(openPR) Am 25. Mai 2018 endet die Übergangsfrist und die EU-Datenschutzgrundverordnung gilt verbindlich. Sie löst die Datenschutzrichtlinie 95/46/EG von 1995 ab und gilt in der gesamten Europäischen Union unmittelbar. Wir haben für Sie die wichtigsten Informationen zusammengestellt und beginnen mit Teil 1: „Der Datenschutzbeauftragte“.
Wann muss ein Datenschutzbeauftrager benannt werden?
Die Benennung eines Datenschutzbeauftragten kann sich sowohl aus Artikel 37 DSGVO direkt oder aus nationalem Recht ergeben (siehe Art. 37 Abs. 4 S. 1 DSGVO).
Der Datenschutzbeauftragte kann ein Angestellter oder auch ein externer Berater sein. Er trägt die formale Verantwortung für die Einhaltung der Datenschutzerklärung innerhalb eines Unternehmens.
Unternehmen, mit mindestens zehn Mitarbeitern, die mit personenbezogenen Daten arbeiten, müssen nach § 38 BDSG (neue Fassung, wirksam ab dem 25. Mai 2018) einen Datenschutzbeauftragten benennen. Diese Verpflichtung gilt gleichermaßen für Datenverantwortliche als auch für Auftragsverarbeiter (unabhängig von der Größe).
In Artikel 37 Abs. 1 DSGVO sind drei Fälle aufgeführt, für die ein Datenschutzbeauftragter benannt werden muss:
- Öffentliche Stelle haben, sofern sie personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten zu bestellen – mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln.
- Nichtöffentliche Stellen müssen einen Datenschutzbeauftragten bestellen, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht,
> die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
> eine umfangreiche Verarbeitung von Daten gemäß Art. 9 oder nach Art. 10 von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten erfolgt.
Als Kerntätigkeit ist die Hauptaktivität des Unternehmens und nicht eine bloße Nebentätigkeit anzusehen.
Stellung des Datenschutzbeauftragten
Ist der Datenschutzbeauftragte unmittelbar in Ihrem Unternehmen beschäftigt, müssen Sie als Arbeitgeber:
- ihm alle notwendigen Ressourcen zu Verfügung stellen, damit er seine Aufgaben erfüllen kann und sein Fachwissen weiterentwickeln kann
- ihm Zugang zu persönlichen Daten und Verarbeitungsvorgängen ermöglichen;
- dafür sorgen, dass er in allen Fragen des Schutzes personenbezogener Daten involviert ist;
- die Kontaktdaten des Datenschutzbeauftragten der Öffentlichkeit und der Aufsichtsbehörde zur Verfügung stellen.
Der Datenschutzbeauftragte ist bei der Erfüllung weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt oder abberufen werden. Er berichtet der höchsten Leitungsebene (Art. 38 Abs. 3 S. 3 DSGVO).
Die Aufgaben richten sich nach den Regelungen des Art. 39 DGSVO und der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben zu unterstützen.
Verletzungen der Vorschriften zum Datenschutzbeauftragten aus Art. 37 bis 39 DSGVO sind nach Art. 83 Abs. 4 Nr. a DSGVO mit erheblicher Geldbuße bedroht.
Neu: Keine schriftliche Bestellung mehr
Die Form der Benennung muss nicht mehr zwingend schriftlich erfolgen. Dies ist jedoch aus Gründen der Beweispflicht zu empfehlen (insbesondere bezüglich der Einhaltung der Nachweispflichten gemäß Art. 24 Abs. 1 DSGVO und Art. 5 Abs. 2 DGSVO) und dient ferner der Rechtssicherheit.
Bereits erstellte Bestellschreiben behalten ihre Gültigkeit, sofern diese den neuen Regelungen des DSGVO entsprechen. Bitte prüfen Sie Ihre bisherigen Bestellschreiben nach.
Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. Leichte Erreichbarkeit kann z.B. durch Errichten einer Hotline oder durch Bereitstellen eines Kontaktformulars auf der Homepage gewährleistet werden.
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.
Aufgaben des Datenschutzbeauftragten
Der Datenschutzbeauftragte nimmt eine Beraterfunktion innerhalb des Unternehmens ein und steht für alle Fragen bezüglich des Datenschutzes zur Verfügung. Außerdem überwacht er die Einhaltung der Datenschutzvorschriften und ist zudem für die Zuweisung von Zuständigkeiten, die Sensibilisierung sowie Schulung der Mitarbeiter zuständig. Bei der Erfüllung seiner Aufgaben behält er stets die Risiken der Datenverarbeitung im Blick.
Er ist dazu verpflichtet mit der Aufsichtsbehörde zusammenzuarbeiten und als erste Anlaufstelle für diese zu dienen.
