Datenschutzbeauftragte
Wenn Sie 20 Mitarbeiter/-innen haben, die mit personenbezogenen Daten arbeiten, brauchen Sie einen Datenschutzbeauftragten. Zur Verarbeitung reicht es schon aus, wenn sie mit E-Mails arbeiten oder Webseiten auswerten. Am einfachsten rechnen Sie jeden Arbeitsplatz dazu, der mit einem Computer arbeitet.
Wenn Sie weniger als 20 Mitarbeiter/-innen haben, aber umfangreiche Verarbeitung von personenbezogenen Daten besonderer Kategorie vornehmen, brauchen Sie ebenfalls einen Datenschutzbeauftragten. Verarbeiten Sie also beispielsweise Gesundheitsdaten (wie Apotheken, Arztpraxen), genetische oder ethnische Daten (Forschungsinstitute) oder die Daten von politischen Parteien oder Gewerkschaften, müssen Sie jemanden ernennen.
Behörden müssen übrigens immer einen Datenschutzbeauftragten ernennen!
Datenschutzbeauftragter kann werden, wer die EU-DSGVO anwenden kann (oder vielleicht diesen Text als Grundlage nimmt). Weitere Voraussetzungen gibt es nicht. Interessenskonflikte müssen natürlich vermieden werden. EDV-Leute können keine Datenschutzbeauftragten werden, da sie ja überwacht werden müssen. Das gleiche gilt für Verantwortliche.
Der Datenschutzbeauftragte ist wegen seiner Tätigkeit nicht kündbar (wegen anderer Vergehen aber natürlich schon). Das gilt bis zu einem Jahr nach dem Ende seiner Tätigkeit.
Weitere Informationen
- Rechtsquellen: Art. 37, EWG 97 EU-DSGVO, § 38 BDSG, § 31 DSG NW
- Ein interner Datenschutzbeauftragter darf nicht abberufen werden, weil es opportun erscheint, einen externen Datenschutzbeauftragten zu bestellen (Arbeitsgericht Nürnberg).
- Ein Interessenskonflikt für einen Datenschutzbeauftragten besteht, wenn er in erster Linie seine eigene Tätigkeit kontrollieren muss
Verantwortliche und Auftragsverarbeiter müssen einen Datenschutzbeauftragten ernennen, wenn
- es sich um Behörden oder öffentliche Stellen handelt (außer bei Gerichten)
- die Kerntätigkeit darin besteht systematisch Personen zu überwachen
- die Kerntätigkeit in der Verarbeitung besonderer personenbezogener Daten besteht
Ein gemeinsamer Datenschutzbeauftragter für mehrere Behörden ist möglich. Datenschutzbeauftragte können von jeder Organisation grundsätzlich auch freiwillig ernannt werden. Ihre Kontaktdaten (Der Name ist nicht notwendig) werden veröffentlicht und der Aufsichtsbehörde mitgeteilt.
Datenschutzbeauftragte können Angestellte des Verantwortlichen sein oder durch einen Dienstleistungsvertrag verpflichtet werden. Sie sollen aufgrund der beruflichen Qualifikation, des Fachwissens und der Praxis ernannt. Insbesondere müssen sie die folgenden Aufgaben erfüllen können:
- Unterrichtung und Beratung der Verantwortlichen und der Beschäftigten hinsichtlich der DSGVO
- Überwachung der Vorschriften der DSGVO
- Sensibilisierung und Schulung der Mitarbeiter
- Überprüfungen der Maßnahmen
- Beratung auf Anfrage, besonders bei DSFA (siehe Nr. 8.3)
- Zusammenarbeit mit der Aufsichtsbehörde
- Tätigkeit als Anlaufstelle für Aufsichtsbehörde (z. B. bei vorheriger Konsultation Nr. 8.3)
Weitere Informationen
- Bereits ernannte Datenschutzbeauftragte in Unternehmen unter 20 Mitarbeitern sind zwar abrufbar, jedoch gilt die gesetzliche Kündigungsfrist der EU-DSGVO.
