Wer muss wann einen Datenschutzbeauftragten haben - bestellen?

Mit diesem Beitrag wollen wir Antworten auf die folgenden Fragen geben:

Im Anschluss wollen wir uns und unser Angebot kurz vorstellen.
  • Unser Angebot – externer Datenschutzbeauftragter von Hamburg bis Berlin.
  • Vorteile - des externen DSB gegenüber der internen Bestellung.
  • Angebot anfordern – kontaktieren Sie uns.

Wer - muss wann einen Datenschutzbeauftragten (DSB) haben bzw. bestellen?

Wer muss wann einen Datenschutzbeauftragten haben bzw. einen (DSB) bestellen?Wer muss wann einen Datenschutzbeauftragten haben – Die gesetzliche Regelung zur Bestellung eines „Beauftragten für den Datenschutz“ weitläufig als Datenschutzbeauftragter oder DSB bezeichnet, ergibt sich aus den Vorgaben des Bundesdatenschutzgesetzes BDSG bzw. der Europäischen Datenschutzgrundverordnung – EU-DSGVO, auf die wir im Folgenden näher eingehen werden. Aber auch unabhängig der gesetzlichen Regelungen zur verpflichtenden Bestellung kann es notwendig sein, die Leistungen eines DSB – seine fachkundige Unterstützung oder Beratung – in Anspruch zu nehmen – auch dazu machen wir nachfolgend ein paar beispielhafte Ausführungen.

Betrachten wir zunächst die gesetzlichen Vorgaben der EU-DSGVO und des BDSG.

EU-DSGVO Regelung – wann muss ein Datenschutzbeauftragter (DSB) bestellt werden?

Die Europäische Datenschutzgrundverordnung – EU-DSGVO – welche ab Mai 2018 anzuwenden ist, schreibt in Artikel 37 Absatz 1 die Bestellung des „Beauftragten für den Datenschutz“ durch die verantwortliche Stelle vor – hier lautet es wie folgt:

Artikel 37 Absatz 1 der EU-DSGVO - Benennung eines Datenschutzbeauftragten

(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten,
wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Grundsätzlich lässt sich hieraus ableiten, dass nur öffentliche Stellen und Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragten verpflichtet sind.

Die nationale Öffnungsklausel der EU-DSGVO erlaubt es dem jeweiligen Mitgliedsstaat eigene – tiefgreifendere Regelungen zu schaffen, welche im Fall von Deutschland im neuen Bundesdatenschutzgesetz verankert sind, auf die wir nun eingehen wollen.

BDSG Vorschriften zur Bestellung des Datenschutzbeauftragten.

Das NEUE Bundesdatenschutzgesetz, welches auf die europäischen Regelungen zum Datenschutz – auf die EU-DSGVO – aufsetzt, definiert die verpflichtende Bestellung eines Datenschutzbeauftragten
in § 38 Absatz 1 wie folgt:

§ 38- Datenschutzbeauftragte nicht-öffentlicher Stellen

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Somit bleibt die bisherige Regelung des BDSG zur verpflichtenden Bestellung eines Datenschutzbeauftragten weitgehend unverändert bestehen.

Nicht-öffentliche Stellen, wie Unternehmen, Organisationen und Vereine müssen also einen DSB bestellen, wenn mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Hinweis:
Der aktuell vorliegende – zuvor zitierte – Text aus dem neuen BDSG ist per Dato noch nicht verabschiedet – stellt einen Gesetzesentwurf dar – Stand 2017-02-18.

Was sind – bzw. was versteht man unter - personenbezogenen Daten?

Der Datenschutzbeauftragte wirkt auf die Einhaltung des Datenschutzes hin und berät die Geschäftsleitung sowie Mitarbeiter bzgl. des Umgangs mit personenbezogenen Daten. Hierzu wollen wir kurz und knapp darlegen, was personenbezogene Daten eigentlich sind.

  • Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, wie z. B. die Adresse, Telefonnummer, das Geburtsdatum sowie das Foto um ein paar Beispiele zu nennen
  • in Bezug auf den Arbeitsalltag der natürlichen Person sind auch Angaben mit Personenbezug wie PC-Benutzerkennung, IP-Adresse und maschinenbezogene Nutzungszeiten als personenbezogene Daten einzustufen
  • auch Daten ohne direkten Personenbezug – also ohne kontextbezogene Angabe des Namens – wie z. B. Kfz-Kennzeichen und Personalnummer können personenbezogene Daten darstellen, da sie zur Bestimmung der Person dienen können

Was versteht man unter automatisierter Verarbeitung?

