Nach der DSGVO wird vorgegeben, ab wann der Verantwortliche oder der Auftragsverarbeiter einen Datenschutzbeauftragten schriftlich benennen müssen.
Wann ist ein Datenschutzbeauftragter erforderlich?
Ab wann muss ein Datenschutzbeauftragter bestellt werden nach DSGVO?
Nach der DSGVO wird vorgegeben, ab wann der Verantwortliche oder der Auftragsverarbeiter einen Datenschutzbeauftragten schriftlich benennen müssen.
Wenn in einem Unternehmen 20 (nach DSGVO 20 Mitarbeitende – nach BDSG 10 Mitarbeitende) oder mehr Mitarbeitende mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter erforderlich. Dazu zählen auch öffentliche Stellen oder Behörden. Eine Ausnahme bilden Gerichten, solange diese in ihrem justiziellen Betrieb tätig sind.
Gerichte unterliegen nicht der Kontrolle durch den Landesbeauftragten für den Datenschutz, soweit sie in richterlicher Unabhängigkeit tätig werden. Sie können sich aber von ihm datenschutzrechtlich beraten lassen. Davon haben Gerichte auch bereits Gebrauch gemacht.
Ein Datenschutzbeauftragter ist zudem erforderlich, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine systematische Überwachung von betroffenen Personen erforderlich machen.
Zusätzlich muss ein Datenschutzbeauftragter benannt werden, wenn personenbezogene Daten in bestimmten Fällen von strafrechtlichen Verurteilungen oder Straftaten verarbeitet werden
Auch in anderen Fällen und unabhängig von der Mitarbeiteranzahl, kann ein Datenschutzbeauftragter nach DSGVO bestellt werden. Diese Maßnahme erfolgt in Fällen, in denen sehr spezielle und umfangreiche personenbezogene Datenverarbeitung durchgeführt wird.
Zum Beispiel bei der Verarbeitung von Daten zu politischen/religiösen Überzeugungen, Ethnie/Rasse, Gesundheit und Sexualleben personenbezogene Datenverarbeitungen.
Erforderlichkeit und Benennung des Datenschutzbeauftragten nach BDSG
Trotz der neuen DSGVO gilt das Bundesdatenschutzgesetz (BDSG) wo die DSGVO keine spezielle Regelung anbietet. Nach dem BDSG ist ein Datenschutzbeauftragter Pflicht, wenn 10 oder mehr Personen personenbezogene Daten automatisiert verarbeiten.
Weiterhin müssen Unternehmen einen Datenschutzbeauftragten schriftlich benennen, wenn bestimmte Vorraussetzungen vorliegen:
1.) Übermittlung personenbezogener Daten
2.) Anonyme Übermittlung von Daten
Der deutsche Gesetzgeber hat die Öffnungsklausel des Artikel 37 Abs. 4 Satz 1 DSGVO genutzt. Für die Benennung des betrieblichen Datenschutzbeauftragten wurden nationale Sonderregelungen geschaffen. Wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter erforderlich.
Bei der Anzahl der Mitarbeitenden ist die Arbeitnehmereigenschaft der beschäftigten Personen nicht entscheidend. Folgende Personen sind bei der Berechnung zu berücksichtigen:
1.) Vollzeitbeschäftigte
2.) Teilzeitbeschäftigte
3.) Leiharbeiter
4.) Auszubildende
5.) Praktikanten
Bei der Auslegung des Begriffs der automatisierten Verarbeitung personenbezogener Daten ist ausreichend, dass die beschäftigten Personen einen personalisierten E-Mail-Account haben. Es ist nicht erforderlich, dass die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten die Kernaufgabe der beschäftigten Person ist.
Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach § 38 Abs. 1 Satz 1 BDSG.
