Für wen gilt die Benennungspflicht?
Nach Art. 37 DSGVO und in Ergänzung dazu § 38 BDSG ist die Benennung eines Datenschutzbeauftragten Pflicht, wenn mindestens zwanzig Mitarbeiter (Angestellte, freie Mitarbeiter, Praktikanten, Teilzeitkräfte…) ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Doch auch kleine Unternehmen sind häufig zur Benennung eines Datenschutzbeauftragten verpflichtet.
DSB-Benennung hängt nicht nur von der Mitarbeiterzahl ab
Je nach Art, Umfang und/oder Zweck der Verarbeitung ist die Benennung eines Datenschutzbeauftragten notwendig. So muss jede Organisation, deren „Kerntätigkeit“ darin besteht, besondere Kategorien von Daten zu verarbeiten, einen Datenschutzbeauftragten benennen. Hierzu gehört beispielsweise die Verarbeitung von Gesundheitsdaten. Nur Arztpraxen oder medizinische Einrichtungen, in denen weniger als 10 Personen mit Gesundheitsdaten arbeiten, müssen keinen Datenschutzbeauftragten benennen.
Generell ist ein DSB zu benennen, wenn Verarbeitungen vorgenommen werden, die zur Pflicht führen, eine Datenschutz-Folgenabschätzung vorzunehmen. Außerdem muss jede Behörde oder öffentliche Stelle, die personenbezogene Daten verarbeitet – mit Ausnahme von Gerichten – einen Datenschutzbeauftragten benennen.
Benennung eines externen Datenschutzbeauftragten
Organisationen oder Vereine, die nicht verpflichtet sind, einen Datenschutzbeauftragten zu benennen, können dies freiwillig tun. Die freiwillige Benennung des DSB schafft in vielen Fällen Vertrauen bei Kunden oder Mitgliedern und entlastet nebenbei die Geschäftsführung.
Ist ein betrieblicher Datenschutzbeauftragter nicht verfügbar, dann ist ein externer Datenschutzbeauftragter oft eine gute Lösung. Dieser bringt bereits Fachwissen, Erfahrung und Kompetenzen für die Tätigkeit mit, Weiterbildungskosten werden so gespart, die Freistellung eines produktiven Mitarbeiters ist nicht nötig. Auch ist eine bessere Absicherung bezüglich der Haftung gegeben.
Ein externer Datenschutzbeauftragter ist unabhängig, da er nicht in bestimmte Unternehmensbereiche involviert ist und Interessenskonflikte so nicht entstehen können. Im Gegensatz zum betrieblichen ist der externe DSB durch einen Vertrag verpflichtet, der unter Beachtung der vereinbarten Kündigungsfristen aufgelöst werden kann.
Vor- und Nachteile eines betrieblichen und eines externen Datenschutzbeauftragten
Datenschutzbeauftragter betrieblich | Datenschutzbeauftragter extern |
Kosten für Weiterbildung und regelmäßige Fortbildungen trägt das Unternehmen | Fortbildungskosten trägt der Datenschutzbeauftragte selbst |
Mitarbeiter kann nur aus „wichtigem Grund“ abberufen werden und genießt umfassenden Kündigungsschutz | Benennung widerrufbar, vertragliche Kündigung mit Einhaltung der Kündigungsfristen möglich |
Kennt sich mit Abläufen im Unternehmen besser aus, jedoch Interessenskonflikt möglich | Kennt interne Abläufe im Unternehmen weniger gut, daher kein Interessenskonflikt |
Umfang der Tätigkeit bei weiteren Aufgaben des Datenschutzbeauftragten oft unklar, Datenschutztätigkeit und andere Aufgaben stehen in Konkurrenz | Umfang und Kosten der Tätigkeit vertraglich genau festgelegt |
Kein Versicherungsschutz, Verantwortlichkeit im Unternehmen | Umfangreicher Versicherungsschutz gegenüber Unternehmen |
Aufgaben des/der Datenschutzbeauftragten
Die Aufgaben des Datenschutzbeauftragten umfassen
Beratung des Verantwortlichen und ggfs. des Auftragsverarbeiters zu den Pflichten nach der DSGVO
Unterrichtung und Beratung von Beschäftigten hinsichtlich ihrer Pflichten nach den geltenden Datenschutzvorschriften
die Überwachung der Einhaltung der Vorschriften laut DSGVO
Kommunikation mit der Aufsichtsbehörde
Anlaufstelle für die Aufsichtsbehörde
ggfs. Beratung zur Durchführung der Datenschutz-Folgenabschätzung
Sie benötigen einen externen Datenschutzbeauftragten oder möchten sich über Beratungsmöglichkeiten informieren?
Sprechen Sie uns an! Wir helfen Ihnen gerne persönlich weiter.