Was ist ein Datenschutzbeauftragter und muss unser Unternehmen jemanden dazu ernennen?

Zurück zur Übersicht
von Ramona Courvoisier

Das Schreckgespenst DSGVO hat Unternehmen im Jahr 2018 ganz schön auf Trab gebracht. Obwohl die neuen Regelungen bereits zwei Jahre zuvor verabschiedet worden waren, schienen die Deutschen mehrheitlich eiskalt von den am 25. Mai 2018 in Kraft getretenen Änderungen erwischt worden zu sein. Auch Datenschutzbeauftragte zu benennen, war bereits vor der DSGVO für viele Unternehmen verpflichtend. Mit den neuen gesetzlichen Regelungen wird der Kreis der betroffenen Betriebe jedoch deutlich ausgeweitet. Wichtig dabei: Jedes Unternehmen muss selbst klären, ob es der Bestellpflicht unterliegt. Wir erläutern, ob auch Ihr Team betroffen sein könnte.

Digitales & Diverses

Welche Aufgaben übernehmen Datenschutzbeauftragte?

Der oder die Datenschutzbeauftragte ist dafür zuständig, im Unternehmen auf die Einhaltung aller gesetzlichen Vorschriften zum Schutz personenbezogener Daten hinzuarbeiten. Er analysiert und kontrolliert das Datenschutzniveau und unterbreitet allen Abteilungen Verbesserungsvorschläge, die den Umgang mit personenbezogenen Daten betreffen. Je nach Tätigkeitsbereich des Unternehmens variieren dabei die konkreten Aufgaben von Datenschutzbeauftragten. Zu ihren typischen Arbeitsgebieten zählen beispielsweise die Bearbeitung von Auskunftsersuchen betroffener Personen, die Überprüfung der Auftragsdatenverarbeitung, die Vorabprüfung von Datennutzung für Marketingzwecke oder die Kontrolle der Datenübermittlung in Nicht-EU-Staaten. Datenschutzbeauftragte sind allerdings selbst nicht weisungsbefugt und können der Geschäftsleitung daher lediglich Vorschläge und Empfehlungen unterbreiten. Für Verstöße haftet folglich auch weiterhin die Unternehmensführung. Dies gilt selbst dann, wenn dem Datenschutzbeauftragten in seiner beratenden Funktion ein Fehler unterläuft.

Foto: CC0 1.0, Pixabay User Free-Photos | Ausschnitt angepasst

Was sind personenbezogene Daten?

Unter personenbezogenen Daten versteht man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine Person gilt immer dann als identifizierbar, wenn sie durch einen Namen, eine Personalnummer oder andere besondere Merkmale festgestellt werden kann. Im Unternehmen handelt es sich bei personenbezogenen Daten in der Regel um Informationen, die Mitarbeiter und Kunden betreffen. Konkrete Beispiele für solche Daten sind

  • Namen, Adressdaten, Telefonnummern, …
  • Kontonummern, Rechnungsnummern, Kundennummern,…
  • Alter, Familienstand, Geburtsdatum, …

Innerhalb der Gruppe der personenbezogenen Daten gibt es zudem noch die Kategorie der sensiblen Daten, die ein erhöhtes Schutzniveau genießen. Dazu gehören unter anderem

  • genetische und biometrische Daten
  • Gesundheitsdaten
  • Daten zu religiösen oder politischen Ansichten

Wann muss ein Unternehmen einen Datenschutzbeauftragten bestellen?

Die DSGVO und das aktualisierte Bundesdatenschutzgesetz (BDSG-neu) schreiben eine verpflichtende Bestellung eines Datenschutzbeauftragten vor, sofern

  1. im Unternehmen mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Als automatisierte Verarbeitung gilt bereits die Durchführung der Arbeit am PC. Teilzeitkräfte, Praktikanten oder freie Mitarbeiter werden prinzipiell mitgezählt.
  2. das Unternehmen besonders sensible Daten verarbeitet. Dies können beispielsweise Gesundheitsdaten, biometrische Daten oder Daten zu Religionszugehörigkeiten sein.
  3. die Kerntätigkeit des Unternehmens darin besteht, umfangreich, regelmäßig und systematisch große Mengen personenbezogener Daten zu verarbeiten.
  4. die DSGVO das Unternehmen laut Art. 35 zur Durchführung einer Datenschutzfolgeabschätzung verpflichtet.
  5. ein Unternehmen geschäftsmäßig personenbezogene Daten verarbeitet, übermittelt oder Daten zum Zwecke der Markt- und Meinungsforschung erhebt.

Wichtig: Jedes Unternehmen muss selbst klären, ob es einen Datenschutzbeauftragten bestellen muss. Erfolgt trotz gesetzlicher Verpflichtung keine Bestellung, stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße geahndet werden kann.

Welche Mitarbeiter können Datenschutzbeauftragte werden?

Datenschutzbeauftragte können grundsätzlich jede Mitarbeiterin und jeder Mitarbeiter im Unternehmen werden. Weder die DSGVO noch das BDSG-neu sehen fest definierte Ausbildungswege vor, um diesen Posten zu bekleiden. Die Datenschutzbeauftragten müssen jedoch ihr Fachwissen nachweisen können. Dies kann beispielsweise durch den Besuch einer relevanten Fortbildung passieren. Bei der Bestellung eines betrieblichen Datenschutzbeauftragten muss die Unternehmensführung außerdem darauf achten, dass die gewählte Person keinen Interessenkonflikten unterliegt. Der Geschäftsführer kann daher nicht zugleich auch der Datenschutzbeauftragte eines Unternehmens werden. Alternativ zum betrieblichen Datenschutzbeauftragten kann auch ein externer Datenschutzbeauftragter bestellt werden.

Dieser Artikel ersetzt keine Rechtsberatung. Bei konkreten Fragen wenden Sie sich bitte in jedem Fall an einen Fachanwalt.