Betriebliche Datenschutzbeauftragte: Wer eignet sich?

Wann brauchen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten? Welche Aufgaben sind zu erfüllen? Und können Sie einfach selbst Datenschutzbeauftragte oder Datenschutzbeauftragter sein?

Antworten auf diese und weitere Fragen klären wir diese Woche.

 

Wann braucht Ihr Unternehmen eine*n Datenschutzbeauftragte*n?

Auf der europäischen Ebene schreibt Art. 37 DSGVO vor, einen Datenschutzbeauftragten auf jeden Fall zu benennen, wenn:

  • eine Behörde oder öffentliche Stelle die Verarbeitung durchführt (davon sind Gerichte ausgenommen, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln)
  • die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen erfordern, oder
  • die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.

 

Was bedeutet die 20-Personen-Grenze?

In Deutschland sieht § 38 Abs. 1 S. 1 BDSG eine Mindestanzahl an Mitarbeitern vor, die erreicht werden muss, so dass für nicht-öffentliche verantwortliche Stellen die Pflicht besteht, einen DSB zu bestellen.

Mit der Gesetzesänderung vom 20. September 2019 hat der Bundesrat diese Anzahl von den ursprünglichen 10 auf 20 Personen erhöht. Zu diesen 20 Personen zählen weiterhin nur Mitarbeiter, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Sie brauchen also zwingend eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, wenn mindestens 20 Personen in Ihrem Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

 

Was verbirgt sich hinter den Begrifflichkeiten?

Personenbezogene Daten (Art. 4 Nr. 1 DSGVO) sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“. Für eine Identifizierung genügt die Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen.

Unter Verarbeitung (Art. 4 Nr. 2 DSVGO) versteht man

„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Automatisiert bedeutet in diesem Zusammenhang die Verarbeitung mit elektronischen Mitteln.

 

Wer zählt zu den 20 Personen?

Neben den Vollzeitangestellten, zählen unter anderem Teilzeitkräfte sowie Leiharbeiterinnnen und Leiharbeiter zu den Mitarbeiterinnen und Mitarbeitern. Demnach gehören auch Aushilfen, Studentinnen und Studenten und Azubinen und Azubis zu den 20 Personen.

Um ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt zu sein, genügt es in der Regel, einen Zugang zur automatisierten Datenverarbeitung zu haben. Dazu gehört unter anderem auch die Nutzung eines E-Mail Programms, wie z. B. Outlook.

Das bedeutet, dass auch eine Logistikmitarbeiterin oder ein Logistikmitarbeiter, die bzw. der am Computer Adressaufkleber ausdruckt, zu diesen 20 Personen zu zählen ist, nicht jedoch die Arbeiterin oder der Arbeiter, der lediglich Adressaufkleber auf Pakete klebt.

 

Gibt es Ausnahmen bei unter 20 Mitarbeitern?

Das Gesetz sieht einige Ausnahmen von der Grenzregelung vor. Unabhängig von der Anzahl der ständig mit der automatisierten Verarbeitung beschäftigten Personen ist eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter in folgenden Fällen zu benennen:

  • die Verarbeitung der Daten unterliegt einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO oder
  • die personenbezogenen Daten werden geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Die Verarbeitung der Daten durch Online-Händlerinnen und -Händler unterliegt grundsätzlich keiner Datenschutz-Folgenabschätzung.

Auch die geschäftsmäßige Verarbeitung zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung ist in der Regel für Sie als Online-Händlerin oder -Händler nicht einschlägig. Hier sind vor allem Auskunfteien und Marktforschungsinstitute betroffen.

 

Wen dürfen Sie als Datenschutzbeauftragte*n benennen?

Sie als Unternehmerin oder Unternehmer können die Stelle der oder des Datenschutzbeauftragten sowohl durch eine Ihrer Mitarbeiterinnen oder einen Ihrer Mitarbeiter intern als auch extern besetzen. Die oder der Datenschutzbeauftragte muss in der Lage sein, ihrer bzw. seiner Tätigkeit vollkommen unabhängig nachzukommen.

