Praxiswissen
Seiteninhalte
Stand 02 / 20254 MinutenNur für Mitglieder

DSGVO: Datenschutzbeauftragter – Benennung und Stellung

In diesem Praxiswissen informieren wir Sie detailliert über die Möglichkeit bzw. Pflicht der Benennung eines Datenschutzbeauftraten sowie dessen Stellung im Unternehmen.

Recht, Arbeit & Soziales Arbeitsrecht Kauf- und Werkvertragsrecht

Vorbemerkung

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit. 

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Möchten Sie weiterlesen?

Bitte melden Sie sich an, um den vollständigen Artikel zu sehen.

Passwort vergessen

Sie sind noch kein HBE-Mitglied?

Mitgliedschaft beantragen

Oder Sie sind bereits HBE-Mitglied, haben aber noch keinen Zugang?

Zur Erstanmeldung

Datenschutzbeauftragter – Benennung und Stellung (Art. 37, 38, ErwGr 97)

Inhalt (grob)

Verantwortliche (z. B. Unternehmen) haben unter bestimmten Voraussetzungen einen Datenschutzbeauftragten (DSB) zu benennen.

Sanktionen bei Verstoß

Geldbuße bis zu 10 Mio. EUR oder bis 2 % des gesamten weltweit erzielten Jahresumsatzes sowie behördliche Maßnahmen

Benennung des DSB

Voraussetzungen
Ein Datenschutzbeauftragter ist zu benennen, wenn((Rechtsgrundlage: Art. 37 (1) ))

  • mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt oder
  • Kerntätigkeit die Verarbeitung von Daten ist, die von Art/Umfang/Zweck eine umfangreiche regelmäßige und systemische Überwachung von betroffenen Personen erfordert (z. B. in einem Rechenzentrum) oder
  • Kerntätigkeit die umfangreiche Verarbeitung von sensiblen Daten gemäß Art. 9 oder 10 DS-GVO ist (z. B. biometrische oder Gesundheitsdaten) oder
  • unabhängig von Schwellenwerten Verarbeitungen erfolgen,
    • die entweder eine Datenschutzfolgenabschätzung nach Art. 35 DS-GVO erfordern
    • oder geschäftsmäßig zum Zweck der (auch anonymisierten) Übermittlung oder zur Markt- und Meinungsforschung vorgenommen werden.((Rechtsgrundlage: § 38 (1) BDSG n. F.))

Eine Unternehmensgruppe kann einen gemeinsamen Datenschutzbeauftragten benennen, d. h., dass für mehrere Verantwortliche einer Unternehmensgruppe in einem formellen Akt ein Datenschutzbeauftragter benannt wird.((Rechtsgrundlage: Art 37 (2) ))

Datenschutzbeauftragter kann ein Angestellter oder externer Datenschutzbeauftragter sein.

Persönliche Voraussetzungen des DSB Die Benennung erfolgt auf der Grundlage seiner beruflichen Qualifikation und seines Fachwissens in Datenschutzrecht und -praxis.((Rechtsgrundlage: Art. 37 (6) ))

Form und Dauer der Benennung sind nicht geregelt. Aus Dokumentationsgründen sollte die Benennung mindestens in Textform erfolgen. Wenn der Zeitraum der Benennung befristet ist, darf die Frist nicht so kurz bemessen sein, dass die Unabhängigkeit des DSB gefährdet ist.((Rechtsgrundlage: Art. 37 (5) ))

Transparenz 
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen. Ausreichend ist es, wenn Anschrift und Mailadresse z. B. auf der Homepage veröffentlicht werden. Der Name des Datenschutzbeauftragten muss nach Auffassung des HDE nicht veröffentlicht werden.((Rechtsgrundlage: Art. 37 (7) ))

Die Kontaktdaten müssen auch der zuständigen Aufsichtsbehörde mitgeteilt werden. Hierbei ist eine Namensnennung ebenfalls in der DS-GVO nicht vorgesehen, aber sinnvoll, denn der Datenschutzbeauftragte ist Anlaufstelle für die Aufsichtsbehörden.((Rechtsgrundlage: Art. 39 (1 e) ))

