Art und Umfang des Datenschutzes mögen individuell sein. Dass Datenschutz Anwendung finden muss, ist für alle Unternehmen gleichermaßen Pflicht. Insbesondere au den oder die Datenschutzbeauftragten entfällt eine spezielle Rolle. Gerne unterstütze ich Sie bei der Klärung zu Fragen des Datenschutzes und: ob Sie und Ihre Unternehmung einen Datenschutzbeauftragten nennen müssen.

 

Was macht ein Datenschutzbeauftragter?

Ungeachtet der Größe und Komplexität des Unternehmens sind die Aufgaben des Datenschutzbeauftragten umfangreich. Ob man diese Funktion für die eigene Arbeit berücksichtigen muss und was ein Datenschutzbeauftragter tut, habe ich Ihnen nachfolgend zusammengefasst:

 

Die Pflicht einen Datenschutzbeauftragten zu benennen ergibt sich aus zwei Quellen. Einmal DS-GVO Artikel 37 Absatz 1:

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen  besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreich regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Im BDSG-neu §38 wird noch etwas genauer:

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der DS-GVO benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der DS-GVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.



Wer darf Datenschutzbeauftragter werden?

In Artikel 37 Absatz 5 wir genauer Erläutert wer Datenschutzbeauftragter werden darf:


Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, dass er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.



Was sind die Aufgaben eines Datenschutzbeauftragten?

Artikel 39 DS-GVO erklärt welche Aufgaben ein Datenschutzbeauftragter wahrnehmen muss:

1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.