Der Datenschutzbeauftragte

Auch wenn die Ausgestaltung und die Rahmenbedingungen im Hinblick auf die Bestellpflicht eines Datenschutzbeauftragten in den verschiedenen Datenschutzgesetzen unterschiedlich gestaltet sind, so ist stets die Verpflichtung zur Bestellung grundsätzlich verankert. Die Bestellung kann durch einen internen Mitarbeiter oder einen externen Experten wahrgenommen werden.

Der Datenschutzbeauftragte hat hierbei verschiedenste Aufgaben zu erfüllen und gesetzlichen Anforderungen zu genügen. Hierauf gehen wir die FAQ weiter unten gerne ein. Auch bieten wir im Rahmen der Datenschutzbeauftragung, je nach Ihren Anforderungen und Wünschen, verschiedene Leistungen an.

Unsere Unterstützungsmöglichkeiten:

Externe Datenschutzbeauftragung

„Der Prophet im eigenen Land“ wird oftmals nicht erhört.

Deshalb kann ein Externer in der Regel unvoreingenommener an Fragestellungen herangehen und notwendige Maßnahmen vorantreiben. Artikel 37 DSGVO bietet auch explizit die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen.

Auch wird ein extern bestellter Datenschutzbeauftragter vom eigenen Betriebsrat vielfach als neutraler wahrgenommen. So treten wir auch als „Sachverständiger“ gemäß § 80 BetrVG auf und beraten Arbeitnehmer- und Arbeitgebervertreter gleichermaßen fachlich kompetent und nicht politisch.

Durch Synergien aufgrund von Mehrfachbestellungen können die Aufgaben als Datenschutzbeauftragter oftmals nicht nur fachkundiger, sondern auch wesentlich effizienter erfüllt werden. Unsere Mitarbeiter, die bei Ihnen zum Einsatz kommen, verfügen über die erforderliche Fachkunde und langjährige Erfahrung. Sie werden darüber hinaus durch UIMC-interne Spezialisten, wie z. B. auf Datenschutzrecht spezialisierte Juristen oder Experten auf dem Gebiet von IT-Systemen und der Informationssicherheit unterstützt.

Fordern Sie noch heute ein unverbindliches Angebot an.

Coaching eines intern bestellten Datenschutzbeauftragten

"Manche ertrinken lieber, als daß sie um Hilfe rufen." (Wilhelm Busch)

In der Mehrzahl der Fälle ist die Funktion des intern bestellten Datenschutzbeauftragten eine Aufgabe, die einem Mitarbeiter zusätzlich übertragen wird (Teilzeit-Datenschutzbeauftragter). Diesen Mitarbeitern wird oftmals ein zu knappes Zeitbudget zugestanden; auch führen dringende Tätigkeiten der „Hauptfunktion“ dazu, dass der Datenschutz nicht ausreichend vorangetrieben werden kann („Das Tagesgeschäft geht vor!“).

Trotz Schulungen treten aber oftmals – zumindest zu Beginn der Beauftragung – Erfahrungs- und Wissenslücken auf, insbesondere im gesetzlichen Sektor und/oder der Planung organisatorischer Datenschutzmaßnahmen. Durch die Teilzeitbeschäftigung bedingt entstehen z. T. Fragen oder Fehleinschätzungen bei der Abwägung zwischen gesetzlich notwendigen und wirtschaftlich angemessenen Realisationsnotwendigkeiten bei Schutzmaßnahmen auf. Häufig ist die Übernahme dieser Aufgabe bis hin zur Implementierung einer funktionierenden Datenschutzorganisation in der Institution eine erhebliche zusätzliche Belastung neben den herkömmlichen Aufgaben.
Projekte stocken aufgrund längerer Einarbeitung oder es kommt zu Fehleinschätzungen bei der Abwägung zwischen gesetzlich notwendigen und wirtschaftlich angemessenen Realisationsnotwendigkeiten bei Schutzmaßnahmen. Manchmal liegt es alleine daran, dass der Datenschutzbeauftragte sich nicht mit „Datenschutz-Kollegen“ austauschen und diskutieren kann.

Die Ausgestaltung einer solchen Coaching-Lösung kann individuell vereinbart werden und richtet sich nach Ihren Bedürfnissen:
○    Ob pro-aktive Unterstützung,
○    Bereitstellung von personellen Ressourcen bei Bedarf in Belastungsspitzen,
○    Übernahme von politisch problematischen Aufgaben („Der Prophet im eigenen Land“),
○    Unterstützung in Spezialthemen (wir haben Experten in Recht, Informationssicherheit, Organisation etc.),
○    etc.

Fordern Sie noch heute ein unverbindliches Angebot an.

 

Nachfolgend möchten wir Ihnen gerne ein paar Fragen beantworten:

Wann muss ich einen Datenschutzbeauftragten bestellen?

Ein Datenschutzbeauftragter ist gemäß § 38 BDSG zu bestellen, wenn mindestens 20 Personen während ihrer Arbeit mit personenbezogenen Daten arbeiten. Dies ist schnell erreicht, schließlich ist das Empfangen und Versenden von E-Mails schon eine personenbezogene Datenverarbeitung. Doch selbst wenn ein Datenschutzbeauftragter nicht zu bestellen ist, so sind die Datenschutzgesetze dennoch zu beachten.

Die Bestellung hat im Übrigen schriftlich zu geschehen. Hierbei sollten neben den Pflichten auch die Rechte entsprechend geregelt werden.