Weitere Benennungspflichten und Freiwilligkeit
Das BDSG nennt in § 38 Abs. 1 Satz 2 weitere Szenarien. Fälle, in denen eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) notwendig ist. Sowie Konstellationen, in denen personenbezogene Daten geschäftsmäßig zum Zweck der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
1.) Beispiel ist ein Unternehmen, dass flächendeckend Fingerabdrucksensoren zur Zutrittskontrolle für bestimmte Bereiche einsetzt
2.) Weiterhin Auskunfteien oder Bewertungsportale
Selbst wenn Unternehmen keine Pflicht trifft, können sie trotzdem auf freiwilliger Basis nach Art. 37 Abs. 4 DSGVO einen Datenschutzbeauftragten benennen. Er hat grundsätzlich dieselbe Stellung wie der verpflichtend benannte Datenschutzbeauftragte. Beispielsweise beim Zeugnisverweigerungsrecht nach (§ 38 Abs. 2 i.V.m § 6 Abs. 6 BDSG) oder bei der Verschwiegenheitsverpflichtung (§ 38 Abs. 2 i.V.m § 6 Abs. 5 Satz 2 BDSG). Jedoch nicht bei der Abberufung oder Kündigung des Datenschutzbeauftragten (§ 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG).
Wie werde ich Datenschutzbeauftragter? – Offizielle Benennung
Der Zeitpunkt der Benennung des Datenschutzbeauftragten ist nicht zwingend vorgeschrieben.
Da weder die DSGVO noch das BDSG eine Frist zur Benennung des Datenschutzbeauftragten enthalten, hat die Benennung ohne schuldhaftes Zögern, demnach unverzüglich erfolgen. Folgende Punkte und Eckdaten sind wichtig:
-Schriftform ist nicht erforderlich – jedoch empfehlenswert
-Veröffentlichungs- und Mitteilungspflicht ist gegeben
-Benennung in der Regel durch die Veröffentlichung der Kontaktdaten und die Mitteilung an die Aufsichtsbehörden
-Mitteilungs- und Veröffentlichungspflicht aufgrund der Rolle des DB
-Zentrale Anlaufstelle für Betroffene, Verantwortliche, Auftragsverarbeiter und Aufsichtsbehörden
-Artikel 5 DSGVO – Transparenzgrundsatz
-Sinn und Zweck der Veröffentlichungs- und Mitteilungspflicht ist die Open Door Policy
-Der Datenschutzbeauftragte als Ratgeber und Vertrauensperson
-Veröffentlichung im Unternehmen durch die vorhandenen Kommunikationskanäle
-E-Mail, Intranet, Wikipedia-Anwendung, Informationsrundschreiben, Website
-Einrichtung eines Kontaktformulars auf der Website, separate Telefonnummer
-Bekanntgabe des Namens gegenüber Aufsichtsbehörden und Beschäftigten empfohlen
-Aus Gründen der Rechtssicherheit unterschriebene Bestellurkunde sinnvoll
-Ergänzend ein Dienstleistungsvertrag und eine Ergänzung zum Arbeitsvertrag
-Konzernprivileg für Benennung
-Die DSGVO ermöglicht Verantwortlichen und Auftragsverarbeitern die Benennung eines Datenschutzbeauftragten für eine Unternehmensgruppe
-Keine separate Bestellung für jedes einzelne Konzernunternehmen (erforderlich ist gute Erreichbarkeit des DB)
-Wichtig ist die Möglichkeit des DB mit den Aufsichtsbehörden zu kommunizieren
-Konzerndatenschutzbeauftragter kann auch außerhalb Deutschlands für deutsche Niederlassungen benannt werden
-Entscheidend ist, dass der Datenschutzbeauftragte in der Lage ist,
für Betroffene und Aufsichtsbehörden persönlich als Ansprechpartner zur Verfügung zu stehen
-Die von der DSGVO auferlegten Aufgaben müssen erfüllbar sein
-Der Datenschutzbeauftragte in der Europäischen Union kann unterschiedliche Filialen übernehmen
-Die Beauftragung eines Datenschutzteams kann geeignet sein, die Erfüllung der nach der DSGVO obliegenden Aufgaben effizient zu gestalten
-Die Übernahme der Aufgaben des Datenschutzbeauftragten durch ein Team kann jedoch auch zu erheblicher Rechtsunsicherheit führen
-Fragen der Zuständigkeit, der Haftungsverteilung oder des Abberufungs- und Kündigungsschutzes können unklar sein
Es ist somit sinnvoll, die Zuständigkeiten eindeutig zu kommunizieren und die Berufung auch ohne zwingende Erforderlichkeit schriftlich zu fixieren.
