Der Datenschutzbeauftrage: Wer braucht ihn und warum?
© sdecoret - Adobe Stock

Der Datenschutzbeauftrage: Wer braucht ihn und warum?

Ein Datenschutzbeauftragter ist eine Person, die von einem Unternehmen bestellt wird, um die Einhaltung des Datenschutzes im Unternehmen zu überwachen. Der Verantwortungsbereich deckt dabei alle personenbezogenen Daten ab.

 

  ©putilov_denis, Fotolia.com

Was genau macht der Datenschutzbeauftrage?

Der Datenschutzbeauftragte sorgt dafür, dass nur die Personen mit entsprechender Befugnis auf die für sie vorgesehenen Informationen zugreifen können. Dazu müssen die eingesetzten Softwaresysteme an die Datenschutzbestimmungen angepasst und korrekt konfiguriert werden. Dazu ist oftmals ein fachlicher Austausch mit den IT-Sicherheitsbeauftragten oder den Netzwerkadministratoren erforderlich, weswegen der Datenschutzbeauftragte selber keine dieser Positionen innehaben darf, damit keine Interessenkonflikte entstehen.

Ein weiterer Tätigkeitsschwerpunkt liegt in der Beratung der Geschäftsleitung zu allen Fragen des Datenschutzes. Wobei er hier nur Vorschläge machen kann und der Geschäftsleitung gegenüber nicht weisungsbefugt ist. Der Datenschutzbeauftragte führt ein Verzeichnis mit allen Verarbeitungsprozessen für personenbezogene Daten. Daher ist er auch direkter Ansprechpartner für externe Personen, wenn es um den Schutz personenbezogener Daten auf der Unternehmenswebseite geht. Bei der Datenschutzerklärung der Unternehmensseite, achtet er auf die Vollständigkeit der Angaben zu den erhobenen Daten. Die Art und der Zweck der Datenerhebung, der Anwendungsbereich auf den sich die Datenschutzerklärung bezieht, sowie welche Daten in welchem Umfang erfasst werden und was mit diesen Daten geschieht, sind verpflichtende Angaben. Als verantwortliche Person für inhaltliche Fragen zur Datenschutzerklärung und zum schutzwürdigen Umgang mit den personenbezogenen Daten ist er verpflichtet mit seinem Namen und einer Kontaktmöglichkeit für Fragen zur Verfügung zu stehen.

Auch für die eigenen Mitarbeiter im Betrieb steht er jederzeit bei Fragen und Problemen rund um das Thema Datenschutz zur Verfügung. Zusätzlich ist es hier seine Aufgabe die Mitarbeiter regelmäßig in Sachen Datenschutz zu informieren und von Zeit zu Zeit Schulungen zum Thema Datenschutz durchzuführen.

Wer benötigt einen Datenschutzbeauftragten?

 

Bei geschäftsmäßiger Erhebung von personenbezogenen Daten ist ein Datenschutzbeauftragter Pflicht. ©Rawpixel.com, Fotolia.com

Jedes Unternehmen, das personenbezogene Daten automatisiert verarbeitet, ist nach dem Bundesdatenschutzgesetz (BDSG §4) verpflichtet einen Datenschutzbeauftragten zu bestellen. Dies muss spätestens einen Monat nach Aufnahme der Tätigkeit geschehen. Bei Nicht-Bestellung oder bei Bestellung eines Datenschutzbeauftragten, der die Voraussetzungen für die Position nicht erfüllt, ist ein entsprechendes Bußgeld zu erwarten.

Die Bestellung eines Datenschutzbeauftragten ist

 

  • unabhängig von der Anzahl der Mitarbeiter, wenn diese als verantwortliche Stelle personenbezogene Daten geschäftsmäßig erheben, verarbeiten oder nutzen
  • unabhängig von der Anzahl der Mitarbeiter, wenn diese als verantwortliche Stelle eine automatisierte Datenverarbeitung durchführen, die einer Vorabkontrolle unterliegen

Ansonsten ist die Bestellung erforderlich wenn

 

  • sich mindesten zehn Mitarbeiter als verantwortliche Stelle ständig mit automatisierter Datenerhebung, Datenverarbeitung oder Datennutzung beschäftigen
  • sich mindestens zwanzig Mitarbeiter mit nicht-automatischer Datenerhebung, Datenverarbeitung oder Datennutzung beschäftigen

Zu Klärung, was personenbezogene Daten sind, erläutert das BDSG § 3:

 

  • Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten natürlichen Person bzw. eines Betroffenen
  • Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen
  • Eine nicht automatisierte Verarbeitung ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen ausgewertet werden kann
  • Die Erhebung von Daten ist das Beschaffen von Daten über den Betroffenen
  • Datenverarbeitung ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten
  • Die Nutzung von Daten ist die Verwendung personenbezogener Daten, sofern es sich nicht um Datenverarbeitung handelt

Wer kann Datenschutzbeauftragter werden?

