Datenschutzbeauftragter

Datenschutzbeaiftragter-Göttingen

 

Datenschutzbeauftragte nach DSGVO

 

Ab dem 25.05.2018 änderte sich die „Datenschutzwelt“ ganz erheblich. Von da ab gilt die europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO muss nicht erst vom deutschen Parlament in nationales Recht umgesetzt werden (wie EU-Richtlinien), sondern sie gilt automatisch als oberste Norm im Datenschutzrecht. Lediglich die in der DSGVO vorgesehenen Öffnungsklauseln können von den jeweiligen Mitgliedsstaaten ausgefüllt werden. Dies ist in Deutschland mit dem BDSG geschehen.

Aber auch in der Zeit nach dem Inkrafttreten der DSGVO und des BDSG wird sich in Deutschland nicht viel an den Voraussetzungen bei der Benennung (vorher Bestellung) eines Datenschutzbeauftragten ändern:

In der DSGVO wird die Pflicht zur Benennung des Datenschutzbeauftragten in Art. 37 geregelt. Demnach ist ein Datenschutzbeauftragter zu benennen wenn:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit. a)
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b)
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht (Art. 37 Abs. 1 lit. c)

Hiermit wäre für viele Unternehmen keine Benennung eines Datenschutzbeauftragten mehr notwendig. Aber an dieser Stelle macht das BDSG entscheidende Ergänzungen. In § 38 Abs.1 Satz 1 BDSG heißt es:

  • Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 (d.h. DSGVO) benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen….
  • Weiterhin ist ein Datenschutzbeauftragter zu benennen, wenn das Unternehmen Verarbeitungen durchführt, welche eine  Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten (unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen)

Somit bestehen unter der DSGVO nahezu keinerlei Veränderungen in der Pflicht zur Benennung eines Datenschutzbeauftragten.

 

In der DSGVO wird jetzt jedoch explizit auf die Möglichkeit verwiesen, einen externen Datenschutzbeauftragten zu benennen (Art. 37 Abs.6 DSGVO).

Es ist jedoch zu beachten, dass der Bußgeldrahmen (Art. 83)  in der DSGVO erheblich ausgeweitet wurde. Hiernach kann ein Verstoß gegen die genannten Pflichten mit einer Geldbuße bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Aber allein der Bußgeldrahmen sollte nicht ausschlaggebend sein, um einen Datenschutzbeauftragten zu benennen. Vielmehr wird von vielen Unternehmen der Datenschutz öffentlichkeitswirksam in den Vordergrund gestellt, um sich einen Vorteil gegenüber anderen Unternehmen zu verschaffen. Auch im Rahmen von Ausschreibungen werden teilweise umfangreiche Nachweise zum Datenschutz eingefordert.

Oftmals erfolgt sogar eine freiwillige Benennung eines Datenschutzbeauftragten, wenn keine rechtliche Verpflichtung hierzu besteht.

Ganz wichtig hierbei: Auch wenn keine Bestellpflicht für einen Datenschutzbeauftragten besteht, sind die Vorschriften zum Datenschutz selbstverständlich genauso zu beachten. Ich habe nämlich auch schon zu hören bekommen: „wir müssen keinen Datenschutzbeauftragten bestellen, also was interessiert uns die DSGVO ?

Der einzige Unterschied besteht darin, dass der Verantwortliche (Unternehmensleitung) alle Aufgaben und Verpflichtungen zum Datenschutz selbst umsetzen muss, ohne die Hilfe eines geschulten Datenschutzbeauftragten.