Der Datenschutzbeauftragte: Was Sie über den DSB wissen müssen
Datenschutzbeauftragte waren schon vor der DSGVO für einige wenige Unternehmen relevant. Seit dem Start der DSGVO in Europa jedoch hat sich diese Rolle verändert: Mittlerweile benötigen deutlich mehr Unternehmen Datenschutzbeauftragte (DSB). Sie können den DSB intern oder extern besetzen und er fungiert als Kontrollorgan für den Datenschutz in Ihrer Organisation. Welche Voraussetzungen für das Bestellen von Datenschutzbeauftragten existieren, was ihr konkreten Aufgaben sind und welche Qualifikationen DSBs mitbringen müssen, darüber klärt unser heutiger Beitrag auf.
Wer braucht wozu Datenschutzbeauftragte?
Die Digitalisierung schreitet unaufhörlich voran – sie hat durch die Corona-Krise sogar noch einen deutlichen Schub erfahren. Diese Entwicklung sorgt dafür, dass Daten immer relevanter und wertvoller werden, wobei auch der Umgang mit personenbezogenen Daten eine entscheidende Rolle spielt. Daten fallen überall an: Das Tracking-Tool Ihrer Website erfasst IP-Adressen, Interessenten abonnieren Ihren Newsletter und geben hierfür Daten preis oder Kunden bestellen bei Ihnen – immer fallen diese wertvollen Daten an.
Schon deshalb sind Datenschutzbeauftragte im Unternehmen wichtig. Hinzu kommen die gesetzlichen Anforderungen, die sich aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) ergeben. Auf diese Anforderungen gehen wir weiter unten detailliert ein.
Der Geschäftsleitung direkt unterstellt, kontrolliert und evaluiert der Datenschutzbeauftragte Arbeitsprozesse unter datenschutzrechtlichen Gesichtspunkten. Weiter berät er in allen Fragen rund um den Datenschutz. Somit trägt der Datenschutzbeauftragte dafür Sorge, dass die datenschutzrechtlichen Vorgaben im Umgang mit personenbezogenen Daten eingehalten werden.
Der Datenschutzbeauftragte: Aufgaben, Qualifikationen & Pflichten
Datenschutzbeauftragte haben grundsätzlich – unabhängig von der Organisation, für die sie tätig sind – diverse Aufgaben zu erfüllen:
- Sie kontrollieren und überwachen das Einhalten der datenschutzrechtlichen Bestimmungen in Hinblick auf den Umgang mit personenbezogenen Daten.
- Sie übernehmen die Verantwortung zum Umsetzen der Datenschutzrichtlinien.
- Sie entwickeln eine Organisation, die das Einhalten des Datenschutzes überwacht.
- Sie fungieren als Brücke zwischen den Aufsichtsbehörden und den Unternehmen, für die sie als DSB fungieren. Das inkludiert beispielsweise das Melden von Datenschutzverstößen.
- Sie dokumentieren Datenschutzprozesse.
- Sie überwachen die Rechtmäßigkeit beim Erheben von personenbezogenen Daten.
- Sie sind Ansprechpartner für sämtliche Belange des Datenschutzes. Dafür beraten sie intern sowie extern und klären etwaige Unklarheiten, etwa Kunden- oder Mitarbeiteranfragen bezüglich des Datenschutzes.
- Sie führen Schulungen im Bereich Datenschutz durch.
- Sie arbeiten mit internen sowie externen Organisationen zusammen, um Datenschutzverstöße verfolgen zu können.
- Sie überwachen das Löschen von personenbezogenen Daten.
Datenschutzbeauftragte werden auch zu Beratungen der Geschäftsführung herangezogen, dieser unmittelbar unterstellt, sind dabei aber weisungsfrei. Damit besitzen DSBs eine Stabstellenfunktion.
Die Qualifikationen von DSBs
Die Qualifikationen, über die Datenschutzbeauftragte verfügen müssen, ergeben sich aus Art. 37 Abs. 5 DSGVO. Demzufolge sind drei Hauptfaktoren essentiell:
- Fachliche Qualifikation: Datenschutzbeauftragte müssen neben einem weitreichenden Interesse auch Verständnis für sein Fachgebiet aufweisen. Deshalb gehört die Fachkunde zu den wichtigsten Voraussetzungen.
- Prozesse erfassen: DSB muss Prozesse im Unternehmen genau kennen. Nur so kann man identifizieren, wo mit personenbezogenen, also sensiblen Daten umgegangen wird, und nur so kann er Prozesse optimieren.
- Kommunikationsfähigkeit: Die Erkenntnisse müssen Datenschutzbeauftragte verständlich kommunizieren können. Schließlich müssen seine Lösungsansätze in der Organisation in verschiedenen Bereichen geäußert und logisch begründet werden können.
Der Gesetzgeber fordert von Datenschutzbeauftragten, dass diese ihr Wissen stets aktuell hält und ergänzt. Gemäß Art. 38 Abs. 2 DSGVO sind Verantwortliche ausdrücklich dazu verpflichtet, die Datenschutzbeauftragten „die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen“ zu müssen. Die fachlichen Qualifikationen lassen sich durch Fortbildungen erwerben, die mit TÜV-, DEKRA- oder anderen Zertifikaten belegt werden können.
Die Position von Datenschutzbeauftragten können lediglich einmalig besetzt werden. Es muss sich um eine natürliche Person handeln. Soll die Position des Datenschutzbeauftragten intern besetzt werden, so ist darauf zu achten, dass es keinen Interessenkonflikt im Unternehmen gibt. Da Datenschutzbeauftragte Kontrollfunktion besitzen und ein Kontrolleur sich selbst kaum umfassend und objektiv kontrollieren kann, wäre die Besetzung der Stelle des DSB mit der IT-Leitung beispielsweise genauso ungünstig wie die Besetzung der Stelle durch ein Vorstandsmitglied – hier lägen jeweils Interessenskonflikte vor. Zu beachten ist zudem, dass Datenschutzbeauftragte unabhängig und weisungsfrei agieren.
