Ab dem 25. Mai 2018 gilt die neue EU-Datenschutzgrundverordnung (DSGVO) und diese bringt viele Neuerungen mit sich. Eine wichtige Änderung ist die Verpflichtung, einen Datenschutzbeauftragten zu bestellen, vorausgesetzt das Unternehmen beschäftigt ständig mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten.
Alles über diese “20-Personen-Regel“ und ob Sie als Unternehmen einen solchen Datenschutzbeauftragten nach Artikel 37 DSGVO brauchen, erfahren Sie in diesem Beitrag.
Update: Mit Wirkung zum 26.11.2019 hat der deutsche Gesetzgeber die Mindest-Personengrenze von 10 auf 20 Personen angehoben (§ 38 Abs. 1 S. 1 BDSG n.F.). Vorher lag die Grenze bei 10 Personen.
Datenschutzbeauftragter- was genau ist das?
Auch nach bisher geltenden Recht gab es einen Datenschutzbeauftragten für größere Unternehmen, um den Datenschutz sicherzustellen. Dieser war jedoch nie verpflichtend und somit eine freiwillige Option. Ab Mai 2018 wird sich dies ändern. Jedes Unternehmen, in dem ständig 10 oder mehr Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ab in Kraft treten der DSGVO verpflichtet, einen Datenschutzbeauftragten zu ernennen.
Dieser muss ausreichend fachkundig und zuverlässig sein, damit er das Unternehmen in Bezug auf den Datenschutz bestmöglich beraten und überwachen kann. Wichtig zu wissen für alle Unternehmer: Bei der „20-Personen-Regel“ geht es lediglich um die Kopfzahl. Somit ist es irrelevant, ob es sich bei der Person um eine Voll- oder Teilzeitkraft handelt. Des Weiteren spielt es keine Rolle, welche Art von Tätigkeit diese Person übernimmt.
Wenn sie als Unternehmer also ständig 10 oder mehr Mitarbeiter beschäftigen, welche bei ihrer Tätigkeit beispielsweise am Computer arbeiten, sollten Sie genau prüfen, ob Sie einen Datenschutzbeauftragten nach Artikel 37 DSGVO benötigen.
Wer sollte Datenschutzbeauftragter werden?
Es gibt zwei Varianten einen Datenschutzbeauftragten auszuwählen. Entweder man ernennt einen internen Datenschutzbeauftragten oder man wählt einen externen Datenschutzbeauftragten.
Letztlich gilt, dass es kein Zertifikat oder ähnliches braucht, um Datenschutzbeauftragter zu werden. Dennoch sollte die Geschäftsführung einen ausreichend kompetenten und mit dem Datenschutz vertrauen Mitarbeiter bestellen.
Dies muss, wie zuvor festgestellt, nicht zwangsläufig eine interne Person sein. Auch extern kann ein Datenschutzbeauftragter engagiert werden, welcher vorzugsweise genauestens mit der Materie vertraut ist.
Wenn auf einen internen Mitarbeiter zurückgegriffen wird, ist zu beachten dass etwaige Interessenkonflikte vermieden werden müssen. Diese Interessenkonflikte können bei einem Datenschutzbeauftragten zum Beispiel entstehen, wenn er ebenfalls in der IT-Abteilung des Unternehmens tätig ist.
Die primäre Aufgabe des Datenschutzbeauftragten muss der Datenschutz sein. Grundgedanke ist, dass der Datenschutzbeauftragte nicht seine eigene Tätigkeit überwachen soll.
Wie ernenne ich als Geschäftsführung einen Datenschutzbeauftragten?
Die Bestellung eines Datenschutzbeauftragten muss zwangsläufig förmlich und schriftlich durch die Geschäftsführung geschehen. Ist ein Datenschutzbeauftragter ernannt, muss dieser bei der zuständigen Aufsichtsbehörde bekanntgegeben werden. Des Weiteren muss dieser auf der Website genannt werden.
ACHTUNG! Wichtig ist, dass der Datenschutzbeauftragte nach seiner Bestellung einen besonderen Kündigungsschutz genießt. Einzig eine fristlose Kündigung aus wichtigem Grund könnte gegen diese Person ausgesprochen werden.
Was sind die Aufgaben des Datenschutzbeauftragten?
Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Artikel 39 DSGVO. Er soll das Unternehmer bezüglich des Datenschutzes nicht nur beraten, sondern auch überwachen. Diese Funktion soll sicherstellen, dass alle Vorschriften der neuen EU-Verordnung ordnungsgemäß eingehalten werden. Außerdem muss der Datenschutzbeauftragte im Falle einer Datenpanne oder ähnlichem mit der zuständigen Datenschutzbehörde zusammenarbeiten. Dies soll eine unkomplizierte Kommunikation zwischen Aufsichtsbehörde und Unternehmen ermöglichen.
Fazit:
Die neue Datenschutzgrundverordnung drängt zum Handeln, vorausgesetzt Ihr Unternehmen fällt unter die „20-Personen-Regel“. Sollten Sie Fragen haben, zögern Sie nicht und kontaktieren Sie uns gerne.
Wir als Rechtsanwaltskanzlei können Ihrem Unternehmen das nötige Know-how vermitteln, damit Sie weiterhin rechtssicher agieren können.
Wir freuen uns darauf, Sie kennenzulernen!
Ihr Thomas Seidel,
(Rechtsanwalt)