Häufig gestellte Fragen Kanzlei Weik

Der Begriff Datenschutz kann etwas missverständlich sein. Streng genommen werden hier nämlich keine „Daten“ geschützt, sondern das Grundrecht auf informationelle Selbstbestimmung einer jeden natürlichen Person. Eine Verletzung dieses „Rechts darauf, selbst zu entscheiden, wer wann was über mich weiß oder nicht weiß“, kann schwerwiegende Folgen haben. Identitätsdiebstahl, Reputationsverluste, finanzielle Einbußen oder gesellschaftliche Ausgrenzung zum Beispiel.

Neben der – ansonsten mit Bußgeldern bedrohten – Compliance mit einschlägigen Gesetzen, wie der DSGBVO oder dem BDSG, wird es für Unternehmen zunehmend zu einem Wettbewerbsvorteil, Kunden-, Patienten- oder auch Mitarbeitendendaten zu schützen und nur nach den gesetzlichen Vorgaben zu verarbeiten.

Die Datenschutzgesetze gelten für alle Unternehmen gleichermaßen. Um deren Vorgaben einzuhalten, empfiehlt es sich daher für alle Unternehmen, mit einem Datenschutzspezialisten zusammenzuarbeiten, um das Risiko eines bußgeldbewehrten Verstoßes zu erörtern und gegebenenfalls zu minimieren.

Zur Bestellung eines Datenschutzbeauftragten verpflichtet sind nach dem einschlägigen Bundesdatenschutzgesetz zunächst alle Unternehmen, bei denen mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung personenbezogener Daten beschäftigt sind. Aber auch ohne diese Mitarbeitendenschwelle zu überschreiten, muss ein Unternehmen dann einen Datenschutzbeauftragten haben, wenn es besondere Arten personenbezogener Daten (z. B. über politische oder religiöse Überzeugungen oder über Gesundheit und Sexualleben) verarbeitet, wenn seine Kerntätigkeit in der Erhebung, Verarbeitung, Nutzung oder Übermittlung personenbezogener Daten liegt, wenn es Datenverarbeitungen vornimmt, die eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO notwendig machen oder wenn es personenbezogene Daten geschäftsmäßig zum Zweck der, auch anonymen Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.

Ein Datenschutzbeauftragter hat nach den gesetzlichen Vorgaben vielfältige Aufgaben als Berater, Korrektor, Vermittler, Kontaktperson und Whistleblowing-Stelle. Dazu gehört beispielsweise die Unterrichtung und Beratung des Unternehmens und seiner Mitarbeitenden zu Datenschutz-Themen, die Überwachung der Einhaltung der Datenschutzgesetze im Unternehmen, die Beratung im Zusammenhang mit besonderen Gestaltungsformen der Datenschutzregelungen, wie der Datenschutz-Folgenabschätzung oder die Zusammenarbeit mit der Datenschutz-Aufsichtsbehörde. Dabei ist der Datenschutzbeauftragte unabhängig, in der Erfüllung seiner Aufgaben an keine Vorgaben des Unternehmens gebunden und zur Vertraulichkeit verpflichtet.

Ein Datenschutzbeauftragter muss über verschiedenste Fähigkeiten aus unterschiedlichsten Bereichen verfügen. So verlangt bereits die DSGVO in Artikel 37 Absatz 5, dass er über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügt. Was erst einmal harmlos klingt, stellt sich bei näherer Betrachtung als komplexes Aufgabengebiet heraus. Fachwissen auf dem Gebiet des Datenschutzrechts setzt zunächst tiefgehende juristische Kenntnisse voraus. Sowohl des Datenschutzrechts selbst, aber auch angrenzender Rechtsgebiete wie beispielsweise des IT-, Handels- und Gesellschafts-, Urheber-, oder Verwaltungsrechts. Er muss dabei fortlaufend über die gesetzlichen Bestimmungen, etwaige Änderungen, Gerichtsurteile und Auslegungen der Behörden und Literatur informiert sein. Damit aber nicht genug, ist auch ein hohes Maß an IT-Kenntnissen und -Verständnis erforderlich, um die technischen Aspekte der Datenverarbeitung und des Schutzes derselben zu verstehen. Und nicht zuletzt ist betriebswirtschaftliches Wissen erforderlich, nicht zuletzt, um risikoangemessene Entscheidungen treffen und den Datenschutz innerbetrieblich verankern zu können.

