Brauche ich einen Datenschutzbeauftragten (DSB)?
Oder wäre es vielleicht besser sowieso einen DSB zu haben?
Wann brauche ich einen Datenschutzbeauftragten ?
Sie können jederzeit freiwillig eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen. In den Fällen allerdings, in denen die Gesetze es von Ihnen verlangen, müssen Sie unbedingt einen Datenschutzbeauftragen bestellen.
Gehen Sie Pi mal Daumen davon aus, dass das Gesetz die Bestellung eines Datenschutzbeauftragen von Ihnen verlangt, wenn die Verarbeitung in Abweichung vom Normalfall besondere Risiken für die Betroffenen mit sich bringt, also wenn
- viele Personen, und zwar in der Regel mindestens 20 Personen, ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen sind,
- das Geschäft in dem Verbreiten personenbezogener Daten besteht,
- jemand mit Daten Betroffener umgeht, der auch mit hoheitlichen Gewaltbefungissen ausgestattet ist,
- die Kerntätigkeit in Verarbeitungen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen mit sich bringen, oder in der umfangreichen Verarbeitung besonders sensibler Daten (bspw. über Gesundheit, sexuelle Vorlieben, strafrechtliche Verurteilungen etc.) oder
- Verarbeitungen stattfinden, welche wegen der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung mit hohen Risiken für die betroffenen Personen einher gehen (könnten).
Da das Unterlassen der Bestellung eines Datenschutzbeauftragten bei Bestehen einer gesetzlichen Pflicht ein Bußgeld in Höhe von bis zu 10 000 000 EUR oder, wenn dieser Betrag höher ist, bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs nach sich ziehen kann, sollten Sie im Zweifel unbedingt rechtlich prüfen lassen, ob für Sie eine Verpflichtung zur Bestellung eines Datenschutzbeauftragen besteht oder nicht.
Welche Pflichten hat ein Datenschutzbeauftragter?
Die Pflichten der bzw. des Datenschutzbeauftragten besteht im ganz Wesentlichen darin, Cheffinnen und Chefs, sowie Mitarbeiterinnen und Mitarbeitern in Unternehmen, Behörden oder Vereinen dabei zu helfen, ihre datenschutzrechtlichen Pflichten zu (er)kennen und diese zu erfüllen. Hierzu
- unterrichtet er diese von bzw. berät diese zu den bestehenden datenschutzrechtlichen Pflichten,
- überwacht er die Einhaltung der datenschutzrechtlichen Vorschriften,
- überwacht der bzw. die Datenschutzbeauftragte die Einhaltung vom Verantwortlichen oder vom Auftragsverarbeiter für den Schutz personenbezogener Daten vorgegebenen Richtlinien,
- überwacht der bzw. die Datenschutzbeauftragte die vom Verantwortlichen vorgenommene Zuweisung von Zuständigkeiten und wie dieser die Mitarbeiterinnen und Mitarbeiter für die datenschutzrechtlichen Belange sensibilisiert und die an den Verarbeitungsvorgängen beteiligten Mitarbeiter schult und den Schulungserfolg überprüft,
- berät er – auf Anfrage – im Zusammenhang mit Datenschutz-Folgenabschätzungen und überwacht deren Durchführung,
- arbeitet der bzw. die Datenschutzbeauftragte mit der Aufsichtsbehörde zusammen und
- ist der bzw. die Datenschutzbeauftragte als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen tätig.
Was macht ein Datenschutzbeauftragter genau?
Ein Datenschutzbeauftragter ist, egal ob interner oder externer Datenschutzbeauftragter, zuallererst einmal Ansprechpartner für alle Fragen in Sachen Datenschutz. Und zwar nicht nur für diejenigen innerhalb der Organisation, wie Chefs und Mitarbeiter, sondern auch für alle Betroffenen außerhalb der Organisation, deren Daten durch die Organisation verarbeitet werden. Die bzw. der Datenschutzbeauftragte
- teilt der Chefin und dem Chef genauso wie den mit Datenverarbeitung beschäftigten Mitarbeitern mit, welche datenschutzrechtlichen Vorschriften sie zu beachten haben,
- kann bspw. von Fachabteilungen gefragt werden, ob geplante Verarbeitungen zulässig sind und wie diese ggf. zu gestalten sind (z.B. „Darf ich den newsletter versenden?“ oder „Was müssen wir beachten, wenn wir diesen newsletter versenden wollen?“),
- hilft bei der Erfüllung der Betroffenenrechte,
- gibt der Chefin oder dem Chef Tipps, wie die Arbeitsläufe zu gestalten sind, damit es nicht zu Datenschutzverstößen kommt,
- hilft bei der Auswahl von Maßnahmen technischer Art, die Datenschutzverstöße zu verhindern helfen,
- überprüft, ob in der Belegschaft für das Thema Datenschutz eine hinreichende Sensibilität vorhanden ist versucht diese, falls nicht, zu wecken,
- und vieles mehr.
