Immer wieder stellt sich die Frage, ob das Unternehmen einen eigenen Datenschutzbeauftragten bestellen muss.

Die Bestellung ist in Art. 37 DSGVO und § 38 BDSG-neu geregelt.

Wann ist ein Datenschutzbeauftragter nötig?

Danach müssen bestimmte Voraussetzungen alternativ vorliegen:

  1. Das Unternehmen beschäftigt in der Regel mindestens 20 Personen (Vollzeit) mit der automatisierten Verarbeitung von personenbezogenen Daten. Da heute praktisch jeder Mitarbeiter mit personenbezogenen Daten automatisiert arbeitet, sobald er einen PC oder ein ähnliches Gerät am Arbeitsplatz nutzt, trifft das schnell zu.
  2. Daten werden geschäftsmäßig zum Zwecke der Markt- und Meinungsforschung verarbeitet.
  3. Es werden Verarbeitungen vorgenommen, die eine Datenschutzfolgeabschätzung [Link] nötig machen.
  4. Die Kerntätigkeit umfass das systematische und umfassende Überwachen von Personen
  5. Das Unternehmen verarbeitet umfangreich Daten besonderer Kategorien nach Art. 9 DSGVO. Solche Daten unterliegen einem grundsätzlichen Verarbeitungsverbot und können nur unter besonderen Umständen (Art. 9 DSGVO) verarbeitet werden, was ebenfalls einen Datenschutzbeauftragen erforderlich macht. 

Punkt 1 dürfte das relevanteste Kriterium sein. Die übrigen Punkte müssten immer individuell geprüft werden.

Wer kann Datenschutzbeauftragter werden?

Muss also ein Datenschutzbeauftragter vom Unternehmen gestellt werden, kann das mit Hilfe unterschiedlicher Personen geschehen:

Das Unternehmen kann einen fachkundigen Mitarbeiter zum Datenschutzbeauftragten bestellen. Besondere Anforderungen an die berufliche Qualifikation und an sein Fachwissen stellt das Gesetz nicht. Der Mitarbeiter könnte sich also das nötige Wissen auch autodidaktisch erarbeiten. Idealerweise hat er aber eine geeignete Fortbildung oder gar eine Zertifizierung gemacht. Sollte es sich jedoch um sehr komplexe, umfangreiche oder sensible Verarbeitungen handeln, muss auch der Mitarbeiter entsprechend besser qualifiziert sein.

Man sollte jedoch keinen Mitarbeiter benennen, die Interessenkonflikten unterliegen. Beispielsweise können weder Mitglieder der Geschäftsführung noch Leiter der IT-Abteilung derartiger Aufgaben unternehmen.

Alternativ bestellt das Unternehmen einen externen Datenschutzbeauftragten. Das übernehmen entsprechende Dienstleister, oder auch Rechtsanwälte. Auch hier gilt Gleiches für die Qualifikation.

Was macht der Datenschutzbeauftragte?

Der Datenschutzbeauftragte kann das Unternehmen, bzw. die Geschäftsführung nicht zu bestimmten Maßnahmen zwingen. Er ist zur „Unterrichtung und Beratung“ des Unternehmens und der Mitarbeiter verpflichtet. Er muss die Einhaltung der Datenschutzvorschrift überwachen, die Mitarbeiter schulen und Sensibilisieren, und mit der Aufsichtsbehörde zusammenarbeiten. Er ist Ansprechpartner der Aufsichtsbehörde. Er berichtet immer an die höchste Managementebene. Auch müsste er sich regelmäßig fortbilden, was sich bereits daraus ergibt, dass das Datenschutzrecht sich regelmäßig wandelt und entwickelt.

Gleichzeitig muss das Unternehmen den Datenschutzbeauftragten frühzeitig in Planungen mit einbinden. Zudem müssen ihm alle Ressourcen für seine Aufgabe bereitgestellt werden. Das Unternehmen kann dem Datenschutzbeauftragten zudem keine Weisungen bezüglich seiner Aufgabe als Beauftragten erteilen.

Der Datenschutzbeauftragte ist auch Anlaufstelle für Betroffene. Er muss nach Bestellung auch an bestimmten Stellen genannt werden (z.B. Datenschutzerklärung ).