Nach bisherigem Recht mußten Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen einen betrieblichen Datenschutzbeauftragten bestellen, wenn sie mindestens 10 Mitarbeiter (dazu zählen auch Aushilfen und Teilzeitkräfte) ständig mit der Verarbeitung personenbezogener Daten beschäftigen.
Die Verarbeitung von personenbezogenen Daten muss dabei zum Kern der Tätigkeit eines solchen Mitarbeiters zählen.
Auch nach dem In-Kraft-Treten der DS-GVO muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Nach der DS-GVO ist ein betrieblicher Datenschutzbeauftragter aber unabhängig von der Personenzahl zu bestellen, sofern Datenvorgänge im Unternehmen vorgenommen werden, bei welchen ein hohes Risiko für Rechte und Freiheiten betroffener Personen besteht.
Dies kann b ei Nutzung von Daten zu Markt- und Meinungsforschzwecken, beim Einsatz von Profililing-Dienstleistern der Fall sein oder falls besonders geschützte Daten durch das Kerngeschäfts eines Unternehmens verarbeitet werden.
Nach der DS-GVO berät der Datenschutzbeauftragte die Verantwortlichen im Unternehmen in Sachen Datenschutz – kann aber ohne sie keine Entscheidungen treffen. Er sensibilisiert und schult andere Mitarbeiter in allen Fragen rund um den Datenschutz.
Der Datenschutzbeauftragte arbeitet mit der Datenschutzbehörde zusammen. Zwar ist er nicht verpflichtet, sich freiwillig dort zu melden, falls ihm im Unternehmen etwas auffällt. Kontaktiert ihn aber die Behörde aufgrund einer Beschwerde, muss er helfen, den Fall aufzuklären.
Er ist Ansprechpartner für betroffene Personen. Geht zum Beispiel ein E-Mail-Anhang mit persönlichen Daten an den falschen Adressaten und der Betroffene bekommt das mit, kann er sich beim Datenschutzbeauftragten beschweren und nachfragen.
Muss das Unternehmen eine Datenschutzfolgenabschätzung durchführen, überwacht der Datenschutzbeauftragte diese und berät die Verantwortlichen.
Der Datenschutzbeauftragte kann ein Mitarbeiter des Unternehmens sein (interner Datenschutzbeauftragter), aber auch ein externer Dienstleister (externer Datenschutzbeauftragter). Der Unternehmensinhaber oder Geschäftsführer dürfen nicht das Amt des Datenschutzbeauftragten ausüben, da in diesem Fall ein Interessenskonflikt bestehen könnte. Dies gilt auch für den Leiter der IT-Abteilung. Voraussetzung ist, dass der Datenschutzbeauftragte die entsprechenden Fachkenntnisse auf dem Gebiet des Datenschutzes besitzt.
Er genießt Kündigungsschutz (nur eine fristlose Kündigung aus wichtigem Grund ist möglich) und arbeitet weisungsfrei.
Der Verantwortliche muss den Datenschutzbeauftragten dabei unterstützen, seine Aufgaben zu erfüllen, beispielsweise indem er ihn regelmäßig auf Fortbildungen schickt.
« Zurück zum Glossar
