Ein Datenschutzbeauftragter ist derjenige, der die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften im Unternehmen übernimmt. Mit den letzten Änderungen der DSGVO 2018 sind die Anforderungen an Unternehmen bzgl. Datenschutz komplexer geworden und somit ist die Notwendigkeit für einen Datenschutzbeauftragten zur Pflicht geworden. So, was ist der Aufgabenbereich eines Datenschutzbeauftragten? Wer braucht ein Datenschutzbeauftragter? Welche Qualifikationen braucht ein Datenschutzbeauftragter? & was droht, wenn kein DSB. bestellt wird?
1. Aufgaben von Datenschutzbeauftragter
Ein Datenschutzbeauftragter dient der Selbstkontrolle des Verantwortlichen d.h. er soll durch Überwachung, Kontrolle und Beratung einen effektiven Schutz personenbezogener Daten gewährleisten. Dabei ist der Datenschutzbeauftragte keiner Position im Unternehmen untergeordnet. Der Aufgabenbereich eines Datenschutzbeauftragten ist je nach Unternehmen unterschiedlich und umfangreich, aber es gibt bestimmte Basics, die für jedes Unternehmen gelten:
- Mitarbeiterschulung:
Der Datenschutzbeauftragte muss alle Mitarbeiter im Unternehmen, einschließlich allen Management-Ebenen in Sachen Datenschutz schulen, sofern sie Zugang zu personenbezogenen Daten haben.
- Kontrolle und Überwachung:
Der Datenschutzbeauftragte kontrolliert und überwacht die Abläufe auf die Einhaltung der Datenschutzbestimmungen in der Organisation. Sobald er Verstöße gegen Reglungen oder Probleme mit der Umsetzung feststellt, muss er die Geschäftsführung informieren und das Problem gemeinsam evaluieren und innerhalb von 72 Std bei der Aufsichtsbehörde melden.
- Erstellung von Richtlinien:
Der Datenschutzbeauftragte übernimmt eine Beratungsfunktion bei der Konzipierung rechtlicher Dokumente mit datenschutzrechtlichem Bezug. Zum Beispiel Betriebsvereinbarungen, Richtlinien/interne Regelungen z.B. zur privaten Internet und E-Mail Nutzung oder zum Umgang mit Betroffenenanfragen, Erstellung von Datenschutzerklärungen zur Erfüllung der Informationspflichten usw.
- Ansprechpartner:
Der Datenschutzbeauftragte ist der erste Ansprechpartner für Behörden und Betroffenen. Er muss auf alle Anfragen zum Thema Datenschutz reagieren wie zum Beispiel Dokumente an die Aufsichtsbehörde schicken oder Daten von betroffenen löschen usw.
- Durchführung einer Datenschutz-Folgeabschätzung:
Der Verantwortliche hat bei bestimmten Datenverarbeitungen eine Datenschutz-Folgeabschätzung durchzuführen. Dabei holt der Verantwortliche den Rat des Datenschutzbeauftragten ein, z.B. ob eine Datenschutz-Folgeabschätzung erforderlich ist, Vorgehen bei Anfragen der Aufsichtsbehörde usw.
- Sonstige Aufgaben:
Ein Datenschutzbeauftragter muss vor Beginn die Ist-Situation von Datenschutz analysieren (Datenschutz-Audit). Zudem erstellt er bei Bedarf Auftragsverarbeitungsverträge für beispielsweise Lieferanten, Partner etc. und erstellt ein jährliches Datenschutzbericht für die Aufsichtsbehörde.
2. Ist die Bennenung eines Datenschutzbeauftragten Pflicht
DSGVO und alles zum Thema Datenschutz ist grundsätzlich für alle Unternehmen relevant, die mit personenbezogenen Daten zu tun haben. Ob mit einem Datenschutzbeauftragten oder ohne müssen die Reglungen und Vorschriften von DSGVO eingehalten werden.
Ein Datenschutzbeauftragter ist für Unternehmen eine Pflicht wenn:
- Mindestens 10 Personen mit der Verarbeitung personenbezogener Daten im Unternehmen beschäftigt sind.
- Die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
- Die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Datenkategorien besteht.
- Das Unternehmen nach DSGVO verpflichtet ist, eine Datenschutzfolgeabschätzung durchzuführen.
3. Qualifikationen eines Datenschutzbeauftragten
Expertenstatus:
Die Qualifikation zum Datenschutzbeauftragten kann durch Schulungen und Fortbildungen nachgewiesen werden, die von offiziellen Prüfsiegel anerkannt sind wie z.B. TÜV oder DEKRA.
Fachliche Eignung:
Der Datenschutzbeauftragte muss eine umfassende Fachkunde im innerbetrieblichen Datenschutz mitbringen. Das Interesse und die Zustimmung der Datenschutzmaterie sind erforderlich.
Kommunikationsfähigkeit:
Datenschutz für Unternehmen erfordert die Zusammenarbeit vom Datenschutzbeauftragten mit Geschäftsführung und Mitarbeiter. Dafür braucht der Datenschutzbeauftragte selbstverständlich ausgeprägte Kommunikationsfähigkeiten.
4. Was droht, wenn kein Datenschutzbeauftragter bestellt wird?
Das Nicht-Bestellen eines Datenschutzbeauftragten, wenn der Pflicht besteht oder der Verstoß gegen DSGVO wird mit Geldbußen bis 20 Mio. oder mit 4% des weltweiten Jahresumsatz bestraft. Datenschutzrechtliche Verstöße werden von Aufsichtsbehörde sehr hoch bestraft, daher ist dabei besondere Aufmerksamkeit und Vorsicht verlangt.