Datenschutzbeauftragter

Pflicht zur Benennung


Die Pflicht zur Benennung eines Datenschutzbeauftragten ist in Art. 37 ff. DS-GVO sowie § 38 BDSG geregelt. Nach der DS-GVO besteht eine Verpflichtung für Unternehmen, wenn die Kerntätigkeit in einer umfangreichen, regelmäßigen und systematischen Überwachung von betroffenen Personen oder umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.

Das BDSG in neuer Fassung erweitert die Pflicht derart, dass ein Datenschutzbeauftragter dann zu benennen ist, soweit i.d.R. mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Anzahl der mit Verarbeitung beschäftigen Personen besteht die Pflicht zur Benennung bei Vornahme von Verarbeitungen, die einer Datenschutz-Folgenabschätzung (DSFA) unterliegen oder einer geschäftsmäßigen Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke Markt- und Meinungsforschung.

Auch wenn keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, ist die freiwillige Einrichtung dieser Funktion zweckmäßig aufgrund der sich aus den aktuellen Datenschutzgesetzen ergebenden hohen Anforderungen.

Anforderungen an den Datenschutzbeauftragten


Eine Benennung zum Datenschutzbeauftragten darf nur erfolgen, wenn die entsprechenden fachlichen und persönlichen Voraussetzungen vorliegen.

Zu den fachlichen Voraussetzungen gehören insbesondere ausreichendes Wissen zum Datenschutzrecht sowie technische Grundkenntnisse zur Informations- und Kommunikationstechnologie. Weiterhin sollten gesicherte Einsichten in die Unternehmensorganisation sowie -prozesse vorliegen, im Idealfall bezogen auf eine Branche oder spezielle Einsatzbereiche in Unternehmen.

Darüber hinaus muss die Bereitschaft zur laufenden Fortbildung hinsichtlich der neuesten datenschutzrechtlichen Rahmenbedingungen gegeben sein. Dies bezieht insbesondere gesetzliche Änderungen und die aktuelle Rechtsprechung zum Datenschutz sowie neue technische Entwicklungen ein. Persönliche Voraussetzungen sollten insbesondere hinsichtlich Integrität, Zuverlässigkeit sowie Beratungskompetenz vorliegen.

Damit der Datenschutzbeauftragte seine Aufgaben gesetzeskonform wahrnehmen kann, muss er in seiner Entscheidung und Bewertung von Sachverhalten unabhängig sein und darf keinen Interessenskonflikten unterliegen.

Aufgaben des  Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten lassen sich gemäß Art. 39 der DS-GVO wie folgt skizzieren:
  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der Verordnung und sonstigen Datenschutzvorschriften
  • Überwachung der Einhaltung dieser Verordnung und anderer Datenschutzvorschriften (inkl. Sensibilisierung und Schulung von Mitarbeitern)
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
  • Zusammenarbeit mit bzw. Anlaufstelle für Aufsichtsbehörde