Nachdem wir nun geklärt haben, was man unter personenbezogenen Daten versteht, wollen wir uns der Frage widmen, was automatisierte Verarbeitung genau bedeutet.

Automatisierte Verarbeitung ist im Grunde die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten mittels Datenverarbeitungsanlage – typischerweise mit Hilfe eines PC’s.

Unter Nutzung versteht der Gesetzgeber jede Verwendung personenbezogener Daten, insoweit es sich nicht um Verarbeitung handelt – also z. B. das Lesen von Daten natürlicher Personen (Kunden und Mitarbeitern).

Hinweis:
In Bezug auf die vorliegende und weiter gültige gesetzliche Verpflichtung zur Bestellung eines DSB ab 10 Mitarbeitern, die mit automatisierter Verarbeitung beauftragt sind, hält sich irrtümlicherweise die Auffassung, dass hiervon in der Regel nur Personalabteilungen und Kundenbetreuer tangiert werden. Doch dem ist nicht so, denn es zählt schon der Fakt, dass die theoretische Möglichkeit der Verarbeitung (der Zugriff) auf personenbezogene Daten durch mehr als 9 natürliche Personen gegeben ist.

Beispiel:
Im Unternehmen X gibt es 20 Mitarbeiter. 5 der Mitarbeiter arbeiten im Büro bzw. der Verwaltung und verarbeiten Kunden- und Mitarbeiterdaten. Die anderen 15 Mitarbeiter arbeiten in der Produktion und stellen Möbel für Firmen- und Privatkunden her. Grundsätzlich würde man hier davon ausgehen, dass dieses Unternehmen nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist. Jedoch ist das Computerprogramm, die eingesetzte Software mit einem Schönheitsfehler behaftet. Zwar werden die Produktionsaufträge anonymisiert mit Produktionsauftragsnummern und ohne Angaben zum Besteller ausgegeben, aber der Bereich der Kundenverwaltung wäre auch durch die Mitarbeiter in der Produktion einsehbar. Somit – reinweg durch den Umstand, dass der Zugriff auf die personenbezogenen Kundendaten möglich ist, müsste entweder eine softwareseitige Anpassung geschaffen oder ein Datenschutzbeauftragter bestellt werden.

Wann – braucht man unabhängig der Mitarbeiteranzahl einen DSB?

Neben der gesetzlichen Verpflichtung zur Bestellung eines Datenschutzbeauftragten auf Grund der zuvor dargelegten Regelungen, gibt es datenschutzrelevante Vorgänge und Prozesse, bei denen ein DSB – ein fachkundiger Datenschutzbeauftragter – bestellt werden muss.

Nur zwei kleine Beispiele – Videoüberwachung und Zutrittssysteme bzw. Zeiterfassung.

Vorabkontrolle durch den Datenschutzbeauftragten

Wenn man bestimmte Verfahren wie z. B. Videoüberwachung oder Zutrittssysteme z. B. im Zusammenhang mit der Arbeitszeiterfassung zum Einsatz bringen möchte, muss VOR INBETRIEBNAHME die sogenannte Vorabkontrolle durch einen fachkundigen Datenschutzbeauftragten vorgenommen werden. Im Zuge der Vorabkontrolle werden verschiedene datenschutzrelevante Aspekte betrachtet, bewertet und eventuelle Empfehlungen zum Herstellen des datenschutzkonformen Einsatzes ausgesprochen. Erst nach erfolgreicher – beanstandungsfreier – Vorabkontrolle durch den DSB darf eine solche Technologie zur Anwendung kommen – anderenfalls droht ein Bußgeld durch den zuständigen Landesdatenschutzbeauftragten.

Erstellung datenschutzrelevanter Unterlagen – z. B. Verfahrensverzeichnisse und ADV-Verträge

Jedes Verfahren – z. B. bestehend aus Computerprogrammen und Technologien – mit deren Hilfe personenbezogene Daten verarbeitet werden, bedarf einer transparenten Beschreibung und Dokumentation in Form eines Verfahrensverzeichnisses. Manche Einzelverfahren kann man zu einer Verfahrensbeschreibung zusammenführen wie z. B. Kundenverwaltung mittels mehrerer Anwendungsprogramme oder Personalverwaltung.

Ein solches Verfahrensverzeichnis muss verschiedenste Angaben z. B. zu Art und Umfang – genauer Inhalt – der personenbezogenen Daten sowie dem Zweck der Datenerhebung, -verarbeitung oder -nutzung beinhalten. Es gilt die Verfahrensverzeichnisse entsprechend den rechtlichen Vorgaben zu gestalten und auf Verlangen der Datenschutzbehörde vorzuzeigen – ein Nichtvorhandensein oder formelle Unzulänglichkeiten können mit einem Bußgeld geahndet werden.

