Das Wichtigste in Kürze

  • Ein Datenschutzbeauftragter ist für fast alle Unternehmen Pflicht – aber für alle sinnvoll.
  • Er sorgt dafür, dass die Unternehmensleitung (Geschäftsführer, Vorstand, Einzelunternehmer, Vereinsvorstand) im Datenschutz „safe“ aufgestellt ist.
  • Er berichtet an die Geschäftsleitung und hat jederzeit den Überblick über die einzelnen Datenschutzaktivitäten, auch bei mehreren Tochtergesellschaften.
  • Auch wenn für kleinere Betriebe kein Datenschutzbeauftragter erforderlich ist, bleibt es ohne Unterstützung an der Geschäftsleitung „hängen“, die komplexen Anforderungen des Datenschutzes umzusetzen.
  • Nur ein externer Datenschutzbeauftragter steht, anders als ein interner, finanziell für Beratungsfehler ein und hilft auf diese Weise, die Haftungsbasis des Verantwortlichen zu verbreitern.

In diesem Beitrag

Wenn Unternehmen
sich mit der Bestellung eines Datenschutzbeauftragten beschäftigen, lautet eine
der ersten Fragen häufig: „Müssen wir das bei unserer Betriebsgröße überhaupt?“
Diese Frage lässt sich zwar mit einem Blick in die Bestimmungen des
Bundesdatenschutzgesetzes beantworten. Doch wie wir sehen werden, ist eine
Bestellung auch dann äußerst sinnvoll, wenn sie gesetzlich nicht zwingend notwendig
ist. Hierzu ist es wichtig, die Rolle eines Datenschutzbeauftragten zu kennen,
denn vor die entsprechenden Aufgaben stellt der Gesetzgeber alle Unternehmen,
unabhängig von ihrer Größe.

Wer muss einen
Datenschutzbeauftragten haben?

Das
Bundesdatenschutzgesetz sieht vor, dass Betriebe mit mindestens 20
Mitarbeitern, die mit der Datenverarbeitung beschäftigt sind, über einen
Datenschutzbeauftragten verfügen müssen. Unabhängig von dieser Benennungsgrenze
müssen auch Unternehmen mit weniger Mitarbeitern einen Datenschutzbeauftragten
haben, wenn Art und Umfang ihrer Datenverarbeitung bestimmten Kriterien
entsprechen – beispielsweise beim systematischen Scoring von Kunden nach
Bonität oder wenn ein Arzt kommerzielle Medikamentenforschung betreibt. Hier
ist ein Datenschutzbeauftragter in jedem Fall Pflicht.

Was sind die
Aufgabenbereiche des Datenschutzbeauftragten?

Was ein Datenschutzbeauftragter zu tun hat, wird detailliert in der europäischen Datenschutzgrundverordnung (DSGVO) geregelt, die auch für Deutschland unmittelbar geltendes Recht darstellt. Im Wesentlichen umfasst seine Tätigkeit mehrere Hauptprojekte, die voneinander unabhängig sind. Da wäre zunächst die Beratung der Verantwortlichen und der Mitarbeiter im Unternehmen aus datenschutzrechtlicher Sicht. Er auditiert die Prozesse und baut eine Datenschutzdokumentation auf. Eine weitere Aufgabe sind die sogenannten Auftragsverarbeitungsverträge, die vielfach mit externen Dienstleistern abgeschlossen werden müssen und an deren Erstellung der Datenschutzbeauftragte mitwirkt. Auch die Erstellung und regelmäßige Aktualisierung von Datenschutzerklärungen gehört zu den Kernthemen eines Datenschutzbeauftragten. Ein großer Aufgabenbereich betrifft schließlich die regelmäßige Grundschulung der Belegschaft zur generellen Sensibilisierung in Sachen Datenschutz. Der Datenschutzbeauftragte hält die Fäden im Datenschutz zusammen. Er berichtet direkt an die Geschäftsleitung und hat jederzeit den Überblick über die einzelnen Datenschschutzaktivitäten, auch bei mehrere Tochtergesellschaften. Einige dieser Tätigkeitsfelder wollen wir uns im Folgenden genauer anschauen.

Wie berät der
Datenschutzbeauftragte sein Unternehmen?

Der Datenschutzbeauftragte
berät generell in der gesamten Breite der Unternehmensprozesse an allen Teilen,
die personenbezogene Daten (z.B. Kunden-, Lieferanten- oder Mitarbeiterdaten)
bekommen, verarbeiten und weiterleiten.   

