Rawpixel.com - stock.adobe.com
EU-DSGVO: Wer muss einen Datenschutz-Beauftragten benennen?
Das neue Bundesdatenschutzgesetz konkretisiert die DSGVO, wann in Deutschland ein Datenschutzbeauftragter zu benennen ist. Dies kann auch kleine Unternehmen betreffen.
Der oder die Datenschutzbeauftragte in einem Unternehmen hat nach Datenschutz-Grundverordnung (DSGVO/GDPR) zahlreiche Aufgaben, darunter:
- die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten im Datenschutz,
- die Überwachung der Einhaltung der Datenschutz-Vorgaben,
- die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung,
- die Zusammenarbeit mit der zuständigen Aufsichtsbehörde sowie die Tätigkeit als Anlaufstelle für die Aufsichtsbehörde.
Trotzdem muss nicht jedes Unternehmen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen, wobei die zuvor genannten Aufgaben weiterhin bestehen und anderweitig durch die verantwortliche Stelle im Unternehmen gelöst werden müssen.
Wer aber einen Datenschutzbeauftragten benennen muss, darf diese Pflicht nicht auf die leichte Schulter nehmen. So muss der Datenschutzbeauftragte in diesem Fall unter anderem in der Datenschutzerklärung auf der Internetseite des Unternehmens benannt werden, im Verzeichnis von Verarbeitungstätigkeiten genannt werden, ebenso bei der Meldung einer möglichen Datenschutzverletzung, um nur einige Beispiele zu nennen. Insbesondere muss der oder die Datenschutzbeauftragte der zuständigen Aufsichtsbehörde genannt werden.
Wer aber muss nun einen Datenschutzbeauftragten benennen?
Vorgaben der Datenschutz-Grundverordnung
Die DSGVO/GDPR behandelt die Benennung eines Datenschutzbeauftragten in Artikel 37. Für Unternehmen gilt die Pflicht insbesondere dann,
- wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht.
Ergänzung im neuen Bundesdatenschutzgesetz
Deutschland hat im neuen Bundesdatenschutzgesetz die Vorgaben ergänzt, wann Unternehmen eigene Datenschutzbeauftragte benennen müssen, wobei es sich um interne oder externe Datenschutzbeauftragte (also Dienstleister für das Unternehmen) handeln kann.
Nach BDSG-neu benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Aber Achtung: Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Oftmals denken Unternehmen an die Vorgabe, dass sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen müssen, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“
Nicht vergessen werden dürfen aber die Fälle, in denen Verarbeitungen vorliegen, für die eine Datenschutz-Folgenabschätzung erstellt werden müssen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Beispiel Gesundheitswesen
Die Aufsichtsbehörden für den Datenschutz haben eine Entschließung veröffentlicht (PDF), wie es um die Datenschutzbeauftragten-Bestellpflicht bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs steht. Hier wird nochmals beispielhaft deutlich, dass nicht nur die Zahl der Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, geprüft werden muss, um die Bestellpflicht auszuloten.
So wird in der Entschließung explizit ausgesagt: Der oder die Datenschutzbeauftragte ist auch dann zu benennen, wenn weniger als zehn Personen ständig mit der Verarbeitung personenbezogener Daten zu tun haben, wenn beispielsweise neue Technologien eingesetzt werden, die ein hohes Risiko mit sich bringen.
Betrachtet man die fortschreitende Digitalisierung im Gesundheitswesen, aber auch in allen anderen Branchen, kommen immer häufiger derartige neue Technologien zum Einsatz. Die Bestellpflicht eines oder einer Datenschutzbeauftragten ist dann immer genau zu prüfen. Bei hohen Risiken und entsprechend dem Bedarf einer Datenschutz-Folgenabschätzung, muss man an die Bestellpflicht für Datenschutzbeauftragte denken.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!