Triades Datenschutz Datensicherheit Icon aus Logo grün

Der Datenschutzbeauftragte nach EU DSGVO
Neuigkeiten & Bedingungen

Braucht ihr Unternehmen ab dem 25.05.2018 einen Datenschutzbeauftragten, und welche Rollen und Aufgaben hat er in Zukunft?

Am 25.05.2017 endet die zweijährige Übergangsfrist zur Umsetzung der DSGVO. Bis dahin haben betroffene Unternehmen noch Zeit die Pflichten der neuen Verordnung aus Brüssel zu erfüllen.

Gehört die Bestellung eines Datenschutzbeauftragten auch nach dem 25.05.2018 zu den Pflichten die Unternehmen und Organisationen in Deutschland erfüllen müssen? Diese Frage stellen sich viele Unternehmer und Verantwortliche.

 Wie waren bisher die Bedingungen für die Bestellung eines Datenschutzbeauftragten?

Das erfahren Sie kurz und knapp unter: Datenschutz für Unternehmen >>

Wie sind die neuen Bedingungen für die Bestellung eines Datenschutzbeauftragten?

Freiwillige Bestellung:

Die EU-Datenschutzgrundverordnung sieht im Artikel 37 Absatz 4 vor, dass die Unternehmen jederzeit freiwillig einen Datenschutzbeauftragten bestellen können. Das ist insofern relevant, weil der betriebliche Datenschutzbeauftragte natürlich auch viele personenbezogene Daten des Unternehmens einsehen kann. Hierfür braucht es eine Rechtsgrundlage, und die ist durch die EU-Verordnung gegeben.

Verpflichtung zur Bestellung durch die EU DSGVO:

Gemäß Artikel 37 (1) muss unter bestimmten Umständen ein Datenschutzbeauftragter (DSB) benannt werden: www.privacy-regulation.eu/de/37.htm.

Nach Artikel 37 (1b) müssen jene Unternehmen und Organisationen einen DSB benennen, die im Rahmen ihrer unternehmerischen Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung von Menschen durchführen.

Oder die nach Artikel 37 (1c) im Rahmen ihrer Kerntätigkeit besondere Kategorien von Daten gemäß Artikel 9 verarbeiten:

  • rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • Gewerkschaftszugehörigkeit,
  • genetischen Daten, biometrischen Daten,
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder der sexuellen Orientierung

Verpflichtung zur Bestellung durch deutsche Gesetze:

Ergänzend nutzt der deutsche Gesetzgeber Öffnungsklauseln der DSGVO um landesspezifische Regelungen zum Datenschutz zu erlassen:

Gemäß § 38 BDSG-neu www.bdsg2018.de/de/38.htm gilt für die Pflicht zur Bestellung eines DSB in Deutschland die 10-Mitarbeiter-Grenze! Damit muss jeder Verantwortliche in Deutschland, der 10 oder mehr Mitarbeiter beschäftigt, die personenbezogene Daten automatisiert verarbeiten (wobei ein personalisierter E-Mail Account ausreicht, um als Mitarbeiter mitgezählt zu werden) einen Datenschutzbeauftragten bestellen.

So gesehen ändert sich also nichts. Außer: Das Kriterium bezüglich der nicht-automatisierten Verarbeitung durch mindestens 20 Beschäftigte wurde nicht ins BDSG-neu übernommen. Was aber im Zeitalter der Digitalisierung wohl eher zu vernachlässigen ist.

Zusammenfassend kann man sagen, dass in Deutschland nach dem 25.05.2018 fast übereinstimmende Regelungen zur bisherigen Bestellpflicht eines Datenschutzbeauftragten gelten.

Die neuen Rollen und Aufgaben des Datenschutzbeauftragten

Ändert sich also nichts durch die DSGVO?

Doch es gibt sogar ganz entscheidende Änderungen, denn so wenig sich auch für die Bestellung eines Datenschutzbeauftragten in Deutschland ändert, desto mehr ändert sich an den Aufgaben und Rollen des betrieblichen Datenschutzbeauftragten.

Veränderte Aufgaben und Rollen des DSB

Die DSGVO überträgt viele Aufgaben des Datenschutzbeauftragten an die Unternehmensführung. Datenschutz nach der neuen Gesetzeslage ist damit Aufgabe des Managements. Ein delegieren von Aufgaben an den DSB verhindert das Gesetz, indem es die Pflichten des Datenschutzbeauftragten neu definiert:  Beratung, Unterrichtung und Überwachung sind die Stichworte im Gesetzestext: Zum Auszug Gesetzestext >>

 

Damit soll die eigentliche Aufgabe des DSB gestärkt werden: Eine beratende und überwachende Ausrichtung zur Einhaltung der Regeln zum Datenschutz. Die operativen und strategischen Aufgaben zur Umsetzung des Gesetzes gehören nicht dazu, denn sie blockieren die eigentlichen Aufgaben des Datenschutzbeauftragten.

