Tagtäglich verarbeiten und speichern Unternehmen eine Fülle von personenbezogenen Daten, zum Beispiel von Geschäftspartnern, Kunden, Lieferanten und nicht zuletzt von den eigenen Mitarbeitern. Aus diesem Grund spielt das Thema Datenschutz mittlerweile eine sehr wichtige Rolle in den Betrieben. Welche Unternehmen brauchen einen Datenschutzbeauftragten? Wer kommt als Datenschutzbeauftragter infrage? Was sind seine Aufgaben, Rechte und Pflichten?

Welche Unternehmen müssen einen Datenschutzbeauftragten haben?

Welche Betriebe einen eigenen Datenschutzbeauftragten benennen müssen, regelt § 38 Bundesdatenschutzgesetz (BDSG). Demnach ist ein betrieblicher Datenschutzbeauftragter in Unternehmen mit mindestens 20 Arbeitnehmern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, verpflichtend. Gemeint sind hiermit Betriebe, in denen mindestens 20 Beschäftigte regelmäßig mit der Verarbeitung personenbezogener Daten zu tun haben. Zu diesen Beschäftigten gehören zum Beispiel Kundenbetreuer oder Mitarbeiter der Personalabteilung.

Darüber hinaus müssen Unternehmen die Datenverarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung unterliegen oder die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, unabhängig von ihrer Mitarbeiterzahl einen Datenschutzbeauftragten benennen.

Gemäß Art. 37 Datenschutz-Grundverordnung (DSGVO) müssen Unternehmen außerdem dann einen Datenschutzbeauftragten benennen, wenn

• die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
• die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.

Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, wenn der Datenschutzbeauftragte von jeder Niederlassung aus leicht zu erreichen ist.

Hinweis: Beachten Sie, dass sich auch Firmen, die nicht zur Benennung eines Datenschutzbeauftragten verpflichtet sind, um Datenschutz-Themen kümmern und die geltenden Datenschutz-Vorschriften einhalten müssen. Insofern sollten Arbeitgeber, die keine rechtliche Pflicht zur Benennung eines Datenschutzbeauftragten haben, prüfen und abwägen, ob sie freiwillig eine Person zum Datenschutzbeauftragten ernennen.

Funktion und Aufgaben des Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten sind in Art. 38/39 DSGVO festgelegt. Zu seinen wesentlichen Aufgaben zählen:

• Unterrichtung und Beratung der Geschäftsführung und der Beschäftigten bezüglich ihrer datenschutzrechtlichen Pflichten
• Schaffung von Transparenz in der betrieblichen Datenverarbeitung
• Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung
• Überwachung, ob die Datenschutzvorschriften im Unternehmen eingehalten werden
• Kontrolle, ob die Datenschutzstrategie des Unternehmens sowie die internen Datenschutz-Richtlinien umgesetzt werden
• Sensibilisierung und Schulung der Beschäftigten im Hinblick auf die datenschutzrechtlichen Vorgaben
• Vertretung des Unternehmens in datenschutzrechtlichen Fragen
• Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Kontrolle ihrer Durchführung
• Zusammenarbeit mit der Aufsichtsbehörde
• Ansprechpartner für die Aufsichtsbehörde
• Risikobewertung bezüglich der Erfüllung seiner Aufgaben

Wer kann als Datenschutzbeauftragter fungieren?

Bei der Frage, wer als betrieblicher Datenschutzbeauftragter eingesetzt wird, haben die Unternehmen einen relativ großen Gestaltungsspielraum. Sie können mit dieser Aufgabe einen eigenen Mitarbeiter betrauen. Dieser sollte sich mit Datenschutz-Themen auskennen und entsprechend qualifiziert bzw. geschult sein. Möglich ist aber auch, einen externen Datenschutzbeauftragten zu bestellen. Es gilt vorab abzuwägen, welche Variante – die interne oder externe Lösung – in Ihrem Fall sinnvoller ist.

