Mirko Tasch
Datenschutzbeauftragter
Zuerst einmal muss das Unternehmen sich die Frage gestellt haben, ob ein Datenschutzbeauftragter bestellt werden muss oder ob eine Bestellung auf freiwilliger Basis geschieht. Wann eine Pflichtbestellung erfolgen muss, lesen Sie im Artikel Datenschutzbeauftragter. Ist diese Frage beantwortet stellen sich automatisch weitere Fragen, die wir hier gerne beantworten.
Ein fest angestellter Mitarbeiter des Unternehmens kann von der Geschäftsführung zum betrieblichen Datenschutzbeauftragten bestellt werden. Hierbei sollten jedoch verschiedene Punkte beachtet werden.
Zuerst einmal sollte man einen Blick auf die Personen werfen, die bei der Auswahl als Datenschutzbeauftragter zumindest fraglich sind, da hier ggf. Interessenskonflikte vorliegen, die ein Problem für die Bestellung darstellen könnten. Ihre Tätigkeit im Unternehmen macht es in der Regel unmöglich einen objektiven Standpunkt wahrzunehmen und im Sinne des Datenschutzes zu agieren.
Die Geschäftsführung ist verantwortlich für den Datenschutz, kann aber nicht die Position des DSB übernehmen, da dieser die Geschäftsführung beraten soll und die Gefahr besteht, dass doch eher im Sinne des Unternehmens gehandelt wird als im Sinne des Datenschutzes und der Betroffenen. Dies gilt auch für Prokuristen oder allgemein Personen, die eine Prozessverantwortung im Unternehmen innehaben.
Der Vertrieb und die Personalabteilung verarbeiten in der Regel die meisten personenbezogenen Daten und deshalb kann es hier sehr häufig zu Interessenskonflikten kommen.
Auch in der Marketing-Abteilung werden viele personenbezogene Daten verarbeitet. Gerade hier hat ein Datenschutzbeauftragter einen besonderen Augenmerk drauf zu legen, so dass hier von einer Bestellung abgesehen werden sollte.
Eine Aufgabe des Datenschutzbeauftragten ist es die technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten zu überwachen und zu überprüfen. Bei einer Bestellung eines Mitarbeiters der IT ist es entsprechend schwer eine Objektivität zu gewährleisten.
Eine Objektivität zu wahren ist auch bei Familienmitgliedern vor allem der Geschäftsführung in der Regel schwer vermittelbar und wird auch von den Aufsichtsbehörden sehr kritisch gesehen.
Ein interner Datenschutzbeauftragter, der vom Unternehmen benannt und bestellt wird muss verschiedene Qualifikationen besitzen, um die Tätigkeit des Datenschutzbeauftragen auch durchführen zu können. Vor allem sind hier das Fachwissen, die Praxiserfahrung sehr wichtig, aber auch die Ehrlichkeit, Vertrauenswürdigkeit, Erfassung von Zusammenhängen, Wissen über das Unternehmen und deren Abläufe und Vorgehensweise sind essenziell und sollten zum Repertoire des Datenschutzbeauftragten gehören.
Das Fachwissen zum Datenschutz, das Lesen und Verstehen von Gesetzen, sowie die technische Seite des Datenschutzes kann über entsprechende Kurse erlangt werden, jedoch werden viele interne Datenschutzbeauftragte sich erst einmal mühsam in die Praxis einarbeiten müssen.
Ob ein Datenschutzbeauftragter intern oder extern bestellt wird ist ganz allein die Entscheidung der Geschäftsführung des Unternehmens. Entscheidet sich die Geschäftsführung dafür einen internen Mitarbeiter zum Datenschutzbeauftragten zu bestellen, so hat der Betriebsrat, wenn dieser im Unternehmen vorhanden ist, gewisse Mitbestimmungsrechte, die im BetrVG geregelt sind. Klären Sie also vor der internen Bestellung oder auch bei deren Abberufung diese Thematik detailliert mit dem Betriebsrat um keine Konflikte im Unternehmen zu verursachen.
Hat sich die Geschäftsführung dazu entschlossen einen externen Profi zum Datenschutzbeauftragten zu bestellen, so sind hier einige Punkte zu beachten. Die Vor- und Nachteile einer externen Bestellung beschreiben wir im Bericht „externer Datenschutzbeauftragter“.
Der Geschäftsbesorgungsvertrag
Zwischen dem bestellenden Unternehmen und dem externen Datenschutzbeauftragten wird ein so genannter Geschäftsbesorgungsvertrag / Dienstvertrag geschlossen, welcher die detaillierten Aufgaben, die Verantwortlichkeiten und die Haftung zwischen den Parteien regelt. Sehr oft wird auch gleich eine weitere Person benannt, die den Datenschutzbeauftragten bei Krankheit und Urlaub vertritt.