Welche Aufgaben hat ein Datenschutzbeauftragter in einem Kleinunternehmen?
Die Aufgaben eines Datenschutzbeauftragten in einem kleinem Unternehmen unterscheiden sich inhaltlich nicht von den Aufgaben eines Datenschutzbeauftragen in einem großen Unternehmen. Da jedoch die Zahl der Daten verarbeitenden Mitarbeiter, die Anzahl der im Unternehmen stattfindenden Verarbeitungen von personenbezogenen Daten, der Takt der Einführung neuer und der Veränderung bestehender Verarbeitungen, sowie der Prüfungs-, Überprüfungs- und Beratungsbedarf geringer sind, unterscheidet sich dessen Arbeitsaufwand z.T. erheblich.
Welche Qualifikationen sollte ein Datenschutzbeauftragter haben?
Wie Vieles im Datenschutzrecht hängt die notwendige Qualifikation des Datenschutzbeauftragten von den Risiken ab, welche die Verarbeitungen für die betroffenen Personen mit sich bringen. So sollte ein Datenschutzbeauftragte natürlich ein höheres Maß an Fachkompetenz besitzen, wo die Datenverarbeitungstätigkeiten besonders komplex sind oder in großem Umfang sensible Informationen verarbeitet werden, als in einem kleinen Verein, wo die Verarbeitung von personenbezogenen Daten sich im Wesentlichen auf die Führung der Mitgliederlisten, das Einziehen von Mitgliedsbeiträgen, die Versendung von Newslettern oder Einladungen zu Mitgliedsversammlungen beschränkt.
Jeder Datenschutzbeauftragte sollte aber zumindest Kenntnisse oder Verständnis haben von
- dem nationalen und europäischen Datenschutzrecht und der Datenschutzpraxis,
- den durchgeführten Verarbeitungsvorgängen,
- Kenntnisse in den Bereichen IT und Datensicherheit, sowie
- Kenntnis der jeweiligen Branche und Einrichtung.
Dass jemand über solche Kenntnisse verfügt, erkennen Sie bspw. an auf Basis von Prüfungen vergebenen TÜV-Siegeln.
Wie wähle ich den richtigen Datenschutzbeauftragten für mein Unternehmen aus?
Sie sollten Ihre Datenschutzbeauftrage bzw. Ihren Datenschutzbeauftragen genauso auswählen wie Ihre sonstigen Mitarbeiter oder Lieferanten.
Die Kandidatin oder der Kandidat sollte in jeder Hinsicht befähigt sein, die Aufgaben und Pflichten eines Datenschutzbeauftragten zu erfüllen. Sie sollten sich daher davon überzeugen, dass sie oder er die notwendigen fachlichen Kenntnisse hat, bspw. durch ein TÜV-Siegel oder andere auf Basis einer Prüfung erlangten Nachweise. Und Sie sollten den Eindruck haben, dass die- bzw. derjenige sich gut in Ihre Organisation (Unternehmen, Verein, Behörde) einfügt und bei der Verankerung einer Datenschutzkultur behilflich sein kann, welche Ihnen helfen wird, sämtliche Ihre Organisation treffenden datenschutzrechtlichen Pflichten zu erfüllen.
Kann ich als Inhaber oder ein Mitarbeiter des Unternehmens gleichzeitig als Datenschutzbeauftragter fungieren?
Die DSGVO erlaubt explizit, dass der Datenschutzbeauftragte nebenbei andere Aufgaben wahrnehmen kann. Allerdings dürfen diese Aufgaben nicht zu einem Interessenkonflikt mit dem Amt des bzw. der Datenschutzbeauftragten führen.
Aufgabe des Verantwortlichen, also der Unternehmen, der Behörden und Vereine, welche personenbezogene Daten verarbeiten, ist es, über die Zwecke und Mittel der Datenverarbeitung zu entscheiden. Die Aufgabe der bzw. des Datenschutzbeauftragten ist es – salopp gesagt –, zu kontrollieren und darauf hinzuwirken, dass dabei auf datenschutzrechtlicher Ebene alles mit rechten Dingen zugeht.
Interessenskonflikte sind nun dort vorprogrammiert, wo jemand zugleich in seiner „normalen“ Positionen über Zwecke (bspw. Chef oder leitender Angestellter, der Datenverarbeitung betreffende Entscheidungen treffen kann) und Mittel (bspw. Chef der IT-Abteilung) der Datenverarbeitung entscheidet und sich dabei zugleich in völliger Unabhängigkeit überwachen soll.
