Der Datenschutzbeauftragte

Der Datenschutzbeauftragte ist nicht immer ein Muss. Für jedes Unternehmen, das Datenschutz ernst nimmt, ist er aber eine sinnvolle und effektive Maßnahme, um mit der DSGVO umzugehen.

Gemäß Art. 37 DSGVO haben Unternehmen, in denen mehr als neun Beschäftigte regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind, einen Datenschutzbeauftragten (DSB) zu benennen und an die zuständige Behörde zu melden. Eine automatisierte Datenverarbeitung liegt vor, wenn Datenverarbeitungsanlagen wie ein PC eingesetzt werden und die Datenverarbeitung zum Berufsalltag der Beschäftigten gehört. Da die Benennung offiziell geschieht, ist mit verschärften Kontrollen zu rechnen.

Aufgaben des Datenschutzbeauftragten

Ein DSB ist eine natürliche Person, die von den Unternehmen zu benennen ist, um die Sicherheit der verarbeiteten Daten zu gewährleisten. Um dieses Ziel zu erreichen, setzt der DSB alle von der DSGVO geforderten Maßnahmen um und klärt die Unternehmen über ihre datenschutzrechtlichen Verpflichtungen auf. Er ist interner Ansprechpartner für alle Mitarbeiter im Unternehmen und externer Ansprechpartner für Behörden und Betroffene.

Grundsätzlich muss ein Datenschutzbeauftragter auf die Einhaltung der datenschutzrechtlichen Vorgaben hinwirken. Dabei sind ihm verschiedene Aufgaben zugewiesen. Er hat beispielsweise dafür Sorge zu tragen, dass die Mitarbeiter des Unternehmens in regelmäßigen Abständen datenschutzrechtlich geschult werden. Er berät das Unternehmen und seine Mitarbeiter in allen datenschutzrechtlichen Fragen. Er unterstützt die einzelnen Abteilungen bei der Dokumentation, zum Beispiel der Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten. Er ist überdies für die Korrespondenz mit Betroffenen und den Datenschutzbehörden zuständig.

In der Regel ist der Umfang der Datenverarbeitung in den meisten Unternehmen so groß, dass eine systematische Überwachung und Dokumentation der Verarbeitungsvorgänge nur schwer ohne DSB möglich ist. Ferner sind Datenverarbeitungsvorgänge oft Teil der Kerntätigkeit eines Unternehmens und seiner Geschäftsstrategie. Ein Callcenter kann sein Geschäftsmodell nur dann durchführen, wenn es täglich große Mengen personenbezogener Daten verarbeitet.

Für eine rechtskonforme Umsetzung der DSGVO müssen Unternehmen unter Umständen eine Datenschutz-Folgenabschätzung vornehmen. Durch diese wird festgestellt, inwieweit ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.

Ferner klärt der Datenschutzbeauftragte die Unternehmen auf, wann ein Auftragsverarbeitungsvertrag mit externen Dienstleistern, Lieferanten oder anderen Unternehmen zu schließen ist.

Auskunftspflicht

Unternehmen trifft gemäß Art. 13 und 14 DSGVO eine Informations- und Auskunftspflicht. Sie müssen generell über ihre Datenverarbeitungstätigkeiten aufklären, und zwar bereits bei der Datenerhebung. Darüber hinaus können Betroffene, seien es Kunden, Lieferanten oder sogar Mitarbeiter des eigenen Unternehmens, von ihrem Auskunftsrecht Gebrauch machen. In diesem Fall muss der Betroffene beispielsweise darüber aufgeklärt werden, welche seiner Daten verarbeitet werden, wie und in welchem Umfang dies geschieht und welcher Zweck dabei verfolgt wird. Auch sind Betroffene über ihre Betroffenenrechte zu informieren.

Dokumentation

Nach der DSGVO bestehen unterschiedliche Dokumentationspflichten. So muss der Verantwortliche, also das Unternehmen, das Datenverarbeitungen durchführt, ein Verzeichnis der Verarbeitungstätigkeiten führen und seine technischen und organisatorischen Maßnahmen für den Datenschutz festhalten.

Interner oder externer Datenschutzbeauftragter?

Für viele Unternehmen stellt sich die Frage, ob ein interner oder externer Datenschutzbeauftragter sinnvoller ist. Für die interne Lösung spricht, dass es sich um einen Mitarbeiter des Unternehmens handelt, der viele Unternehmensprozesse bereits kennt. Interne Datenschutzbeauftragte führen diese Aufgabe jedoch häufig nur als „Nebentätigkeit“ neben ihrer eigentlichen Beschäftigung durch. Gegen die interne Lösung spricht unter anderem auch, die geringere Qualifikation und der erhöhte Kündigungsschutz. Außerdem muss das Unternehmen für Urlaubs- und Krankheitstage eine Vertreterlösung finden.

Ein externer Datenschutzbeauftragter braucht dagegen eine längere Zeit, um sich in die Unternehmensstrukturen einzuarbeiten. Dafür sind keine teuren Ausbildungs- und Fortbildungsmaßnahmen fällig, weshalb externe Dienstleister im Durchschnitt meist billiger sind. Auch übernehmen externe DSB einen Teil der Haftung.

Tags
  • DSGVO
  • Datenschutz
  • Datenschutzbeauftragter
  • DSB
Über den Autor

DataGuard Redaktion

DataGuard

Hier schreibt für Sie die DataGuard Redaktion, bestehend aus einem Team von Journalisten und Datenschutz-Spezialisten. Alles dreht sich um den Datenschutz im Unternehmensumfeld. Sie finden uns ebenfalls bei Twitter und LinkedIn.

Unsere Empfehlung

Angebot erhalten
089 442 550 - 62649