Datenschutzbeauftragter (Datenschutz-Grundverordnung)

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 15. Januar 2018 um 15:02 Uhr durch 2a02:8109:8740:2cf0:5d0c:d565:e4cc:4d38 (Diskussion) (Halbes Satzfragment entfernt). Sie kann sich erheblich von der aktuellen Version unterscheiden.
Zur Navigation springen Zur Suche springen

Ab 2018 tritt die am 27. April 2017 vom Bundestag beschlossene Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.[1] Mit der am 12. Mai vom Bundesrat erfolgten Zustimmung erlangte das Gesetz zum Datenschutz Gültigkeit und wird in der beschlossenen Form umgesetzt. Die Datenschutz-Grundverordnung hat europaweite Gültigkeit und sieht vor, dass Unternehmen mit Tätigkeiten in datenschutzrechtlich besonderer Sicht fortan von einem extra abgestellten Datenschutzbeauftragten kontrolliert werden müssen. Im Artikel 37 Abs. 1 DSGVO ist die Bestellpflicht für den Datenschutzbeauftragten geregelt, nach der betroffene Unternehmen der gesetzlichen Verpflichtung nachzukommen haben.

Aufgaben, Tätigkeit und Bestellung

Im Artikel 29 der Datenschutzgruppe sind die Kerntätigkeiten Datenschutzbeauftragter[2] bereits seit dem 13. Dezember 2016 geregelt und klar definiert. Sobald Daten als Ware gehandelt oder im Kerngeschäft des Unternehmens prägnant sind, ist die externe Kontrolle durch einen Datenschutzbeauftragten notwendig. Im Bundesgesetzblatt Nr. 44 vom 12. Mai 2017 wurden die Anpassung des Datenschutzrechts an die Verordnung EU 2016/679 sowie die Umsetzung der Richtlinie EU 2016/680 im Datenschutz-Anpassungs- und Umsetzungsgesetz EU/DSnpUG nach Zustimmung des Bundespräsidenten veröffentlicht. Hierbei handelt es sich um die Fassung, die unter der Schreibweise BDSG n.F. zum 25. Mai 2018 in Kraft treten und in der bereits veröffentlichten Form bindend sein wird. Neu sind die Vorgaben zur Abberufung und Kündigung eines Datenschutzbeauftragten für öffentliche und nicht öffentliche Stellen. Weiter wird in der Vorschrift geregelt, dass die Beauftragung für Unternehmen ab 10 Personen in der täglichen automatisierten Datenverarbeitung verpflichtend ist.[3] Datenschutzbeauftragte unterliegen einem besonderen Kündigungsschutz, der Verschwiegenheitspflicht und dem Zeugnisverweigerungsrecht. Ob ein Datenschutzbeauftragter abgestellt werden muss, hängt ab von:

  • der Anzahl datenverarbeitender Mitarbeiter im Unternehmen
  • der Datenmenge und Menge der Datensätze
  • dem Zeitraum der Datenverarbeitung
  • und der geographischen Reichweite der Datenverarbeitung 

Das besondere Augenmerk gilt gesundheitsbezogenen, personenbezogenen und weiteren sensiblen Daten. Auskunfteien und datenverarbeitende Unternehmen müssen sich mit Inkrafttreten der EU-DSGVO der Kontrolle eines Datenschutzbeauftragten unterziehen und damit die Seriosität und Kompetenz ihres Datenmanagements gewährleisten. Eine Zuwiderhandlung führt zu empfindlichen Bußgeldern für das betroffene Unternehmen.[4]

Benennung nach EU-DSGVO

Nach § 4 f Abs. 1 S. 1 BDSG ist die Benennung des Datenschutzbeauftragten nicht mehr in Schriftform nötig. Bisher mussten Unternehmen den Datenschutzbeauftragten schriftlich benennen, während nach der Änderung der Grundverordnung eine mündliche Nennung ausreichend ist. Dennoch ist der Unternehmer verpflichtet, die Kontaktdaten des Datenschutzbeauftragten in Schriftform an die zuständige Behörde zu übermitteln. Zukünftig sind somit zwei Schritte notwendig. Der Unternehmer bestellt den Datenschutzbeauftragten nach EU-DSGVO und verpflichtet sich, der Aufsichtsbehörde umgehend Mitteilung zu machen und die Kontaktdaten des Beauftragten zu veröffentlichen. Alternativ können sich Unternehmer für einen Konzerndatenschutzbeauftragten entscheiden, sofern dieser von jeder Niederlassung aus problemlos erreichbar ist. Diese Option ist vor allem für EU-weit tätige Konzerne mit mehreren Niederlassungen von Vorteil, da sie verschiedene Ansprechpartner ausschließt und so für mehr Transparenz und Sicherheit in der Datenverarbeitung und Verwaltung sorgt.

Eine externe Beauftragung ist nicht zwingend notwendig, wenn es einen internen Datenschutzbeauftragten mit entsprechender Qualifikation gibt. Welche Methode sich besser eignet, hängt von der Unternehmensform und Unternehmensgröße sowie dem Arbeitsaufwand des Datenschutzbeauftragten ab.[5]

Sanktionen bei Zuwiderhandlung nach EU-DSGVO

Bisher fallen bei der vorsätzlichen oder fahrlässigen Nichtbestellung eines Datenschutzbeauftragten bis zu 50.000 Euro Bußgeld an. Ab Mai 2018 erhöht sich das Bußgeld auf 2 % vom weltweiten Jahresumsatz bis zu 10 Millionen Euro. Die Aufsichtsbehörde behält sich die Sanktion mit dem höheren Betrag vor. Datenschutzbeauftragte müssen verschiedene Qualifikationen nachweisen und sich kontinuierlich auf die Veränderungen in der IT einstellen. Stetige Weiterbildungen und juristische Fachkenntnis sind zwingende Notwendigkeit. Als Datenschutzbeauftragter eignen sich Personen, die nicht im Aufsichtsrat oder im Management des Unternehmens sitzen. Auch wenn die Kombination gestattet ist, kann diese Konstellation zur Befangenheit führen und der Regelkonformität der Datenschutz-Grundverordnung entgegenstehen.[6]

Einzelnachweise

  1. Neues Datenschutzrecht (BDSG-neu): Das Bundesdatenschutzgesetz wird europäisiert - computerwoche.de. Abgerufen am 29. November 2017.
  2. Datenschutzbeauftragter – Datenschutz-Wiki. Abgerufen am 29. November 2017 (deutsch (Sie-Anrede)).
  3. Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO. In: Social Media Recht Blog. (socialmediarecht.de [abgerufen am 29. November 2017]).
  4. GDD-Praxishilfe_DS-GVO_1.pdf — GDD e.V. Abgerufen am 29. November 2017 (englisch).
  5. Interner vs. Externer DSB | Datenschutzexperte. In: Datenschutzexperte.de. (datenschutzexperte.de [abgerufen am 29. November 2017]).
  6. Nicholas Vollmer: Artikel 37 EU Datenschutz Grundverordnung (EU-DSGVO). 28. November 2017, abgerufen am 29. November 2017.
Abgerufen von „https://de.wikipedia.org/w/index.php?title=Datenschutzbeauftragter_(Datenschutz-Grundverordnung)&oldid=172950779