Datenschutzbeauftragung

Für wen gilt die Benennungspflicht?

Nach Art. 37 DSGVO und in Ergänzung dazu § 38 BDSG ist die Benennung eines Datenschutzbeauftragten Pflicht, wenn mindestens zwanzig Mitarbeiter (Angestellte, freie Mitarbeiter, Praktikanten, Teilzeitkräfte…) ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Doch auch kleine Unternehmen sind häufig zur Benennung eines Datenschutzbeauftragten verpflichtet.

DSB-Benennung hängt nicht nur von der Mitarbeiterzahl ab

Je nach Art, Umfang und/oder Zweck der Verarbeitung ist die Benennung eines Datenschutzbeauftragten notwendig. So muss jede Organisation, deren „Kerntätigkeit“ darin besteht, besondere Kategorien von Daten zu verarbeiten, einen Datenschutzbeauftragten benennen. Hierzu gehört beispielsweise die Verarbeitung von Gesundheitsdaten. Nur Arztpraxen oder medizinische Einrichtungen, in denen weniger als 10 Personen mit Gesundheitsdaten arbeiten, müssen keinen Datenschutzbeauftragten benennen.

Generell ist ein DSB zu benennen, wenn Verarbeitungen vorgenommen werden, die zur Pflicht führen, eine Datenschutz-Folgenabschätzung vorzunehmen. Außerdem muss jede Behörde oder öffentliche Stelle, die personenbezogene Daten verarbeitet – mit Ausnahme von Gerichten ­– einen Datenschutzbeauftragten benennen.

Benennung eines externen Datenschutzbeauftragten

Organisationen oder Vereine, die nicht verpflichtet sind, einen Datenschutzbeauftragten zu benennen, können dies freiwillig tun. Die freiwillige Benennung des DSB schafft in vielen Fällen Vertrauen bei Kunden oder Mitgliedern und entlastet nebenbei die Geschäftsführung.

Ist ein betrieblicher Datenschutzbeauftragter nicht verfügbar, dann ist ein externer Datenschutzbeauftragter oft eine gute Lösung. Dieser bringt bereits Fachwissen, Erfahrung und Kompetenzen für die Tätigkeit mit, Weiterbildungskosten werden so gespart, die Freistellung eines produktiven Mitarbeiters ist nicht nötig. Auch ist eine bessere Absicherung bezüglich der Haftung gegeben.

Ein externer Datenschutzbeauftragter ist unabhängig, da er nicht in bestimmte Unternehmensbereiche involviert ist und Interessenskonflikte so nicht entstehen können. Im Gegensatz zum betrieblichen ist der externe DSB durch einen Vertrag verpflichtet, der unter Beachtung der vereinbarten Kündigungsfristen aufgelöst werden kann.

Vor- und Nachteile eines betrieblichen und eines externen Datenschutzbeauftragten

Datenschutzbeauftragter betrieblich

Datenschutzbeauftragter extern

Kosten für Weiterbildung und regelmäßige Fortbildungen trägt das Unternehmen

Fortbildungskosten trägt der Datenschutzbeauftragte selbst

Mitarbeiter kann nur aus „wichtigem Grund“ abberufen werden und genießt umfassenden Kündigungsschutz

Benennung widerrufbar, vertragliche Kündigung mit Einhaltung der Kündigungsfristen möglich

Kennt sich mit Abläufen im Unternehmen besser aus, jedoch Interessenskonflikt möglich

Kennt interne Abläufe im Unternehmen weniger gut, daher kein Interessenskonflikt

Umfang der Tätigkeit bei weiteren Aufgaben des Datenschutzbeauftragten oft unklar, Datenschutztätigkeit und andere Aufgaben stehen in Konkurrenz

Umfang und Kosten der Tätigkeit vertraglich genau festgelegt

Kein Versicherungsschutz, Verantwortlichkeit im Unternehmen

Umfangreicher Versicherungsschutz gegenüber Unternehmen

 

Aufgaben des/der Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten umfassen

  • Beratung des Verantwortlichen und ggfs. des Auftragsverarbeiters zu den Pflichten nach der DSGVO

  • Unterrichtung und Beratung von Beschäftigten hinsichtlich ihrer Pflichten nach den geltenden Datenschutzvorschriften

  • die Überwachung der Einhaltung der Vorschriften laut DSGVO

  • Kommunikation mit der Aufsichtsbehörde

  • Anlaufstelle für die Aufsichtsbehörde

  • ggfs. Beratung zur Durchführung der Datenschutz-Folgenabschätzung

Sie benötigen einen externen Datenschutzbeauftragten oder möchten sich über Beratungsmöglichkeiten informieren?

Sprechen Sie uns an! Wir helfen Ihnen gerne persönlich weiter.