (Art. 83)  in der DS-GVO erheblich ausgeweitet wurde. Hiernach kann ein Verstoß gegen die genannten Pflichten mit einer Geldbuße bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Aber allein der Bußgeldrahmen sollte nicht ausschlaggebend sein, um einen Datenschutzbeauftragten zu benennen. Vielmehr wird von vielen Unternehmen der Datenschutz öffentlichkeitswirksam in den Vordergrund gestellt, um sich einen Vorteil gegenüber anderen Unternehmen zu verschaffen. Auch im Rahmen von Ausschreibungen werden teilweise umfangreiche Nachweise zum Datenschutz eingefordert.

Oftmals erfolgt sogar eine freiwillige Benennung eines Datenschutzbeauftragten, wenn keine rechtliche Verpflichtung hierzu besteht.

Ganz wichtig hierbei: Auch wenn keine Bestellpflicht für einen Datenschutzbeauftragten besteht, sind die Vorschriften zum Datenschutz selbstverständlich genauso zu beachten. Ich habe nämlich auch schon zu hören bekommen: „wir müssen keinen Datenschutzbeauftragten bestellen, also was interessiert uns die DS-GVO ?

Der einzige Unterschied besteht darin, dass der Verantwortliche (Unternehmensleitung) alle Aufgaben und Verpflichtungen zum Datenschutz selbst umsetzen muss, ohne die Hilfe eines geschulten Datenschutzbeauftragten.

 

Datenschutzbeauftragter

Thomas Mecke - Datenschutz

Es werden auf diesen Seiten keine Tracking-Cookies benutzt. Es werden lediglich "Session-Cookies" gesetzt, welche technisch für die Verbindung notwendig sind. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen