Die Ernennung eines Datenschutzbeauftragten (DSB) im Unternehmen Die neue EU-Datenschutzgrundverordnung (DSGVO) wird zum 25.05.2018 im gesamten EU-Beitrittsgebiet verbindlich wirksam. Ergänzend hierzu wird in weiten Teilen auch das nationale Datenschutzrecht, insb. das Bundesdatenschutzschutzgesetz (BDSG), neu geregelt. Aufgrund der Vielzahl von Öffnungsklauseln in der DSGVO kann das nationale Recht der Mitgliedsstaaten in vielen Bereichen von den Europäischen Standards abweichen. Bis zum 25. Mai 2018 haben alle in einem Mitgliedsstaat der EU niedergelassenen Unternehmen ihre Geschäftsprozesse den Neuerungen anzupassen und zwar unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der EU stattfindet. Verstöße gegen die neuen Regelungen können mit Bußgeldern bis zu 10 Mio. oder 20 Mio. EUR oder in Höhe von 2 % bzw. 4 % des gesamten, weltweit erzielten Jahresumsatzes des Unternehmens verfolgt werden. Dennoch haben in Deutschland bisher nur etwa 13% der Unternehmen mit der Umsetzung der neuen Datenschutzvorgaben begonnen; jedes dritte Unternehmen hat sich mit der Datenschutzgrundverordnung derweil noch überhaupt nicht auseinandergesetzt. 1. Wer muss einen Datenschutzbeauftragten bestellen? Art. 37 Abs. 1 DSGVO verpfl ichtet alle nicht-öffentlichen Stellen zur Bestellung eines Datenschutzbeauftragten, wenn: als Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung von Betroffenen durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt oder
als Kerntätigkeit eine umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO erfolgt oder als Kerntätigkeit eine umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 erfolgt. Mit 38 BDSG-neu hat sich der deutsche Gesetzgeber überdies die Öffnungsklausel des Art. 37 Abs. 4 DSGVO zu Nutze gemacht. Ein Datenschutzbeauftragter ist demnach auch zu bestellen, soweit: Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder die Verantwortlichen und Auftragsverarbeiter Datenverarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Auf eine bestimmte Personenanzahl kommt es hierbei nicht an. Für öffentliche-stellen gilt die Verpflichtung bereits, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle, mit Ausnahme von Gerichten, durchgeführt wird (Art. 37 Abs. 1 Ziff. 1 DSGVO). Insoweit ergeben sich nur unwesentliche Änderungen zur bisherigen Rechtslage nach 4f BDSG-alt. Die Ernennung wird weiterhin für den überwiegenden Anteil der öffentlichen und privatwirtschaftlichen Unternehmen verpflichtend sein. 2. Welche Aufgaben hat der DSB? Dem Datenschutzbeauftragten obliegt die Überwachung der Einhaltung der Datenschutzvorschriften. Gemäß Art. 39 DSGVO/ 7 BDSG-neu treffen ihm dabei zumindest folgende Aufgaben: Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten
Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO Zusammenarbeit mit der Aufsichtsbehörde Darüber hinaus kann der Datenschutzbeauftragte auch weitere Aufgaben und Pflichten wahrnehmen, sofern sichergestellt ist, dass diese nicht zu einem Interessenkonflikt führen. Mit der Überwachungspflicht des Datenschutzbeauftragten geht allerdings keine persönliche Verantwortung zur tatsächlichen Umsetzung der Datenschutzvorgaben einher; diese verbleibt weiterhin bei den Verantwortlichen der Datenverarbeitungsprozesse (Unternehmensleitung). Eine interne Haftung gegenüber dem Unternehmen bleibt allerdings je nach Anstellungsart möglich. 3. Welche Besonderheiten gehen mit der Stellung als DSB einher? Der Datenschutzbeauftragte ist gegenüber dem Verantwortlichen grundsätzlich weisungsfrei. Der Verantwortliche hat die Weisungsfreiheit bei der Erfüllung seiner Tätigkeiten sicherzustellen. Zudem darf der Datenschutzbeauftragte wegen seiner Tätigkeit nicht benachteiligt werden (Art. 38 Abs. 3 DSGVO). Zur Stellung des Datenschutzbeauftragten verweist 38 Abs. 2 BDSG-neu ferner auf die Regelungen zum Datenschutzbeauftragten in öffentlichen Stellen ( 6 Absatz 4, 5 Satz 2 und Absatz 6 BDSG-neu). Demnach ergeben sich weitere Besonderheiten für: die Abberufung des DSB: Die Kündigung des Arbeitsverhältnisses ist während bis ein Jahr nach Ende der Tätigkeit als Datenschutzbeauftragter grundsätzlich nur aus wichtigem Grund zulässig ( 38 Abs. 2 i.v.m. 6 Abs. 4 BDSG-neu). die Verschwiegenheitspflichten des DSB Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Personen zulassen, verpflichtet, soweit er nicht davon durch die betroffene
