Nachfolgende FAQ behandelt die wichtigsten Fragen zum Thema Datenschutz

Die EU-Datenschutz-Grundverordnung (DSGVO) verpflichtet europäischen Unternehmen eine Vielzahl wichtiger Datenschutzpflichten, u.a. zur Ernennung eines Datenschutzbeauftragten (DSB).

Der Datenschutzbeauftragte berät auch darüber, wie die Vorschriften der DSGVO entsprechend umzusetzen sind. Die Verantwortung jedoch trägt weiterhin das Management. So haben die verantwortlichen Stellen ein Verarbeitungsverzeichnis (Art. 30 DSGVO) zu führen, das dokumentiert, wann, wie und zu welchem Zweck die personenbezogenen Daten verarbeitet werden. Die Datenschutzerklärung auf der Webseite informiert die Nutzer über ihre Rechte in Verbindung mit der Datenschutz-Grundverordnung (Art. 30 DSGVO). Neben der Datenschutzerklärung muss auch der Verantwortliche weitere Maßnahmen zur Information der Betroffenen ergreifen. So sind Betroffene schon bei der erstmaligen Erhebung der Daten zu informieren (Art. 13 DSGVO). Der Betroffene kann auch aktiv selbst Informationen mittels einer Betroffenenanfrage direkt beim Verantwortlichen einfordern. Solche Betroffenenanfragen sind innerhalb eines Monats zu beantworten (Art. 12 Abs. 3 DSGVO). Ein wichtiges Element der Datenschutzdokumentation sind die technischen und organisatorischen Maßnahmen (TOM). In den TOM soll möglichst detailliert beschrieben werden, welche technischen und organisatorischen Maßnahmen ein Unternehmen ergreift um die Einhaltung der Datensicherheit zu gewährleisten. Außerdem ein Teil der notwendigen Dokumentation ist die Datenschutz-Folgenabschätzung. Diese ist immer dann notwendig, wenn die Datenverarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnte (Art. 35 DSGVO). Neben den umfangreichen Dokumentationspflichten bringt die DSGVO auch einige Änderungen im Bereich des Personalmanagements mit sich. Auch sind die Regeln für rechtmäßige Werbemaßnahmen verschärft worden und stellen die Unternehmen nun vor die Herausforderung, ihre Prozesse auf Datenschutzkonformität nach DSGVO und Bundesdatenschutzgesetz neue Fassung (BDSG-nF) zu überprüfen und anzupassen

Gemäß Artikel 37 Absatz 1 DSGVO ist ein Unternehmen zur Benennung eines DSB in den folgenden Fällen verpflichtet:

• Die Kerntätigkeit besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
• Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und Artikel 10 DSGVO.

Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens. Gemeint sind Geschäftsbereiche, welche für die Umsetzung der Unternehmensstrategie maßgebend sind und nicht lediglich routinemäßige Verwaltungsaufgaben darstellen.  Keine Kerntätigkeit liegt bspw. bei der Verarbeitung von Mitarbeiterdaten vor, da dies in der Regel nur ein Unterstützungsprozess ist und deshalb nicht zur Haupttätigkeit des Unternehmens gehört.

Die Verarbeitungsvorgänge müssen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Dies ist etwa der Fall, wenn die Internetaktivitäten der betroffenen Personen nachvollzogen und zur Profilbildung verwendet werden.

Eine umfangreiche Verarbeitung besonderer Kategorien von Daten liegt bspw. vor, wenn die Haupttätigkeit des Unternehmens in der Verarbeitung solcher Daten besteht, aus welchen die rassische und ethnische Herkunft, politische Meinungen oder religiöse bzw. weltanschauliche Überzeugungen hervorgehen. Umfangreiche Verarbeitung von genetischen Daten, biometrischen Daten sowie Gesundheitsdaten fällt ebenfalls hierunter.

Das neue BDSG regelt ferner in § 38 Absatz Satz 1, dass die Benennung des DSB obligatorisch ist, soweit mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unerheblich ist hierbei, ob es sich um Vollzeit- oder Teilzeitbeschäftigte handelt. Miteinzubeziehen sind auch freie Mitarbeiter oder Leiharbeitnehmer, ebenso wie Auszubildende und Praktikanten. Entscheidend ist, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dies ist in der Regel bereits bei einfacher E-Mail-Kommunikation der Fall. Betroffen sind typischerweise Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung, Sachbearbeiter sowie die Personal- und Finanzabteilungen.

Unabhängig von der Zahl  der Mitarbeiter besteht gemäß § 38 Absatz 1 Satz 2 BDSG-neu eine Pflicht zur Benennung, wenn in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.

Form der Benennung

Die Benennung sollte aus Beweisgründen in Schriftform erfolgen.

Vorteile eines externen Datenschutzbeauftragten

Ein externer Datenschutzbeauftragter lässt sich anhand verschiedener Faktoren von einem internen Datenschutzbeauftragten differenzieren:

• Anfallende Kosten für das Unternehmen: Während bei einem internen Datenschutzbeauftragten zusätzlich zum regulären Gehalt Kosten für Aus- und Fortbildung sowie Erwerb von Literatur vom Unternehmen zu investieren sind, hat ein Unternehmen bei einem externen Datenschutzbeauftragten den Vorteil der transparenten Kostenstruktur, da vertraglich alle Kosten vorab definiert werden.
• Kompetenz: Während ein interner Datenschutzbeauftragter zunächst zeitintensive und aufwendige Weiterbildungsmaßnahmen zur Erlangung der Fachkunde vornehmen muss, kann ein  externer Datenschutzbeauftragter bereits von Vertragsstart an zertifizierte und sofort abrufbare Fachkunde nachweisen.
• Haftung: Ein interner Datenschutzbeauftragter haftet mit der sog. beschränkten Arbeitnehmerhaftung. Das bedeutet, dass der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang haftet. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus. Im Gegensatz dazu haftet ein externer DSB für seine Beratung auch bei leichter Fahrlässigkeit in voller Höhe. Dies führt zu einer Risikominimierung für das Unternehmen.
• Kündigung: Ein interner Datenschutzbeauftragter unterliegt besonderem Kündigungsschutz, der mit der Stellung des Betriebsrats gleichzustellen ist. Die Beauftragung eines externen Datenschutzbeauftragten kann hingegen fristgerecht mit Kündigung des Vertrags beendet werden.