Rechtsstellung des DSB

Unabhängigkeit und Schutz((Rechtsgrundlage: Art. 38 (3) ErwGr 97))
Der Datenschutzbeauftragte ist unabhängig und unterliegt keinen fachlichen Weisungen. Er berichtet unabhängig von der organisatorischen Zuordnung im Unternehmen direkt an die oberste Managementebene, muss aber nicht zwingend direkt der Geschäftsführung organisatorisch unterstellt sein. Er darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.((Rechtsgrundlage: § 38 (2) i. V. m. ))((Rechtsgrundlage: § 6 (4) BDSG n. F.)) Der interne Datenschutzbeauftragte unterliegt einem besonderen Kündigungsschutz, wenn die Benennung des DSB verpflichtend ist. Andere Aufgaben dürfen nicht zu einem Interessenkonflikt führen.((Rechtsgrundlage: Art. 38 (6) ))  Dies wäre beispielsweise anzunehmen beim Leiter der IT-Organisation, der Personalabteilung oder des Marketings und bei Beschäftigten, die für bestimmte Datenverarbeitungsprozesse verantwortlich sind. Interessenkonflikte sind auch bei Tätigkeiten im Bereich der IT-Sicherheit oder Compliance-Abteilung des Unternehmens möglich und im Einzelfall zu prüfen.

Ansprechpartner für betroffene Personen Betroffene Personen können sich mit Fragen direkt an den Datenschutzbeauftragten wenden.((Rechtsgrundlage: Art. 38 (4) ))

Beteiligung, Zugang 
Der Datenschutzbeauftragte ist frühzeitig in datenschutzrelevante Vorgänge einzubinden. Er muss Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen haben.((Rechtsgrundlage: Art. 38 (1) (2) ))

Ausstattung
Der Datenschutzbeauftragte muss über die erforderlichen Ressourcen zur Aufgabenwahrnehmung und zur Erhaltung des Fachwissens verfügen.((Rechtsgrundlage: Art.38 (2) ))

Vertraulichkeit, Verschwiegenheit, Zeugnisverweigerungsrecht, Beschlagnahmeverbot ((Rechtsgrundlage: Art 38 (5) i. V. m. § 38 (2), § 6 (5), (6) BDSG n. F. ))
Der Datenschutzbeauftragte unterliegt der Verschwiegenheit bzgl. der Identität der betroffenen Personen und der Umstände, die Rückschlüsse darauf zulassen. Wenn der Leitung der verantwortlichen Stelle ein Zeugnisverweigerungsrecht zusteht, steht dieses auch dem Datenschutzbeauftragten und dessen Beschäftigten zu. Über die Ausübung entscheidet der Verantwortliche. Bzgl. der Akten und Dokumente besteht insoweit ein Beschlagnahmeverbot.

Handlungsempfehlungen

  • Es ist zu prüfen, ob ein (interner oder externer) Datenschutzbeauftragter zu benennen ist.
  • Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Behörde mitzuteilen.
  • Es sind Prozesse für eine Beteiligung und den Zugang des Datenschutzbeauftragten festzulegen.
  • Die Ausstattung des Datenschutzbeauftragten zu sichern.
  • Wenn ein interner Datenschutzbeauftragter benannt werden soll, ist festzulegen, bei welchen Positionen von Interessenskonflikten auszugehen ist.

Ihre Ansprechpartner zu diesem Thema

ms
ms
Dr. Melanie Eykmann
Bezirksgeschäftsführerin
089 55118-124
089 55118-118
Themen: Recht, Arbeit & Soziales Arbeitsrecht Kauf- und Werkvertragsrecht
Artikel als PDF
Artikel als PDF
Ansprechpartner
Daten­schutz­ein­stel­lun­gen

Diese Webseite nutzt externe Medien, wie z.B. Karten und Videos, und externe Analysewerkzeuge, welche alle dazu genutzt werden können, Daten über Ihr Verhalten zu sammeln. Dabei werden teils auch Cookies gesetzt. Die Einwilligung zur Nutzung der Cookies & Erweiterungen können Sie jederzeit anpassen bzw. widerrufen. Technisch notwendige Cookies sind immer aktiv.
Eine Übersicht zu den Cookies, Analysewerkzeugen und externen Medien finden Sie in unseren Datenschutzinformationen.

Welche optionalen Cookies bzw. Erweiterungen möchten Sie erlauben?
Impressum
Barrierefreiheit