Datenschutzbeauftragter (EU-DSGVO)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Ein Datenschutzbeauftragter gemäß der Datenschutz-Grundverordnung (EU-DSGVO) ist eine von einem Verantwortlichen ernannte Person, die für die Kontrolle der Einhaltung der Datenschutzrichtlinien zuständig ist.

Hintergrund[Bearbeiten | Quelltext bearbeiten]

Am 25. Mai 2018 traten die Regelungen der am 27. April 2017 vom Bundestag als Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) umgesetzten Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.[1] Diese Verordnung sieht vor, dass Unternehmen mit Tätigkeiten in datenschutzrechtlich besonderer Sicht fortan von einem extra abgestellten Datenschutzbeauftragten kontrolliert werden müssen. Im Artikel 37 Abs. 1 DSGVO ist die Bestellpflicht für den Datenschutzbeauftragten geregelt, nach der betroffene Unternehmen der gesetzlichen Verpflichtung nachzukommen haben. Die Aufgaben des Datenschutzbeauftragten sind im Artikel 39 DSGVO und darüber hinaus im § 7 BDSG (neu) bestimmt.

Dieser Artikel oder Abschnitt bedarf einer Überarbeitung. Näheres ist auf der Diskussionsseite angegeben. Hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung.

Aufgaben, Tätigkeit und Bestellung[Bearbeiten | Quelltext bearbeiten]

Im Artikel 29 der Datenschutzgruppe sind die Kerntätigkeiten Datenschutzbeauftragter[2] bereits seit dem 13. Dezember 2016 geregelt und klar definiert. Sobald Daten als Ware gehandelt oder im Kerngeschäft des Unternehmens prägnant sind, ist die Kontrolle durch einen Datenschutzbeauftragten notwendig. Im Bundesgesetzblatt Nr. 44 vom 12. Mai 2017 wurden die Anpassung des Datenschutzrechts an die Verordnung EU 2016/679, also die DSGVO, sowie die Umsetzung der Richtlinie EU 2016/680 im Datenschutz-Anpassungs- und Umsetzungsgesetz EU/DSnpUG nach Zustimmung des Bundespräsidenten veröffentlicht. Hierbei handelt es sich um die Fassung, die unter der Schreibweise BDSG n.F. zum 25. Mai 2018 in Kraft treten und in der bereits veröffentlichten Form bindend sein wird. Neu sind die Vorgaben zur Abberufung und Kündigung eines Datenschutzbeauftragten für öffentliche und nicht öffentliche Stellen. Weiter wird in der Vorschrift geregelt, dass die Beauftragung für Unternehmen ab 10 Personen in der täglichen automatisierten Datenverarbeitung verpflichtend ist.[3] Datenschutzbeauftragte unterliegen einem besonderen Kündigungsschutz, der Verschwiegenheitspflicht und dem Zeugnisverweigerungsrecht. Ob ein Datenschutzbeauftragter abgestellt werden muss, hängt ab von:

  • der Anzahl datenverarbeitender Mitarbeiter im Unternehmen
  • der Datenmenge und Menge der Datensätze
  • dem Zeitraum der Datenverarbeitung
  • und der geographischen Reichweite der Datenverarbeitung 

Das besondere Augenmerk gilt gesundheitsbezogenen, personenbezogenen und weiteren sensiblen Daten. Auskunfteien und datenverarbeitende Unternehmen müssen sich mit Inkrafttreten der EU-DSGVO der Kontrolle eines Datenschutzbeauftragten unterziehen und damit die Seriosität und Kompetenz ihres Datenmanagements gewährleisten. Eine Zuwiderhandlung führt zu empfindlichen Bußgeldern für das betroffene Unternehmen.[4]

Benennung nach EU-DSGVO[Bearbeiten | Quelltext bearbeiten]

Nach § 4 f Abs. 1 S. 1 BDSG ist die Benennung des Datenschutzbeauftragten nicht mehr in Schriftform nötig. Bisher mussten Unternehmen den Datenschutzbeauftragten schriftlich benennen, während nach der Änderung der Grundverordnung eine mündliche Nennung ausreichend ist. Dennoch ist der Unternehmer verpflichtet, die Kontaktdaten des Datenschutzbeauftragten in Schriftform an die zuständige Behörde zu übermitteln. Zukünftig sind somit zwei Schritte notwendig. Der Unternehmer bestellt den Datenschutzbeauftragten nach EU-DSGVO und verpflichtet sich, der Aufsichtsbehörde umgehend Mitteilung zu machen und die Kontaktdaten des Beauftragten zu veröffentlichen. Alternativ können sich Unternehmer für einen Konzerndatenschutzbeauftragten entscheiden, sofern dieser von jeder Niederlassung aus problemlos erreichbar ist. Diese Option ist vor allem für EU-weit tätige Konzerne mit mehreren Niederlassungen von Vorteil, da sie verschiedene Ansprechpartner ausschließt und so für mehr Transparenz und Sicherheit in der Datenverarbeitung und Verwaltung sorgt.

Eine externe Beauftragung ist nicht zwingend notwendig, wenn es einen internen Datenschutzbeauftragten mit entsprechender Qualifikation gibt. Welche Methode sich besser eignet, hängt von der Unternehmensform und Unternehmensgröße sowie dem Arbeitsaufwand des Datenschutzbeauftragten ab.[5]

Sanktionen bei Zuwiderhandlung nach EU-DSGVO[Bearbeiten | Quelltext bearbeiten]

Bisher fallen bei der vorsätzlichen oder fahrlässigen Nichtbestellung eines Datenschutzbeauftragten bis zu 300.000 Euro Bußgeld an oder gar bis zu einer zweijährigen Freiheitsstrafe. Ab Mai 2018 erhöht sich das Bußgeld auf 2 % vom weltweiten Jahresumsatz bis zu 10 Millionen Euro. Die Aufsichtsbehörde behält sich die Sanktion mit dem höheren Betrag vor. Datenschutzbeauftragte müssen verschiedene Qualifikationen nachweisen und sich kontinuierlich auf die Veränderungen in der IT einstellen. Stetige Weiterbildungen und juristische Fachkenntnis sind zwingende Notwendigkeit. Als Datenschutzbeauftragter eignen sich Personen, die nicht im Aufsichtsrat oder im Management des Unternehmens sitzen. Auch wenn die Kombination gestattet ist, kann diese Konstellation zur Befangenheit führen und der Regelkonformität der Datenschutz-Grundverordnung entgegenstehen.[6]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Neues Datenschutzrecht (BDSG-neu): Das Bundesdatenschutzgesetz wird europäisiert - computerwoche.de. Abgerufen am 29. November 2017.
  2. Datenschutzbeauftragter – Datenschutz-Wiki. Abgerufen am 29. November 2017 (deutsch (Sie-Anrede)).
  3. Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO. In: Social Media Recht Blog. (socialmediarecht.de [abgerufen am 29. November 2017]).
  4. GDD-Praxishilfe_DS-GVO_1.pdf — GDD e.V. Abgerufen am 29. November 2017 (englisch).
  5. Interner vs. Externer DSB | Datenschutzexperte. In: Datenschutzexperte.de. (datenschutzexperte.de [abgerufen am 29. November 2017]).
  6. Nicholas Vollmer: Artikel 37 EU Datenschutz Grundverordnung (EU-DSGVO). 28. November 2017, abgerufen am 29. November 2017.