Wann müssen Datenschutzbeauftragte bestellt werden?
In Behörden sowie öffentlichen Einrichtungen ist die Bestellung von Datenschutzbeauftragten grundsätzlich Pflicht. Bei nicht-öffentlichen Stellen gelten folgende Regelungen:
Sind mindestens 20 Mitarbeitende ständig mit dem automatisierten Verarbeiten personenbezogener Daten beschäftigt, nehmen Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgeabschätzung (DSFA) bedürfen, oder werden personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder für Markt- sowie Meinungsforschung erhoben, so sind nicht-öffentliche Stellen gemäß § 38 Abs. 1 Satz 1 BDSG in der Pflicht, betriebliche bzw. externe Datenschutzbeauftragte zu bestellen.
Es ist nicht immer einfach, herauszufinden, ob Sie Datenschutzbeauftragte bestellen müssen oder nicht. Sehen wir uns das am Beispiel einer Arztpraxis an: Ist die Arztpraxis Teil einer öffentlichen Stelle (außer Gerichten), besteht die Pflicht zur DSB-Bestellung. Besteht die Kerntätigkeit der Praxis im Durchführen von Verarbeitungsvorgängen, die durch ihre Art, ihren Umfang sowie ihrem Zweck regelmäßiges Überwachen betroffener Personen erforderlich macht, besteht ebenfalls eine Bestellpflicht. Diese ist auch dann gegeben, wenn die Kerntätigkeit der Arztpraxis im umfangreichen Bearbeiten von Daten nach Art. 9 DSGVO besteht.
Gesundheitsdaten sind Daten besonderer Kategorien. Nun könnte man annehmen, dass in Arztpraxen selbstredend ständig Mitarbeitende mit dem automatisierten Verarbeiten solcher besonderen Kategorien von personenbezogenen Daten beschäftigt sind. Einige Gerichte und Aufsichtsbehörden sehen dies jedoch anders und erklären, dass die Kerntätigkeit einer Arztpraxis das Behandeln erkrankter Menschen sei, nicht die Verarbeitung ihrer Daten. Dieses Beispiel zeigt, dass in der Praxis nicht immer ganz eindeutig ist, ob Sie Datenschutzbeauftragte benötigen oder nicht. Lassen Sie sich im Zweifel beraten; auch die für Sie zuständige Aufsichtsbehörde wird Ihnen in dieser Frage weiterhelfen können.
Vor- und Nachteile von internen und externen Datenschutzbeauftragten
Unternehmen haben die Möglichkeit, Datenschutzbeauftragte intern durch Mitarbeitende oder extern durch Dienstleister zu besetzen. Jede Form hat ihre eigenen Vor- und Nachteile:
Interne Datenschutzbeauftragte
Ein Angestellter übernimmt die Aufgabe des DSB. Nach seiner Berufung zum Datenschutzbeauftragten verfügt der Angestellte über einen besonderen Kündigungsschutz. Der Vorteil einer internen Besetzung ist die Tatsache, dass die Kompetenzen, über die der Datenschutzbeauftragte verfügt, im Unternehmen bleiben. Es gibt jedoch auch Nachteile: So müssen etwa die Kenntnisse, die der DSB für seine Arbeit benötigt, zunächst durch Fortbildungen erworben werden – hier entstehen dem Unternehmen Kosten. Diese fallen auch weiterhin für die vom Gesetzgeber geforderten Fortbildungen an. Auch der besondere Kündigungsschutz kann sich in der Praxis als nachteilig erweisen.
Externe Datenschutzbeauftragte
Sie können die Position des DSB auch extern durch einen zertifizierten Datenschutzexperten besetzen, der dann als externer Dienstleister fungiert. Der Nachteil dieser Variante ist, dass sich der externe Datenschutzbeauftragte zunächst in die internen Prozesse einarbeiten muss. Jedoch verfügt er von Anfang an über eine hohe Expertise, ohne dass dem Unternehmen dadurch Kosten für Fortbildungen entstehen. Überhaupt zeigt sich die Kostenstruktur für einen externen DSB äußerst transparent: In aller Regel vereinbaren Sie mit Ihrem externen DSB eine Monatspauschale, sodass Unternehmen bestens planen können. Einem besonderen Kündigungsschutz untersteht der externe Datenschutzbeauftragte logischer Weise nicht, da mit ihm ein Dienstleistungs- und kein Arbeitsvertrag geschlossen wird.
Datenschutzbeauftragte: Kontrolleure mit helfenden Händen
Die Pflicht zur Bestellung von Datenschutzbeauftragten wird leider auch oft als solche wahrgenommen: Als lästige Pflicht, die Geld kostet und wenig nützt. Das ist sehr schade, denn Datenschutzbeauftragte leisten weitaus mehr. Sie sind nicht nur Bindeglied zwischen den Aufsichtsbehörden und den Unternehmen, sondern sie beraten auch die Geschäftsführung und sorgen für eine positive Außendarstellung von Unternehmen.
Übrigens: Auch wir, die PSW Consulting, unterstützen Sie dabei, den Datenschutz in Ihrer Organisation optimal umzusetzen. Wir können Ihnen externe Datenschutzbeauftragte stellen, beraten umfassend zum Datenschutz und bieten Awareness-Trainings zur Sensibilisierung Ihrer Mitarbeitenden. Treten Sie einfach in Kontakt mit uns – unsere zertifizierten Datenschutzexperten sind gerne für Sie da!