Seit Inkrafttreten der Datenschutz-Grundverordnung beschäftigt viele Unternehmen die Frage, ob beziehungsweise ab wann ein interner oder externer Datenschutzbeauftragter nach DS-GVO für sie Pflicht ist, also dessen Benennung erforderlich. Als generelle Faustformel folgt aus §38 Abs.1 Bundesdatenschutzgesetz (BDSG): Ein Datenschutzbeauftragter dürfte verpflichtend sein, falls regelmäßig mindestens 20 Personen automatisiert Daten verarbeiten oder zur Kerntätigkeit des Betriebs die regelmäßige und systematische Verarbeitung personenbezogener Daten gehört oder eine umfangreiche Verarbeitung beispielsweise gesundheitsbezogener, politischer und religiöser personenbezogener Daten stattfindet. Weil die Verantwortlichen selbst klären müssen, ob dies zutrifft, sollten sie ihre Entscheidung erst nach Rücksprache mit Fachleuten fällen. Dabei lässt sich auch prüfen, welche praktischen Aufgaben ein Datenschutzbeauftragter hat, welche Schulung nötig ist – und wer Datenschutzbeauftragter nach DS-GVO sein darf, damit kein Interessenkonflikt auftritt. Der Datenschutzbeauftragte sollte dann beispielsweise den Einsatz von Cookies, die Videoüberwachung von Arbeitsplätzen und Firmengelände sowie WhatsApp als Kommunikationskanal kritisch hinterfragen. Oder auch Lösungen für Homeoffice beziehungsweise mobiles Arbeiten.
Datenschutzbeauftragte – keine lästige Pflicht, sondern Berater
Unternehmerinnen und Unternehmer sollten bei diesem Thema grundsätzlich davon ausgehen, dass ein Datenschutzbeauftragter nach DS-GVO keine unliebsame Pflicht ist. Tatsächlich wirkt ein Datenschutzbeauftragter mit guter Schulung im Tagesgeschäft als wertvoller Ratgeber für die Geschäftsleitung. Er kann sie frühzeitig bei der rechtskonformen Gestaltung von Prozessen oder Abläufen unterstützen und verhindern, dass teure Korrekturen erforderlich werden. Außerdem dient diese Position und Funktion dazu, Vertrauen in die digitale Transformation zu schaffen, weil es hier weisungsfreie, unabhängige und qualifizierte Beratung gibt. In vielen Branchen ist der Datenschutzbeauftragte inzwischen ein Vertrauensanker für die Kunden ebenso wie für die Beschäftigten.
Machen Sie sich im Seminar Datenschutz aktuell 2023 – die Datenschutz-Grundverordnung in der Praxis mit den datenschutzrechtlichen Verpflichtungen und aktuellen Brennpunkten vertraut. So können Sie aktuelle Fragestellungen im Datenschutz lösen und die entsprechenden Maßnahmen im Unternehmen gesetzeskonform umsetzen. Zusätzlich können Sie sich zu den Erfahrungen im Umgang mit der DS-GVO im Kollegenkreis austauschen. Melden Sie sich jetzt an zum Seminar Datenschutz aktuell 2023.
Ab wann ist ein Datenschutzbeauftragter nach DS-GVO Pflicht?
In Deutschland regeln Bundesdatenschutzgesetz (BDSG) und DS-GVO, wo ein Datenschutzbeauftragter ab wann Pflicht ist und wie dann die Benennung erfolgt. Behörden und weitere öffentliche Stellen – etwa öffentlich-rechtliche Betriebe – brauchen fast immer einen Datenschutzbeauftragten. Verpflichtend ist die Benennung für Markt- und Meinungsforschungsinstitute. In der Privatwirtschaft gilt, dass ein interner oder externer Datenschutzbeauftragter nach DS-GVO zu berufen ist, falls die Kerntätigkeit eine regelmäßige und systematische Verarbeitung personenbezogener Daten umfasst. Die umfangreiche Verarbeitung personenbezogener Daten besonderer Kategorien – etwa gesundheitsbezogener, politischer oder religiöser Daten – kann auch ein Grund sein. Bemessen lässt sich das unter anderem an der Zahl der datenverarbeitenden Beschäftigten, an der Datenmenge sowie an Zweck oder Art der Verarbeitung. Eine Faustregel: Die Position ist zumindest dann zu schaffen, wenn sich regelmäßig 20 oder mehr Personen mit automatisierter Datenverarbeitung beschäftigen. Dabei ist es egal, in welcher Form die sensiblen Daten vorliegen, sei es als Textdateien, Audio- und Videoaufnahmen oder Röntgenbilder.
