Inhaltsverzeichnis
Kurz und bündig
- Nicht Jedermann kann als Datenschutzbeauftrager benannt werden. Die DSGVO fordert bestimmte Eigenschaften wie datenschutzrechtliches Fachwissen und eine allgemeine berufliche Qualifikation.
- Bei den “Formalien” der Benennung des Datenschutzbeauftragten sollten die Vorgaben der zuständigen Aufsichtsbehörde beachtet werden. Dort werden entsprechende Formulare bereitgestellt.
- Zum Datenschutzbeauftragten kann sowohl ein “Interner”, also Mitarbeiter, als auch ein “Externer” benannt werden.
- Kommt ein Unternehmen der Pflicht zur Benennung eines Datenschutzbeauftragten nicht nach, kann es schnell teuer werden. Bei Fehlern läuft der Verantwortiche oder Auftragsverarbeiter Gefahr, ein Bußgeld zu “kassieren”.
Wann ist die Benennung rechtlich vorgeschrieben?
Mit den Neuerungen der Datenschutz-Grundverordnung (DSGVO) hat sich auch das Profil des Datenschutzbeauftragten geändert. Das fängt bereits damit an, wie der Datenschutzbeauftragte zu einem Job kommt. Vor der DSGVO durch die „Bestellung“, seither durch eine „Benennung“. In diesem Beitrag werden die wichtigsten Fragestellungen im Hinblick auf die Benennung des Datenschutzbeauftragten beantwortet. Außerdem hilft Ihnen der ein oder andere Tipp durch das Rechtsdickicht zu gelangen – damit Sie am Ende unseres Beitrages wissen, worauf es bei der Benennung des Datenschutzbeauftragten ankommt.
Benennungspflicht nach der DSGVO
Mit der Frage nach der Benennungspflicht befinden wir uns bereits mitten in der DSGVO, in Art. 37 DSGVO um genau zu sein. In unserem Beitrag möchten wir praxisnah erläutern, wann die Benennung eines Datenschutzbeauftragten notwendig ist, wie er ausgewählt wird und was organisatorisch zu beachten ist.
Verantwortliche und Auftragsverarbeiter müssen nach der DSGVO insbesondere in drei Fällen einen Datenschutzbeauftragten benennen:
- Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt. Allerdings sind Gerichte bei ihrer justiziellen Tätigkeit von dieser Pflicht ausgenommen.
- Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich machen.
- Die Kerntätigkeit des Verantwortlichen/ Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO.
Nicht alle Fälle der Benennung eines Datenschutzbeauftragten sind in der DSGVO geregelt.
Sollten Sie sich daher die Frage stellen, ob Sie einen Datenschutzbeauftragten benennen müssen, sind neben den Anforderungen aus der DSGVO auch die Bestimmungen des BDSG zu berücksichtigen.
Benennungspflicht nach dem BDSG
Nach dem BDSG ist ein Datenschutzbeauftragter zu benennen, wenn:
- in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
- Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (Art.35 DSGVO) unterliegen (d.h. die für die betroffenen Personen besonders riskant sind, z.B. Videoüberwachung öffentlich zugänglicher Bereiche).
- Verarbeitungen erfolgen, die geschäftsmäßig zum Zweck der (ggf. anonymisierten) Übermittlung oder für Zwecke der Markt- oder Meinungsforschung dienen
Am häufigsten ist der erste Fall einschlägig. Diese Regelung wird weit ausgelegt und ist bereits erfüllt, wenn mindestens 20 Mitarbeiter an Bildschirmarbeitsplätzen arbeiten oder auf gespeicherte Daten zugreifen. Die anderen Fällen greifen unabhängig von der Anzahl der mit der Datenverarbeitung befassten Personen.
In anderen als den zuvor aufgelisteten Fällen kann freiwillig ein Datenschutzbeauftragter benannt werden.
In der Regel muss bereits ab 20 Mitarbeitern ein Datenschutzbeauftragter benannt werden.
Aber auch wenn weniger als zwanzig Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, kann eine Benennung erforderlich sein.
Welche Anforderungen muss ein Datenschutzbeauftragter erfüllen?
Anforderungen an den Datenschutzbeauftragten
Ist man zu dem Ergebnis gekommen, dass ein Datenschutzbeauftragter benannt werden muss, stellt sich die Frage, welche Kriterien dieser erfüllen muss. Die Anforderungen sind nicht gering. Demnach muss der Datenschutzbeauftragte folgende Kriterien erfüllen:
- Ausreichende berufliche Qualifikation (insbesondere seines Fachwissens im Datenschutzrecht, sowie der Datenschutzpraxis)
- Die Fähigkeit, die ihm obliegenden Aufgaben der Beratung, Überwachung und Zusammenarbeit mit den Aufsichtsbehörden zu erfüllen.
