Der Datenschutzbeauftragte in der Praxis

Rechtsanwalt Veit Reichert Datenschutzrecht

iStock.com/baona

Viele Unternehmen wissen, dass ein Datenschutzbeauftragter Pflicht ist. Doch wo und wie beginnen? Wen sollten Sie nehmen? Was sollte er können und welche Aufgaben hat er? Wir sortieren Ihre Fragen und geben Ihnen Ratschläge, wie Sie weiter vorgehen sollten.

Brauche ich im Unternehmen einen Datenschutzbeauftragten?

Unabhängig von der Anzahl der Mitarbeiter des Unternehmens ist ein Datenschutzbeauftragter Pflicht, wenn

  • personenbezogene Daten verarbeitet werden, für die eine Datenschutz-Folgenabschätzung nötig ist. Dies sind besonders sensible Daten oder wenn ein hohes Risiko für Betroffene besteht, falls die Angaben missbraucht werden, bspw. Daten zur ethnischen Herkunft, sexuellen Orientierung, religiösen Überzeugung, Gesundheitsdaten oder bei einer (zumindest teilweisen) Videoüberwachung des Betriebes oder
  • personenbezogene Daten an Dritte übermittelt werden, z.B. beim Adresshandel, oder zu Markt- und Meinungsforschungszwecken verarbeitet.

Ein Datenschutzbeauftragter ist aber auf jeden Fall Pflicht, wenn regelmäßig mehr als zehn Mitarbeiter personenbezogene Daten automatisiert verarbeiten. Aber Vorsicht: Anders als im Arbeitsrecht werden Teilzeitkräfte nicht anteilig angerechnet, vielmehr zählt jeder Mitarbeiter unabhängig von seiner Stundenzahl oder der Häufigkeit der Verarbeitung.

Was muss der Datenschutzbeauftragte tun?

Der Datenschutzbeauftragte hat darauf zu achten, dass im Unternehmen alle Datenschutzvorschriften eingehalten werden.

Er berät die Verantwortlichen im Unternehmen, trifft jedoch keine eigenen Entscheidungen. Er schult die Mitarbeiter und hilft bei konkreten Fragen zum Datenschutz. Und er ist Ansprechpartner der Landesdatenschutzbehörde und hilft bei Fragen und der Aufklärung datenschutzrechtlicher Sachverhalte.

Der Datenschutzbeauftragte ist zusätzlich auch Ansprechpartner für die Personen, deren Daten im Unternehmen gespeichert werden. Dazu sollten die Mitarbeiter darauf achten, dass solche Anfragen Betroffener auch den Datenschutzbeauftragten erreichen.

Ist das Unternehmen verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, berät und überwacht er auch dabei.

Wer ernennt den Datenschutzbeauftragten?

Die Geschäftsführung, wobei dies nicht schriftlich erfolgen muss, aber zu Beweiszwecken schriftlich erfolgen sollte.

Wen sollte ich als Datenschutzbeauftragten einsetzen?

Denjenigen, der bereit ist, sich das Fachwissen anzueignen, und der keinem Interessenkonflikt unterliegt. Bitte niemanden aus der Geschäfts- oder Abteilungsleitung, wenn deren Tätigkeit auch überwacht werden muss oder solche Personen Entscheidungen treffen dürfen, die sich auf die IT und den Datenschutz auswirken.

Muss der Datenschutzbeauftragte ein Jurist sein?

Nein. Er sollte Fachkenntnisse und ein juristisches Verständnis mitbringen und die Fähigkeit, sich in den Bereich „IT“ und „Datenschutz“ einzuarbeiten. Er muss aber kein Jurist sein.

Je spezieller Ihre Branche und die bei Ihnen verwendete Software ist, umso wichtiger ist das Wissen um Ihre Geschäftsprozesse und Systeme bei dem Datenschutzbeauftragten – gerade bei externen Datenschutzbeauftragten ist die interne erforderliche Zuarbeit durch eigene Mitarbeiter manchmal immens.

