Datenschutzbeauftragter
Wen trifft die Verpflichtung zur Bestellung eines Datenschutzbeauftragten?
Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten trifft nicht jeden Unternehmer und nicht jedes Unternehmen. Die DSGVO enthält in Art. 37 Regelungen, ob und ab wann ein Datenschutzbeauftragter in einem Unternehmen oder einer öffentlichen Einrichtung zu bestellen ist.
Die DSGVO enthält hier auch eine Öffnungsklausel für mitgliedsstaatliche Regelungen. Den Mitgliedsstaaten steht es frei engere Voraussetzungen für die Beauftragung eines betrieblichen Datenschutzbeauftragten festzulegen. Hiervon hat der deutsche Gesetzgeber im neuen Bundesdatenschutzgesetz Gebrauch gemacht.
So hat gemäß § 38 Abs. 1 S. 1 BDSG jede nicht-öffentliche Stelle, in der mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, schriftlich einen Datenschutzbeauftragten zu bestellen. Eine automatisierte Verarbeitung liegt vor, wenn die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen erfolgt Eine Datenverarbeitungsanlage ist eine Einrichtung, die Daten nach vorgegebenen Programmen und Verfahren verarbeitet. In der Regel sind damit Computer im weitesten Sinne gemeint, auf denen personenbezogene Daten gespeichert und/oder bearbeitet werden. Die Pflicht gilt, sobald mind. 20 Personen regelmäßig mit der automatisierten Verarbeitung beschäftigt sind. Hierunter fallen nicht nur Vollzeitkräfte, sondern auch freie Mitarbeiter, Auszubildende, Leiharbeiter, Praktikanten und Volontäre. Nur kurzeitig Beschäftigte sind nicht zu berücksichtigen (bspw. Urlaubsvertretungen). Die Zahl der "in der Regel" Beschäftigten darf dabei nicht durch einfaches Abzählen an einem bestimmten Stichtag ermittelt werden; vielmehr erfordert die Feststellung der maßgeblichen Beschäftigtenzahl neben einem Rückblick auf die vergangene Lage des Betriebes insbesondere eine Einschätzung seiner zukünftigen Entwicklung. Notwendig ist also, dass der Mitarbeiter während des größten Teils des Jahres tätig ist bzw. voraussichtlich tätig sein wird, so dass eine nur vorübergehende Mehr- oder Minderbeschäftigung in aller Regel unbeachtlich ist. Sobald innerhalb eines Unternehmens damit ständig mehr als 20 Personen Zugriff auf die elektronische Datenverwaltung haben, hat das Unternehmen einen betrieblichen Datenschutzbeauftragten zu bestellen.
Eine weitere Verpflichtung zur Bestellung eines Datenschutzbeauftragten ergibt sich aus § 38 Abs. 1 S. 2 BDSG für Unternehmen, welche einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. In diesen Fällen gilt die Pflicht zur Bestellung unabhängig von der an der Verarbeitung beteiligten Personenanzahl.
Sozialleistungsträger sind gemäß § 81 Abs. 4 SGB X zur Einrichtung eines Datenschutzbeauftragten verpflichtet. Die verantwortlichen Stellen ((Art. 4 Nr. 7 DSGVO) können frei entscheiden, ob sie sich für einen eigenen Mitarbeiter als internen Datenschutzbeauftragten entscheiden oder für einen externen Datenschutzbeauftragten als Berater für datenschutzrechtliche Fragen. Beide haben die Aufgabe, auf die Einhaltung des Datenschutzrechts im Unternehmen oder der Behörde für die er tätig ist hinzuwirken. Dazu haben sie die beim Umgang mit personenbezogenen Daten Tätigen des Unternehmens oder der Behörde mit den gesetzlichen Vorschriften vertraut zu machen und die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme zu überwachen (Art. 39 DSGVO).
Die verantwortliche Stelle ist hinsichtlich Vorhaben der Verarbeitung personenbezogener Daten zur Unterrichtung ihres Datenschutzbeauftragten verpflichtet. Als Datenschutzbeauftragter kommt gemäß Art. 37 Abs. 5 DSGVO nur eine solche Person in Betracht, die zur Erfüllung der Aufgabe erforderliche Fachkunde und Zuverlässigkeit besitzt. Datenschutzbeauftragte sind in dieser Funktion weisungsfrei und genießen Kündigungsschutz nach Maßgabe des § 38 (2) i.V.M. § 6 Abs. 4 BDSG. Sie unterliegen einer Verschwiegenheitspflicht.