Der Datenschutzbeauftragte

Mit der neuen europäischen Datenschutz-Grundverordnung verändert sich auch der Aufgabenbereich des Datenschutzbeauftragten. Im Idealfall analysiert und kontrolliert er den Stand des Datenschutzniveaus im Unternehmen und macht ggf. Verbesserungsvorschläge an die Geschäftsführung bzw. die einzelnen Abteilungen. Bislang hatte dieser im Unternehmen also einen Sicherstellungs- und Hinwirkungsauftrag, da er die Umsetzung datenschutzrechtlicher Vorschriften ja nicht selbst vornehmen kann. Zukünftig kommt nun aber ein verbindlicher Überwachungsauftrag hinzu, der auch haftungsrechtliche Folgen bei Nichtbeachtung mit sich bringt. Wird gegen die DSGVO im Unternehmen schwerwiegend verstoßen, haften Unternehmer bzw. Geschäftsführung und Datenschutzbeauftragte nun gegebenenfalls auch persönlich. 

Sämtliche Datenschutzgesetze inklusive bereichs-/branchenspezifischer Normen sowie deren Auslegung durch aktuelle Gerichtsentscheidungen sollten einem betrieblichen wie externen Datenschutzbeauftragten vertraut sein. Das Aufgabenspektrum ist dementsprechend vielfältig und umfasst neben der Erteilung von Auskünften und der Kommunikation mit Behörden auch die Erstellung von Gutachten, das Verfassen von Betriebsvereinbarungen und Unternehmensrichtlinien, die Kontrolle einzelner Datensicherungsmaßnahmen inkl. der jeweiligen Protokolle, das Prüfen von Verträgen mit Dienstleistern und vermehrt die Überwachung aller Datenverarbeitungsprogramme. Ziel ist dabei immer Datenschutzverstöße im Vorfeld bereits effektiv zu vermeiden.

Die DSGVO sieht in Zukunft vor, dass ein Datenschutzbeauftragter, intern oder extern, benannt werden muss, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters die Verarbeitung personenbezogener Daten ist bzw. eine umfangreiche und systemische Überwachung von Betroffenen erfolgt. Und dies unabhängig von der Größe des Unternehmens. In Deutschland behält §38 des neuen DSAnpUG allerdings das bisherige Prinzip von einer Unternehmensgröße ab 10 Personen bei. Um hier auf der sicheren Seite zu sein, ist zumindest bis zur Implementierung aller erforderlichen Verfahrensdokumentationen und Informationspflichten, die Einbindung eines Datenschutzbeauftragten empfehlenswert. Die Bestellung eines Datenschutzbeauftragten vorsätzlich oder auch nur fahrlässig zu versäumen ist auf jeden Fall bereits eine erhebliche Ordnungswidrigkeit und kann teuer werden.

Eine Unternehmens-Gruppe darf nach DSGVO auch nur einen gemeinsamen Datenschutzbeauftragten benennen. Ob dies jedoch in der Praxis ausreichend ist, sollte man besser ganz genau abwägen, denn zwingend sicherzustellen ist, dass dieser für jeden Konzernstandort, die jeweiligen Aufsichtsbehörden, alle Mitarbeiter sowie externe Betroffene leicht erreichbar sein muss. 

Die Kontaktdaten des Datenschutzbeauftragten müssen auf jeden Fall veröffentlicht und auch den zuständigen Aufsichtsbehörden mitgeteilt werden.