DSGVO: Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten

Bis zum 25. Mai 2018 müssen die neuen rechtlichen Regelungen im Betrieb und Unternehmen umgesetzt werden. Neu ist u.a. die europaweite Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten.

Die neuen Regelungen führen dazu, dass  eine Vielzahl von Unternehmen nunmehr eine Datenschutzbeauftragten benennen müssen, die bisher nicht in der Verpflichtung dazu waren.

Denn dieser ist zwingend zu bestellen, wenn

  • in der Regel mindestens 10 Personen (Köpfe) ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind;
      • automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten mittels eines PCs;
      • unter Nutzung wird jede Verwendung personenbezogener Daten verstanden, insoweit es sich nicht um Verarbeitung handelt – es genügt also z. B. schon das Lesen von Daten natürlicher Personen;

ODER

  • umfangreich sensible Daten (z.B. Gesundheitsdaten) verarbeitet werden;

ODER

  • die Kerntätigkeit in einer umfangreichen regelmäßigen und systematischen Überwachung von betroffenen Personen besteht (z.B. Kundenservice, Marketing, Auskunfteien oder Adresshandel);

ODER

  • die Verarbeitung einer Risiko-Folgenabschätzung (§ 38 Absatz 1 Satz 2 BDSG-neu i.V.m. Art. 35 EU-DSGVO) unterliegt.

Der Datenschutzbeauftragte muss aufgrund der beruflichen Qualifikation und des Fachwissens benannt werden, um die Aufgaben aus Art. 39 DSGVO übernehmen zu können. Zu den Fachkundevoraussetzungen gehört ein Verständnis der allgemeinen und spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das Unternehmen relevant sind, sowie technisch-organisatorische Kenntnisse, insbesondere Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit. Diese Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung zum Datenschutzbeauftragten vorliegen. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragte benannt werden. Dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein.

Die Position des Datenschutzbeauftragten kann intern besetzt werden, indem ein eigener Mitarbeiter bestellt wird, auch neben den eigentlichen Aufgaben. Er muss aber dafür die persönlichen und fachlichen Voraussetzungen besitzen. Um Interessenkollisionen oder eine Selbstkontrolle von vornherein auszuschließen, dürfen Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT- Administratoren nicht gleichzeitig auch die Position eines Datenschutzbeauftragten bekleiden.

Der Datenschutzbeauftragte agiert weisungsunabhängig, er berichtet unmittelbar der Führungsebene.

Zur Absicherung der Position und der Erfüllung seiner Aufgaben darf der Datenschutzbeauftragte weder abberufen noch benachteiligt werden. Er genießt besonderen Kündigungsschutz. Das Arbeitsverhältnis darf während der Tätigkeit als Datenschutzbeauftragter und nach deren Beendigung für ein Jahr nicht gekündigt werden, es sei denn die Kündigung erfolgt aus wichtigem Grund.

Alternativ kann aber auch ein externer Datenschutzbeauftragter bestellt werden.

Der Datenschutzbeauftragte

  • unterrichtet und berät das Unternehmen und die Beschäftigten über datenschutzrechtliche Pflichten;
  • überwacht, ob die gesetzlichen Datenschutzvorschriften eingehalten werden;
  • berät bei Risiko-Folgenabschätzungen;
  • arbeitet mit der Aufsichtsbehörde zusammen und ist Anlaufstelle für diese und
  • berät betroffene Personen.

Über diese Mindestaufgaben hinaus nimmt der Datenschutzbeauftragte eine beratende und unterstützende Funktion ein. Insbesondere sind hier zu nennen: Unterstützung des Verantwortlichen bei der Etablierung von Prozessen bzw. Dokumentationen zur Erfüllung der umfassenden Nachweispflicht, Unterstützung bei der Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen sowie die Erfüllung der Betroffenenrechte (Recht aus Auskunft, Berichtigung, Einschränkung oder Löschen von Daten).

Die Kontaktdaten des Datenschutzbeauftragen müssen veröffentlicht werden (z.B. auf der Internetseite des Unternehmens).

Wird es vorsätzlich oder fahrlässig versäumt, einen Datenschutzbeauftragten zu bestellen, kann nach bisherigem Recht ein Bußgeld von bis zu 50.000 € verhängt werden. Dieses wird sich drastisch erhöhen. Denn die DSGVO sieht Bußgelder von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Das gilt auch, wenn der Datenschutzbeauftragte nicht rechtzeitig bestellt wird.

Advertisements
Dieser Beitrag wurde unter Arbeitsrecht abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s