Wann wird ein Datenschutzbeauftragter benannt?

Datenschutz von Lorenz Macke,  externer Datenschutzbeauftragter.

Falls Sie lieber hören statt lesen: Rufen Sie Lorenz Macke unter 0511 551911 an oder übermitteln Sie Ihre Kontaktdaten für eine kostenfreie Erstinformation.

Datenschutz gilt für JEDEN Betrieb – unabhängig von der Unternehmensgröße. Die Anforderungen der DSGVO sind UNabhängig von der Unternehmensgröße zu erfüllen.

Ab wie vielen Mitarbeitern wird ein Datenschutzbeauftragter benötigt?

„…soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. “  (BDSG §38)  wird ein Datenschutzbeauftragter benötigt.

Momentan gilt noch die Zahl von zehn.
Bundestag lockert Datenschutz für Kleinbetriebe
Datenschuztvorgaben für Kleinbetriebe sollen gelockert werden
-> Das betrifft nur die Bestellpflicht. Alle anderen Anforderungen an den Datenschutz bleiben gleich.

Die Zahl von 20 Personen gilt erst, wenn der Bundesrat das Datenschutz Anpassungsgesetz 2019 zur DSGVO beschlossen hat.

Der Begriff „ständig“ bedeutet in diesem Zusammenhang, dass eine regelmäßige, nicht nur gelegentliche Verarbeitung von Daten erfolgt. Dies ist unabhängig davon zu betrachten, wie hoch der prozentuale Anteil der Datenverar-beitung auf dem jeweiligen Arbeitsplatz ist.“

Falls kein Datenschutzbeauftragter benannt werden muss oder benannt wird, dann ist die Geschäftsleitung automatisch der Datenschutzbeauftragte!

Die Anforderungen werden also nicht weniger. Ohne Datenschutzbeauftragten fehlt aber ein kompetenter Ansprechpartner vor Ort, der helfen könnte, Fehler und Verstöße von vorneherein zu vermeiden.“ (Barbara Thiel die Landesbeauftragte für den Datenschutz 28.6.2019)

„Sofern mindestens Zehn Personen (incl. Geschäftsführung, angestellte Ärztinnen oder Ärzte, medizinische Fachangestellte und Auszubildende) ständig mit der Verarbeitung personenbezogener Gesundheitsdaten beschäftigt sind, ist eine oder ein DSB zu benennen“ (April 2018 Landesamt für Datenschutz Niedersachsen)

Ein Kriterium könnte sein, wenn z.B. in einem Betrieb mehr als 8 Mitarbeiter sind, die jeweils eine eigene geschäftliche E-Mail Adresse besitzen.

  • Eine Betrieb mit einem Geschäftsführer und mehr als 8 Beschäftigten.
  • Es geht nach Köpfen. Eine Teilzeitkraft zählt als eine volle Kraft.
  • Relevant sind nur Personen, die „in der Regel“ = „regelmäßig“ mit der Verarbeitung beschäftigt sind.
  • Für Arztpraxen gelten die selben Bestellgrenzen
  • Ein Betrieb mit behördlichem Auftrag muss unabhängig von der Personenzahl einen Datenschutzbeauftragten bestellen.

Wenn eine Datenschutzfolgenabschätzung (DSFA)  durchzuführen ist (trifft für relativ wenige Betriebe zu), dann ist ein Datenschutzbeauftragter – unabhängig von der Zahl der Mitarbeiter – zu benennen. Eine Übersicht mit Beispielen zur DSFA als PDF.  (Quelle Die Landesbeauftragte für den Datenschutz Niedersachsen)

Es gibt noch diverse weitere Kriterien, die individuell geprüft werden sollten.

Jeder Betrieb hat die Anforderungen der DSGVO zu erfüllen.

Achtung: Muss ein Datenschutzbeauftragter benannt werden und ist dies nicht erfolgt, dann drohen Sanktionen seitens der Aufsichtsbehörde gemäß der DSGVO. Ob Mitbewerber oder Verbraucherverbände, die nicht-Benennung abmahnen können, ist derzeit unklar.  

Um den umfangreichen Anforderungen an den Datenschutz gerecht zu werden, benötigen Sie fachkundige Unterstützung.

Sie müssen einen Datenschutzbeauftragten benennen?

Jetzt Kontakt aufnehmen!

Sie haben Fragen?

Jetzt Kontakt aufnehmen!

Interner oder doch externer Datenschutzbeauftragter?

Der per Dienstvertrag für mindestens 2 Jahre beauftragte externe Datenschutzbeauftragte hat den Vorteil, dass sich die eigenen Mitarbeiter/innen auf das Kerngeschäft konzentrieren können. Bei der Benennung eines externen Datenschutzbeauftragten vermeiden Sie auch weitgehend die Situation einer Interessenkollision. Gerade bei Unternehmen mit weniger als 100 Mitarbeitern kann sich deshalb eine externe Lösung anbieten. Der interne Datenschutzbeauftragte genießt privilegien wie z.B. Kündigungsschutz und die Möglichkeit Ressourcen anzufordern. Der externe Datenschutzbeauftragte ist sofort einsatzbereit, bildet sich regelmäßig weiter und hat Erfahrungen aus anderen Unternehmen.

Hinweis: Verantwortlich für den Datenschutz ist und bleibt die Geschäftsleitung!

Gut zu Wissen: Der externe Datenschutzbeauftragte braucht für seine Tätigkeit nicht unbedingt Zugriff auf persönliche Daten. Er kann z.B. mit Verarbeitungsmustern, Formularmustern, Vertragsmustern arbeiten und beschäftigt sich u.a. mit Strukturen, Abläufen, Verarbeitungsschritten.

 

Da die Unternehmensleitung in der Regel nicht über die notwendigen Fachkenntnisse (geschweige denn die Zeit) verfügt, ist es sinnvoll einen Datenschutzbeauftragten zu bestellen, der sich um die Datenschutzorganisation kümmert.

 

Auszug aus der Datenschutzgrundverordnung DSGVO

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere ihres oder seines Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der folgenden Aufgaben. (Gesetzestext DSGVO Artikel 39)

Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

Überwachung der Einhaltung der Datenschutzgrundverordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
– Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
– Zusammenarbeit mit der Aufsichtsbehörde;
– Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Fazit: Ein externer Datenschutzbeauftragter/ Datenschutzberater mit Schwerpunkt IT-Sicherheit sorgt dafür, dass Fragen des Datenschutzes aufgegriffen und in Übereinstimmung mit geltendem Recht gelöst werden.

Mein Motto: Entweder es kommt die Aufsichtsbehörde oder es kommt der Datenschutzbeaftragte!

Weitere Information zum Datenschutzbeauftragten  Lorenz Macke

Sie brauchen weitere Argumente um einen externen Datenschutzbeauftragten zu benennen der vor Ort mit entsprechender Qualifikation tätig ist und Zusatzaufgaben übernimmt ? Dann hören Sie sich diesen Podcast an!
https://datenschutz-praxis-podcast.podigee.io/2-zukunft-des-datenschutzbeauftragten#t=151

 

Kontaktieren Sie den externen Datenschutzbeauftragten Lorenz Macke

Hannover / Niedersachsen / Deutschland / EU-DSGVO
15. August 2019