Doch mit den fachlichen Qualifikationen ist noch lange nicht Schluss. Ein Datenschutzbeauftragter muss auch über die persönlichen Fähigkeiten verfügen, seine Position ausfüllen zu können. Dazu gehören insbesondere soziale Kompetenz, Integrität und natürlich absolute Verschwiegenheit. Aber auch Durchsetzungsfähigkeit, sowohl extern als auch intern und bis hin zur Geschäftsleitung, und hervorragende kommunikative Eigenschaften sind von Nöten, um dem Datenschutz im Unternehmen zur Geltung zu verhelfen.

Neben den fachlichen und persönlichen Qualifikationen des Datenschutzbeauftragten (siehe oben), muss er seine Aufgaben auch zwingend in vollständiger Unabhängigkeit ausüben können. Das bedeutet zunächst, dass ein Datenschutzbeauftragter in seiner fachlichen Einschätzung weisungsfrei sein muss. Um dies zu gewährleisten, genießen interne Datenschutzbeauftragte beispielsweise einen Kündigungsschutz, ähnlich Betriebsräten. So sollen sie in die Lage versetzt werden, auch unangenehme Positionen im Unternehmen vertreten und durchsetzen zu können. Daneben setzt die Unabhängigkeit auch voraus, dass sich ein Datenschutzbeauftragter fachlich nicht selbst kontrollieren kann. Interessenskonflikte mit einer weiteren, im Unternehmen ausgeführten Aufgabe, sind daher zu vermeiden. Angehörige der Geschäftsleitung können damit ebenso wenig Datenschutzbeauftragte werden, wie die Leitung der IT oder der Personalabteilung.

Während ein interner Datenschutzbeauftragter häufig noch andere Aufgaben im Unternehmen erfüllt, konzentriert sich der externe Datenschutzbeauftragte ausschließlich auf das ihm übertragene Aufgabengebiet. Durch die häufig vorkommende Tätigkeit auch für andere Unternehmen, bringt ein externer Datenschutzbeauftragter vielfältige Erfahrungen ein, über die eine interne Kraft nicht verfügt. Darüber hinaus sind die Kosten für einen externen Datenschutzbeauftragten transparent und steuerbar. Zwar arbeitet auch ein externer Datenschutzbeauftragter weisungsfrei und unabhängig. Sein Dienstleistungsvertrag ist aber nicht kündigungsgeschützt (siehe oben) und die Leistungszeiten können auf die Bedürfnisse des Unternehmens zugeschnitten werden. Außerdem entfallen für einen externen Datenschutzbeauftragten direkte wie indirekte Kosten für Fort- und Weiterbildungen auf dem Gebiet, die wegen seiner vielfältigen Aufgaben regelmäßig notwendig sind. Und nicht zuletzt bedeutet das Engagement eines externen Profis einen nicht zu unterschätzenden Imagegewinn und Wettbewerbsvorteil für Ihr Unternehmen.

Ja. Sofern eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht und gegen diese Pflicht ein Verstoß nachweisbar ist, sieht Art. 83 Abs. 4 lit. a) DSGVO ein Bußgeld in Höhe des jeweils größeren Betrages von EUR 10.000.000,00 oder 2% des weltweit erzielten (Konzern-) Jahresumsatzes vor.

Nach den Regelungen der DSGVO haftet der Verantwortliche für die Datenverarbeitung, mithin das Unternehmen für Verstöße bei Nichteinhaltung der Datenschutzgesetze. Nach allgemeingültigen Regelungen der Geschäftsführerhaftung ist aber, zum Beispiel bei schuldhaften Organisationsverschulden, auch ein Regress gegen die Geschäftsleitung nicht ausgeschlossen, ebenso wenig eine Inanspruchnahme des externen Datenschutzbeauftragten im Innenverhältnis.