Mit der neuen DSGVO bleibt kein Stein auf dem anderen? Nicht ganz, denn bewährte Prinzipien bleiben auch nach der Gesetzesänderung im Mai 2018 erhalten. So wird auch der Datenschutzbeauftragte im Unternehmen für Compliance sorgen. Nur die Rechtsgrundlage ist eine neue.

Datenschutzbeauftragter
© Maksim Kabakou / Shutterstock.com

Der Datenschutzbeauftragte: Konformität im Datenschutzrecht

Compliance spielt besonders im Datenschutz eine wichtige Rolle, denn Online-Händler hantieren tagtäglich mit Datenmengen, darunter hochsensible Kundendaten wie Anschriften, Bankdaten oder Informationen zu den gekauften Produkten. Geraten sie in die falschen Hände, etwa von unautorisierten Mitarbeitern oder Dritten (z. B. Hackern), kann das ein ungeahntes Ausmaß haben. Um neben der behördlichen Überwachung von Datenvorgängen ein weiteres Kontrollinstrument zu haben, besteht für einige Unternehmen die Pflicht, einen Datenschutzbeauftragten zu bestellen.

Der Datenschutzbeauftragte hat die Aufgabe, auf die Einhaltung der datenschutzrechtlichen Vorgaben hinzuwirken sowie die gesetzmäßige Nutzung von EDV-Programmen im Unternehmen zu kontrollieren und zu überwachen. Der Datenschutzbeauftragte ist in seiner Funktion der Geschäftsleitung unmittelbar unterstellt. Er agiert bei der Wahrnehmung seiner Aufgabe als Datenschutzbeauftragter aber weisungsfrei. Der Datenschutzbeauftragte ist per Gesetz zur Verschwiegenheit verpflichtet. Eine weitere Besonderheit ist der zusätzliche Kündigungsschutz des internen Datenschutzbeauftragten

Pflicht zur Bestellung eines Datenschutzbeauftragten

Im derzeit gültigen Bundesdatenschutzgesetz ist festgelegt, wann ein Unternehmen einen Datenschutzbeauftragten benötigt. Einen Datenschutzbeauftragten müssen alle Unternehmen bestellen, die Daten automatisiert verarbeiten. Ausgenommen sind Unternehmen, in denen höchstens 9 Personen Daten automatisiert verarbeiten oder weniger als 20 Personen personenbezogene Daten nicht-automatisiert verarbeiten. Das bedeutet, dass alle Privatunternehmen, die personenbezogene Daten mittels EDV-System verarbeiten und mit der Verarbeitung 10 oder mehr Personen betrauen, einen Datenschutzbeauftragten bestellen müssen. Bei der Berechnung der Anzahl der Mitarbeiter werden auch Teilzeitkräfte oder freie Mitarbeiter mitgezählt, wenn sie zeitweise Datenverarbeitungsaufgaben wahrnehmen.

„Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.“ Zum Datenschutzbeauftragten kann entweder ein eigener Mitarbeiter, der nicht zur Unternehmensleitung gehört, bestellt werden (= interner Datenschutzbeauftragter) oder auch eine Person, die außerhalb der Unternehmung steht (= externer Datenschutzbeauftragter).

Der Datenschutzbeauftragte in der DSGVO

Der Datenschutzbeauftragte taucht auch in der DSGVO wieder auf. In Artikel 37 werden Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn deren Kerntätigkeit (d. h. deren Hauptgeschäftsfeld) etwa in einer Da­tenverarbeitung besteht, die aufgrund ihres Zwecks oder ihres Umfangs eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erfordert. Das dürfte auf kleine und mittelständige Online-Händler nicht zutreffen, da sie kaum systematisch oder in größerem Umfang Kundendaten überwachen – zumindest nicht in der Hauptaufgabe. 

Die DSGVO normiert die vom Datenschutzbeauftragten wahrzunehmenden Aufga­ben wie Unterrichtung und Beratung des Unternehmens sowie der Beschäftigten, Überwachung der Einhaltung der datenschutzrechtli­chen Vorschriften, Schulungen und Zusammenarbeit mit der Aufsichtsbehörde. Der Datenschutzbeauftragte ist weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Natürlich ist er zur Geheim­haltung verpflichtet. Insoweit gibt es also kaum Neuerungen zur bisherigen Rechtslage.

Aber Achtung: Auch wenn die Vorschriften der DSGVO meist zu keiner Pflicht führen dürften, kann das nach neuem nationalen Recht anders aussehen. Die Mitgliedstaaten dürfen im nationalen Recht für weitere Fälle die Bestellung eines Datenschutzbeauftragten vorschreiben. Das hat der deutsche Gesetzgeber auch getan. Im neuen Bundesdatenschutzgesetz ist der Datenschutzbeauftragte in privaten Unternehmen weiter konkretisiert (Gesetzesentwurf Artikel 38 ff.). Ergänzend zur DSGVO benennt der Verantwortliche eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Kleine Online-Händler sind damit auch weiterhin befreit.

Die Abberufung der oder des Datenschutzbeauftragten ist nur mit außerordentlicher Kündigung möglich. Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Personen zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit wird.

 

Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)

Einführung

Teil 1: Newsletterversand

Teil 2: Informationspflichten

Teil 3: Auskunftspflichten

Teil 4: Betroffenenrechte

Teil 5: Umgang mit Datenpannen

Teil 6: Neuerungen beim Umgang mit Kundendaten

Teil 7: Übermittlung von Daten ins Ausland

Teil 8: Auftragsdatenverarbeitung

Teil 9: Der Einsatz von Cookies

Teil 10: Social Plugins

Teil 11: Der Datenschutzbeauftragte

Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung

Teil 13: Aufsichtsbehörden

Teil 14: Befugnisse und Sanktionsmaßnahmen

Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)

Teil 16: Glossar

 

Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)

Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)

 

Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.