logo lineofbiz

Bestellung eines DatenschutzbeauftragtenWer muss einen Datenschutzbeauftragten bestellen?

22. Februar 2019
fotolia s fotofuchs
Quelle: Fotolia.com | Fotofuchs

Seit Mai letzten Jahres gilt für Unternehmen innerhalb der EU die Datenschutzgrundverordnung (EU-DSGVO) verpflichtend. Für viele neu ist dabei die Bestellung eines Datenschutzbeauftragten. „In zahlreichen Gesprächen mit Führungspersonen verschiedenster Branchen bemerken wir, dass noch immer recht hohe Unklarheit herrscht, ob das Unternehmen tatsächlich verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und ob diese Person dann aus dem eigenen Unternehmen kommen darf“, macht Christian Heutger, Geschäftsführer der PSW GROUP Consulting, auf eine Problematik aus der Unternehmenspraxis aufmerksam.

Grundsätzlich müssen Unternehmen, die personenbezogene Daten geschäftsmäßig erheben, übermitteln, verarbeiten oder nutzen einen Datenschutzbeauftragten bestellen. Davon abgesehen, hängt gemäß Neufassung des Bundesdatenschutzgesetzes die Bestellung eines Datenschutzbeauftragten vom Ausmaß der Datenverarbeitung ab: Sind mindestens zehn Mitarbeiter mit der regelmäßigen automatisierten Datenverarbeitung, also der Erhebung und Nutzung von Daten, beschäftigt, müssen Unternehmen einen Datenschutzbeauftragten bestellen.

„Unabhängig von der Anzahl der Mitarbeiter, die mit der Datenverarbeitung beschäftigt ist, besteht auch dann eine Pflicht zur Bestellung des Datenschutzbeauftragten, wenn besondere Kategorien von personenbezogenen Daten verarbeitet werden. Dazu gehören etwa Informationen über die ethnische Herkunft, die Rasse, die religiöse Überzeugung, die politische Meinung, über Gewerkschaftszugehörigkeiten, aber auch über Gesundheit oder Sexualleben einer Person“, betont Heutger. Trifft auch nur eines dieser Kriterien auf eine Organisation zu, so ist die Geschäftsleitung oder eine Führungskraft mit Prokura verpflichtet, einen Datenschutzbeauftragten zu bestellen. Dafür jedoch muss eine geeignete Person gefunden werden.

Scharfes Anforderungsprofil

„Die Tätigkeiten eines betrieblichen Datenschutzbeauftragten sind anspruchsvoll. Deshalb muss diese Person mindestens drei Anforderungen erfüllen. Zunächst muss sie über die fachliche Eignung verfügen, also umfassende Fachkunde im Datenschutz besitzen. Daneben muss er Einblick in sämtliche entscheidenden Prozesse und Bereiche der Organisation erhalten und diese verstehen. Und da der Datenschutzbeauftragte mit vielen Ebenen kommuniziert, ist auch eine angemessene Kommunikationsfähigkeit notwendig“, so Christian Heutger.

crew heutger
Christian Heutger, Geschäftsführer der PSW Group Consulting; Quelle: PSW Group

Um seinen Datenschutzaufgaben nachkommen zu können, muss der Datenschutzbeauftragte außerdem von seinen eigentlichen Aufgaben freigestellt werden. Unternehmen, die das nicht stemmen können, haben alternativ die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen. Dieser ist als technisch und juristisch versierter Experte dafür zuständig, die Geschäftsführung in allen Belangen des Datenschutzes zu beraten, die Mitarbeiter entsprechend zu schulen sowie die technische und organisatorische Umsetzung des Datenschutzes im Unternehmen zu kontrollieren.

Christian Heutger benennt einige Vorteile: „Ein externer Datenschutzbeauftragter bringt einen Überblick zur marktüblichen Umsetzung mit. In der Regel ist diese Person qualifizierter und in ihrer Arbeit effizienter, bringt alle erforderlichen Arbeitsmittel mit und kann auf bestehende Unterlagen und Konzepte zurückgreifen. Nicht unterschätzt werden darf auch das enorme Know-how, welches in das Unternehmen eingebracht wird, denn externe Datenschutzbeauftragte verfügen über juristische Erfahrung und technische Kenntnisse.“

Eine Frage des Vertrauens

Da er von der Geschäftsführung beauftragt wird, wird dem externen Datenschutzbeauftragten außerdem in aller Regel großes Vertrauen im Unternehmen entgegengebracht: Es besteht kein Konkurrenzverhältnis, sodass externe Datenschutzbeauftragte oft schnellere und qualifiziertere Antworten erhalten. Vielfach stößt ein externer Datenschutzbeauftragte zudem auf bessere Akzeptanz bei Betriebsräten. Doch Vorsicht: Nicht nur eine fehlende, sondern sogar eine fehlerhafte Bestellung bzw. Benennung eines Datenschutzbeauftragten kann zu einem Bußgeld führen.

Deshalb sollten Unternehmen darauf achten, den Datenschutzbeauftragten unbedingt formell wirksam zu bestellen. Die Schriftform ist dabei Pflicht, wobei die Bestellungsurkunde sowohl vom Unternehmen als auch dem Datenschutzbeauftragten unterzeichnet werden muss. „Die Benennung des Datenschutzbeauftragten darf nicht Teil einer anderen Vereinbarung oder eines bereits bestehenden Vertrags sein. Enthalten muss die Benennung die Aufgabenbeschreibung, die präzise organisatorische Stellung sowie die Verpflichtung des Unternehmens, die Arbeit des Datenschutzbeauftragten durch personelle sowie materielle Unterstützung zu ermöglichen“, ergänzt Heutger. (rhh)

Weitere Informationen auf dem PSW-Blog

Lesen Sie auch

DSGVO, GDPR General data protection regulation european law cyber security personal information privacy concept

Es bleibt schwierig im Datenuniversum

adobestock lob mq illustrations

Kommunikationslösungen sicher hosten – aber wie?

adobestock lob korzewiak

Digitale Souveränität in der Cloud erreichen