Datenschutzbeauftragter

Ein Datenschutzbeauftragter (DSB) ist Fachmann und Berater in allen Fragen des Datenschutzes. Seine Aufgabe ist es, dafür Sorge zu tragen, dass die datenschutzrechtlichen Vorschriften zur Verarbeitung personenbezogener Daten eingehalten werden. Ein Datenschutzbeauftragter informiert, berät und unterstützt die Geschäftsführung bei der Umsetzung des Datenschutzrechts in ihrem Unternehmen.

Wichtig ist dabei, dass der Datenschutzbeauftragte über keinerlei Weisungsbefugnis verfügt, sondern der Geschäftsführung lediglich beratend zur Seite steht, sie über Pflichten und Risiken aufklärt sowie Vorschläge zur Beseitigung von Missständen unterbreitet. Die Verantwortung und Entscheidung, ob Empfehlungen umgesetzt werden oder nicht, liegt allein bei der Geschäftsführung und kann auch nicht delegiert werden. Ausschließlich die Geschäftsführung trifft die Pflicht, die Anforderungen der DS-GVO und anderer Datenschutzvorschriften zu erfüllen. Unterstützt wird sie dabei vom Datenschutzbeauftragten.

Vielfältige Aufgaben des Datenschutzbeauftragten

Um seiner Position gerecht zu werden, muss ein Datenschutzbeauftragter ein breites Spektrum an Aufgaben erfüllen. Er hat

  • die Datenschutzsituation im Unternehmen aktiv zu prüfen und zu überwachen.
  • die Geschäftsführung über ihre Pflichten aufzuklären.
  • notwendige Handlungsbedarfe aufzuzeigen und entsprechende Vorschläge für erforderliche Maßnahmen zu unterbreiten.
  • die Geschäftsführung bei ihren datenschutzrechtlichen Aufgaben wie der Erstellung des Verfahrensverzeichnisses, der Prüfung von Auftragsverarbeitungsvereinbarungen (AVV) oder der Durchführung einer Datenschutzfolgenabschätzung beratend zu unterstützen.
  • Mitarbeiter datenschutzrechtlich zu schulen und zu sensibilisieren.
  • mit der Aufsichtsbehörde zusammenzuarbeiten.
  • als direkte Anlaufstelle für betroffene Personen zur Verfügung zu stehen.
  • alle erlangten Kenntnisse vertraulich zu behandeln und muss seiner Verschwiegenheitspflicht auch gegenüber Betroffenen nachkommen.

Rechte eines Datenschutzbeauftragten

Damit gewährleistet ist, dass ein Datenschutzbeauftragter diesen Pflichten nachkommen kann, stehen ihm ebenfalls einige Rechte zu. Der Datenschutzbeauftragte ist zwar der Geschäftsführung direkt unterstellt, muss seine Funktion allerdings weisungsfrei erfüllen können, unabhängig davon, ob es sich um einen Mitarbeiter (interner Datenschutzbeauftragter) oder einen externen Dienstleister (externer Datenschutzbeauftragter) handelt. Zudem hat ein Datenschutzbeauftragter gegenüber der Geschäftsführung ein unmittelbares Vortragsrecht, das nicht eingeschränkt werden kann. Um seine Aufgaben erfüllen zu können, muss der Datenschutzbeauftragte verpflichtend frühzeitig in alle Prozesse und Fragen eingebunden werden, bei denen personenbezogene Daten verarbeitet werden, und ihm müssen alle notwendigen Informationen zur Verfügung stehen. Außerdem muss vor allem ein interner Datenschutzbeauftragter auf Verlangen mit Hilfspersonal, Räumen, Einrichtungen und Arbeitsmitteln unterstützt werden. Er ist im Bereich des Datenschutzes regelmäßig weiterzubilden, um sicherzustellen, dass er stets auf dem aktuellen Stand ist und seinen Pflichten ordnungsgemäß nachkommen kann.

Datenschutzbeauftragter – wann muss er bestellt werden?

Die gesetzliche Pflicht, einen Datenschutzbeauftragten zu bestellen, besteht für Unternehmen in drei Fällen. Zum einen ist gemäß Art. 38 Abs. 1 BDSG ein Datenschutzbeauftragter zu bestellen, wenn mehr als zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, das heißt, Zugriff auf diese haben. Nach Art. 37 Abs. 1 lit. b) DS-GVO ist zudem ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit des Unternehmens eine umfangreiche regelmäßige und systematische Überwachung erfordert, das heißt, eindeutig jede Form der Verfolgung und Profilerstreckung im Internet (Erwägungsgrund 24 der DS-GVO). Allerdings beschränkt sich der Begriff nicht auf die Überwachung der Online-Umgebung. Laut der Europäischen Kommission können auch andere Tätigkeiten wie der Betrieb von Telekommunikationsnetzen, das Anbieten von Telekommunikationsleistungen, verfolgende E-Mail-Werbung, Treueprogramme, verhaltensbasierte Werbung und Überwachungskameras oder vernetzte Geräte eine regelmäßige und systematische Überwachung darstellen. Zum Dritten ist ein Datenschutzbeauftragter zu bestellen, wenn besondere Kategorien von personenbezogenen Daten gemäß Art. 9 DS-GVO oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO verarbeitet werden.