Um ihre bzw. seine Unabhängigkeit zu gewährleisten, darf die oder der Datenschutzbeauftragte nicht an Weisungen gebunden sein. Sie oder er muss selbst entscheiden können, wie sie oder er den erforderlichen Aufgaben nachgeht und deren Erfüllung sicherstellt.

 

Gesetzliche Anforderungen

Nach Art 37 Abs. 5 DSGVO wird ein Datenschutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Als weitere Grundlage gilt seine Fähigkeit zur Erfüllung der festgelegten Aufgaben (mehr dazu gleich).

Die oder der Datenschutzbeauftragte muss also Verfahren und Techniken der automatisierten Datenverarbeitung kennen und außerdem über Kenntnisse der rechtlichen und betriebswirtschaftlichen Zusammenhänge verfügen. Die Qualifikation muss bereits zum Zeitpunkt der Benennung vorliegen.

 

Rechtsprechung zu fachlichen Qualifikationen

Bei der Frage, welches erforderliche Fachwissen eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter haben muss, ließ die DSGVO allerdings viel Interpretationsraum frei.

Das LAG Rostock hat die Frage in seinem Urteil vom 25.02.2020 beantwortet (LAG Rostock, Urt. v. 25.02.2020 - Az.: 5 Sa 108/19).

Das Arbeitsgericht entschied, dass die erforderliche Sachkunde sich nicht nach einer bestimmten Ausbildung richtet, sondern vielmehr von Art und Umfang der Tätigkeit abhängig ist. Gewertet werden die Größe des Unternehmens, die Menge an Datenverarbeitungsvorgängen und eingesetzten IT-Verfahren sowie die Sensibilität der Daten.

Wenn die oder der Datenschutzbeauftragte nur in einem Teilbereich über eine eigene Qualifikation verfügt, ist es ausreichend, wenn sie oder er auf fachkundige Mitarbeiterinnen und Mitarbeiter zurückgreifen kann. Fortbildungen sind für die Tätigkeit unerlässlich.

Abgesehen von der Sachkunde muss eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter auch die notwendige Zuverlässigkeit mitbringen. Eine schwerwiegende Verletzung allgemeiner arbeitsvertraglicher Pflichten kann diese Zuverlässigkeit infrage stellen.

 

Freiheit von Interessenkonflikten

Die oder der Datenschutzbeauftragte muss nicht in Vollzeit tätig sein, vielmehr kann sie oder er auch andere Aufgaben übernehmen. Dabei muss jedoch sichergestellt werden, dass keine Interessenkonflikte entstehen.

Interessenkonflikte sind nicht zu vermeiden, wenn die bzw. der Datenschutzbeauftragte sich selbst kontrollieren müsste. Dies ist dann der Fall, wenn sie bzw. er auch zur gleichen Zeit Leitung der IT-, Marketing- oder Personalabteilung, Vertriebsleitung oder Geschäftsführerin oder Geschäftsführer ist.

Interessenkonflikte können auch entstehen, wenn eine externe Beraterin oder ein externer Berater oder sonstiger Dienstleister als Ihre Datenschutzbeauftragte oder Ihr Datenschutzbeauftragter agiert. Aus diesem Grund darf eine externe Datenschutzbeauftragte oder ein externer Datenschutzbeauftragter nicht auch noch allgemeine Rechtsberatung für Sie durchführen.

 

Welche Aufgaben hat die bzw. der Datenschutzbeauftragte?

Die bzw. der Datenschutzbeauftragte ist weisungsfrei und nur der Geschäftsleitung unterstellt. Seine Aufgaben sind in Art. 39 DSGVO aufgelistet. Darunter fallen die Unterrichtung und Beratung des Verantwortlichen oder Auftragsverarbeiters sowie der Beschäftigten, die die Datenverarbeitung durchführen; Überweisung der Einhaltung der europäischen sowie nationalen datenschutzrechtlichen Vorschriften; Zusammenarbeit mit der Aufsichtsbehörde; Beratung auf Anfrage im Zusammenhang der Datenschutz-Folgenabschätzung.