Externer Datenschutzbeauftragter: Benennung prüfen
Erhält in betroffenen Organisationen kein interner oder externer Datenschutzbeauftragter die nach DS-GVO und BDSG vorgesehene Benennung, ist dies die Verletzung einer wichtigen Pflicht. Dann drohen hohe Strafen. Die Aufsichtsbehörde darf Bußgelder von bis zu zwei Prozent des weltweiten Umsatzes oder bis zu zehn Millionen Euro verhängen. Je nachdem welcher Betrag höher ist. Das ist die Hälfte jener Höchstgrenzen, die für konkrete Verstöße im Raum stehen. Weil ein Datenschutzbeauftragter nach DS-GVO in der Datenschutzerklärung zu benennen ist, lässt sich eine Pflichtverletzung leicht aufdecken. Darum droht Unternehmen nicht nur Ärger mit den Aufsichtsbehörden, sondern auch nach Abmahnungen durch Wettbewerber. Jeder Firmenchef und jede Firmenchefin ist selbst für die Feststellung verantwortlich, ob im Betrieb ein Datenschutzbeauftragter benannt sein muss. Es empfiehlt sich, das mit der Anwältin oder dem Anwalt zu klären sowie diese Position im Zweifelsfall vorsorglich zu schaffen. Eine Anwaltskanzlei kann außerdem bei den umfangreichen Dokumentations-, Auskunfts- und Nachweispflichten gemäß DS-GVO unterstützen.
Datenschutzbeauftragter: Interessenkonflikt mit DS-GVO prüfen
Im Alleingang können gerade viele kleinere Unternehmen nämlich rechtssicher nicht nur schwer klären, ob beziehungsweise ab wann ein interner oder externer Datenschutzbeauftragter nach DS-GVO für sie Pflicht ist und eine Benennung damit unvermeidbar. Die wahren Herausforderungen tauchen oft erst nach der generellen Beantwortung dieser Frage auf. Das beginnt schon bei der Überlegung, wer überhaupt Datenschutzbeauftragter nach DS-GVO sein darf, ohne dass ein Interessenkonflikt mit den anderen Aufgaben dieser Person im Unternehmen entsteht. Und es endet noch lange nicht bei der Frage, welche – idealerweise möglichst regelmäßige – Schulung ein Datenschutzbeauftragter nach DS-GVO braucht. Solche nicht unwesentlichen Details gilt es – speziell im Hinblick auf die individuelle Geschäftstätigkeit der eigenen Firma – mit Fachleuten zu klären.
Cyber-Attacken und Datenpannen auf Websites nehmen zu. Bei der DATEV Website-Analyse prüfen wir Ihren Internetauftritt gezielt auf Schwachstellen. Unter anderem durch Prüfung der datenschutzrechtlichen Vorgaben, die Analyse der Sicherheitseinstellungen sowie die Überprüfung der Datenschutzerklärung. Informieren Sie sich über die DATEV Website-Analyse.
Welche Aufgaben hat ein Datenschutzbeauftragter?
Ein interner oder externer Datenschutzbeauftragter ist nach DS-GVO und BDSG die Fachkraft des Unternehmens für Datenschutzfragen – als natürliche, nicht juristische Person. Seine oder ihre Beratung der Verantwortlichen für Datenverarbeitung in Sachen DS-GVO und Datenschutz hilft, die Umsetzung datenschutzrechtlicher Regelungen sicherzustellen sowie Verstöße gegen den Datenschutz zu verhindern. Datenschutzbeauftragte dienen zudem als Mittler zwischen dem Betrieb und den Aufsichtsbehörden beziehungsweise von datenschutzrechtlichen Fragen betroffenen Geschäftspartnern. Dies sind die Kernaufgaben von Datenschutzbeauftragten:
- Unterrichtung des Unternehmens. Wer als Datenschutzbeauftragter tätig ist, berät nach der Benennung die Verantwortlichen für Datenverarbeitung darin, welche Pflicht für das Unternehmen bei Fragen mit Bezug zur DS-GVO verbunden sein kann. Durch diese professionelle Behandlung der Themen rund um den Datenschutz lassen sich viele Probleme besser lösen oder gleich vermeiden.
- Einhaltung datenschutzrechtlicher Vorgaben. Ein interner oder externer Datenschutzbeauftragter prüft, ob die Strategie zum Schutz von personenbezogenen Daten funktioniert und die Beschäftigten sie umsetzen. In diesem Zusammenhang sollte ein Datenschutzbeauftragter etwa eine regelmäßige Schulung aller Beschäftigten zur DS-GVO als Teil der Aufgaben betrachten, solange dem kein Interessenkonflikt entgegensteht. Wichtig ist neben der Sensibilisierung des Personals ein Blick darauf, wie interne Zuständigkeiten zugewiesen sind. Für die praktische Umsetzung der Vorschriften zum Datenschutz ist ein Datenschutzbeauftragter jedoch nicht zuständig. Als verantwortlich hierfür bezeichnet die DS-GVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ – das wäre üblicherweise die Geschäftsleitung.