Art und Umfang
der Beratung durch einen Datenschutzbeauftragten richten sich nach den
spezifischen Anforderungen einzelner Branchen. Bei einer Immobilienfirma sehen
betriebliche Prozesse beispielsweise anders aus als bei einem Marketing- oder
einem Bauunternehmen. Der Datenschutzbeauftragte muss für die
branchenspezifischen Kernprozesse ebenso ein Verständnis mitbringen wie für
übergeordnete betriebswirtschaftliche Abläufe in Bezug auf Personal, Finanzen,
Vertrieb, Einkauf und IT. Dabei berät der Datenschutzbeauftragte die Abteilungsleiter
zum sensiblen und gesetzeskonformen Umgang mit personenbezogenen Daten. Ein
Beispiel aus der Praxis ist der Umgang mit Initiativbewerbungen: Hier informiert
der Datenschutzbeauftragte die Personaler, dass solche Unterlagen nach wenigen Monaten
gelöscht werden müssen, falls die bisherige Praxis war, diese unbefristet
aufzubewahren. Die Dokumentation, die auf dieser Beratung aufbaut, hält im Folgeschritt
fest, wie ein Unternehmen im betrieblichen Alltag datenschutzkonforme Prozesse
etabliert hat. Am Ende weiß jeder Abteilungsleiter genau, was nach Umsetzung
des Datenschutzes in seiner Abteilung anders zu machen ist.

Wozu dienen
Auftragsverarbeitungsverträge mit Lieferanten?

Auftragsverarbeiter
ist jeder Lieferant einer Firma, der von ihr personenbezogene Daten übermittelt
bekommt, um damit zu arbeiten. Ein Beispiel ist eine Druckerei, die den Auftrag
bekommt, fertiggestellte Weihnachtspostkarten an die Kunden des Auftragsgebers
zu versenden. Hierfür erhält die Druckerei die Kundenkartei als Beigabe. Der
Auftraggeber ist nun dafür verantwortlich, dass die Kundendaten auch vom Auftragsverarbeiter,
also der Druckerei, datenschutzkonform behandelt und nach Beendigung des
Auftrags gelöscht werden. Der Datenschutzbeauftragte kümmert sich darum, dass der
Auftragsverarbeiter in solchen Fällen einen Auftragsverarbeitungsvertrag abschließt
und umsetzt. Er kann auch bei der Erstellung solcher Verträge mit
Vertragsvorlagen behilflich sein.

Wie hilft der
Datenschutzbeauftragte beim Erstellen der Datenschutzerklärung?

Mit der
einmaligen Erstellung einer Datenschutzerklärung ist es für Unternehmen in den
meisten Fällen nicht getan. Datenschutzerklärungen werden für praktisch alle
Unternehmen gefordert, sei es auf der Website, auf einer Facebook-Fanseite oder
in einer App. Diese Datenschutzerklärungen müssen bestimmten gesetzlichen
Anforderungen genügen, die Verarbeitung der Daten erläutern und vor allem auf
einem aktuellen Stand gehalten werden. Die fortlaufende Erinnerung und die Mitwirkung
hieran gehört zu den Kernaufgaben eines Datenschutzbeauftragten.

Wie schult der
Datenschutzbeauftragte die Belegschaft?

Das Gesetz sieht vor, dass Mitarbeiter für Datenschutzbelange zu sensibilisieren sind. Dieser Pflicht kommt der Datenschutzbeauftragte für ein Unternehmen nach, indem er dessen Mitarbeiter in regelmäßigen Abständen in Fragen des Datenschutzes schult. Die Wiederholung ist deswegen so wichtig, da eine einmalige Schulung erfahrungsgemäß nicht nachhaltig und dauerhaft die geforderte Sensibilisierung erzeugt. Aus Gründen der Überprüfbarkeit, der Zeitersparnis und auch aus Imagegründen werden Online-Schulungen bevorzugt.

Kann ein Datenschutzbeauftragter bei
Pannen helfen?

Wenn es im Unternehmen zu einem Datenverlust kommt, ist der Datenschutzbeauftragte der erste Ansprechpartner. Seine erste Aufgabe ist es, die Schwere des Verstoßes einzustufen – eine falsch versendete Mail ist natürlich anders zu bewerten als ein massenhafter Abfluss von Kundendaten im Internet. Wenn der Einzelfall eine Meldung an die Datenschutzbehörde erfordert, beträgt die Frist hierfür 72 Stunden. Es ist dann Aufgabe des Datenschutzbeauftragten, die Einhaltung dieser Frist sicherzustellen. Darüber hinaus berät er das Unternehmen und schlägt Maßnahmen vor, damit sich ähnliche Datenpannen nicht wiederholen.