Folgen des Verstoßes bei fehlender Benennung des Datenschutzbeauftragten
Was passiert nun, wenn man keinen Datenschutzbeauftragten hat? Bei fehlender Besetzung der Position des Datenschutzbeauftragten kann es zu unangenehmen Rechtsfolgen und Bußgeldern für das Unternehmen führen
Die konkreten Rechtsfolgen sind unangenehm und vermeidbar. Das Fehlen einer Benennung stellt nämlich einen Verstoß gegen Art. 37 DSGVO dar. Damit stehen der Aufsichtsbehörde die vollständige Maßnahmen aus dem Katalog Katalog des Art. 58 DSGVO zur Verfügung.
1.) Verhängung eines Bußgelds nach Art. 83 DSGVO
2.) Nach Art. 83 Abs. 4 lit. a DSGVO bis zu 10.000.000 EUR
3.) Alternativ bei Unternehmen bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des jeweils vorangegangenen Geschäftsjahres
Die Haftung richtet sich nach der Anzahl und Schwere der Verstöße. Zumeist liegen weitere Verstöße vor, durch die auffällt, dass es in dem zur Diskussion stehenden Punkt keinen Verantwortlichen für den Datenschutz gibt. Bei mehreren Verstößen fällt die Sanktion deutlich strenger aus. Die Höhe der Bußgelder ist unterschiedlich. Einige Beispiele für die Höhe von Bußgeldern aus der Praxis:
– 51.000 EUR gegen die Facebook Germany GmbH
– 75.000 EUR gegen das griechische Tourismusministerium wegen verspäteter Benennung eines Datenschutzbeauftragten
– 64.000 EUR gegen „Mr. Wash“( 10.000 EUR alleine für die Nichtbenennung eines Datenschutzbeauftragten)
Es ist wichtig, die Benennung eines Datenschutzbeauftragten nicht „auf die lange Bank“ zu schieben, denn das kann kostspielig werden. Zudem sind die Daten die neue Währung. Passgenaue digitale Werbung wird immer wichtiger und lukrativer. Es ist daher eine sehr wichtige Aufgabe für die Geschäftsführung in einem Unternehmen, die Daten der Kunden, Mitarbeitenden und allen sonstigen Beteiligten zu schützen.
Fortbildung zum Datenschutzbeauftragten vom Bildungsinstitut Wirtschaft
Ihre Ausbildung zum zertifizierten Datenschutzbeauftragten
Unsere Methode ist stark praxisorientiert und hat sich langfristig in vielen Unternehmen und Behörden bewährt.
Verantwortlicher für diese Pressemitteilung:
Bildungsinstitut Wirtschaft
Herr Nicole Biermann-Wehmeyer
Up de Welle 17
46399 Bocholt
Deutschland
fon ..: 02871-2395078
web ..: http://www.bildungsinstitut-wirtschaft.de
email : info@bildungsinstitut-wirtschaft.de
Pressekontakt:
Bildungsinstitut Wirtschaft
Herr Nicole Biermann-Wehmeyer
Up de Welle 17
46399 Bocholt
fon ..: 02871-2395078
web ..: http://www.bildungsinstitut-wirtschaft.de
email : info@bildungsinstitut-wirtschaft.de