- Zur Eignung von (betrieblichen) Datenschutzbeauftragten.
- Kündigungsschutz für den Datenschutzbeauftragten ist rechtens (Datenschutz Notizen, 16.06.2020).
Der Datenschutzbeauftragte (DSB) berichtet unmittelbar der höchsten Managementebene des Verantwortlichen. Er wird vom Verantwortlichen bei seiner Aufgabe unterstützt und erhält alle zur Erhaltung seines Fachwissens notwendigen Ressourcen und Zugänge.
Betroffene können den DSB zu Rate ziehen. Also auch Kunden und Mitarbeiter. Dies bezieht sich auf die Verarbeitung ihrer Daten und auf die Wahrnehmung ihrer Rechte. Der DSB ist an Geheimhaltung oder Vertraulichkeit gebunden.
Ein Interessenskonflikt durch andere Tätigkeiten darf nicht bestehen. Der DSB nimmt auch keine Anweisungen bezüglich seiner Aufgabe entgegen. Er darf wegen seiner Funktion nicht abberufen oder benachteiligt werden, sondern muss frühzeitig in alle datenschutzrelevanten Fragen eingebunden werden.
Das Datenschutzgesetz NRW mit seiner Gültigkeit für Landesbehörden und Kommunen regelt naturgemäß nur weitere Eigenschaften des behördlichen Datenschutzbeauftragten (bDSB) in § 31.
Eine Abberufung eines bDSB ist nur möglich, wenn Umstände des § 626 BGB vorliegen (Fristlose Kündigung aus wichtigem Grund). Der Kündigungsschutz ist also enger gefasst und gilt noch für ein Jahr nach der Abberufung.
Im 2. Datenschutzanpassungs- und Umsetzungsgesetz wurde der § 38 des Bundesdatenschutzgesetzes geändert. Die Anzahl der Mitarbeiter, ab der private Unternehmen einen DSB benennen müssen, wurde von 10 auf 20 Mitarbeiter erhöht. Zu der Übergangszeit bereit benannter DSB urteilte das Bundesarbeitsgericht
„Der Sonderkündigungsschutz des Beauftragten für den Datenschutz nach § 4f Abs. 3 Satz 5 BDSG in der bis zum 24. Mai 2018 geltenden Fassung (aF) endet mit Absinken der Beschäftigtenzahl unter den Schwellenwert des § 4f Abs. 1 Satz 4 BDSG aF. Gleichzeitig beginnt der nachwirkende Sonderkündigungsschutz des § 4f Abs. 3 Satz 6 BDSG aF.“
Weiterhin ist geregelt, dass eine Stelle auch mehrere bDSB berufen darf. Artikel 37 Absatz 3 EU-DSGVO regelt nur, dass ein gemeinsamer DSB ernannt werden darf.
Absatz 2 regelt über den Artikel 38 Absatz 4 EU-DSGVO hinaus, dass bDSB auch für Fragen des DSG NW und anderer Rechtsvorschriften über den Datenschutz (also Spezialrecht) zu Rate ziehen können.
Weitere Informationen
- Der DSB muss Datenschutzverstöße nicht selbst melden.
- Freiwillige Datenschutzbeauftragte genießen keinen besonderen Kündigungsschutz.
Weiterhin wird die Verschwiegenheitspflicht des Artikels 38 Absatz 5 EU-DSGVO dahingehend erweitert, dass konkret die Identität der Betroffenen, direkt oder indirekt, verschwiegen werden muss. Ausnahme: die Betroffenen haben die bDSB davon befreit.
Wenn die bDSB Kenntnis von Daten erhalten, für die ein Zeugnisverweigerungsrecht (Schweigerecht vor Gericht, z. B. für Ärzte und Anwälte) besteht, dann gilt das auch für die bDSB.
Weitere Informationen
- Ein Externer Datenschutzbeauftragter ist gewerblich tätig, wenn er zugleich Rechtsanwalt ist.