Ein Datenschutzbeauftragter …
… ist europaweit gesetzlich vorgeschrieben
Im Artikel 37 EU DSGVO heißt es:„Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“
Nach der EU DSGVO ist jedes Unternehmen also dann verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn zu seiner Kerntätigkeit eine „umfangreiche Verarbeitung von Daten“ gehört.
Eine „umfangreiche Verarbeitung“ könnte es sein,
- wenn Daten von vielen Betroffenen verarbeitet werden,
- wenn die Datenmenge
- oder die geografische Reichweite hoch ist.
Wie groß genau die Datenmenge sein muss, sagt die DSGVO nicht.
Im EU DSGVO Art. 37, Absatz 1 b heißt es:
„b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen …“
Die Kerntätigkeit eines Folienherstellers beispielsweise ist das Herstellen von Folie. Selbst wenn er Zeiterfassungssysteme hat, mit denen er personenbezogene Daten seiner Mitarbeiter speichert, gehört das nicht zu den Aufgaben, die ihn zur Bestellung eines Datenschutzbeauftragten verpflichten, weil die Zeiterfassungsdaten nicht zu seiner Kerntätigkeit gehören.
Datenverarbeitung als Kerntätigkeit
Wenn ein Unternehmen aber Folie an viele Kunden verkauft und vielleicht auch Kundenprofile und Zahlungsfähigkeiten seiner Kunden dokumentiert und speichert, Kaufverhalten analysiert – wenn das die Nebentätigkeit des Unternehmens ist, ist er nach dem EU DSGVO nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Ist es aber seine Kerntätigkeit, braucht er einen.
Ein Briefdienstleister dagegen braucht den Datenschutzbeauftragten aber auf jeden Fall. Das Speichern von personenbezogenen Daten ist seine Kerntätigkeit und Briefe enthalten nichts anderes als personenbezogene Daten.
Ab 20 Mitarbeiter Pflicht
Das alles gilt für uns allerdings nur dann, wenn ein Unternehmer weniger als zwanzig Mitarbeiter beschäftigt, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Denn die EU DS-GVO hat in einer Öffnungsklausel nationale Regelungen zugelassen so sie ihr nicht widersprechen.
Für uns ist deshalb mit der EU DS-GVO das BDSG-neu in Kraft getreten. Und das schreibt uns vor, dass für jede Firma, jede Institution ab 20 Mitarbeitern in der Datenverarbeitung ein Datenschutzbeauftragter verpflichtend ist.
Die Aufgaben des Datenschutzbeauftragten:
Der Datenschutzbeauftragte
- unterrichtet und berät den Verantwortlichen, Auftragsverarbeiter und Beschäftigte,
- überwacht die Einhaltung der DS-GVO und der nationalen Sonderregelungen,
- weist Aufgaben zu, sensibilisiert und schult,
- berät und überwacht die Einhaltung der Datenschutzgesetze auch in Zusammenhang mit der Datenschutz-Folgenabschätzung,
- und ist schließlich Anlaufstelle für die Aufsichtsbehörden und arbeitet mit ihnen zusammen.
Kontaktdaten des Datenschutzbeauftragten veröffentlichen
Name und Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.
Zum Datenschutzbeauftragten
kann bestellt werden, wer die notwendige Fachkunde besitzt. Geschäftsführer/Vorstände sowie Führungskräfte sind jedoch aufgrund des Interessenskonfliktes ausgeschlossen.
Der betriebliche Datenschutzbeauftragte kann entweder ein Mitarbeiter des Unternehmens (interner Datenschutzbeauftragter) oder ein externer Dienstleister sein (externer Datenschutzbeauftragter).