Die Verantwortung für die Umsetzung wird übertragen

Der DSB wird bei der Umsetzung der Pflichten entlastet und die DSGVO nimmt dafür ganz bewusst Vorstände, Geschäftsführer und Führungskräfte ins Visier, für die das Thema Datenschutz bisher eher nur beiläufig eine Rolle spielte. Sie müssen jetzt mit den Ressourcen des Unternehmens die Umsetzung der Pflichten aus der Verordnung vornehmen. Für die Durchsetzung dieser Regelung sorgt der neue Bußgeld-Katalog, der Strafmaßnahmen und Haftungsrisiken in einer bisher ungeahnten finanziellen Höhe vorsieht.

 

Der Gesetzgeber geht sogar noch weiter und verordnet den Unternehmen auch den Umgang mit dem Datenschutzbeauftragten: Gemäß Artikel 38 (2) hat der Verantwortliche den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen. Die erforderlichen Ressourcen (Zeit, Geld, Räumlichkeiten, Unterstützung durch die Fachabteilungen) müssen nachweisbar zur Verfügung gestellt werden.

Die Pflichten für den Datenschutzbeauftragten

Neben den Pflichten die sich aus der DSGVO für das Unternehmen ergeben, hat natürlich auch der DSB seine Pflichten zu erfüllen. Kurz umrissen sind dies folgende Punkte:

 

–  Unterrichtung hinsichtlich der Pflichten

–  Beratung hinsichtlich der Pflichten

–  Überwachung der Pflichten und Strategien

–  Anlaufstelle für Aufsichtsbehörde

–  Anlaufstelle für die betroffenen Personen

–  Optionale Pflichten des Datenschutzbeauftragten z.B. das Führen des Verarbeitungsverzeichnisses, Schulung der Mitarbeiter.

Wer darf und kann nach der DSGVO als Datenschutzbeauftragter bestellt werden?

Qualifikation:

Gemäß Artikel 37 (5) muss der DSB über eine angemessene berufliche Qualifikation verfügen (es bietet sich an, dass diese Person einen betriebswirtschaftlichen, juristischen und/oder IT-technischen Background hat); ebenso ist eine langjährige Tätigkeit als DSB eine gute Qualifikation. Der DSB muss über das notwendige Fachwissen verfügen.

 

WICHTIG: Die deutschen Datenschutz-Aufsichtsbehörden weisen darauf hin, dass der DSB das datenschutzrelevante Fachwissen bereits bei der Benennung haben muss; es ist nicht zulässig einen „Neuling“ zu benennen, der sich dann in den nächsten Monaten und Jahren einarbeiten wird. Der DSB muss von Anfang an über das notwendige Fachwissen verfügen. Es ist somit nicht zulässig, dass ein DSB erst nach seiner Bestellung die entsprechenden Fortbildungen besucht. Da sind sich die Fachkommentare und die Aufsichtsbehörden einig.

Interner oder Externer Datenschutzbeauftragter?

Sie haben eine geeignete Person, die diese Bedingungen in ihrem Unternehmen erfüllt? Dann kommt diese als interner Datenschutzbeauftragter in Frage.

Sie haben keine geeignete Person, die diese Bedingungen in ihrem Unternehmen erfüllt? Dann kommt ein externer Datenschutzbeauftragter in Frage.

 

Eine Wahl stellt sich also nur noch bedingt! Deshalb stehen wir Ihnen gerne als externe Datenschutzbeauftragte zur Verfügung.

 

Nehmen Sie Kontakt auf über KONTAKT oder Telefon 05721 898 4114

Die EU DSGVO

Informationen zur neuen europäischen Datenschutz-Gesetzgebung und die Pflichten die sich daraus für ihr Unternehmen ergeben, erhalten Sie unter:

Die EU DSGVO

Die Umsetzung der EU DSGVO

Wir präsentieren Ihnen hier einen Lösungsansatz zur Die Umsetzung der DSGVO.  Auf über 360 Seiten liefert unser PrivazyPlan® den Verantwortlichen eine umfassende Grundlage zur Beherrschung der entscheidenden 50 bußgeldbewährten Pflichten der DSGVO.

Ein am Markt einzigartiges Werk.

Lesen Sie mehr dazu auf unserer Seite:

Der PrivazyPlan® von DSB-MIT-SYSTEM®