Nachfolgend wird ein Überblick gegeben, für wen die Bestellung eines Datenschutzbeauftragten Pflicht ist und wann es Sinn macht freiwillig einen Datenschutzbeauftragten zu bestellen. Desweiteren folgen die Aufgaben eines Datenschutzbeauftragten sowie ein Vergleich von  internen und externen Datenschutzbeauftragten.

Sinn der Benennung eines Datenschutzbeauftragten

Die Datenschutz-Grundverordnung sieht erstmals eine verbindliche und verpflichtende Regelung zur Bestellung eines betrieblichen Datenschutzbeauftragten vor. Unter bestimmten Voraussetzungen müssen auch kleine Unternehmen oder Verein einen Datenschutzbeauftragten benennen. Der Datenschutzbeauftragte soll dabei die jeweils Verantwortlichen in Fragen des Datenschutzes unterstützen. Allerdings bleibt rechtlich gesehen die Verantwortung, dass der Datenschutz eingehalten wird, bei den jeweiligen Geschäftsführern oder Vereinsvorständen. 

Eine Pflicht zur Benennung besteht auf alle Fälle, wenn mindestens 10 Personen im Unternehmen oder Verein damit beschäftigt sind, personenbezogenen Daten automatisiert zu verarbeiten, egal ab hauptamtlich oder ehrenamtlich tätig.  Werden Gesundheitsdaten oder eine Reihe anderer Daten (z.B. ethnische Herkunft, politische Meinungen, religiöse Weltanschauungen, Gewerkschaftszugehörigkeit, strafrechtliche  Verurteilungen), dann muss ebenfalls eine Datenschutzbeauftragter bestellt werde, wenn die Verarbeitung der Daten zum Kerngeschäft des Unternehmen oder Vereins zählt. Diese Regelungen sind sicherlich nicht einfach zu verstehen, dazu gibt es aber von behördlicher Seite (z.B. vom Bayerischen Landesamt für Datenschutzaufsicht) gute Hilfen mittels eines Fragebogens.

Freiwillige Benennung kann Sinn machen

Nicht nur aus diesem Grund kann es Sinn machen, dass man freiwillig einen Datenschutzbeauftragten benannt. Denn der Datenschutz muss auf  alle Fälle beachtet werden und wenn es keinen solchen echten Fachmann gibt, fühlen sich viel ‚selbsternannte Experten’ berufen oder das Thema ‚Datenschutz’ kommt überhaupt nicht ins Bewusstsein. Und die Verantwortung hierfür liegt weiterhin beim Verantwortlichen, also der Leitung des Unternehmens oder den Vorsitzenden des Vereines.

Aufgaben eines Datenschutzbeauftragten

Die Aufgaben ergeben im Wesentlichen aus Art. 39 der DS-GVO. 

• Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten hinsichtlich ihrer Pflichten nach Datenschutzrecht
• Überwachung der Einhaltung der gesetzlichen Vorschriften
• Beratung in Zusammenhang mit Datenschutz-Folgenabschätzung 
• Zusammenarbeit mit der und Anlaufstelle für die Aufsichtsbehörde
• Beratung betroffener Personen 

Nicht zu verwechseln ist es also, dass der Datenschutzbeauftragte nicht (nur) für die Sicherheit der Daten, sondern insbesondere für den Schutz der personenbezogenen Daten zuständig ist mit weitreichenden anderen Aufgaben. 

Hinweis: Datenschutz hat den Schutz natürlicher Personenbei der Verarbeitung personenbezogener Daten im Fokus. Er zielt auf das Persönlichkeitsrecht des Einzelnen ab. Ziel der IT-Sicherheit (wird in einem der folgenden Beiträgen besprochen) ist dagegen in erster Linie der Schutz der Unternehmenswerte oder der Daten.

Sinnvolle (Kann)Ergänzung der Aufgaben ist es sicherlich, dass der Datenschutzbeauftragte 

• das Verarbeitungsverzeichnis erstellt, 
• Verpflichtungserklärungen überarbeitet, 
• die rechtskonforme Anwendung der Datenverarbeitungsprogramme kontrolliert, 
• Mitarbeiter, Geschäftsführung oder Vorstand in Fragen des neuen Rechts regelmäßig schult und 
• einmal im Jahr einen Datenschutzbericht schreibt.

Stellung des Datenschutzbeauftragten

Kern der Rechtstellung ist seine Unabhängigkeit. Er ist unabhängig von fachlichen Weisungen und der Berichtsweg zur höchsten Managementebene muss unmittelbar sein. Er darf nicht abberufen oder benachteiligt werden, und somit darf ihm wegen seiner Tätigkeit nicht gekündigt werden. Für seine Aufgaben muss ihm genügend zeitliche Ressourcen eingeräumt werden, so zur eigentlichen Tätigkeit, als auch zur Fortbildung und zur Erlangung und Vertiefung des Fachwissens (Schulungen). Es muss sichergestellt sein, dass er frühzeitig in alle Fragen des Datenschutzes eingebunden ist. 

Interner oder Externer Datenschutzbeauftragter

Beides ist nach dem Gesetz möglich – beides hat Vor- und Nachteile mit teilweise nicht unerheblichen Kosten. Beide Möglichkeiten sind nach dem Gesetz gleichwertig. So ist beim internen Datenschutzbeauftragten zu beachten, daß es ausdrücklich zu keinem Interessenskonflikt kommt. Damit fallen eine Reihe von Funktionsträger weg, z.B. Geschäftsführer, IT-Leiter, Personalleiter, Vorstand (allgemein: leitendes Management) dürfen nicht dazu bestellt werden. Internen müssen für die Zeit der Tätigkeit freigestellt werden bzw. Ihnen muss genügend Zeitressourcen dafür zur Verfügung gestellt werden. 

Der Datenschutzbeauftragte hat eine wichtige gesellschaftliche Rolle 

Auch wenn es viele kritische Stimmen gibt, die einen Datenschutzbeauftragter für einen unnötigen Beitrag zur Bürokratie halten, so ist doch festzuhalten, dass der Schutz persönlicher Daten ein wichtiges Recht jedes einzelnen auf informationelle Selbstbestimmung ist. Jeder Mensch soll somit darüber selbst bestimmen können, was mit seinen Daten geschieht und wer was in die Hände bekommt. Menschen werden vor missbräuchlicher Nutzung ihrer personenbezogenen Daten geschützt. Somit kommt einem Datenschutzbeauftragten eine wichtige gesellschaftliche Rolle zu.

Quellen und Literarturtipp:

• Erste Hilfe zur Datenschutz-Grundverordnung. Das Softortmaßnahmenpaket. Herausgegeben vom Bayerischen Landesamt für Datensicherheit.
• Kurzpapier 12: Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeiter, Stand: 16.1.2018 (DSK – Datenschutzkonferenz)

Kontakt und weitere Informationen

Uwe Huchler, Chefredakteur von social-software.de