Im Einzelnen gehören zu den Aufgaben u.a. Beratungsleistungen im Zusammenhang mit Datenschutz-Folgenabschätzungen, die Zusammenarbeit mit der Aufsichtsbehörde oder die Schulung der Mitarbeiter. Mehr dazu erfahren Sie unter Aufgaben des Datenschutzbeauftragten.
Kann der Geschäftsführer selbst Datenschutzbeauftragter werden?
Der Datenschutzbeauftragte muss den Verantwortlichen kontrollieren, dies ist bei Identität mit der Geschäftsleitung oder bei Wahrnehmung durch Beschäftigte in Führungspositionen, bspw. den Leiter der IT-Abteilung, nicht möglich. Hier käme es zwangsläufig zu Interessenskonflikten in Form einer unzulässigen Selbstkontrolle.
Darf ein Beschäftigter Datenschutzbeauftragter werden?
Der Datenschutzbeauftragte kann sowohl ein Beschäftigter des Verantwortlichen/ Auftragsverarbeiters, als auch ein externer Berater sein. In Hinblick auf die die umfangreichen Nachweis-und Rechenschaftspflichten im Datenschutzrecht (Stichwort: Beweislastumkehr) sollte der Datenschutzbeauftragte sehr sorgfältig ausgewählt werden. Er hilft maßgeblich dabei, eine ausreichende Datenschutzdokumentation zu schaffen. Ein fachlich kompetenter Datenschutzbeauftragter ist daher ein entscheidender Baustein für die störungsfreie und datenschutzkonforme Arbeit eines Unternehmens.
Es kann ein Beschäftigter oder externer Berater zum Datenschutzbeauftragten benannt werden.
Ein Beschäftigter hat den Vorteil, die internen Verarbeitungsvorgänge oftmals gut zu kennen, jedoch kann das auch zu „Betriebsblindheit“, Interessenkonflikten und Voreingenommenheit führen.
Dienstleister bieten Beratung durch externe Datenschutzbeauftragte an. Diese sind entsprechend fachliche qualifiziert, erfahren und können eine neutrale Position einnehmen.
Wie viele Datenschutzbeauftragte können benannt werden?
Kann ein Datenschutzbeauftragter für mehrere Unternehmen benannt werden?
Eine Unternehmensgruppe hat die Möglichkeit einen gemeinsamen Datenschutzbeauftragten zu ernennen. Voraussetzung ist allerdings, dass der Datenschutzbeauftragte von jeder Niederlassung leicht erreicht werden kann.
Kann ein Datenschutzbeauftragter für mehrere Behörden/ öffentliche Stellen ernannt werden?
Sollte es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder eine öffentliche Stelle handeln, kann ein Datenschutzbeauftragter für mehrere dieser Behörden oder öffentlichen Stellen benannt werden. Dabei ist allerdings die Größe, sowie die Organisationsstruktur zu berücksichtigen.
Können mehrere Datenschutzbeauftragte für ein Unternehmen benannt werden?
In der DSGVO ist die Rede von der Benennung „eines“ Datenschutzbeauftragten. Ein Verbot der Benennung weiterer Datenschutzbeauftragter wird zwar nicht ausdrücklich normiert, aber eine derartige Auslegung dürfte den Wortlaut „einen“ überstrapazieren.
Davon abgesehen dürfte es auch schwierig sein, innerhalb einer Organisationseinheit mehrere Datenschutzbeauftragte zu beschäftigen, da es zu Kompetenzüberschneidungen führt. Sollten in einem Unternehmen die anfallenden datenschutzrechtlichen Fragestellungen und Aufgaben zu umfassend für einen Datenschutzbeauftragten alleine werden, empfiehlt es sich daher ein Datenschutzteam oder Datenschutzkoordinatoren zur Unterstützung des Datenschutzbeauftragten einzusetzen.
Ein Konzern hat die Möglichkeit einen gemeinsamen Datenschutzbeauftragten zu ernennen.
Der Datenschutzbeauftragte muss aber von jeder Niederlassung leicht erreicht werden können. Das kann durch Sprachbarriere bei internationalen Konzernen oft nicht gewährleistet werden.
Für ein Unternehmen dürfen nicht mehrere Datenschutzbeauftragte benannt werden. Das führt zu einer Überschneidung der Kompetenzen.
Welche formalen Anforderungen sind bei der Benennung zu beachten?
Wenn Sie an dem Punkt sind, dass Sie wissen, ob Sie einen Datenschutzbeauftragten benennen müssen oder nicht, ist „nur“ noch die Hürde einer formal richtigen Benennung zu nehmen. Was es an dieser Stelle zu beachten gibt, erläutern wir in diesem Abschnitt.
