Die Frage ist, wer muss einen Datenschutzbeauftragten bestellen und warum?
Wer ist zuständig und verantwortlich für die Einhaltung des Datenschutzes in Unternehmen?
Verantwortlich für den Datenschutz im Unternehmen ist in erster Linie die Geschäftsführung / Vorstand!
Beschäftigt ein Unternehmen 10 Personen mit automatisierter Verarbeitung personenbezogener Daten oder 20 Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten mittels manueller Dateien (Karteien, Formularsammlungen), so muss das Unternehmen einen betrieblichen Beauftragten für den Datenschutz schriftlich bestellen.
Hierzu zählen auch:
Gewerbetreibende oder Freiberufler
Zu diesen Personen zählen auch freie Mitarbeiter, Heimarbeitskräfte und Leiharbeitnehmer, ebenso wie Auszubildende und Praktikanten.
Bei der Feststellung der Zahl der beschäftigten Personen stellt das Gesetz nicht auf den Umfang der Beschäftigung der Einzelnen ab. Maßgebend ist vielmehr die „Kopfzahl“ aller beschäftigten Personen, d. h. nicht nur die Vollzeitbeschäftigten, sondern auch die Teilzeitkräfte werden als jeweils eine Person gezählt.
Die Personen müssen auch nicht das ganze Jahr über beschäftigt sein. Entscheidend ist, dass für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten regelmäßig eine entsprechende Zahl von Beschäftigten ausgewiesen ist.
Somit gehören auch Beschäftigte dazu, die regelmäßig zur Bewältigung von Arbeitsspitzen am jeweiligen Quartalsende für das Unternehmen tätig sind.
Bei der Frage, ob in einem Unternehmen ein Datenschutzbeauftragter zu bestellen ist, kommt es auf das Unternehmen als Ganzes an, d. h. einschließlich seiner Außenstellen und Filialen.
Ein betrieblicher (intern/extern) Beauftragter für den Datenschutz ist unabhängig von der Mitarbeiterzahl zu bestellen, wenn:
- das Unternehmen entweder automatisierte Datenverarbeitung zum Zweck der Übermittlung nach § 29 BDSG (Wirtschaftsauskunftei, Informationsdienst, Adressenhandel, usw.)
- zum Zweck der anonymisierten Übermittlung nach § 30 BDSG bzw. der Markt- oder Meinungsforschung nach § 30a BDSG durchführt.
Weiterhin müssen in jedem Fall diejenigen Unternehmen einen Datenschutzbeauftragten bestellen, die eine Vorabkontrolle nach § 4d Abs. 5 BDSG wahrnehmen müssen (wegen Verarbeitung sensibler Daten nach § 3 Abs. 9 BDSG oder der Erstellung von Persönlichkeitsprofilen, ohne dass eine gesetzliche Verpflichtung hierzu, eine Einwilligung des Betroffenen oder ein insoweit maßgebendes Vertragsverhältnis bzw. vertragsähnliches Vertrauensverhältnis mit dem Betroffenen gegeben ist).
Der betriebliche Datenschutzbeauftragte soll die Unternehmensleitung in der verantwortlichen Handhabung des Datenschutzes unterstützen, indem er konkret auf die Einhaltung des Datenschutzes im Unternehmen hinwirkt, insbesondere die Unternehmensleitung zu Datenschutzgesichtspunkten berät und auf mögliche Datenschutzprobleme hinweist.
Siehe dazu die §§ 4f und 4g im Bundesdatenschutzgesetz (BDSG)
Verhältnis der Unternehmen zu den Datenschutzaufsichtsbehörden
Eine spezielle Meldepflicht gegenüber den Datenschutzaufsichtsbehörden besteht nach § 4d BDSG nur für folgende Bereiche mit automatisierter Datenverarbeitung:
- Wirtschaftsauskunfteien Informationsdienste,Adressenhandelsunternehmen
- Markt-, Meinungs- und Sozialforschungsinstitute
sonstige Unternehmen ohne betrieblichen Datenschutzbeauftragten, die personenbezogene Daten verarbeiten und dazu weder die Einwilligung des Betroffenen, noch ein Vertragsverhältnis bzw. vertragsähnliches Vertrauensverhältnis mit dem Betroffenen vorliegt!
Prüfungen durch die Datenschutzaufsichtsbehörden
Die Datenschutzaufsichtsbehörden können auch von sich aus auf die Unternehmen zukommen, im Rahmen der Überwachung und von Kontrollen nach § 38 BDSG (Betriebsprüfung), Aufgrund von Beschwerden von natürlichen Personen oder durch Whistleblower .
Wer ist nun davon betroffen?
natürliche Personen ✔︎
(z. B. Ärzte, Apotheker, Rechtsanwälte, Steuerberater, Handels-, Handwerks- und Industriebetriebe usw.)
juristische Personen ✔︎
(z. B. als GmbH organisierte Auskunfteien, Markt- und Meinungsforschungsinstitute, Telefondienst, Adressverlage, Detekteien, Handels-, Handwerks- und Industriebetriebe, als Kommanditgesellschaft auf Aktien konstituierte Banken, als Aktiengesellschaften tätige Kliniken, eingetragene Vereine, rechtsfähige Stiftungen des bürgerlichen Rechts)
Personengesellschaften ✔︎
(z. B. ein als Gesellschaft des bürgerlichen Rechts organisiertes Baukonsortium, ein als GmbH und Co. KG agierendes Versandunternehmen oder Servicerechenzentrum, eine Anwaltssozietät oder ein als OHG auftretender Filmverleih)
Nicht rechtsfähige Vereine ✔︎
(z. B. Parteien, Gewerkschaften und Berufsverbände)
Welche Maßnahmen drohen bei Verstößen gegen das Datenschutzrecht?
Anordnungen der Datenschutzaufsichtsbehörde nach § 38 Abs. 5 BDSG
- Bei Datenschutzverstößen oder bei Sicherheitsmängeln
- Wenn der Datenschutzbeauftragte nicht die erforderliche Fachkunde und Zuverlässigkeit besitzt
- Wenn das Unternehmen keinen Datenschutzbeauftragten bestellt hat
- Bei nicht konformer Umsetzung des Datenschutzes
Problem!
- Bußgeldverfahren nach § 43 BDSG
- Strafverfahren, z. B. nach § 44 BDSG
- Schadenersatzansprüche der betroffenen Personen
- ……
Sehen Sie sich mein Portfolio an, oder nehmen Sie mit mir Kontakt auf!