 

 

©blende11.photo, Fotolia.com

Als Grundvoraussetzung, um als Datenschutzbeauftragter in Frage zu kommen, muss entsprechendes Fachwissen vorhanden sein. Dazu gehört, dass die Kenntnisse der aktuellen Datenschutzregeln und Richtlinien bekannt und sicher angewandt werden können müssen. Aber auch fundierte IT-Kenntnisse, sowie grundsätzliche juristische und organisatorische Kenntnisse müssen vorhanden sein. Der zukünftige Datenschutzbeauftragte muss in der Lage sein, die angewendeten Datenverarbeitungssysteme zu verstehen, um Maßnahmen zum Schutz der Daten vorschlagen und bewerten zu können.

Als weitere Grundvoraussetzung, muss der bestellte Datenschutzbeauftrage zuverlässig sein. Dazu gehört auch, dass er frei von Gewissens- und Interessenkonflikten seine Aufgabe ausführen kann. So existieren im Unternehmen Positionen, bei denen die Aufgabe des Datenschutzes mit den Interessen anderer Tätigkeitsfelder kollidiert. So sind folgende Funktionsträger im Unternehmen nicht für die Tätigkeit als Datenschutzbeauftragter geeignet:

 

  • Personalchef
  • Abteilungsleiter
  • IT-Leitung
  • Administratoren
  • Firmenanwalt

Grundsätzlich besteht für alle Personen, die sich als Datenschutzbeauftragter selber kontrollieren müssten, ein Interessenkonflikt. Wer die Grundvoraussetzungen für das fachliche Knowhow und die Zuverlässigkeit vorweisen kann, ist somit grundsätzlich geeignet als Datenschutzbeauftragter bestellt zu werden.

Wie wird man Datenschutzbeauftragter?

Um Datenschutzbeauftragter zu werden, müssen zunächst die Voraussetzungen für die Position gegeben sein. Das entsprechende fachliche Wissen muss vorhanden sein und angewandt werden können, genauso wie die Zuverlässigkeit nachgewiesen werden muss. Für interne Datenschutzbeauftragte empfiehlt sich vor dem Einsatz als Datenschutzbeauftragte, das fachliche Wissen bezüglich den aktuellen Anforderungen an den Datenschutz durch Datenschutz-Seminare zu erwerben.

Um nun Datenschutzbeauftragter zu werden, muss das jeweilige Unternehmen einen schriftlich bestellen. Es ist dabei völlig unabhängig, ob der zukünftige Datenschutzbeauftrage zum Unternehmen dazu gehört oder als eine externe Person auftritt. Damit die Bestellung zum Datenschutzbeauftragten rechtens ist, muss der Prozess ganz formell nach vorgegeben Regeln ablaufen. Folgende Punkte sind einzuhalten (Quelle: https://www.datenschutzbeauftragter-info.de/betrieblicher-datenschutzbeauftragter-wie-erfolgt-die-bestellung/ )

 

  • Die Bestellung muss schriftlich erfolgen
  • Die Bestellungsurkunde muss vom Datenschutzbeauftragten und dem Unternehmen unterschrieben werden
  • Die Bestellung muss unabhängig und losgelöst von einem möglichen Mitarbeitervertrages erfolgen
  • Es muss eine Aufgabenbeschreibung vorhanden sein
  • Es muss eine Verpflichtung des Unternehmens vorhanden sein, den Datenschutzbeauftragten bei seiner Arbeit personell und materiell zu unterstützen

Welche Pflichten hat der Datenschutzbeauftragte?

