Datenschutzbeauftragter

Der Datenschutzbeauftragte hat die Pflicht, in der Organisation zur Kontrolle und Überwachung der Abläufe auf die Einhaltung der Datenschutzbestimmungen hinzuwirken.

Nicht jede Organisation, jeder Betrieb oder Verein ist verpflichtet, einen Datenschutzbeauftragten zu benennen. Aber jede Organisation ist verpflichtet, den Datenschutz entsprechend der DSGVO (und event. weiterer Gesetzgebungen) umzusetzen und zu respektieren.  Das entsprechende Know-How muss sich insofern jemand in der Organisation aneignen.  Häufig wird einem Mitarbeiter der Datenschutz als zusätzliche Aufgabe auferlegt ("Du machst das schon!"). Dieser muss sich dann in den Datenschutz, sprich in die Gesetze (DSGVO: 99 Artikel und BDSG) einarbeiten.  In anderen Fällen sind es der IT-Leiter oder der Geschäftsführer, die diese (oft als undankbar angesehene) Aufgabe übernehmen.  Was rechtlich äußerst kritisch zu sehen ist, denn hier besteht häufig das Riksiko des Interessenkonflikts: in der Tat hat der Datenschutzbeauftragte eine Kontrollfunktion, und es macht natürlich keinen Sinn, dass er - als Datenschutzbeauftragter -  sich selbst als Geschäftsführer oder IT-Leiter kontrolliert.

Wer benötigt eigentlich einen Datenschutzbeauftragten?

Laut DSGVO sind es

  1. Behörden bzw. Öffentliche Stellen
  2. Unternehmen, deren Kerntätigkeit in der Durchführung von Kerntätigkeiten besteht, welche …eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder
  3. Unternehmen, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht.

Das deutsche BDSG hat die europäische Gesetzgebung über die Eröffnungsklausel unter anderem noch folgendermaßen ergänzt:

  1. Der Verantwortliche… benennt eine/n Datenschutzbeauftragte/n, soweit er in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Der Verantwortliche, also die Organisation oder der Betrieb kann einen Mitarbeiter zum internen Datenschutzbeauftragten benennen oder einen Externen Datenschutzbeauftragten bestellen.  Welche Vor- bzw. Nachteile bieten beide Lösungen?

Der Interne Datenschutzbeauftragte

  • kennt die internen Prozesse seines Betriebes, aber es besteht die Gefahr der „Betriebsblindheit
  • muss sich, neben seinem eigentlichen Job, Zeit „freischaufeln“ für die Aufgaben des DSB.
  • genießt ausgeprägten Kündigungsschutz mit einem Jahr Nachwirkung
  • muss Fachkunde erlangen und aufrechterhalten
  • ist auf die Mitarbeit seiner Kollegen angewiesen.
  • Das Haftungsrisiko bleibt im Unternehmen: sofern der interne DSB Fehler macht, (ohne Absicht) haftet nicht er, sondern das Unternehmen

Der externe Datenschutzbeauftragte

  • Muss sich in die Belange und Prozesse der Organisation einarbeiten
  • Übt die Tätigkeit des DSB als Vollzeit-Job aus
  • Kann jeder Zeit abbestellt wird (entsprechend den vertraglichen Regelungen)
  • Ist selber dafür zuständig, seine Fachkunde zu erlangen und aufrecht zu erhalten.
  • Ist auf die Unterstützung der Organisation angewiesen, die ihm aber laut DSGVO zusteht. 
  • Das Haftungsrisiko ist auf den externen DSB ausgelagert, und somit für das Unternehmen minimiert.