Die Kontaktdaten des betrieblichen Datenschutzbeauftragten müssen der Öffentlichkeit zugänglich gemacht werden, zum Beispiel mittels Nennung der Kontaktdaten auf der Firmen-Website.

Tipp: Die Benennung des Datenschutzbeauftragten sollte schriftlich erfolgen. Die wesentlichen Aufgaben sowie Rechte und Pflichten des Datenschutzbeauftragten sollen ebenfalls schriftlich festgehalten werden.

Rechte und Pflichten des Datenschutzbeauftragten

Welche Rechte und Pflichten der betriebliche Datenschutzbeauftragte hat, regelt Art. 38 DSGVO.

1.  Einbindung in Datenschutzfragen: Der Arbeitgeber muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
2. Zurverfügungstellen von Ressourcen: Der Arbeitgeber muss den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Art. 39 DSGVO unterstützen, indem er ihm die dafür erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.
3. Weisungsfreies Arbeiten: Der Arbeitgeber muss sicherstellen, dass der Datenschutzbeauftragte seine Aufgaben eigenständig durchführen kann. Der Datenschutzbeauftragte ist in seiner Funktion als Datenschutzbeauftragter nicht weisungsgebunden.
4. Benachteiligungsverbot: Der Datenschutzbeauftragte darf vom Arbeitgeber wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
5. Berichtspflicht: Der Datenschutzbeauftragte hat der höchsten Managementebene des Unternehmens unmittelbar über seine Arbeit zu berichten.
6. Ansprechpartner für Betroffene in Datenschutzfragen: Betroffene Personen dürfen sich an den Datenschutzbeauftragten bei allen Fragen wenden, die mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der DSGVO im Zusammenhang stehen.
7. Geheimhaltung und Vertraulichkeit: Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Regelungen zur Geheimhaltung und Vertraulichkeit gebunden.
8. Vermeidung von Interessenkonflikten: Wenn der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnimmt, hat der Arbeitgeber dafür zu sorgen, dass diese Aufgaben und Pflichten nicht zu einem Interessenkonflikt mit seinen Aufgaben und Pflichten als Datenschutzbeauftragter führen.

Abberufung des Datenschutzbeauftragten

Eine Abberufung des betrieblichen Datenschutzbeauftragten ist nur in engen Grenzen möglich. Gemäß 6 Abs. 4 BDSG ist die Abberufung eines betrieblichen Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB zulässig. Das heißt: Es muss ein wichtiger Grund für die Abberufung vorliegen. Ein wichtiger Grund in diesem Sinne kann zum Beispiel gegeben sein, wenn der Datenschutzbeauftragte dauerhaft seine Kontrollpflichten vernachlässigt oder wenn es zu Interessenkonflikten mit anderen Aufgaben bzw. Tätigkeiten kommt.

Zu beachten ist: War die Benennung des Datenschutzbeauftragten nicht verpflichtend, sondern erfolgte freiwillig durch den Arbeitgeber, dann kann dieser den Datenschutzbeauftragten jederzeit abberufen, ohne dass ein wichtiger Grund vorliegen muss. 

Besonderer Kündigungsschutz

Betriebliche Datenschutzbeauftragte genießen einen besonderen Kündigungsschutz. Das bedeutet: Die Kündigung des Arbeitsverhältnisses ist grundsätzlich unzulässig, es sei denn, dass Tatsachen vorliegen, welche das Unternehmen zu einer Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Der besondere Kündigungsschutz gilt sogar noch bis zum Ablauf eines Jahres nach Ende der Tätigkeit als Datenschutzbeauftragter. 

Der besondere Kündigungsschutz besteht jedoch nur dann, wenn eine Pflicht zur Benennung eines Datenschutzbeauftragten bestand. Hat der Arbeitgeber den Datenschutzbeauftragten freiwillig bestellt, gilt der besondere Kündigungsschutz nicht.