Benennung eines Datenschutzbeauftragten nach der EU-Datenschutzgrundverordnung

Bei der EU-Datenschutzgrundverordnung, die ab dem 25.05.2018 gilt, sind die Voraussetzungen für die Benennung von behördlichen und betrieblichen Datenschutzbeauftragten geändert worden. Es wird nicht mehr darauf abgestellt, wie viel Personen in einem Unternehmen personenbezogene Daten verarbeiten, sondern die DS-GVO enthält verschiedene Kriterien, die eine Benennung eines Datenschutzbeauftragten zur Folge haben.

Für Behörden besteht eine Pflicht, einen Datenschutzbeauftragten zu installieren. Weiterhin müssen Unternehmen, deren Kerntätigkeit die Durchführung von Verarbeitungsvorgängen ist, einen Datenschutzbeauftragten benennen. Dies aber nur, wenn aufgrund der Art, des Umfangs und/oder der Zweck eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich ist. In den Erwägungsgründen wird darauf verwiesen, dass Kerntätigkeit als Haupttätigkeit anzusehen ist. Eine Verarbeitung von personenbezogenen Daten als „Nebentätigkeit“ soll nicht dazu führen, dass ein Datenschutzbeauftragter zu benennen ist. Werden im Rahmen einer „Kerntätigkeit“ umfangreiche Verarbeitungen besonderer Kategorien von Daten gemäß Art. 9 DS-GVO durchgeführt, ist ebenfalls ein Datenschutzbeauftragter zu benennen.

Wird entgegen den gesetzlichen Anforderungen kein Datenschutzbeauftragter benannt, so kann ein Bußgeld von bis zu 10.000.000,00 € oder im Falle eines Unternehmens ein Bußgeld in Höhe von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Auch wenn ein solches Bußgeld sicherlich nicht in maximaler Höhe bei den meisten Unternehmen ansteht, so ist doch die deutliche Ansage des EU-Gesetzgebers zu bedenken, der in Art. 83 Abs. 1 wirksame und abschreckende Geldbußen im Einzelfall fordert. Dies bedeutet, dass jedes Unternehmen dokumentieren, rechtlich prüfen und nachweisen muss, ob und inwieweit ein Datenschutzbeauftragter zu bestellen ist. Hier ergeben sich einige juristische Schwierigkeiten, was der EU-Gesetzgeber mit „ Kerntätigkeit“ gemeint hat. Ist beispielsweise ein Unternehmen wie Volkswagen oder ein anderer Automobilhersteller verpflichtet, einen Datenschutzbeauftragten zu benennen? Spontan wird jeder Leser sicherlich zu dem Ergebnis kommen, dass dies so sein muss. Allerdings wird man auch davon ausgehen, dass die Kerntätigkeit von Volkswagen oder einem anderen Automobilhersteller nicht die Verarbeitung von personenbezogenen Daten ist. Kernaufgabe ist die Herstellung von Autos. Hier sind noch einige rechtliche Fragen zu klären.

Ein weiteres Beispiel kann die Messung von Zugriffen auf Webseiten sein. Hier werden im Zweifel sicherlich personenbezogene Daten regelmäßig und systematisch überwacht. Ob damit jeder Betreiber einer Internetseite eine Kerntätigkeit erfüllt, ist allerdings zweifelhaft.

Da in Anbetracht der Bußgelder die Frage der Installation eines Datenschutzbeauftragten von großer Bedeutung ist, sollte jedes Unternehmen hier möglichst schnell für Klärung sorgen.

Allerdings sollten Unternehmen, die nicht zur Benennung eines Datenschutzbeauftragten verpflichtet sind, nicht zu früh jubeln. Zwar entfällt dann die Notwendigkeit eines Datenschutzbeauftragten. Damit entfallen aber nicht die sehr unterschiedlichen und umfangreichen Dokumentationspflichten und weiteren Aufgaben aus der DS-GVO. Insoweit empfiehlt es sich für viele Unternehmen, unabhängig von der Frage einer entsprechenden gesetzlichen Verpflichtung, einen Datenschutzbeauftragten zu benennen. Anderenfalls müsste im Unternehmen eine neue Verteilung oder andere Mitarbeiterinnen und Mitarbeiter mit den entsprechenden datenschutzrechtlichen Aufgaben betraut werden.

Bei der Bestellung des Datenschutzbeauftragten ergeben sich viele Parallelen zu den Regelungen im Bundesdatenschutzgesetz.

Auch bei den Aufgaben des Datenschutzbeauftragten gemäß Art. 39 DS-GVO kommt den deutschen Datenschutzbeauftragten sicherlich einige Aufgaben bekannt vor. Allerdings gibt es eine Neuregelung, die zu einer deutlich veränderten Positionierung des Datenschutzbeauftragten führen wird. Gemäß Art. 39 Abs. 1b DS-GVO wird von dem Datenschutzbeauftragten die Überwachung der Einhaltung der EU-Datenschutzgrundverordnung sowie anderer Datenschutzvorschriften erwartet. Er soll auch die Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeitern und der diesbezüglichen Überprüfung überwachen.

Hier wird in der juristischen Literatur derzeit diskutiert, ob der Datenschutzbeauftragte damit zu einem Überwachergaranten im straf- und ordnungswidrigkeitenrechtlichen Sinne wird. Dies wäre ein starker Kontrast zu den bisherigen Regelungen des Bundesdatenschutzgesetz. Das Bundesdatenschutzgesetz sieht nur vor, dass ein Datenschutzbeauftragter auf die Einhaltung der datenschutzrechtlichen Regelungen hinwirkt. Nunmehr soll aber ab dem 25.05.2018 der Datenschutzbeauftragte auch Überwachungsaufgaben übernehmen. Werden diese nicht ausreichend eingehalten, könnte die auch für den Datenschutzbeauftragten erhebliche Konsequenzen haben.

Aus diesem Grund empfiehlt es sich für die Datenschutzbeauftragten, im Einzelfall zu überlegen, ob und wie sie ihre Rolle zukünftig nach Inkrafttreten der EU-Datenschutzgrundverordnung ausfüllen wollen.

Gern beraten wir Sie bundesweit bei allen Fragen rund um die neuen datenschutzrechtlichen Regelungen aus der EU-Datenschutzgrundverordnung. Wir bieten auch für unsere Mandanten und interessierte Unternehmen und Behörden Seminare, auch Inhouse-Seminare zur EU-Datenschutzgrundverordnung an. Gern können wir mit Ihnen auch die nächsten notwendigen Maßnahmen erarbeiten, um die entsprechenden datenschutzrechtlichen neuen Anforderungen auch rechtskonform umzusetzen.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 4,33 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*