Das Thema betrieblicher Datenschutzbeauftragter (DSB) beschäftigt sehr viele Unternehmen. Das gilt auch jetzt noch, obwohl oder gerade, weil die EU-Datenschutzgrundverordnung DSGVO schon einige Monate den gesetzlichen Rahmen im Datenschutzrecht prägt. Hier ist zur Thematik DSB noch manche Frage offen. Das folgende Interview fasst die Antworten zu den wichtigsten Fragen in diesem Kontext zusammen, zum Beispiel welche Unternehmen einen DSB benennen müssen, wer DSB werden kann und wie die Benennung erfolgt. Der Beitrag kann außerdem die unternehmerische Entscheidungsfindung zur Benennung eines externen oder internen DSB erleichtern.
Inhalt
1. Warum müssen Sie als Unternehmen einen DSB benennen?
Wenn Sie gesetzlich zur Benennung eines DSB im Unternehmen verpflichtet sind, handeln Sie pflichtwidrig, sollten Sie die Benennung unterlassen. Es kann ein Bußgeld erhoben werden. Diese Geldbuße kann einen Betrag in Höhe von bis zu 10.000.000 EURO oder 2 % des Vorjahresumsatzes erreichen.
2. Wann müssen Sie als Unternehmen einen DSB benennen?
Den gesetzlichen Rahmen zu dieser Frage geben Artikel 37 DSGVO in Ergänzung mit weiteren Vorschriften des neuen Bundesdatenschutzgesetzes vor:
Wenn in Ihrem Unternehmen 10 Mitarbeiter oder mehr permanent mit der automatisierten Verarbeitung von personenbezogenen Daten befasst sind, sind Sie gesetzlich verpflichtet einen DSB zu benennen. Unabhängig von der Mitarbeiterzahl müssen Sie die Stelle des DSB besetzen, wenn Sie schwerpunktmäßig besondere Kategorien von personenbezogenen Daten wie etwa Daten über strafrechtliche Verurteilungen und Straftaten verarbeiten oder wenn für das Unternehmen eine Datenschutzfolgenabschätzung notwendig ist, da die Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
3. Kann jedermann DSB werden?
Der DSB überwacht unter anderem die Einhaltung der datenschutzrechtlichen Vorschriften. Deshalb muss er das notwendige Fachwissen im Datenschutzrecht haben. Die Stellung als DSB ist außerdem mit bestimmten ungeschriebenen Anforderungen an die Persönlichkeit des potentiellen Datenschutzbeauftragten verbunden. Er muss kommunikativ sein, umsichtig mit allen Beteiligten umgehen können und sich gegebenenfalls auch gegenüber der Unternehmensleitung durchsetzen können. Häufig bringen hier IT-Experten oder Juristen gute Voraussetzungen mit. Der DSB hat seine Aufgaben unabhängig wahrzunehmen. Potentielle Interessenkonflikte, wie sie etwa aus einer gleichzeitigen Tätigkeit im Management des Unternehmens entstehen können, müssen ausgeschlossen sein.
4. Wer ist besser: Externer oder interner DSB?
Das Unternehmen hat grundsätzlich die Wahl zwischen einem externen und einem internen DSB.
Häufig ist der externe DSB dabei die bessere Wahl: Er bringt von Anfang an das notwendige Fachwissen mit, bildet sich auf eigene Kosten weiter und wird im Rahmen einer transparenten Kostenstruktur für das Unternehmen tätig. Der mit ihm geschlossene selbstständige Dienstleistungsvertrag kann in einem vernünftigen Zeitrahmen gekündigt werden. Dagegen genießt der DSB, der auch Arbeitnehmer ist, einen besonderen Kündigungsschutz und verursacht hohe Kosten durch Aus- und Weiterbildung.
5. Wie benennen Sie Ihren DSB?
Sie zeigen seine Benennung gegenüber der zuständigen datenschutzrechtlichen Aufsichtsbehörde in dem jeweiligen Bundesland an. Überwiegend sehen die Bundesländer hier elektronische Formulare vor.
____________________________________________________
Alexander Ingelheim ist Geschäftsführer bei datenschutzexperte.de und verantwortlich für die strategische Entwicklung des Unternehmens. Der zertifizierte Datenschutzbeauftragte (DEKRA) kann auf eine mehrjährige Tätigkeit in der internationalen Unternehmensb