- Erstellung der Datenschutz-Folgenabschätzung (DSFA). Datenschutzbeauftragte überwachen die ordnungsgemäße Durchführung der Datenschutz-Folgenabschätzung.
- Kontakt zu Aufsichtsbehörden. Datenschutzbeauftragte sind für die Zusammenarbeit mit den Aufsichtsbehörden zuständig und dienen als direkte Ansprechpartner bei datenschutzrechtlichen Themen.
- Anlaufstelle für Betroffene. Personen, deren Daten ein Unternehmen verarbeitet, können sich mit Beschwerden oder Fragen zur Wahrnehmung ihrer Rechte an dessen Datenschutzbeauftragten wenden. Das betrifft etwa Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Datenübertragbarkeit.
Datenschutzbeauftragter nach DS-GVO hat diverse Aufgaben
In diversen Punkten erscheint die Datenschutz-Grundverordnung nicht eindeutig, sondern muss von Fachleuten ausgelegt werden. Das gilt nicht nur für die Frage, ab wann ein interner oder externer Datenschutzbeauftragter nach DS-GVO nun Pflicht und deshalb eine Benennung zwingend ist, oder wie dann die Schulung auszusehen hat. Auch die Aufgaben sind in der DS-GVO nicht en Detail festgeschrieben, obwohl sich teilweise aus ihnen ergeben könnte, wer überhaupt Datenschutzbeauftragter sein darf und wann ein Interessenkonflikt droht. Unternehmer und Unternehmerinnen sollten daher bei der Beschäftigung mit dem Thema stets bedenken, dass ein Datenschutzbeauftragter nach DS-GVO sich unter anderem um folgende Aufgaben kümmern muss, wodurch möglicherweise Interessenkonflikte entstehen könnten:
- Die Kontrolle der technischen und organisatorischen Maßnahmen (TOM) des Unternehmens.
- Die Überprüfung, ob alle Beschäftigten auf die datenschutzrechtliche Vertraulichkeit verpflichtet sind.
- Das Erstellen jährlicher Tätigkeitsberichte.
- Die Überprüfung der Verzeichnisse von Verarbeitungstätigkeiten.
- Die Kontrolle von Verträgen zur Auftragsverarbeitung.
- Das Unterstützen bei der Ausarbeitung eines Löschkonzepts.
- Die Zusammenarbeit mit den Aufsichtsbehörden.
Mit dem Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) wurden Anforderungen rund um die digitale Kommunikation präzisiert. Die wichtigste Klarstellung bezieht sich auf Cookies und Banner, und betrifft somit alle, die eine Website oder einen Webshop betreiben. Das Fachbuch Websites, Cookies & Co – Was sich für Unternehmen ändert gibt Ihnen konkrete Handlungsanleitungen und zeigt Ihnen, wie Sie Bußgelder vermeiden. Das Buch ist erhältlich für DATEV-Mitglieder im DATEV-Shop oder auch im Buchhandel bei Sack, bei Schweitzer online, bei Amazon oder bei Genialokal.
Droht ein Interessenkonflikt mit der DS-GVO?
Zunächst ist immer zu prüfen, ob oder ab wann im Unternehmen ein Datenschutzbeauftragter nach DS-GVO Pflicht ist. Generell kann dann ein interner oder externer Datenschutzbeauftragter die Benennung erhalten – Voraussetzung ist natürlich eine umfassende Schulung, um die Aufgaben nach DS-GVO wahrzunehmen. Für größere oder besonders stark mit der Datenverarbeitung beschäftigte Unternehmen – Stichwort Digitalisierung – dürfte sich meistens eine interne Lösung anbieten. Dagegen könnte kleinen oder nur am Rande in der Datenverarbeitung tätigen Betrieben oft schon der Einsatz eines spezialisierten Dienstleisters genügen. In beiden Fällen ist es bei der Benennung wichtig, nicht nur auf die Qualifizierung einer Person als Datenschutzbeauftragter nach DS-GVO zu achten, sondern zur Vermeidung von einem möglichen Interessenkonflikt zu hinterfragen, wer praktisch überhaupt Datenschutzbeauftragter nach DS-GVO sein darf. Ein Interessenkonflikt entsteht bei der DS-GVO immer dann, wenn jemand Datenschutzbeauftragter ist und zugleich weitere Aufgaben hat, die ihn zum Wegsehen bei datenschutzrechtlich relevanten Themen bewegen könnten.