Die Bestellung wird meist über zwei Jahre geschlossen und verlängert sich automatisch, wenn diese nicht von einer der beiden Parteien gekündigt wird.
Setup-Projekt
In vielen Fällen machen externe Datenschutzbeauftragte gleich zum Start ihrer Bestellung erst einmal ein Setup-Projekt, was in der Regel extra bezahlt werden muss. Dieses Setup-Projekt dient dem Zweck erst einmal ein adäquates Datenschutz-Niveau zu erreichen um dieses dann während der Bestellung aufrecht zu halten bzw. noch weiter zu verbessern.
Die Bestellung erfolgt in der Regel ob intern oder extern durch einen Anhang, entweder zum Arbeitsvertrag des internen Mitarbeiters oder als Anlage zum Geschäftsbesorgungsvertrag bei externen Datenschutzbeauftragten.
Hier wird der Datenschutzbeauftragte namentlich benannt und festgelegt ab welchem Zeitpunkt die Person der offiziell bestellte Datenschutzbeauftragte des Unternehmens ist.
Sehr oft gibt es auch eine klare Regelung, dass der Datenschutzbeauftragte direkt an die höchste Management-Ebene des Unternehmens berichtet und in seiner Funktion als Datenschutzbeauftragter dieser direkt unterstellt ist.
Ist der Datenschutzbeauftragte offiziell bestellt, so muss dieser nun verschiedensten Stellen gegenüber bekannt gemacht werden.
Der Verantwortliche, in diesem Fall die Geschäftsführung des Unternehmens meldet den neuen Datenschutzbeauftragten gegenüber der Aufsichtsbehörde für den Datenschutz in dem Bundesland, wo der Hauptsitz des Unternehmens ist. Eine Meldung kann jeweils online über das jeweilige Portal der Aufsichsbehörde online im Internet erfolgen.
Es gibt viele Wege, den Datenschutzbeauftragten gegenüber den Mitarbeitern bekannt zu geben. Eine spezielle Vorgehensweise ist hier nicht vorgeschrieben. Sehr oft erfolgt die Bekanntmachung durch eine Rundmail an die Mitarbeiter, ein Aushang am Schwarzen Brett oder im Intranet. Eine weitere Möglichkeit ist es den Datenschutzbeauftragten auch auf einer Mitarbeiterversammlung vorzustellen.
In der Regel wird der Datenschutzbeauftragte gegenüber Externen (Kunden, Interessenten, Dienstleistern) über ein Update der Datenschutzerklärung auf der Unternehmensseite im Internet bekannt gemacht.
Man sollte auch darauf achten, vor allem, wenn es zu einem Wechsel des Datenschutzbeauftragten gekommen ist, dass dieser ggf. direkt an Kunden gemeldet werden muss, da dies teilweise in den Verträgen zur Auftragsverarbeitung so verlangt wird. Hier ist eine Überprüfung dieser Passagen in den AV-Verträgen angeraten.
Hier muss man zwischen Verschiedenen Varianten der Abberufung unterscheiden. Erstens gibt es die Abberufung durch den Verantwortlichen, die Kündigung und die einvernehmliche Abberufung.
Handelt es sich hierbei um eine Abberufung, weil der Verantwortliche mit der Arbeit des Datenschutzbeauftragten nicht zufrieden ist, weil dieser z.B. regelmäßig nicht datenschutzkonforme Punkte anmerkt, so ist diese Abberufung problematisch. In Art. 38 Abs. 3 der EU-DSGVO steht beschrieben, dass der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.
Auch hier kann es arbeitsrechtlich zu Problemen kommen, wo ein Rechtsanwalt eingeschaltet werden sollte, wenn diese mit der Tätigkeit als Datenschutzbeauftragter zu tun hat. Es gilt hier ein erweiterter Schutz für betriebliche Datenschutzbeauftragte.
Falls der intern bestellte Datenschutzbeauftragte kündigt oder man sich aufgrund von anderen Aufgabengebieten umstrukturiert und der DSB andere Aufgaben wahrnehmen soll und will, kann eine einvernehmliche Abberufung erfolgen. Hierzu muss lediglich die Bestellung widerrufen werden.
Da die externe Bestellung auf Basis eines Geschäftsbesorgungsvertrages erfolgt, muss dieser lediglich unter Berücksichtigung von ggf. vorhandenen Fristen gekündigt werden und die formelle Bestellung zurück genommen werden.
Wir unterstützen Sie gerne bei Ihrem Datenschutz. Kontaktieren Sie uns!