 

  ©geralt (CC0-Lizenz, pixabay.com)

Die Pflicht des Datenschutzbeauftragten ist es, zu überwachen, dass der Datenschutz im Unternehmen beachtet und eingehalten wird. Er weist auf Defizite und Fehlverhalten hin und entwickelt Strategien um die Einhaltung des Datenschutzes zu verbessern. Er steht jederzeit als Ansprechpartner für die Geschäftsführung und für Mitarbeiter bei Fragen und Problemen zum Datenschutz zur Verfügung. Dabei ist der Datenschutzbeauftragte zur Verschwiegenheit über die Identität des Betroffenen verpflichtet, oder auch auf Hinweise, die zur Identifizierung des Betroffenen führen können, außer er ist von der Person von der Verschwiegenheitspflicht befreit. Bei Unternehmen mit einer Unternehmenswebseite steht er auch externen Personen bei Fragen zum betriebsinternen Umgang personenbezogener Daten zur Verfügung.

Einmal jährlich erstellt der Datenschutzbeauftragte einen Datenschutzbericht, in dem Datenschutzvorfälle aufgeführt und näher dargestellt werden. Ebenso die daraus folgenden, erforderlichen Maßnahmen, die zum besseren Schutz nötig sind.

Interner oder externer Datenschutzbeauftragter?

 


Mit dem für 2018 geplanten Inkrafttreten der Europäischen Datenschutz-Grundverordnung wird es einen einheitlichen Rechtsrahmen für die Zertifizierung von Gütesiegeln bei dem Einsatz von Datenschutz-Audits geben. ©dizain, Fotolia.com

Es ist möglich einen eigenen Mitarbeiter als internen Datenschutzbeauftragten zu bestellen, oder alternativ einen externen Dienstleister zu wählen. Welche Lösung für welches Unternehmen die bessere Wahl ist, ist abhängig von den eigenen Präferenzen.

Die Vorteile eines internen Datenschutzbeauftragten sind:

 

  • gute Kenntnisse der Unternehmensstruktur und -abläufe
  • ständige Verfügbarkeit

Die Nachteile eines internen Datenschutzbeauftragten sind:

 

  • höhere Kosten für Weiterbildungen
  • die Haupttätigkeit leidet zeitlich unter der Tätigkeit als Datenschutzbeauftragter
  • sollten Interessenkonflikte bestehen oder die Voraussetzung als Datenschutzbeauftragter fehlen, gilt dieser als nicht bestellt
  • erweiterter Kündigungsschutz, der Kündigungsschutz besteht noch ein Jahr nach Abberufung der Position als Datenschutzbeauftragter

Die Vorteile eines externen Datenschutzbeauftragten sind:

 

  • keine Interessenskonflikte oder Kollision mit anderen betrieblichen Aufgaben
  • keine Ausfallzeit für eigene Mitarbeiter, durch z.B. Schulungen
  • bessere Absicherung in Haftungsfragen
  • es sind reguläre Kündigungszeiten möglich

Die Nachteile eines externen Datenschutzbeauftragten sind:

 

  • Einarbeitung in die innerbetrieblichen Strukturen und Abläufe nötig

Für größere Unternehmen ist der Zugriff auf einen externen Datenschutzbeauftragten meist kostengünstiger und mit weniger Risiken behaftet. Bei kleineren Unternehmen, bei denen nur geringe Mengen an personenbezogene Daten anfallen, kann die Wahl eines internen Datenschutzbeauftragten ausreichend sein.

Wieviel verdient man als Datenschutzbeauftragter?

Das Gehalt des Datenschutzbeauftragten hängt im Wesentlichen von der Branche, der Unternehmensgröße und vom Verantwortungsbereich des Datenschutzbeauftragten ab. Je größer der Verantwortungsbereich und je komplexer die Strukturen, desto mehr ist als Gehalt zu erwarten. Zudem besteht ein Unterschied zwischen einem hauptamtlichen Datenschutzbeauftragten und einem stellvertretenden Datenschutzbeauftragten. In den öffentlichen Gehaltsdatenbanken finden sich Gehälter zwischen 2.000 und 6.500 Euro pro Monat.

Bildquellen (fotolia):

#89127696 | Urheber: putilov_denis

#105654764 Rawpixel.com

#72098640 | Urheber: blende11.photo

Pixabay.com geralt (CC0-Lizenz, pixabay.com)

#72880465 | Urheber: dizain