Rechtliche Grundlage

Wer muss einen Datenschutzbeauftragten bestellen?

Datenschutzbeauftragte
Laut Artikel 37 der DSGVO muss jedes Unternehmen das personenbezogene Daten verarbeitet, einen Datenschutzbeauftragten benennen. In Abs. 4 wird aber eine Öffnungsklausel genannt, die in §38 BDSG-neu festgelegt ist. Danach ist z.B. ein DSB zu benennen, wenn

  • mehr als 20 Personen ständig mit der automatisierten Bearbeitung personenbezogener Daten beauftragt sind
  • eine Datenschutz-Folgeabschätzung notwendig ist
  • personenbezogene Daten geschäftsmäßig verarbeitet werden

Bedenken sie, selbst wenn sie keinen Datenschutzbeauftragten benennen oder bestellen müssen, das Gesetz zum Datenschutz gilt trotzdem und muss umgesetzt werden! Die Datenschutzdokumentation im Datenschutzhandbuch müssen sie in jedem Fall erstellen, ein Verfahrensverzeichnis führen, Verträge mit Auftragsverarbeiter schließen und dokumentieren uvm.. Wenn die Aufsichtsbehörde sie auffordert, müssen sie diese Dokumentation innerhalb von 72 Stunden vorweisen können, ansonsten kann ein hohes Bußgeld verhängt werden. Der Firmeninhaber/Geschäftsführer (Verantwortliche) haftet!

Mindestanforderungen an den DSB

Welche Qualifikation braucht ein DSB?

Datenschutzbeauftragte

Nach der Vorgabe von Art. 37 Abs. 5 DSGVO sind drei Hauptfaktoren von Bedeutung:

  • berufliche Qualifikation im Hinblick auf das Fachwissen auf dem Gebiet des Datenschutzrechts
  • Fachwissen auf dem Gebiet der Datenschutzpraxis
  • Fähigkeit, die Aufgaben zu erfüllen, die Art. 39 DSGVO nennt

Aufgaben des DSB

Auszug aus Artikel 39 DSGVO

Unterrichtung und Beratung

Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters sowie der Beschäftigten, welche die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten

Überwachung der Einhaltung dieser Verordnung

Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.

Beratung - auf Anfrage

Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgeabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35.

Zusammenarbeit mit der Aufsichtsbehörde

Gesamte Abwicklung und Kommunikation mit den Behörden.

Tätigkeit als Ansprechstelle

Tätigkeit als Ansprechstelle für die Aufsichtsbehörde für datenschutzbetreffende Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO und gegebenenfalls weiterführende Beratung.