Viele Unternehmen wissen, dass sie aufgrund gesetzlicher Vorschriften nicht daran vorbeikommen, einen Datenschutzbeauftragten zu bestellen. Wenn ein Unternehmen bereits eines oder mehrere der folgenden Kriterien erfüllt, muss auch ein Datenschutzbeauftragter im Unternehmen bestellt sein:

  • Mindestens 20 Mitarbeiter sind dauerhaft mit der automatisierten Verarbeitung von personenbezogenen Daten betraut (dazu zählen auch Praktikanten, Werksstudenten oder sonstige Aushilfen, etc.)
  • Ihre Kerntätigkeit beinhaltet eine umfangreiche und systematische Beobachtung von Personen
  • Die Kerntätigkeit besteht darin, umfangreich besonders sensible personenbezogene Daten nach Art. 9 und 10 DSGVO zu verarbeiten (z.B. Daten der rassischen und ethnischen Herkunft, politische Meinungen, biometrische Daten oder Gesundheitsdaten)
  • Es wird eine Verarbeitung vorgenommen, die einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO unterliegt
  • Personenbezogene Daten werden geschäftsmäßig verarbeitet (z.B. zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Meinungs- und Marktforschung).

Aber welche konkreten Voraussetzungen und Aufgaben muss ein Datenschutzbeauftragter erfüllen? Und was sind die Vor- und Nachteile eines internen Datenschutzbeauftragten sowie eines externen DSB? Auf diese Frage wollen wir in diesem Beitrag näher eingehen.

Welche Voraussetzungen muss der Datenschutzbeauftragte erfüllen?

Ein Datenschutzbeauftragter wird auf Grundlage seiner Qualifikation und insbesondere seines Fachwissens benannt. Das benötigte Fachwissen kann beispielsweise durch den Besuch von Fortbildungsveranstaltungen – in Ausnahmefällen auch kurz nach Aufnahme der Tätigkeit – erworben werden.  Zur Erhaltung des Fachwissens haben die verantwortlichen Stellen dem Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen. Die Kosten für das Erlangen und den Erhalt der Qualifikation hat das Unternehmen zu tragen.

Außerdem bedarf es einem Mindestmaß an technischem Verständnis sowie Kenntnisse über Datenverarbeitung. Es muss dem Datenschutzbeauftragten möglich sein, Aufbau, Funktionsweise und Anforderungen der eingesetzten Datenverarbeitungssysteme, -verfahren und -netze soweit zu beurteilen, dass Datenschutz- und Datensicherheitsmaßnahmen vorgeschlagen, bewertet und geprüft werden können.

Des Weiteren sollte der Datenschutzbeauftragte mit den Aufgaben, der Arbeitsweise und den betrieblichen Datenströmen sowie der Organisationsstruktur des Unternehmens besonders vertraut sein, damit er den Beratungs- und Kontrollaufgaben nachkommen kann.

Neben dem Fachwissen ist auch die Zuverlässigkeit des Datenschutzbeauftragten eine wichtige Voraussetzung. Hierbei ist darauf zu achten, dass bei der Ausübung der Tätigkeit als Datenschutzbeauftragter kein Interessenkonflikt mit dem eigentlichen Aufgabenbereich im Unternehmen entsteht. Es gilt das Grundprinzip, dass die zu Kontrollierenden nicht selbst die Kontrolle ausüben dürfen.

Welche konkreten Aufgabenbereiche umfasst die Arbeit des Datenschutzbeauftragten?

Die Mindestaufgaben des Datenschutzbeauftragten umfassen die folgenden Tätigkeiten:

  • Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, die Verarbeitungen durchführen hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten;
  • Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängende Fragen.
  • Ansprechpartner für Betroffene in allen Fragen zur Verarbeitung Ihrer personenbezogenen Daten.

Zu beachten ist hierbei noch einmal, dass es sich dabei nicht um eine abschließende Auflistung handelt, sondern ausdrücklich um die „Mindestanforderungen“, die ein Datenschutzbeauftragter erfüllen muss.

Interner oder externer Datenschutzbeauftragter?

Bleibt abschließend zu klären, ob ein Unternehmen einen internen oder externen Datenschutzbeauftragten ernennt. Grundsätzlich ist es gleichgültig, ob sich der Verantwortliche für die interne oder externe Lösung entscheidet. Allerdings gibt es gerade für die Bestellung eines externen Datenschutzbeauftragten nicht zu unterschätzende Argumente.

So ist der Vorteil eines internen Datenschutzbeauftragten der, dass dieser das Unternehmen sowie die Geschäftsabläufe und die verantwortlichen Personen kennt. Allerdings fallen für Fort- und Weiterbildungen immer wieder erhebliche Kosten an und auch die Kosten für bereitzustellende Literatur ist nicht zu unterschätzen.

Zusätzlich kann der Mitarbeiter nicht mehr vollends seiner eigentlichen Arbeit nachgehen, sondern muss sich auch in ausreichendem Maße um die Aufgaben als Datenschutzbeauftragter kümmern. Und auch die Möglichkeit, sich ggf. von dem Mitarbeiter zu trennen, wird noch einmal deutlich erschwert. Sobald der Mitarbeiter die Position des Datenschutzbeauftragten angenommen hat, profitiert dieser von einem besonderen Kündigungsschutz, sofern die Bestellung verpflichtend ist. Bei einer freiwilligen Benennung eines Datenschutzbeauftragten besteht solch ein besonderer Kündigungsschutz allerdings nicht.

Dem gegenüber bietet die Bestellung eines externen Datenschutzbeauftragten den Vorteil, dass dieser objektiv auf das Unternehmen blicken kann. Auch bringt der externe Datenschutzbeauftragte eine größere Fachkunde und mehr Erfahrung mit und kümmert sich selbstständig um notwendige Fort- und Weiterbildungen. Und auch ein besonderer Kündigungsschutz besteht im Falle eines externen Datenschutzbeauftragten nicht.

Sollten Sie Interesse an der Bestellung eines externen Datenschutzbeauftragten haben, kontaktieren Sie uns. Wir beraten Sie gern in allen Fragen rund um das Thema Datenschutz

+49 (0) 25 06 / 93 20 600 • info@katlex.de • https://katlex.de