Sorgen Sie also durch stetige Fortbildungen und Schulungen dafür, dass Ihr Datenschutzbeauftragter immer auf dem aktuellen Stand ist – dann können Sie bei Bußgeldverfahren der Behörde auch eher nachweisen, dass der Vorwurf ein Ausrutscher war, denn Sie haben schließlich einen guten und erfahrenen Datenschutzbeauftragten.

Nehme ich also einen internen oder externen Datenschutzbeauftragter?

Wie so oft hängt dies von vielen Faktoren ab, die bei jedem Unternehmen unterschiedlich sein können.

Ein interner Datenschutzbeauftragter kennt die Geschäftsprozesse im Unternehmen und ist – meist – verfügbar. Als Arbeitnehmer hat er aber Haftungserleichterungen gegenüber dem Unternehmen, muss sich Fachwissen oft erst aneignen und es treten eher Interessenkonflikte auf. Ein externer Datenschutzbeauftragter muss sich erst in die Abläufe im Unternehmen einarbeiten, benötigt oft sogar noch Unterstützung oder Zuarbeit durch weitere interne Mitarbeiter, haftet aber – je nach Vertrag – schon auch bei Fahrlässigkeit.

Hat der interne Datenschutzbeauftragte in meinem Unternehmen eine Sonderstellung?

Ja. Der Datenschutzbeauftragte darf wegen seiner Tätigkeit nicht benachteiligt und nicht grundlos wieder abberufen werden. Es ist jedoch möglich, den Datenschutzbeauftragten befristet zu benennen.

Zusätzlich genießt der Datenschutzbeauftragten Kündigungsschutz, d.h. er darf nur bei Vorliegen eines wirksamen Grundes fristlos gekündigt werden.

Und was muss ich ab dem 25. Mai 2018 bei dem Datenschutzbeauftragten zusätzlich beachten?

Bitte veröffentlichen Sie die Kontaktdaten Ihres Datenschutzbeauftragten auch auf Ihrer Website und teilen diese Daten auch der Landesdatenschutzbehörde mit.

Der Datenschutzbeauftragte soll das Unternehmen nun auch überwachen, nicht mehr nur beraten. Im Zweifel sollte er also öfter nachhaken.

Als Unternehmensgruppe dürfen Sie einen gemeinsamen Datenschutzbeauftragten haben, wenn er von jeder Niederlassung aus leicht erreichbar ist.

Und was soll ich nun tun?

Stellen Sie für Ihr Unternehmen zunächst fest, ob Sie einen Datenschutzbeauftragten einsetzen müssen.

Sprechen Sie mit einem geeigneten Mitarbeiter, der Ihr Unternehmen, Ihre Abläufe und Geschäftsprozesse kennt, dass er zukünftig einen Datenschutzbeauftragten unterstützen soll. Vielleicht ist dieser Mitarbeiter sogar selbst als interner Datenschutzbeauftragter geeignet und willens?

Lassen Sie sich Angebote diverser externer Anbieter geben – unterscheiden Sie zwischen dem (günstigen) Einzelkämpfer, dem für Ihrer Branche spezialisierten Zwei-Mann-Berater, der nun auch Datenschutz im Angebot hat, und dem Full-Service-Anbieter, der immer Stellvertretungen sicherstellt, einen Juristen im Haus hat und eine hervorragende Berufshaftpflichtversicherung. Jeder dieser Anbieter hat für Ihr Unternehmen Vor- und Nachteile. Gehen Sie davon aus, dass Sie zunächst für eine Erstimplementierung und danach jährlich fortlaufende Beiträge zahlen werden.

Achten Sie genau auf die Formulierung der Haftung in dem Vertrag mit einem externen Datenschutzbeauftragten.

Sollten Sie sich für einen internen Datenschutzbeauftragten entscheiden, fixieren Sie die Fortbildungspflichten und vereinbaren Sie zunächst eine befristete Benennung.

Wir helfen Ihnen bei Fragen zum Datenschutzrecht gerne weiter.