Form der Benennung
Bei der Form der Benennung ist zu bemerken, dass diese von Rechtswegen nicht mehr zwangsläufig schriftlich zu erfolgen hat. Aus Gründen der Beweisbarkeit empfehlen wir aber die Benennung zu dokumentieren.
Wie funktioniert die Benennung nun „konkret“?
Hat sich der Verantwortliche bzw. der Auftragsverarbeiter erst einmal für den zu benennenden Datenschutzbeauftragten entschieden, ist die eigentliche Benennung ganz einfach:
Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. (Art. 37 Abs. 7 DSGVO)
Spezielle Anforderungen an die Veröffentlichung werden nicht gestellt, allerdings sollte diese dennoch in einer geeigneten Form erfolgen, sodass die Öffentlichkeit Kenntnis nehmen kann. Intern kann dies beispielsweise über das „schwarzes Brett“, Intranet oder Informationsblätter bei der Einstellung erfolgen. Extern erfolgt die Veröffentlichung bspw. über eine gut auffindbare Angabe auf der Unternehmens-Webseite, in der Datenschutzerklärung, in Informationsblättern oder an anderen leicht auffindbaren Stellen.
Die Veröffentlichung der Kontaktdaten beinhaltet nicht zwingend den Namen des Datenschutzbeauftragten Erforderlich sind nur Angaben darüber, wie dieser kontaktiert werden kann, also E-Mail (z.B. [email protected]), Postanschrift etc. Die Praxis zeigt jedoch, dass die Nennung des Namens des Datenschutzbeauftragten vertrauensstiftend wirkt.
Meldung gegenüber der Aufsichtsbehörde
Hier gilt grundsätzlich auch, dass der zuständigen Aufsichtsbehörde die Daten, welche eine Kontaktaufnahme ermöglichen, mitgeteilt werden müssen. Es ist zu empfehlen, sich an dem entsprechenden Meldeformular auf der Webseite der zuständigen Aufsichtsbehörde zu orientieren, z.B. des Beauftragten für Datenschutz in Hamburg: https://datenschutz-hamburg.de/meldung-dsb
Auf dem Meldeformular sollen in der Regel folgende Angaben gemacht werden:
- Name des Datenschutzbeauftragten/Verantwortlichen,
- Anschrift
- Telefonnummer und
- E-Mail-Adresse etc.
Als Pflichtfelder sind aber nur gekennzeichnet:
- Datum der Benennung
- Name des Verantwortlichen
Als alternative Meldemöglichkeiten wird auf den Post- und E-Mail-Weg verwiesen. Bei den Kontaktmöglichkeiten muss immer darauf geachtet werden, welche Meldemöglichkeiten die zuständige Aufsichtsbehörde eröffnet hat. Übrigens können mittels des Formulars, neben den Angaben zum Ersteintrag auch Angaben zur Änderung und Löschung des Datenschutzbeauftragten gemacht werden.
Die Mitteilung an die Aufsichtsbehörde sollte unverzüglich nach Benennung des Datenschutzbeauftragten erfolgen.
Wie genau die Mitteilung gegenüber der zuständigen Aufsichtsbehörde aussehen, lässt sich auf der Webseite herausfinden. Dort werden i.d.R. entsprechende Meldeformulare bereitgestellt.
Was sollte noch beachtet werden?
Was passiert mit den „alten“ Bestellurkunden?
Die noch nach dem „alten“ Recht erstellten Bestellurkunden von Datenschutzbeauftragten sind auch nach neuem Recht insofern „gültig“, wenn sie die Benennung eines Datenschutzbeauftragten dokumentieren, dass es einen benannten Datenschutzbeauftragten für den Verantwortlichen gibt. Allerdings ist es empfehlenswert, nochmal einen Blick in die Bestellurkunde zu werfen und zu überprüfen, ob der Inhalt DSGVO-konform gestaltet ist. Das Augenmerk sollte hierbei auf zusätzlich getroffenen Vereinbarungen und den die Einhaltung des Pflichtenkatalogs der DSGVO gerichtet sein.
Führt die fehlende/fehlerhafte Benennung zu einem Bußgeld?
Für fahrlässige oder vorsätzliche Verstöße bei der Benennung des Datenschutzbeauftragten normiert die DSGVO ein Bußgeld von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 4 DSGVO).
Haben Unternehmen Zweifeln, ob Sie einen Datenschutzbeauftragten benennen müssen, sollte Sie aufgrund des hohen Bußgeldrisikos sehr sorgfältig die Voraussetzungen prüfen und ggf. fachlichen Rat einholen.