Für die viele Unternehmen ist die Benennung eines Datenschutzbeauftragten verbindlich, nicht erst seit dem 25. Mai 2018, sondern schon aus dem BDSG, kam die Forderung nach einem Datenschutzbeauftragten für bestimmte Unternehmen. Dieser kann für Unternehmen einen großen Mehrwert bieten, um etwaige Datenschutzlücken zu schließen, Risiken zu erkennen und Vertrauen bei Mitarbeitern und Kunden zu schaffen.

Wann muss ein Datenschutzbeauftragter benannt werden?

Die DSGVO bzw. das BDSGfordern von Unternehmen und Organisationen die Benennung eines Datenschutzbeauftragten sobald eine der folgenden Bedingungen erfüllt wird:

  • Es handelt sich um eine Behörde oder öffentliche Stellen, ausgenommen dabei sind die Gerichte, solange diese im Rahmen der justiziellen Tätigkeit handeln
  • Ihre Kerntätigkeit bestehtin der regelmäßigen und systematischen Überwachung vonpersonenbezogenen Daten
  • Das Hauptgeschäftsfeld liegt in der Verarbeitung von besonderen Kategorien personenbezogener Daten
  • In Unternehmen die mindestens 10 Mitarbeiter beschäftigen, die entweder ständig automatisiert personenbezogene Daten verarbeiten oder ständig mit nicht-automatisiert personenbezogene Daten in einemDateisystem verarbeiten
  • Für Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zwecke derÜbermittlung, anonymisierten Übermittlung oder Markt- und Meinungsforschungverarbeiten
  • Sobald es aufgrund des ermittelten Risikos oder der hervorgerufenen Umstände für das Unternehmen notwendig ist eine Verarbeitung personenbezogener Daten vorzunehmen, die einer Datenschutzfolgenabschätzung (DSFA) unterliegen muss. Das betrifft spezielle Unternehmensbzw. -Geschäftsformen und wird mit durch die Aufsichtsbehörden vorgegeben.

Anforderungen an den Datenschutzbeauftragten

Der Datenschutzbeauftragte muss sowohl Anforderungen hinsichtlich der Fachkunde als auch der Zuverlässigkeit erfüllen. Eine Sammlung an genannten Forderungen seitens der Aufsichtsbehörden sind vorgegeben und orientieren sich an dessen Ausbildung und Erfahrung.

Für die Ausübung seiner Tätigkeiten sollte der Datenschutzbeauftragte über rechtliche Kenntnisse aller gängigen Gesetze im Bereich des Datenschutzes besitzen. Mit diesem Wissen und dessen organisatorischen Fähigkeiten zur Planung und Umsetzung des Datenschutzes soll der Datenschutzbeauftragte den Datenschutz im Unternehmen koordinieren können. Eine Abschätzung von benötigten Ressourcen und betrieblichen Mitteln soll auf Grundkenntnissen im Bereich der Betriebswirtschaft basieren. Eine Voraussetzung für ein Verständnis des erforderlichen und erreichten Schutzniveaus der personenbezogenen Daten im Unternehmen sollen die technischen Kenntnisse darstellen, zum Beispiel im Hinblick auf gängige Systeme, Verfahren, Netzwerke sowie Soft- und Hardware. Darüber hinaus soll ein Datenschutzbeauftragter die Dokumentation des Datenschutzes kontrollieren und überwachen können. Hierzu sollte ein Grundverständnis für Dokumentation in Managementsystemen vorhanden sein.

Einige allgemeine Forderungen werden ebenfalls an den Datenschutzbeauftragten gestellt. Diese benannte Person muss regelmäßige Weiterbildungen in Bereichen des Datenschutzes besuchen, um das eigene Wissen zu stets zu erweitern und auf dem neusten Stand der Technik zu halten.

Es dürfen keine Interessenkonflikte im Unternehmen zu der Position des Datenschutzbeauftragten bestehen, beispielsweise kann ein Geschäftsführer, IT-Leiter oder IT-Dienstleister des Unternehmens meist nicht benannt werden. Darüber hinaus muss diese Person ein gewisses Maß an Integrität besitzen und die geplanten Maßnahmen durchsetzen können.

Aufgaben des Datenschutzbeauftragten:

Der Datenschutzbeauftragte muss verschiedene Aufgaben erfüllen, die schon von Gesetzeswegen vorgegeben werden. Diese sind:

  • Beratung zu allen datenschutzrechtlichen Fragen im Unternehmen
  • gegebenenfalls Schulung von ernanntenDatenschutzkoordinatoren vorort
  • Sicherstellung einer ausreichendenSensibilisierung und Schulung aller Mitarbeiter
  • auf Anfrage kann dieser auch Beratung zur Datenschutzfolgenabschätzung geben
  • Diese Person soll als Anlaufstelle für dieAufsichtsbehörde und erster Ansprechpartner für Betroffene fungieren
  • Zusammenarbeit mit der Aufsichtsbehörde kannsomit eine zentrale Rolle spielen, wenn es vom Verantwortlichen so gewollt ist
  • Es kann auch Beratung bei der Vertragsgestaltung mit Auftragsverarbeitern angeboten werden, dabei sollte der Fokus auf Beurteilung der Datenschutzregelungen und nicht der Unternehmensinteressenliegen
  • für die Erfassung des Verzeichnisses derVerarbeitungen kann der Datenschutzbeauftragte beratend zur Seite stehen
  • Für die korrekte Dokumentation des Datenschutzessollte eine regelmäßige Kontrolle zur Umsetzung des Datenschutzmanagements im Unternehmen vorgenommen werden
  • wichtig ist die regelmäßige Berichterstattung andas Top Management zum aktuellen Status des Datenschutzes im Unternehmen

Zusammenfassung

Die Rolle des Datenschutzbeauftragten ist eine sehr vielseitige und umfangreiche Position im Unternehmen. Viele Organisationen und Unternehmen haben Schwierigkeiten, die richtigen Leute für diese Aufgabe zu finden und eine DSGVO-konforme Umsetzung zu erreichen. Erfahrungsgemäß ist der erste Schritt der wichtigste, einen Datenschutzbeauftragten zu benennen und der Aufsichtsbehörde zu melden. Dieser sollte ein Kompetenzträger im Bereich des Datenschutzes sein, sich jedoch aber auch mit dem Unternehmen gut auskennen. Die richtige Umsetzung dieses ersten Schrittes führt zu einer stabilen Basis des Datenschutzes im Unternehmen.
Eine Beratung vorab kann diese Herausforderung in neue Möglichkeiten wandeln.