Ab wann brauche ich einen Datenschutzbeauftragten?

Die Position des Datenschutzbeauftragten soll in jedem Unternehmen eine zentrale Anlaufstelle für alle Belange des Datenschutzes stellen. Aber muss jedes Unternehmen einen benennen? Und welche Aufgaben kommen auf Dich zu, wenn Du in diese Rolle geschlüpft bist?

 

Die Bestellung des Datenschutzbeauftragten

Zunächst werfen wir einen Blick darauf, wann überhaupt ein Datenschutzbeauftragter bestellt werden soll.

 

 

Wann muss ich eigentlich nach der DSGVO?

Nach der DSGVO muss ein Datenschutzbeauftragter benannt werden, wenn es sich bei der betreffenden Einrichtung um eine Behörde handelt. Außerdem auch dann, wenn der Verantwortliche insbesondere Tätigkeiten durchführt, die eine regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht (Detekteien, usw.). Aber auch, wenn der Verantwortliche hauptsächlich besondere Kategorien personenbezogener Daten (also zum Beispiel genetische oder biometrische Daten, aber auch Daten über Deine ethnische Herkunft; eine vollständige Aufzählung findest Du im Art. 9 DSGVO) oder Daten über Straftaten und Verurteilungen verarbeitet.

 

 

Was sagt das BDSG dazu?

Das in Deutschland geltende Bundesdatenschutzgesetz (BDSG) macht es uns da schon etwas leichter: nach § 38 Abs. 1 Satz 1 ist jedenfalls dann ein Datenschutzbeauftragter zu bestellen, wenn im Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Aber Achtung: das schließt nicht nur vollbeschäftigte Mitarbeiter ein, sondern auch Ehrenamtler, freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, usw. Dabei bleiben Schwankungen übrigens ausgenommen. Wenn Du also 19 Mitarbeiter und eine Praktikantenstelle, die alle personenbezogene Daten verarbeiten, hast, entfällt die Pflicht zur Bestellung eines Datenschutzbeauftragten nicht für die Zeit, in der Du einen neuen Praktikanten suchst!

 

 

Wer darf die Aufgabe übernehmen?

Zum Datenschutzbeauftragten kann und darf nicht jeder benannt werden. Die Rolle ist als Beratungs- und Kontrollinstanz ausgestaltet. Dies schränkt den Kreis der Mitarbeiter schon etwas ein. Denn wenn wir ehrlich zu uns selbst sind wissen wir, dass wir uns nur sehr schlecht selbst kontrollieren können. Folglich ist jede Person im Unternehmen, die mit Leitungsaufgaben betraut ist, schon von der Benennung ausgeschlossen. Such also bitte nicht im Kreis Deiner Abteilungsleiter nach geeigneten Personen.

Ansonsten bist Du relativ frei.

Die größere Hürde stellt die DSGVO in Art. 37 Abs. 5: danach muss die benannte Person über berufliche Qualifikation und insbesondere Fachwissen auf dem Gebiet des Datenschutzes verfügen. Wenn Du also jemanden hast, der sich zur Übernahme der Rolle bereit erklärt hat, solltest Du ihn also zunächst zu einer Schulung anmelden. Dies gilt auch, wenn er beispielsweise Jurist ist; alleine der Studienabschluss macht noch keinen Experten auf dem komplexen Gebiet des Datenschutzes.

Eine Alternative zur Benennung eines internen Mitarbeiters ist natürlich auch die Bestellung eines externen Datenschutzbeauftragten. So wird die EggSec GmbH durch ihre Mitarbeiter als Datenschutzbeauftragte für Unternehmen tätig.

 

 

Kann ich einen Datenschutzbeauftragten auch wieder kündigen?

Die Stellung des Datenschutzbeauftragten bringt einige arbeitsrechtliche Besonderheiten mit sich. Schon die DSGVO statuiert, dass der Datenschutzbeauftragte nicht wegen der Erfüllung seiner Aufgaben abberufen oder benachteiligt werden darf! Dies sichert seine Unabhängigkeit. An diese Vorgabe muss sich jeder Verantwortliche halten, egal ob er zur Bestellung verpflichtet ist oder nicht.

Weitere Vorgaben ergeben sich für die Pflichternennung aus dem BDSG. Danach besteht ein besonderer Kündigungsschutz für den betrieblichen Datenschutzbeauftragten. Danach ist die Abberufung sowie die Kündigung eines einmal ernannten Datenschutzbeauftragten nur dann möglich, wenn dafür ein wichtiger Grund vorliegt. Salopp gesagt muss sich der Datenschutzbeauftragte also etwas geleistet haben, was eine außerordentliche Kündigung rechtfertigt.

Auch wenn auf anderem Wege die Bestellung rückgängig gemacht wurde, beispielsweise durch eine einvernehmliche Einigung, kann der nun ehemalige Datenschutzbeauftragte frühestens ein Jahr nach Ende dieser Tätigkeit ordentlich gekündigt werden.

Neben der besonderen Expertise von Unternehmen, die ihren beratenden Schwerpunkt im Datenschutz haben, ist dies ein weiterer häufig angeführter Grund für die Bestellung eines externen Datenschutzbeauftragten. Denn für diesen gelten die Regelungen zum Kündigungsschutz nicht, schließlich liegt kein Arbeitsverhältnis vor.

 

Noch Fragen?

Du hast Fragen oder brauchst Hilfe in Bezug auf einen Datenschutzbeauftragten in deiner Firma? Kontaktiere uns wir helfen Dir gerne weiter!

Kontaktiere Uns