Welche Anforderungen werden an einen Datenschutzbeauftragten gerichtet?

Ein Datenschutzbeauftragter muss fachkundig und zuverlässig sein. Für die Erfüllung der „Fachkunde“ sollten Fachkenntnisse in den Bereichen Recht, BWL/Organisation und EDV/IT sowie Unternehmenskenntnisse, aber auch „Soft-Skills“ wie Durchsetzungsstärke, Fähigkeit zu Kompromissen und zur Risikoabschätzung, Einfühlungsvermögen oder Kommunikationsfähigkeiten vorhanden sein. Vertiefte Fachkenntnisse im Datenschutz können im Rahmen von Schulungen, Fortbildungen und/oder Coaching sichergestellt werden. 

Darüber hinaus hat der Beauftragte zuverlässig zu sein, was sich u. a. über nachfolgende Kriterien bestimmen lässt: 

  • Gewissenhafte Aufgabenerfüllung,
  • Unparteilichkeit,
  • Verschwiegenheit,
  • Uneigennützigkeit,
  • Verantwortungsbewusstsein und
  • Unabhängigkeit.

Weitere Informationen und Ausschlusskriterien finden Sie im nächsten Abschnitt.

Wen darf ich nicht zum Beauftragten für den Datenschutz bestellen?

Insbesondere die Forderung nach der Zuverlässigkeit, welche insbesondere auch die Unabhängigkeit beinhaltet, bereitet zumeist Probleme, da eine Interessenkollision in vielen Fällen gegeben ist. Zum Beispiel geraten 

  • Geschäftsführer,
  • Personal-/HR-Leiter
  • Vertriebsleiter oder
  • IT-/EDV-Leiter

oftmals in Konflikt, wenn sie ihre Interessen und Aufgaben mit den Tätigkeiten des Datenschutzbeauftragten vereinbaren und damit sich selbst kontrollieren sollen. Auch wird von vielen Aufsichtsbehörden die Bestellung des Betriebsratsvorsitzenden kritisch gesehen.

Welche Rechte und Pflichten hat ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte ist der Geschäftsführung direkt zu unterstellen. Hierdurch soll sichergestellt werden, dass durch die Einhaltung des „Dienstwegs“ keine Informationen verloren gehen und die Bedeutung des Datenschutzes dokumentiert wird. Hierbei ist der Datenschutzbeauftragte bei der Ausübung seiner Fachkunde weisungsfrei. Da er jedoch auch nicht weisungsbefugt ist, sollte er im Rahmen seiner Aufgabenwahrnehmung auf ein verbindliches Datenschutzkonzept hinwirken. Durch die fehlende Weisungsbefugnis und Durchsetzungsbefugnis kann der Datenschutzbeauftragte auch nicht verantwortlich für die Einhaltung des Datenschutzes sein. Er ist aber dazu verpflichtet, die Geschäftsführung ausreichend zu beraten und somit auf die Einhaltung des Datenschutzes hinzuwirken.

Damit der Datenschutzbeauftragte seinen Aufgaben entsprechend nachgehen kann, hat er das Recht auf Fortbildung und genießt einen Kündigungsschutz wie ein Betriebsratsmitglied; mit dem Unterschied, dass ein Datenschutzbeauftragter zeitlich unbefristet bestellt wird und die Bestellung nur durch ihn selbst oder durch die Aufsichtsbehörde zurückgenommen werden kann. Des Weiteren darf der Datenschutzbeauftragte nicht benachteiligt werden und muss ausreichend unterstützt werden, was ein ausreichendes Zeitkontingent, Hilfspersonal oder andere finanzielle oder personelle Mittel beinhalten kann. 

Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Der Datenschutzbeauftragte hat verschiedene Aufgaben zu erfüllen, die sich mittelbar und unmittelbar aus dem Datenschutzgesetz ableitet lassen: 

  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungs-Programme;
  • Verpflichtung auf das Datengeheimnis;
  • Schulung der Mitarbeiter;
  • Bearbeitung von fachlichen Anfragen von Mitarbeitern, Kunden etc.;
  • Beratung der Geschäftsführung, der Mitarbeiter und Fachbereiche über technische und organisatorische Maßnahmen;
  • Überprüfung der Anforderungen bei Dienstleistern z. B. im Rahmen der Auftragsverarbeitung;
  • Erarbeitung, Vorschlag und Pflege von Richtlinien oder eines Datenschutz-Handbuchs;
  • Kontrolle und Wahrung der Rechte Betroffener;
  • Überwachung bei der Führung von Übersichten/Verfahrensverzeichnissen;
  • Unterstützung bei der Risikobewertung und der Datenschutz-Folgenabschätzung;
  • Unterstützung bei der Meldung von Datenpannen an die Aufsichtsbehörden;
  • Erstellen eines Tätigkeitsberichts.

Somit ist der Datenschutzbeauftragte frühzeitig in datenschutzrelevanten Projekte und Planungen einzubinden. Dies gelingt nur, wenn die Funktion des Datenschutzbeauftragten in die Organisation fest verankert wird. 

Kann ich den Datenschutzbeauftragten auch auslagern (Outsourcing des Datenschutzes)?

Sofern Sie ein Unternehmen sind, welches der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und/oder dem kirchlichen Datenschutzrecht unterliegt, können Sie den Datenschutzbeauftragten auch extern bestellen. Dies sieht das Gesetz explizit vor. In den Landesgesetzen ist dies sehr unterschiedlich geregelt. Genauere Informationen können Sie bei uns gerne erfragen.