 

Kündigungsschutz: Was sind die Besonderheiten?

Datenschutzbeauftragte genießen einen besonderen Kündigungsschutz. Wenn die Position im Unternehmen intern besetzt wird, ist nur eine Kündigung aus wichtigem Grund zulässig. Zudem verantwortet die oder der Datenschutzbeauftragte zwar die Einhaltung ihrer bzw. seiner gesetzlich normierten Aufgaben, eine weitergehende Haftung ist aber ausgeschlossen. Es ist daher ratsam, die Datenschutzbeauftragte bzw. den Datenschutzbeauftragten sorgfältig auszuwählen.

 

Unser Tipp

Prüfen Sie, ob mindestens 20 Ihrer Mitarbeiterinnen und Mitarbeiter elektronischen Zugriff auf personenbezogene Daten haben. Ist das der Fall, benötigen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten. Treffen Sie Ihre Auswahl bei der Besetzung der Position sorgfältig. Stellen Sie sicher, dass die oder der Datenschutzbeauftragte weisungsfrei und unabhängig seinen Pflichten nachgehen kann und dass des Weiteren keine Interessenkonflikte bestehen.

Bei weniger als 20 Mitarbeitern mit elektronischem Zugriff auf personenbezogene Daten brauchen Sie in der Regel keine Datenschutzbeauftragte bzw. keinen Datenschutzbeauftragten.

Im Rahmen unseres Produktes Datenschutz 360+, bietet Trusted Shops Ihnen die Möglichkeit, eine externe Datenschutzbeauftragte oder einen externen Datenschutzbeauftragen zu stellen.

 

Diesen Artikel haben wir ursprünglich im Mai 2018 veröffentlicht und jetzt für Sie auf den aktuellen Stand gebracht.

 

autor_frieder_schelleFrieder Schelle ist Wirtschaftsjurist und seit 2011 für Trusted Shops im Bereich Audit and Legal tätig. Er war verantwortlich für die Entwicklung rechtlicher Dokumente im Rahmen der Auditierung Schweizer Onlineshops und für die Betreuung deutscher und britischer Shops im Auditprozess. Seit 2014 ist Frieder im Bereich Legal Expert Services als Consultant tätig und betreut Rechtsberatungsprojekte und die Trusted Shops Abmahnschutzpakete. Frieder Schelle beschäftigt sich seit 2008 intensiv mit den Themenfeldern Wettbewerbs- und Medienrecht.

30.07.20

Weitere relevante Artikel

Rechtssicher Leads generieren

7 datenschutzrechtliche Herausforderungen beim Einsatz von Künstlicher Intelligenz (KI)

Der Wechsel von Verantwortlichen im Datenschutz

Weitere interessante Blog-Artikel

Online-Handel,

Erotikartikel im Online-Handel vs. Jugendschutz

In diesem Rechtstipp geben wir Ihnen einen Überblick über relevante Regelungen rund um Erotik(-artikel) und Jugendschutz im E-Commerce.

14.06.24
Lieferung,

Rücksendekosten bei Annahmeverweigerung: Das können Sie tun!...

Eine Kundin oder ein Kunde verweigert die Annahme der bestellten Ware und diese wird an Sie zurückgesendet. Wer trägt die Kosten für die Rücksendung?

07.06.24
Datenschutz, Rechtssicher Werben,

Rechtssicher Leads generieren

Wie Sie Leads rechtssicher generieren, möchten wir Ihnen in diesem Rechtstipp der Woche aufzeigen.

31.05.24

© 2024 Trusted Shops AG  |  Impressum  |  Datenschutz  |  Cookies

DE
BE CZ ES FR IT NL AT PL CH PT RO UK COM