Verträge zur Auftragsdatenverarbeitung – ADV-Verträge – regeln den Umgang mit personenbezogenen Daten bei der Verarbeitung durch Dritte im Auftrag der verantwortlichen Stelle. ADV-Verträge sind gesetzlich vorgeschrieben und z. B. notwendig, wenn personenbezogene Daten geoutsourct werden oder externe Dritte auf die Daten zugreifen können. Typische Beispiele hierfür wären die Nutzung eines Cloud-Anbieters oder die Betreuung per Fernwartung durch einen IT-Dienstleister. Auch ADV-Verträge unterliegen gewissen Normen, müssen in Form und Inhalt datenschutzkonform gestaltet werden. Diese ADV-Verträge zu prüfen oder zu erstellen liegt ebenfalls im Aufgabenbereich des Datenschutzbeauftragten.

Fazit – wer muss wann einen Datenschutzbeauftragten bestellen

Bevor wir auf unser Angebot als externer Datenschutzbeauftragter eingehen, fassen wir nochmals kurz und kompakt zusammen, wer einen Datenschutzbeauftragten haben – genauer bestellen muss.

Nicht-öffentliche Stellen, wie z. B. Unternehmen, Organisationen, Gesellschaften oder Vereine, in denen mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind müssen einen DSB haben.

Die Bestellung des DSB muss schriftlich und maximal 4 Wochen nach Aufnahme der datenverarbeitenden Tätigkeit durch die verantwortliche Stelle erfolgen.

Hierzu ist anzumerken, dass der zu bestellende Datenschutzbeauftragte über die gesetzlich geforderte Fachkunde verfügen muss und im Ausüben seiner Aufgaben weisungsfrei – direkt der Geschäftsleitung unterstellt – ist. Darüber hinaus besitzt der interne Datenschutzbeauftragte einen gesetzlichen Kündigungsschutz für den Zeitraum seiner Bestellung sowie 1 Jahr darüber hinaus.

Neben der mitarbeiteranzahlabhängigen Bestellungspflicht kann sich Selbige auch ergeben, wenn besonders sensible personenbezogene Daten – wie Angaben zu Gesundheit, Religion oder rassischer Herkunft verarbeitet werden.

Darüber hinaus ergibt sich die Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn die verantwortliche Stelle Verfahren, die einer Vorabkontrolle unterliegen einsetzen möchte oder bereits im Einsatz hat – hierzu ein paar Beispiele:

  • Videoüberwachung
  • Zutrittssysteme
  • Zeiterfassungssysteme
  • RFID-basierte Technologien
  • GPS-lokalisierende Systeme (z. B. Fahrzeuglokalisierung)

Unser Angebot – externer Datenschutzbeauftragter von Hamburg bis Berlin

Wie Sie aus den wenigen Beispielen ersehen können, ist ein gesetzeskonformer Datenschutz ein recht umfangreiches und komplexes Thema, welches man nicht mal nebenbei erledigen oder gar vernachlässigen kann, da neben Bußgeldern auch Imageschaden und Reputationsverlust drohen.

Daher sollten Sie auf uns als fachkundigen – durch den TÜV zertifizierten – Partner setzen. Seit 2010 beraten und betreuen wir als externer Datenschutzbeauftragter öffentliche und nicht-öffentliche Stellen in Berlin, Brandenburg, Sachsen-Anhalt und Mecklenburg-Vorpommern. Unser Angebot richtet sich an Unternehmen, Organisationen und Vereine sowie öffentliche Einrichtungen in den zuvor benannten Bundesländern sowie in Hamburg und Niedersachsen.

Vorteile - des externen DSB gegenüber der internen Bestellung

Der Vorteile des externen DSB gegenüber einem internen Datenschutzbeauftragten gibt es viele, die wir in einem separaten Beitrag ausführlich dargelegt haben. Zum Beitrag der Vorteile und Kosten für die Bestellung eines externen DSB gelangen Sie über nachfolgenden Link.

Angebot zur Bestellung als DSB oder Datenschutzberatung anfordern

Wenn Sie zur Bestellung eines Datenschutzbeauftragten verpflichtet sind oder freiwillig einen DSB bestellen wollen, dann können wir Sie gern als fachkundiger Partner - als Ihr Datenschutzbeauftragter - oder im Rahmen einer Datenschutzberatung unterstützen.

Fordern Sie jetzt Ihr Angebot mit transparenter Kostenplanung an!