Rechtliche Grundlage
Wer muss einen Datenschutzbeauftragten bestellen?
Laut Artikel 37 der DSGVO muss jedes Unternehmen das personenbezogene Daten verarbeitet, einen Datenschutzbeauftragten benennen. In Abs. 4 wird aber eine Öffnungsklausel genannt, die in §38 BDSG-neu festgelegt ist. Danach ist z.B. ein DSB zu benennen, wenn
- mehr als 20 Personen ständig mit der automatisierten Bearbeitung personenbezogener Daten beauftragt sind
- eine Datenschutz-Folgeabschätzung notwendig ist
- personenbezogene Daten geschäftsmäßig verarbeitet werden
Bedenken sie, selbst wenn sie keinen Datenschutzbeauftragten benennen oder bestellen müssen, das Gesetz zum Datenschutz gilt trotzdem und muss umgesetzt werden! Die Datenschutzdokumentation im Datenschutzhandbuch müssen sie in jedem Fall erstellen, ein Verfahrensverzeichnis führen, Verträge mit Auftragsverarbeiter schließen und dokumentieren uvm.. Wenn die Aufsichtsbehörde sie auffordert, müssen sie diese Dokumentation innerhalb von 72 Stunden vorweisen können, ansonsten kann ein hohes Bußgeld verhängt werden. Der Firmeninhaber/Geschäftsführer (Verantwortliche) haftet!
Mindestanforderungen an den DSB
Welche Qualifikation braucht ein DSB?
Nach der Vorgabe von Art. 37 Abs. 5 DSGVO sind drei Hauptfaktoren von Bedeutung:
- berufliche Qualifikation im Hinblick auf das Fachwissen auf dem Gebiet des Datenschutzrechts
- Fachwissen auf dem Gebiet der Datenschutzpraxis
- Fähigkeit, die Aufgaben zu erfüllen, die Art. 39 DSGVO nennt
Aufgaben des DSB
Auszug aus Artikel 39 DSGVO
Unterrichtung und Beratung
Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters sowie der Beschäftigten, welche die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten
Überwachung der Einhaltung dieser Verordnung
Überwachung der Einhaltung dieser Verordnung, anderer
Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.
Beratung - auf Anfrage
Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgeabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35.
Zusammenarbeit mit der Aufsichtsbehörde
Gesamte Abwicklung und Kommunikation mit den Behörden.
Tätigkeit als Ansprechstelle
Tätigkeit als Ansprechstelle für die Aufsichtsbehörde für datenschutzbetreffende Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO und gegebenenfalls weiterführende Beratung.