Da jedes Unternehmen, jede Behörde und jeder Verein anders organisiert ist, muss in jedem Einzelfall geschaut werden, ob das mit der jeweiligen Position zusammenhängende Aufgabenbild sich mit den Aufgaben des Datenschutzbeauftragten vereinbaren lässt oder ob es dabei zu Interessenkonflikten kommt. Da dort – in aller Regel – die Entscheidungen über die Zwecke und Mittel von Datenverarbeitungen getroffen und verantwortet werden, lassen sich zu den mit Interessenkonflikten einhergehenden Positionen innerhalb der Einrichtung – wiederum in aller Regel – folgende des leitenden Managements zählen:
- Geschäftsführer eines Unternehmens, Behördenleiter oder Vereinsvorstand,
- Leiter des operativen Geschäftsbereichs,
- Finanzvorstand,
- leitender medizinischer Direktor,
- Leiter der Marketingabteilung,
- Leiter der Personalabteilung oder
- Leiter der IT-Abteilung.
Kann ein externer Dienstleister als Datenschutzbeauftragter benannt werden?
Ja. Sie können auch externe Dienstleister mit den Aufgaben eines Datenschutzbeauftragten beauftragen. Diese werden dann auf Basis eines Dienstleistungsvertrags tätig und nennen sich externe Datenschutzbeauftragte.
Wie hoch ist der zeitliche und finanzielle Aufwand für die Bestellung eines Datenschutzbeauftragten?
Der zeitliche und finanzielle Aufwand kann sich von Organisation (Unternehmen, Behörde, Verein) zu Organisation ganz erheblich unterscheiden. Er hängt wesentlich davon ab, in welchem Maße und welche Arten von personenbezogenen Daten in Ihrer Organisation verarbeitet werden, wie viele Abteilungen und Mitarbeiter mit Datenverarbeitungen beschäftigt sind, in welchem Maße Sie Daten von sogenannten Auftragsverarbeitern verarbeiten lassen, ob und ggf. in welchem Maße es bei Ihnen zum Transfer von personenbezogenen Daten in Drittländer kommt etc.
So kann der zeitliche Aufwand von monatlich ab ein oder zwei Stunden (kleiner Verein, lediglich Mitgliederverwaltung, kleine Webseite ohne Schnick Schnack, kleiner newsletter) bis zur Vollzeitstelle reichen (etwas größeres Unternehmen, datengetriebenes Geschäftsmodell mit sich ständig ändernden oder neuen Verarbeitungen, die mit hohen Risiken für die betroffenen Personen einher gehen).
Zu Beginn sollte jedoch immer etwas mehr Aufwand eingeplant werden. Denn zunächst muss sich die oder der Datenschutzbeauftragte ein Bild von der Organisation machen, muss die stattfindendenden Verarbeitungen zusammentragen und (über)prüfen, muss sich die Organisation und die Prozesse anschauen etc.
Welche Haftung hat ein Datenschutzbeauftragter?
Gegenüber Betroffenen und Behörden hat für Datenschutzverstöße stets der Verantwortliche, also das jeweilige Unternehmen, die Behörde oder der Verein gerade zu stehen. Der Verantwortliche zahlt also das Bußgeld oder, soweit eine nicht datenschutzkonforme Verarbeitung einen Schaden bei einer betroffenen Person hervorgerufen haben sollten, den Schadensersatz an die betroffene Person.
Eine Haftung des Datenschutzbeauftragten kommt nun dort in Frage, wo eine mangelhafte Aufgabenerfüllung des oder der Datenschutzbeauftragten kausal für den konkreten Schaden geworden ist, der konkrete Schaden also nicht entstanden wäre, wenn der oder die Datenschutzbeauftragte bei sorgsamer Aufgabenerfüllung nicht entstanden wäre.
Der Umfang der Haftung hängt jedoch von weiteren Faktoren ab. So spielt bspw. eine Rolle, ob es sich um einen externen oder internen Datenschutzbeauftragten handelt. Wichtig ist auch die Frage, ob der oder dem Datenschutzbeauftragten – wie vom Gesetz vorgeschrieben – sämtliche für die Erfüllung der Aufgaben erforderlichen Ressourcen zur Verfügung gestellt wurden, insbesondere also Zeit, Informationen und auch Zugang zu Mitarbeitern und Daten.
Eine Haftung scheidet natürlich vollständig dort aus, wo der Schaden entstanden ist, weil Tipps des Datenschutzbeauftragten nicht beachtet oder von diesem aufgezeigte Mängel nicht behoben wurden.
Was passiert, wenn mein Unternehmen keinen Datenschutzbeauftragten ernennt, obwohl es erforderlich wäre?
Bestellen Sie einen Datenschutzbeauftragen nicht, obwohl Sie von Gesetzes wegen hierzu verpflichtet sind, droht Ihnen nach Art. 83 DSGVO ein empfindliches Bußgeld von bis zu 10.000.000 EUR oder, wenn dieser Betrag höher ist, bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs.
Wäre es nicht besser sowieso einen Datenschutzbeauftragten zu haben?
Auf jeden Fall. Allein schon deswegen, um beim Datenschutz mit dem Vier-Augen-Prinzip an Start zu gehen.