Benutzer:Gnom/Datenschutzbeauftragter (Datenschutz-Grundverordnung)
Ein Datenschutzbeauftragter gemäß der Datenschutz-Grundverordnung (DSGVO) ist eine von einem Verantwortlichen ernannte Person, die für die Kontrolle der Einhaltung der Datenschutzrichtlinien zuständig ist.
Nach 37 Abs. 1 DSGVO müssen Verantwortliche
Die Aufgaben des Datenschutzbeauftragten sind im Artikel 39 DSGVO
Erforderlichkeit
Benennung
keine Schriftform
Dennoch ist der Unternehmer verpflichtet, die Kontaktdaten des Datenschutzbeauftragten in Schriftform an die zuständige Behörde zu übermitteln.
Alternativ können sich Unternehmer für einen Konzerndatenschutzbeauftragten entscheiden, sofern dieser von jeder Niederlassung aus problemlos erreichbar ist. Diese Option ist vor allem für EU-weit tätige Konzerne mit mehreren Niederlassungen von Vorteil, da sie verschiedene Ansprechpartner ausschließt und so für mehr Transparenz und Sicherheit in der Datenverarbeitung und Verwaltung sorgt.
Eine externe Beauftragung ist nicht zwingend notwendig, wenn es einen internen Datenschutzbeauftragten mit entsprechender Qualifikation gibt. Welche Methode sich besser eignet, hängt von der Unternehmensform und Unternehmensgröße sowie dem Arbeitsaufwand des Datenschutzbeauftragten ab.[1]
Datenschutzbeauftragte müssen verschiedene Qualifikationen nachweisen und sich kontinuierlich auf die Veränderungen in der IT einstellen.
Kein Mitglied der Geschäftsführung[2]
Wo die Meldung des Datenschutzbeauftragten nach Art. 37 Abs. 7 DSGVO erfolgen muss, ist nach telefonischer Auskunft des Hamburgischen Datenschutzbeauftragten ungeklärt. Offenbar kann diese Meldung bei einer beliebigen Behörde erfolgen. In Deutschland ist es jedenfalls üblich, die Meldung dort zu machen, wo der Vertreter nach Art. 27 DSGVO seinen Sitz hat.
Aufgaben des Datenschutzbeauftragten
Die Pflichten eines (externen) Datenschutzbeauftragten finden sich in Art. 39 DSGVO:
1) Der Datenschutzbeauftragte hat zunächst eine Unterrichtungs- und Beratungsfunktion: Er muss den Verantwortlichen und seine Beschäftigten über ihre Pflichten nach dem Datenschutzrecht aufklären und ihnen Maßnahmen zur Einhaltung des Datenschutzrechts vorschlagen.
2) Der Datenschutzbeauftragte muss außerdem im Rahmen seiner Kontrollfunktion die praktische Einhaltung des Datenschutzrechts kontrollieren, einschließlich der Richtlinien, die sich das Unternehmen dazu selbst gegeben hat. Darunter fällt auch die Pflicht zu kontrollieren, dass die Mitarbeiter sensibilisiert und geschult werden, die Vorgaben des Datenschutzrechts einzuhalten. (Der Datenschutzbeauftragte kann dazu auch selbst mit der Schulung beauftragt werden.)
3) Der Datenschutzbeauftragte ist außerdem verpflichtet, die ordnungsgemäße Durchführung einer etwaigen Datenschutzfolgenabschätzung zu überwachen und zu beraten.
4) Der Datenschutzbeauftragte muss schließlich mit der zuständigen Aufsichtsbehörde zusammenarbeiten. Er soll ihr als als direkter Ansprechpartner in datenschutzrechtlichen Angelegenheiten dienen, insbesondere, wenn es einer Vorabkonsultation mit der Aufsichtsbehörde bedarf. Er kann seinerseits selbst die Aufsichtsbehörde konsultieren, wobei dies in Absprache mit der Geschäftsführung geschehen muss.
Sanktionen
Verstöße gegen Art. 39 DSGVO sind bußgeldbewehrt. Die Haftung trifft dabei nicht den Datenschutzbeauftragten, sondern den Verantwortlichen selbst. Jedoch kommt ein Regress des Verantwortlichen gegen den Datenschutzbeauftragten in Betracht, für den die Bestimmungen des allgemeinen zivilrechtliche Schadensersatzrechts gelten. Der anzuwendende Sorgfaltsmaßstab bemisst sich dabei nach dem Risiko der jeweiligen Datenverarbeitung.
Umsetzung in den Mitgliedsstaaten
Deutschland
und darüber hinaus im § 7 BDSG (neu) bestimmt.
Neu sind die Vorgaben zur Abberufung und Kündigung eines Datenschutzbeauftragten für öffentliche und nicht öffentliche Stellen.
Sämtliche Behörden sowie weitere öffentliche Stellen müssen ausnahmslos einen Datenschutzbeauftragten abstellen.
Gleiches gilt für Markt- und Meinungsforschungsinstitute. Für nichtöffentliche Stellen ist geregelt, dass die Beauftragung eines Datenschutzbeauftragten erst für Unternehmen ab 10 Personen in der täglichen automatisierten Datenverarbeitung verpflichtend ist.[3]
Datenschutzbeauftragte unterliegen einem besonderen Kündigungsschutz, der Verschwiegenheitspflicht und dem Zeugnisverweigerungsrecht. Ob ein Datenschutzbeauftragter abgestellt werden muss, hängt ab von:
- der Anzahl datenverarbeitender Mitarbeiter im Unternehmen
- der Datenmenge und Menge der Datensätze
- dem Zeitraum der Datenverarbeitung
- und der geographischen Reichweite der Datenverarbeitung
Das besondere Augenmerk gilt gesundheitsbezogenen, personenbezogenen und weiteren sensiblen Daten. Auskunfteien und datenverarbeitende Unternehmen müssen sich mit Inkrafttreten der EU-DSGVO der Kontrolle eines Datenschutzbeauftragten unterziehen und damit die Seriosität und Kompetenz ihres Datenmanagements gewährleisten. Eine Zuwiderhandlung führt zu empfindlichen Bußgeldern für das betroffene Unternehmen.[4]
Das Erfordernis eines Datenschutzbeauftragten hängt dabei nicht von der Form der Datenspeicherung ab. Es ist daher irrelevant, ob die sensiblen Daten in Form von Tonbandaufnahmen, Videos, Fotos, Röntgenbildern oder verschiedener Dokumente verarbeitet und ausgewertet werden[5].
Meldung an die Landesbehörde
Einzelnachweise
- ↑ Interner vs. Externer DSB | Datenschutzexperte. In: Datenschutzexperte.de. (datenschutzexperte.de [abgerufen am 29. November 2017]).
- ↑ Nicholas Vollmer: Artikel 37 EU Datenschutz Grundverordnung (EU-DSGVO). 28. November 2017, abgerufen am 29. November 2017.
- ↑ Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO. In: Social Media Recht Blog. (socialmediarecht.de [abgerufen am 29. November 2017]).
- ↑ GDD-Praxishilfe_DS-GVO_1.pdf — GDD e.V. Abgerufen am 29. November 2017 (englisch).
- ↑ Erfordernis eines Datenschutzbeauftragten nach DSGVO/BDSG n.F. Abgerufen am 25. Juli 2018.
