Datenschutzbeauftragter

1. Wann ist ein Datenschutzbeauftragter zu benennen?

Nach § 38 Absatz 1 Satz 1 BDSG haben nichtöffentliche Stellen einen Datenschutzbeauftragten zu benennen, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Ob der Schwellenwert von 20 im Unternehmen beschäftigten Personen erreicht wird, bestimmt sich nach der Anzahl der Köpfe. In welchem zeitlichen Umfang oder aufgrund welcher Vertragsgestaltung die Personen tätig sind, ist irrelevant, so dass beispielsweise auch Minijobber, Geschäftsführer und freiberuflich Tätige jeweils als eine Person zählen.

Unter bestimmten Voraussetzungen ist ein Datenschutzbeauftragter nach § 38 Absatz 1 Satz 2 BDSG unabhängig von der Anzahl der beschäftigten Personen zu benennen; zum Beispiel dann, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Diese gesetzliche Vorschrift in § 38 BDSG ergänzt Artikel 37 Absatz 1 Buchstabe b und c DS-GVO und gilt für das gesamte Gebiet der BRD.

2. Benennung des Datenschutzbeauftragten

Die Benennung als Datenschutzbeauftragter erfolgt u.a. durch den Verantwortlichen. Die Benennung ist eine Bestellung, also die Einsetzung einer Person in ein Amt. Damit also kein Vertrag, sondern eine rechtsgeschäftsähnliche Handlung des Verantwortlichen.

Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen, Artikel 37 Absatz 7 DS-GVO. Hierbei genügt es, Kontaktdaten zu benennen unter denen der Datenschutzbeauftragte im Unternehmen erreichbar ist. Die Nennung seiner privaten Kontaktdaten ist nicht erforderlich.

Die Benennung ist zu trennen, von dem der Benennung zu Grunde liegenden Rechtsverhältnis, sog. Trennungsprinzip. Bei internen Datenschutzbeauftragten liegt der Benennung regelmäßig ein Arbeitsvertrag zu Grunde. Bei externen ein Dienstleistungsertrag entweder mit dem externen Datenschutzbeauftragten selbst oder mit dem Unternehmen, bei welchem der Datenschutzbeauftragte angestellt ist.

3. Wer kann Datenschutzbeauftragter sein?

Grundsätzlich kann jede Person zum Datenschutzbeauftragten benannt werden. Der jeweilige Unternehmer hat die Wahl entweder eine externe Person oder einen Beschäftigten zum Datenschutzbeauftragten zu benennen. Voraussetzung ist jeweils, dass die Person das Fachwissen und die Fähigkeiten hat, die Aufgaben als Datenschutzbeauftragter zu erfüllen.

Wichtig ist auch, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann. Um eine Überschneidung von Interessensphären zu vermeiden, darf weder der Geschäftsführer selbst Datenschutzbeauftragter sein, noch Arbeitnehmer, die leitende Funktion haben. Auch der zuständige IT`ler oder der Rechtsanwalt des Unternehmens darf nicht zugleich Datenschutzbeauftragter sein.

4. Stellung des Datenschutzbeauftragten

Der Datenschutzbeauftragte hat sein Amt unabhängig auszuüben. Anweisungen zur Ausübung seiner aus Artikel 39 DS-GVO folgenden Aufgaben darf er nicht erhalten.

Wenn die Benennung eines Datenschutzbeauftragten gesetzlich erforderlich ist, vgl. vorstehende Ziffer 1 und insbesondere § 38 Absatz 1 BDSG, genießt ein interner Datenschutzbeauftragter Kündigungsschutz und seine einseitige Abberufung ist nur zulässig, wenn ein Grund für den Ausspruch einer fristlosen Kündigung vorliegt. Der Kündigungsschutz des Datenschutzbeauftragten besteht ab seiner Benennung und für die Dauer eines Jahres ab der Abberufung.

Der Datenschutzbeauftragte unterrichtet und berät den Verantwortlichen, steht allen betroffenen Personen für Fragen zur Verfügung, arbeitet mit den Aufsichtsbehörden zusammen und überwacht die Einhaltung der Datenschutzvorschriften, etc.