DATEV unterstützt Sie bei der Umsetzung der gesetzlichen Datenschutzvorschriften – individuell und praxisnah. Neben unseren Datenschutz-Experten unterstützen Sie weitere Spezialisten bei Bedarf, zum Beispiel zum Thema IT-Sicherheit. Informieren Sie sich über die Datenschutz-Beratungen.
Benennung als externer Datenschutzbeauftragter nach DS-GVO prüfen
Bei der Benennung interner statt externer Fachleute für die Aufgaben ist das Risiko tendenziell größer, als Datenschutzbeauftragter in einen Interessenkonflikt mit der DS-GVO zu kommen. Deshalb sollten Firmenchefinnen und Firmenchefs bei der Rechtsanwaltskanzlei nicht nur erfragen, ob oder ab wann ein Datenschutzbeauftragter nach DS-GVO für das Unternehmen eine Pflicht ist, sondern auch: Wer darf überhaupt Datenschutzbeauftragter nach DS-GVO sein? Am besten wäre es, dafür genau die Hierarchieebenen und Tätigkeiten beziehungsweise Verantwortungsbereich potenzieller Kandidatinnen und Kandidaten zu betrachten.
- Die Geschäftsleitung kommt per se nicht als Datenschutzbeauftragter nach DS-GVO in Frage – ein Interessenkonflikt ist unvermeidlich, weil sie meistens als verantwortliche Stelle über die Datenverarbeitung entscheidet und sich schlecht selbst kontrollieren oder beraten kann.
- Die Prokuristen scheiden ebenfalls aus. Auch wenn sie – anders als Geschäftsführer – keine gesetzlichen Vertreter des Unternehmens sind, haben sie ähnlich umfassende Handlungsbefugnisse. Damit lässt sich die Rolle als Datenschutzbeauftragter nach DS-GVO kaum vereinbaren.
- Einzelne Beschäftigte können wegen ihrer persönlichen Aufgaben ebenfalls als Datenschutzbeauftragter ausfallen. Und zwar dann, wenn ihre Entscheidungen die Zwecke und Mittel der Verarbeitung von Daten maßgeblich intern beeinflussen. Das betrifft etwa die IT-Leitung und die Leitung von Betriebsstätten. Auch Fachleute in Marketing, Vertrieb oder Personalwesen könnten diesem Personenkreis angehören. Diese Bereiche nutzen intensiv Daten. Marketingverantwortliche etwa wollen möglichst viele Informationen für Entscheidungen, während ein Datenschutzbeauftragter auf Datensparsamkeit achten sollte – ein unauflösbarer Interessenkonflikt. Auch wer als Geldwäschebeauftragter fungiert und daher möglichst viele Informationen über andere sammelt, kann nicht zugleich Datenschutzbeauftragter sein.
Ein weiteres Spannungsfeld droht hinsichtlich der zunehmenden Bedeutung des Themas Compliance. Zu klären ist deshalb, ob Datenschutzbeauftragter und Compliance Officer zwingend in einem Konkurrenzverhältnis stehen oder sich Synergien nutzen lassen.
Datenschutzbeauftragter nach DS-GVO braucht gute Schulung
Voraussetzung zur Benennung als Datenschutzbeauftragter sollte sein, sich mit den Bestimmungen der DS-GVO sowie des Bundesdatenschutzgesetzes auszukennen. Außerdem sind Kenntnisse über spezifische Vorgaben für Branchen oder Tätigkeiten sowie Vereinbarungen mit den Arbeitnehmervertretungen wichtig, falls solche existieren. Damit ein interner oder externer Datenschutzbeauftragter diese Aufgaben insbesondere nach DS-GVO kompetent wahrnehmen kann, ist eine Schulung unumgängliche Pflicht. Geschäftsleitungen als für die Datenverarbeitung verantwortliche Stelle sollten ausreichend Zeit und Geld in die Auswahl oder Qualifizierung von Datenschutzbeauftragten investieren, um kompetente Fachleute zu engagieren beziehungsweise auszubilden. So lassen sich Datenpannen besser verhindern oder die Folgen – wenn doch ein Zwischenfall passiert – eher beherrschen. Die Qualifikation zum Datenschutzbeauftragten lässt sich etwa durch Trainings und Fortbildungen inklusive offiziellem Prüfsiegel von TÜV oder DEKRA erreichen. Zudem ist bei der Frage, wer Datenschutzbeauftragter nach DS-GVO sein darf, gute Kommunikationsfähigkeit wichtig – Datenschutz lässt sich nur im Team verbessern. Auch hierzu sollte ein Datenschutzbeauftragter eine entsprechende Schulung erhalten.