Bearbeitet der Datenschutzbeauftragte auch
externe Anfragen?

Ansprechpartner für Behörden zu sein gehört ebenfalls zu den sogenannten Rahmenaufgaben eines Datenschutzbeauftragten. Es kommt in der Praxis vor, dass Datenschutzbehörden von selbst mit Fragen an Unternehmen herantreten. Dies könnte beispielsweise der Fall sein, wenn die Öffentlichkeit die Datenschutzbehörde aufmerksam macht. Wenn die Behörde nun hierzu Informationen anfordert, ist der Datenschutzbeauftragte der Ansprechpartner. Ebenso ist er dafür zuständig, Anfragen von Betroffenen entgegenzunehmen und zusammen mit der zuständigen Fachabteilung zu bearbeiten. Zunächst klärt er grundsätzlich die Zulässigkeit einer Anfrage ab – so können Datenschutzrechte etwa nur persönlich wahrgenommen werden und nicht beispielsweise von einer Firma stellvertretend für ihre Angestellten. Ist eine Anfrage zulässig, wechselt der Datenschutzbeauftragte in die Funktion eines Projektleiters: Er muss dafür sorgen, dass etwa ein Löschgesuch für persönliche Daten innerhalb der gesetzlichen Frist von 28 Tagen bearbeitet und eine angeforderte Auskunft in der vorgeschriebenen Weise erteilt wird.

Welche Stellung hat der
Datenschutzbeauftragte im Unternehmen?

Der Datenschutzbeauftragte ist der Ansprechpartner der Datenschutzbehörde und berichtet immer an die höchste Management-Ebene im Unternehmen. Er ist bei der Erfüllung dieser Aufgabe an keinerlei Weisungen des Managements gebunden, sondern übt die Aufgabe eigenverantwortlich aus. Um die Unabhängigkeit zu wahren, hat der Datenschutzbeauftragte in zweierlei Hinsicht eine besondere Position. Als angestellter Mitarbeiter genießt er einen höheren Kündigungsschutz, der dem eines Betriebsratsmitglieds vergleichbar ist. Ebenso kann er nur mit hohen Hürden aus der Funktion als Datenschutzbeauftragter entfernt werden.

Wer trägt die
Verantwortung, wenn es keinen Datenschutzbeauftragten gibt?

Verantwortlich
für den Datenschutz in einem Unternehmen ist die dafür vertretungsberechtigte
Person, also etwa der Geschäftsführer oder der Vorstand. Dies gilt ganz
unabhängig davon, ob ein Unternehmen über einen Datenschutzbeauftragten verfügt
oder nicht. Und vom Vorstand eines kleinen Vereins mit sieben Mitgliedern bis
zum börsennotierten Großkonzern müssen alle die gleichen qualitativen Standards
für den Datenschutz erfüllen. Es ist ein Irrglaube, dass die Maßstäbe für
kleinere Unternehmen weniger streng seien, nur weil diese von der Verpflichtung
befreit sind, einen Datenschutzbeauftragten zu bestellen. Datenschutzverstöße
können teuer werden: Neben den empfindlichen Höchststrafen, die von der DSGVO
vorgesehen werden (bis zu vier Prozent des weltweiten Jahresumsatzes eines
Unternehmens), kann den Verantwortlichen auch die persönliche Haftung als Organ
der Gesellschaft treffen. Das ist etwa der Fall, wenn er nicht nachweisen kann,
dass er alle Maßnahmen getroffen hat, um einen Verlust von Daten mit dem daraus
resultierenden Schaden zu vermeiden.

Lässt sich die
Haftung an einen Datenschutzbeauftragten delegieren?

Der
Datenschutzverantwortliche in einem Unternehmen, also beispielsweise der
Geschäftsführer, kann seine gesetzliche Verantwortung nicht auf einen
Datenschutzbeauftragten abwälzen. Nur ein externer Datenschutzbeauftragter
steht finanziell für Beratungsfehler ein und hilft auf diese Weise, die
Haftungsbasis des Verantwortlichen zu verbreitern.

Neue Beiträge die Sie interessieren könnten

Das Recht auf Vergessenwerden: Was steckt dahinter und funktioniert es wirklich?

Das Wichtigste in Kürze

  • Mit der DS-GVO wurden die Rechte von Betroffenen gestärkt. 
  • Das Recht...
Weiterlesen

Keine Daten mehr ins EU-Ausland: Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte?

Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) markiert eine Zäsur im...

Weiterlesen

Aktuelle Trends zu Bußgeldern im europäischen Datenschutz

Weiterlesen

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München