Person befreit wird ( 38 Abs. 2 i.v.m. 6 Abs. 5 Satz 2 BDSG-neu) das Zeugnisverweigerungsrecht des DSB Erhält der Datenschutzbeauftragte bei seiner Tätigkeit Kenntnis von Daten, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihm unterstellten Beschäftigten zu. Seine Akten und Dokumente unterliegen einem Beschlagnahmeverbot. ( 38 Abs. 2 i.v.m. 6 Abs. 6 BDSG-neu) 4. Was muss bei der Bestellung des DSB beachtet werden? Um den Zielsetzungen der DSGVO und des BDSG gerecht zu werden, sollte in Unternehmen und Behörden ein klares Kontroll- und Berichtssystem geschaffen werden, um das Risiko künftiger Datenschutzverstöße effektiv minimieren zu können. Hierbei nimmt der Datenschutzbeauftragte eine zentrale Rolle ein. Er muss über alle wesentlichen (auch zukünftig geplanten) Unternehmensprozesse frühzeitig in Kenntnis gesetzt werden, steht im ständigen Dialog zur Unternehmensführung und tritt gegenüber den Aufsichtsbehörden als primärer Ansprechpartner auf. Daher sollte die Auswahl wohlüberlegt sein. Im Wesentlichen stellen sich folgende Fragen: Interner oder externer Datenschutzbeauftragter? Mit der Stellung des Datenschutzbeauftragten geht ein erheblicher Arbeitsaufwand einher. Viele Unternehmen und Behörden entscheiden sich daher für die Ernennung eines externen Datenschutzbeauftragten. Beide Optionen haben Vor- und Nachteile, die auf den Betrieb individuell abgestimmt werden sollten Welche Voraussetzungen muss der Datenschutzbeauftragte mitbringen? Der Datenschutzbeauftragte muss zunächst eine natürliche Person sein; eine Doppelbesetzung ist unzulässig. Des Weiteren muss er die notwendige Fachkunde und Zuverlässigkeit zur gewissenhaften Ausführung seiner Tätigkeit mitbringen. Entsprechende datenschutzrechtliche Vorkenntnisse sind zu erwarten.
5. Welche Konsequenzen drohen bei Verstößen? Die Rechtsfolgen bei Verstößen gegen die Vorschriften zum Datenschutzbeauftragten ergeben sich aus Art. 83 Abs. 4a DSGVO. Es drohen Bußgelder bis zu 10 Mio. EUR oder in Höhe von 2 % des weltweiten Jahresumsatzes des Gesamtkonzerns. Darüber hinaus bleibt das Unternehmen weiterhin für die interne Umsetzung des Datenschutzes verantwortlich. Eine Exkulpationsmöglichkeit wegen falscher oder ungenügender Beratung durch den Datenschutzbeauftragten besteht grundsätzlich nicht. Vielmehr ist eine eigene Haftung der Geschäftsleitung nach 93 Abs. 1 AktG bzw. 43 GmbHG und 130 OwiG in Betracht zu ziehen, wenn diese keine fachkundige Person als DSB bestellt und/ oder diese nur unzureichend kontrolliert hat. Unser Leistungsangebot Zu unseren Leistungen zählen insbesondere: Wir beraten Sie umfassend hinsichtlich der sorgfältigen Auswahl und Schulung geeigneter Personen als Datenschutzbeauftragte. Hierbei erläutern wir Ihnen umfassend alle Vor- und Nachteile einer internen und externen Beauftragung, wägen für Sie die unternehmerischen Risiken ab und unterstützen Sie bei der arbeitsrechtlichen Vertragsgestaltung. Darüber hinaus unterstützen wir Sie bei dem Aufbau eines internen Zuständigkeits- und Kontrollsystems in Ihrem Unternehmen, so dass das Risiko von Datenschutzverstößen zukünftig minimiert werden kann. Sollte es bereits zu Haftungsfällen gekommen sein, vertreten wir Ihre Interessen selbstverständlich in sämtlichen Verwaltungs-, Zivil- und Ordnungswidrigkeitenverfahren. Wir bieten regelmäßig Schulungen von Datenschutzbeauftragten und Mitarbeitern an und sensibilisieren Ihre Mitarbeiter für die Themen Datenschutz und IT-Sicherheit.