close

UNVERBINDLICHES ERSTGESPRÄCH VEREINBAREN

Oder buchen Sie hier direkt einen Termin

userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Spätestens seit die Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 endgültig wirksam geworden ist, müssen viele Unternehmen einen Datenschutzbeauftragten benennen. Grundsätzlich sieht der Gesetzgeber die Pflicht zur Benennung für alle Unternehmen vor, die eine von den drei folgenden Bedingungen erfüllen: Mindestens 20 Personen sind dauerhaft mit der automatisierten Verarbeitung von Daten beschäftigt,das Unternehmen verarbeitet besonders sensible Daten oder die Verarbeitung von Daten gehört mit zum Kerngeschäft. Dabei dürfen allerdings nur qualifizierte Personen – intern wie extern – zum Datenschutzbeauftragten benannt werden.


 

Benennung Datenschutzbeauftragter – das Wichtigste in Kürze

  • Verarbeiten Unternehmen geschäftsmäßig personenbezogene Daten, müssen sie in der Regel einen Datenschutzbeauftragten benennen.
  • Die Benennung erfolgt immer durch die Geschäftsführung.
  • Benannt werden dürfen nur Personen, die über anerkannte Qualifizierungen hierfür verfügen.
  • Ist trotz Pflicht kein Datenschutzbeauftragter benannt, drohen Bußgelder von bis zu 10 Millionen Euro.

 


Auswahl

Vorgespräch

Vertrag

Wann muss die Benennung eines Datenschutzbeauftragten erfolgen?


 

Bestellen und benennen

Lange wurden Datenschutzbeauftragte „bestellt“. Seit Inkrafttreten der DSGVO spricht der Gesetzgeber allerdings von einer Benennung des Datenschutzbeauftragten. Letztlich meinen beide Begriffe aber dasselbe: Unternehmen bestimmen eine natürliche Person, die künftig hauptverantwortlich für den Datenschutz ist.

Wann Sie einen Datenschutzbeauftragten (DSB) benennen müssen, regeln sowohl Artikel 37 der DSGVO als auch Artikel 38 des Bundesdatenschutzgesetzes (BDSG-neu). Es reicht dabei, wenn Ihr Unternehmen eine der folgenden Bedingungen erfüllt:

  1. Im Unternehmen befassen sich mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten.
  2. Die Kerntätigkeit des Unternehmens besteht darin oder macht es notwendig, umfangreich und systematisch mit personenbezogenen Daten zu arbeiten. Das ist beispielsweise bei Auskunfteien oder Versicherungen der Fall, aber oftmals auch bei Werbeagenturen oder Softwareunternehmen im Online-Umfeld.
  3. Die Kerntätigkeit des Unternehmens besteht darin oder macht es notwendig, besonders sensible personenbezogene Daten zu verarbeiten – unabhängig vom Umfang. Hiervon sind insbesondere Ärzte oder Rechtsanwälte betroffen.

Wichtig: Auch wenn Unternehmen nicht zur Benennung eines DSB verpflichtet sind, kann sich die Benennung trotzdem bezahlt machen. Denn so gut wie jedes Unternehmen arbeitet mit personenbezogenen Daten und muss diese entsprechend sorgsam behandeln. Geschieht dies nicht, drohen teils hohe Bußgelder. Ein Datenschutzbeauftragter beugt hier entsprechend vor.

 


Aufgaben des Datenschutzbeauftragten

Ist der Datenschutzbeauftragte benannt, sorgt er kurz gesagt dafür, dass Ihr Unternehmen alle datenschutzrechtlichen Vorgaben einhält. Dazu gehören im Wesentlichen folgende Aufgaben:

  • Datenschutzschulung Ihrer Mitarbeiter
  • Überwachung der Einhaltung der DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Ansprechpartner bei Fragen zur Verarbeitung personenbezogener Daten


Wer kann Datenschutzbeauftragter werden?

