2. Anpassungs- und Umsetzungsgesetz

Änderungen bei der Regelung zum betrieblichen Datenschutzbeauftragten

Die Datenschutzgrundverordnung (DSGVO) ist EU weit gültig und muss in allen EU-Ländern eingehalten werden. Das in Deutschland gültige Bundesdatenschutzgesetz (BDSG) wurde daher bei der Einführung der DSGVO in den entsprechenden Punkten angepasst bzw. ergänzt.

Auch wenn die Datenschutzgrundverordnung den landesweiten Gesetzen übergeordnet ist, hat sie Öffnungsklauseln. Diese ermöglichen es den einzelnen Ländern abweichend von der DSGVO Regelungen im Datenschutz zu treffen.

Eine Öffnungklausel betrifft das Thema Datenschutzbeauftragter: Im BDSG war beispielsweise bisher festgelegt, dass ein Datenschutzbeauftragter (DSB) in einem Unternehmen bereits dann eingesetzt werden muss, wenn mindestens 10 Personen regelmäßig (auch vertretungsweise) mit personenbezogenen Daten arbeiten. Dies hatte vermehrt zu Diskussionen geführt, da es kleine Unternehmen und beispielsweise auch Vereine stark belastet hat.

Die Gesetzesänderung, die durch den Bundestag bereits im Juni verabschiedet wurde und ab dem 21.11.2019 in Kraft getreten ist, kippt nun diese Grenze. Ab Inkrafttreten des „Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ wurde diese Grenze nun auf 20 Mitarbeiter angehoben.

Um zu verstehen, warum ein Datenschutzbeauftragter wichtig ist für die Einhaltung des Datenschutzes in einem Unternehmen, sollte man zuerst einmal einen Blick auf seine Aufgaben werfen. Daher möchten wir von Datenschutzberater.NRW in unserem heutigen Blog-Artikel kurz auf die Definition des DSB eingehen und mögliche Aufgaben im Unternehmen anführen.

Der Datenschutzbeauftragte – eine Definition

In Artikel 39 der DSGVO sind die Aufgaben eines Datenschutzbeauftragten klar definiert:

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:
a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
d) Zusammenarbeit mit der Aufsichtsbehörde;
e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Aus diesem Artikel der DSGVO ergeben sich für den Alltag in einem Unternehmen zum Beispiel folgende konkrete Aufgaben:

  • Überwachung Datenverarbeitungs-Programme und deren Anwendung
  • Durchführung von Mitarbeiterschulungen
  • Ansprechpartner für den Bereich Datenschutz
  • Bearbeitung entsprechenden Anfragen den Datenschutz betreffend
  • Beratung über technische und organisatorische Maßnahmen (TOMs)
  • Kontrolle und Wahrung der Betroffenenrechte
  • Führung der Verarbeitungsverzeichnisse
  • Beratung des Unternehmens bei der Datenschutz-Folgenabschätzung
  • Beratung der Unternehmensführung bei der Erstellung und Durchführung eines Datenschutzkonzeptes
  • Zusammenarbeit bzw. Meldungen bei den zuständigen Aufsichtsbehörden
  • Erstellen eines Tätigkeitsberichts

Diese Liste könnte sicherlich noch weiter ergänzt werden.
Ein Datenschutzbeauftragter kann intern oder extern bestellt werden. Die Bestellung des DSB muss schriftlich erfolgen.

Einschränkungen: Nicht jeder darf Datenschutzbeauftragter sein

Es gibt bei der Bestellung des DSB einiges zu beachten – vor allem, wer überhaupt bestellt werden darf. Der Datenschutzbeauftragte darf

  • in einem Familienunternehmen kein Mitglied der Familie
  • kein Mitarbeiter im Personalbereich
  • kein Geschäftsführer des betroffenen Unternehmens
  • kein IT-Beauftragter

sein.

Rechte und Pflichten im Unternehmen

Grundsätzlich ist der DSB weisungsfrei, wenn er seine Tätigkeit im Datenschutz ausübt. Er ist aber auch nicht weisungsbefugt. Ein Datenschutzbeauftragter egal ob intern oder extern hat immer nur eine Berater-Tätigkeit.

Er ist der Geschäftsführung direkt unterstellt, damit Informationen, die den Datenschutz betreffen ungefiltert und direkt bei den zuständigen Verantwortlichen im Unternehmen landen. Weisungsbefugt sind ihm die Vorgesetzt aber eben nicht im Bereich seiner DSB-Aufgaben.

Der Datenschutzberater hat aber nicht nur Pflichten – aus seiner Ernennung ergeben sich auch folgende Rechte:

  • Recht auf Fortbildung, damit er seine Tätigkeit als DSB gesetzeskonform ausüben kann
  • Kündigungsschutz – vergleichbar mit einem Betriebsratsmitglied
  • der Datenschutzbeauftragte wird zeitlich unbegrenzt ernannt
  • seine Bestellung kann nur durch ihn selber oder eine Aufsichtsbehörde zurückgenommen werden
  • er muss im Rahmen seiner Tätigkeit durch ausreichend Zeit und andere Ressourcen unterstützt werden
  • er darf durch seine Aufgaben nicht benachteiligt werden.

Der Externe Datenschutzbeauftragte

Wie oben schon beschrieben, kann der Datenschutzbeauftragte auch extern gestellt werden. Hierzu bietet es sich an, einen entsprechend geschulten Datenschutzberater zu Rate zu ziehen.

Der externe Datenschutzbeauftragte übernimmt die Aufgaben zur Einhaltung der gesetzlichen vorgaben im Unternehmen und ersetzt den betrieblichen DSB – einen eigenen Mitarbeiter muss man in diesem Fall nicht mit diesem Aufgaben betreuen. Außerdem ist der externe Datenschutzbeauftragte durch seine Tätigkeit stets auf dem neusten gesetzlichen Stand geschult.

Mehr Informationen finden Sie auch auf unserer Homepage unter dem Punkt externer Datenschutzbeauftragter.

Weitere gesetzliche Änderungen

In der aktuellen Anpassung im Gesetz ging es unter anderem aber auch darum, dass es sogenannten Adresshändlern schwerer gemacht werden soll eine Melderegisterauskunft zu bekommen; dass bestimmte Pflichten beim Bundesamt für Sicherheit (BSI) eingeschränkt werden sollten und es gab eine Änderung in der Vorratsdatenspeicherung beim neuen Digitalfunk.

Hilfe bei der Einhaltung des Datenschutzes

Egal ob bei Fragen zum Datenschutz, zur Einhaltung der Datenschutzgrundverordnung oder wenn Sie einen externen Datenschutzbeauftragten benötigen – Datenschutzberater.NRW hilft Ihnen gerne weiter.

Wir sind für Sie kompetenter Ansprechpartner für Köln, Bonn, Düsseldorf und ganz NRW.

Nehmen Sie einfach Kontakt zu uns auf oder rufen Sie uns direkt an (Freecall).

Datenschutz aktuell – Das „Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU“