Brauche ich einen Datenschutzbeauftragten?

Kai Schützle
Rechtsanwalt
Fachanwalt für IT-Recht
Schützle Rechtsanwaltsgesellschaft mbH

Gefühlt wird uns einmal in der Woche die Frage gestellt „Brauche ich einen Datenschutzbeauftragten?“. Da eine pauschale Antwort nicht möglich ist, haben wir den nachfolgenden Blog-Beitrag erstellt.

Seit 2018 ist die Datenschutz-Grundverordnung nun schon in Kraft – und mit ihr das dahin gehend angepasste Bundesdatenschutzgesetz. Unter bestimmten Umständen sind Unternehmen verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen. Ob dies auch auf Sie zutrifft und welche Möglichkeiten es hierzu gibt, soll im Folgenden kurz erläutert werden.

Wann brauchen Sie einen betrieblichen Datenschutzbeauftragten?

Grundsätzlich muss in Deutschland ein betrieblicher Datenschutzbeauftragter bestellt werden, sobald mindestens 20 Mitarbeiter im Betrieb ständig und automatisiert personenbezogene Daten verarbeiten. Zu den Mitarbeitern zählen auch in Teilzeit Beschäftigte, Leiharbeitnehmer, Auszubildende, Praktikanten und auch freie Mitarbeiter.

Außerdem kann es sein, dass auch ein Unternehmen unabhängig von der Anzahl der Beschäftigten dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen. Dies ist unter anderem etwa dann der Fall, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht. Also zum Beispiel, wenn Sie in großem Umfang Gesundheitsdaten verarbeiten.

Das gleiche gilt, wenn das Unternehmen aufgrund seiner Verarbeitungsprozesse eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Zudem besteht die Verpflichtung der Bestellung eines Datenschutzbeauftragten, wenn Verarbeitungsprozesse vorliegen, die einer Datenschutzfolgenabschätzung unterliegen, also ein besonders hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen. Beispiele hierfür sind etwa, wenn Sie ein KI-System einsetzen, biometrische und/oder genetische Daten verarbeiten oder umfangreiche Video- oder Ortungsüberwachung vornehmen. Aber auch weitere Konstellationen können dazu führen, dass Sie verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu bestellen.

Beachten Sie aber auch, dass auch wenn Sie nicht gesetzlich dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, Sie dennoch die datenschutzrechtlichen Vorgaben der DSGVO, des BDSG und weiterer Rechtsvorschriften einhalten müssen. Dazu gehört unter anderem die Durchführung von Schulung, regelmäßige Audits über den aktuellen datenschutzrechtlichen Stand, sowie die Erstellung von Dokumentationen über die verschiedenen Verarbeitungsprozesse in Form von Verarbeitungsverzeichnissen und Datenschutzfolgenabschätzungen.

Auch freiwillig können Sie aber einen betrieblichen Datenschutzbeauftragten bestellen – so können Sie die Aufgaben und fachliche Kompetenz in einer Person bündeln.

Wofür ist der betriebliche Datenschutzbeauftragte zuständig?

Ganz grundlegend ist der betriebliche Datenschutzbeauftragte dafür zuständig, das Unternehmen in datenschutzrechtlichen Fragen zu beraten. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften (insbesondere, aber nicht ausschließlich DSGVO und BDSG). Dazu gehören unter anderem die Sensibilisierung und Schulung der Mitarbeiter, die mit Verarbeitungen von personenbezogenen Daten beteiligt sind, Überprüfungen und Beratung bezüglich der Strategien zum Schutz der personenbezogenen Daten, sowie auch zum Beispiel die Prüfung und Durchführung von eventuell notwendigen Datenschutzfolgeabschätzungen. Er übernimmt darüber hinaus gegebenenfalls die Zusammenarbeit mit Datenschutzaufsichtsbehörden und die Kommunikation mit betroffenen Personen.

Welche Möglichkeiten haben Sie bei der Bestellung eines betrieblichen Datenschutzbeauftragten?

Es besteht zunächst die Möglichkeit, einen eigenen Mitarbeiter als Datenschutzbeauftragten zu bestellen. Dies muss sodann auch der zuständigen Datenschutzaufsichtsbehörde gemeldet werden.

Hierbei ist jedoch unbedingt zu beachten, dass es zu keinen Interessenkonflikten mit anderen Tätigkeitsfeldern des Mitarbeiters kommt und dieser weisungsunabhängig in seiner Tätigkeit als Datenschutzbeauftragter handeln kann. Personen unter anderem aus der Geschäftsführung, der Personalabteilung oder IT-Verantwortliche können daher die Position nicht übernehmen.

Zudem muss beachtet werden, dass der Mitarbeiter entsprechende Schulungen im Bereich des Datenschutzes nachweisen muss. Mitarbeiter, die als interner Datenschutzbeauftragter bestellt werden, stehen zudem unter einem einjährigen Kündigungsschutz ab dem Zeitpunkt der Abberufung als Datenschutzbeauftragter.

Alternativ haben Sie die Möglichkeit einen externen Datenschutzbeauftragten als betrieblichen Datenschutzbeauftragten zu bestellen. Eindeutiger Vorteil hierfür ist, dass die notwendige fachliche Kompetenz im Datenschutz schon mitgebracht wird und Sie einen potenziellen internen Interessenkonflikt gänzlich vermeiden können.

Unsicher oder Beratungsbedarf?

Benötigen Sie einen betrieblichen Datenschutzbeauftragten oder Sie sind sich unsicher, ob Sie zu einer Bestellung verpflichtet sind?

Unsere Partnerkanzlei Schützle Rechtsanwaltsgesellschaft mbH ist auf diesen Bereich spezialisert und beräte und unterstützt Sie gerne:

Schützle Rechtsanwaltsgesellschaft mbH
Gutbrodweg 6/3
74074 Heilbronn
Mail: mail@ra-schuetzle.de