Um einen Datenschutzbeauftragten benennen zu können, brauchen Sie zunächst einmal einen geeigneten Kandidaten. Bei der Vorauswahl achten Sie auf diese Punkte:

  • Nur eine qualifizierte Person kann Datenschutzbeauftragter werden. Dazu muss die Person Schulungen etwa beim TÜV oder der DEKRA absolviert haben.
  • Ihr Datenschutzbeauftragter benötigt Einblick in Ihre Organisation. Er sollte Kommunikationstalent und die Bereitschaft zur Weiterbildung mitbringen. Und nicht schreiend weglaufen, wenn technische oder juristische Themen aufs Tapet kommen.
  • Außerdem müssen Sie Interessenkonflikte verhindern. Wenn Sie zum Beispiel Ihren IT-Administrator oder einen Geschäftsführer Ihres Unternehmens zum Datenschutzbeauftragten benennen, müsste dieser sich selbst kontrollieren. Eine solche Situation hat der Gesetzgeber ausgeschlossen.

Oft entscheiden sich Unternehmen für einen externen Datenschutzbeauftragten, weil dieser die erforderliche Qualifikation und Erfahrung bereits mitbringt. Zudem können sie nicht in Interessenskonflikte geraten. Auch die Kosten sind meist geringer, als wenn ein interner Mitarbeiter diese Aufgabe übernimmt.


Bei DataGuard kümmern sich über 100 Mitarbeiter leidenschaftlich um die Themen Datenschutz, Compliance und IT-Sicherheit. Unsere TÜV/DEKRA-qualifizierten Datenschutzbeauftragten beraten Sie individuell und können schon ab 150 Euro pro Monat benannt werden.



Wer muss die Benennung vornehmen?

Der Datenschutzbeauftragte berichtet direkt an die Geschäftsleitung. Damit ist klar, dass die Geschäftsführung auch die Benennung vornimmt. Erst mit der Benennung übt der Datenschutzbeauftragte seine Funktion offiziell aus. Und erst dann ist auch das Unternehmen rechtlich abgesichert.


 

Bei Nichtbenennung droht Bußgeld

Nicht nur im Falle von Datenschutzpannen oder -verstößen drohen Ihnen Bußgelder, sondern auch schon wenn Sie keinen Datenschutzbeauftragten benennen, obgleich Sie dies müssten. Die DSGVO hat den Rahmen für Bußgelder auf bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes angehoben.

 


Wie läuft die Benennung zum Datenschutzbeauftragten ab?

Um einen Datenschutzbeauftragten zu benennen, sollten Sie folgende drei Schritte durchführen:


  1. Zuerst wählen Sie eine für die Aufgabe geeignete Person aus. Geeignet heißt letztlich, dass die Person anerkannte Fortbildungen mitgemacht hat und sich sehr gut mit dem Thema auskennt. Die meisten Unternehmen entscheiden sich aus diesem Grund oftmals für einen externen Datenschutzbeauftragten und bilden nicht erst einen internen Mitarbeiter aus.
  2. Anschließend führen Sie Vorgespräche mit der Person und treffen eine mündliche Vereinbarung über die künftige Zusammenarbeit.
  3. Danach schließen Sie bzw. die Geschäftsführung mit dem DSB einen schriftlichen Dienstleistungsvertrag oder einen schriftlichen Auftrag zur Benennung.


Die Bestellungsurkunde


Bei der Benennung eines externen Datenschutzbeauftragten wird eine sogenannte Bestellungsurkunde aufgesetzt, die folgenden Anforderungen genügen sollte:

  • Auftraggeber (Ihr Unternehmen) und Auftragnehmer (Datenschutzbeauftragter)
  • Einen Verweis auf Artikel 37-39 DSGVO und § 38 BDSG, denn diese bilden die Rechtsgrundlagen für die Benennung
  • Den Beginn der Tätigkeit, das heißt, ab wann der Auftragnehmer als DSB fungiert
  • Die Aufgaben des DSB nach Artikel 39 DSGVO
  • Die Verschwiegenheitsverpflichtung und die Verpflichtung zur angemessenen Risikoabwägung gemäß Artikel 39 DSGVO

Fazit

Alle Unternehmen, in denen mindestens 20 Personen personenbezogene Daten verarbeiten, die besonders sensible Daten verarbeiten oder die in großem Umfang mit personenbezogenen Daten arbeiten, müssen einen Datenschutzbeauftragten benennen. Insbesondere kleine und mittelständische Unternehmen setzen dabei meist auf einen externen Datenschutzbeauftragten. Dieser ist nicht nur qualifiziert, sondern in der Regel auch günstiger als ein interner Mitarbeiter. Zudem können Interessenskonflikte so vermieden werden. Ist die richtige Person ausgewählt, sollte die Benennung zum Datenschutzbeauftragten dann in jedem Fall schriftlich erfolgen.



Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München