Welche Rolle hat künftig der Datenschutzbeauftragte?

Die EU bereitet eines der größten Gesetzgebungsverfahren in ihrer Geschichte vor: die Datenschutzgrundverordnung (DSGVO). Das große Ziel ist, den Datenschutz in allen EU-Mitgliedsländern zu vereinheitlichen und auf einen gemeinsamen Standard zu bringen. Dies betrifft auch die künftige Rolle und Bestellung des Datenschutzbeauftragten. Die DGSVO tritt ab Mai 2018 in allen Mitgliedsstaaten direkt in Kraft und bedarf keiner vorherigen Umsetzung in nationales Recht.

Was bedeutet dies für Unternehmen in Deutschland? Was sind die wichtigsten Änderungen im Vergleich zum bisher geltenden Bundesdatenschutzgesetz (BDSG)? § 37 Abs. 4 DSGVO enthält eine Öffnungsklausel, die es den nationalen Gesetzgebern ermöglicht, die Vorgaben der DSGVO zu spezifizieren. Der deutsche Gesetzgeber nutzt diese Gelegenheit und hat im BDSG-neu eigene Vorgaben festgelegt. In diesem Beitrag erhalten Sie einen Überblick, über die Rolle und Aufgaben des betrieblichen Datenschutzbeauftragten gemäß der DSGVO und des BDSG-neu.

Wann ist die Bestellung eines Datenschutzbeauftragten verpflichtend?

Laut § 38 Abs. 1 BDSG-neu gibt es drei Voraussetzungen, unter denen Unternehmen einen Datenschutzbeauftragten benennen müssen.

1.) Es sind in der Regel mindestens zehn Personen ständig damit beschäftigt, personenbezogene Daten automatisiert zu verarbeiten.

Unter bestimmten Voraussetzungen ist nicht die Anzahl der Personen das entscheidende Kriterium. So ist in jedem Fall ein Datenschutzbeauftragter zu benennen, wenn

2.) die Datenverarbeitung einer Datenschutz-Folgeabschätzung unterliegt,

3.) ein Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung bzw. der anonymisierten Übermittlung verarbeitet oder sie für Zwecke der Markt- und Meinungsforschung verwendet.

Aufgaben und Pflichten des Datenschutzbeauftragten: Was ist neu?

Wie bisher auch, gehört es zu den Kernaufgaben des Datenschutzbeauftragten darauf hinzuwirken, dass die Datenschutzvorgaben der DSGVO bzw. des BDSG-neu eingehalten werden. Seine Stellung im Unternehmen ist insgesamt sogar stärker geworden, da seine Aufgaben nun umfangreicher sind.

Zum Bespiel fällt unter seine Verantwortung, die Geschäftsleitung zu beraten und regelmäßig zu unterrichten. Er sorgt dafür, dass die Mitarbeiter in Sachen Datenschutz sensibilisiert und geschult werden. Genauso muss er auch andere Abteilungen wie zum Beispiel die IT einbinden, um deren Unterstützung bei der Datenschutz-Folgeabschätzung zu erhalten. Extern ist er der Ansprechpartner für die Aufsichtsbehörde. Er ist also die Schaltzentrale im Unternehmen, wenn es um den Datenschutz geht.

Was gibt es bei der Bestellung eines Datenschutzbeauftragten zu beachten?

Der Datenschutzbeauftragte muss unabhängig sein – das heißt, er berichtet direkt an die Geschäftsleitung und berät diese. Sofern er als Angestellter und nicht als externer Datenschutzbeauftragter beschäftigt ist, ist er der Geschäftsleitung unterstellt. Er kann in seiner Funktion als Datenschutzbeauftragter nicht einer anderen Abteilung untergeordnet sein. Laut BDSG-neu gilt für den Datenschutzbeauftragten wie auch schon im alten BDSG ein umfassender Kündigungsschutz, der allerdings so nicht in der DSGVO vorgesehen ist. Der deutsche Gesetzgeber nimmt allerdings an, dass die Öffnungsklausel die Freiheit lässt, eine solche nationale Sonderregelung zu erlassen.

Wer kann Datenschutzbeauftragter werden?

Grundsätzlich kann jeder zum Datenschutzbeauftragten bestellt werden. Die Geschäftsleitung eines Unternehmens kann frei entscheiden, ob sie einen externen oder internen Datenschutzbeauftragten bevorzugt. Der Vorteil einer externen Person ist, dass kein Interessenkonflikt innerhalb des Unternehmens besteht. Dieser kann vor allem dann entstehen, wenn der Datenschutzbeauftragte zum Beispiel aus der IT- oder Personalabteilung kommt und sich damit ein Stück weit selbst kontrollieren würde.

Ansonsten ergeben sich die Anforderungen durch die DSGVO. So muss die Person beruflich qualifiziert sein, über entsprechendes Fachwissen verfügen und fähig sein, die Aufgaben zu erfüllen. Im Idealfall kennt sich derjenige sowohl in der IT wie auch den gesetzlichen Vorgaben sehr gut aus, um der komplexen Aufgabe verantwortungsvoll nachkommen zu können.

Welche Sanktionen sieht die DSGVO vor?

Sollte ein Unternehmen trotz Verpflichtung keinen Datenschutzbeauftragten wie vorgeschrieben bestellt bzw. ernannt haben, drohen gemäß der DSGVO erhebliche Strafen. Zum Vergleich - das alte BDSG sah das Fehlen eines Datenschutzbeauftragten als Ordnungswidrigkeit an und Unternehmen konnten mit einem Bußgeld in Höhe von bis zu 50.000 Euro bestraft werden. Ab Mai 2018 wird es mit der dann geltenden DSGVO wesentlich teurer. Das Bußgeld kann in einer Höhe von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist.

Im Gegensatz zu anderen EU-Ländern sind die meisten deutsche Unternehmen gut auf Änderungen rund um den Datenschutzbeauftragten vorbreitet. Immerhin sah das BDSG schon vor der DSGVO die Pflicht vor, einen solchen Posten zu schaffen. Angesichts der drakonischen Strafen sollte die Geschäftsführung dennoch die Aufgaben und Stellung des Datenschutzbeauftragten genau überprüfen, um auf der sicheren Seite zu sein.