Data Protection Officer (DPO)

Donnerstag, 21. Juli 2016

externer Datenschutzbeauftragter - Data Protection OfficerDurch die Europäische Datenschutzgrundverordnung und das vorgesehene Marktortprinzip dürfte der Data Protection Officer (DPO) an zunehmender Bedeutung gewinnen. Die Bezeichnung des Data Protection Officer wird im Englischen als Übersetzung des in Deutschland bekannten Beauftragten für den Datenschutz bzw. Datenschutzbeauftragten verwendet, der gemäß § 4 f Bundesdatenschutzgesetz (BDSG) zu bestellen ist. Die Aufgaben des Datenschutzbeauftragten (kurz DSB) ergeben sich nach aktuellem Stand noch aus § 4 g BDSG. Diese Funktion kann sowohl durch einen internen Mitarbeiter (mit besonderem /nachwirkenden Kündigungsschutz) oder durch einen externen Dienstleister als sogenannter „externer Datenschutzbeauftragter“ wahrgenommen werden. Die Aufgaben eines internen oder externen Datenschutzbeauftragten sind sehr weit gefächert, hierzu zählen insbesondere die Beratung und Schulung der Geschäftsführung, der Mitarbeiter, des Betriebsrates (sofern vorhanden). Typisch sind ferner die Unterstützung bei Betriebsvereinbarungen, Richtlinien, Arbeitsanweisungen, Dokumentationen, die optimale Gestaltung von, den Datenschutz berührenden, Prozessen und natürlich die Kernaufgabe der Überprüfung der Datenerhebung, -verarbeitung und –nutzung.

Wann sollte ein Datenschutzbeauftragter in Deutschland bestellt werden?

Ein Datenschutzbeauftragter muss bestellt werden, wenn …

 Automatisierte VerarbeitungNicht-automatisierte Verarbeitung
Nicht-Öffentliche Stelle(n) • Mindestens 10 Personen oder
• Vorabkontrolle oder
• wegen besonderem Zweck
o zur geschäftsmäßigen Übermittlung
o zur anonymisierten Übermittlung
o zur Meinungsforschung
Mindestens 20 Personen
Öffentliche Stelle(n)Jederzeit, unabhängig von Personenanzahl, Vorabkontrolle oder ZweckMindestens 20 Personen

 

Die automatisierte Verarbeitung wird in § 3 Abs. 2 S. 1 Bundesdatenschutzgesetz definiert: „Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen.“ Der Begriff Datenverarbeitungssystem meint jede Art von Computern und IT-Systemen. Aber auch für nicht-automatisierte Verarbeitung „[…], die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann“ (§ 3 Abs. 2 S. 2 BDSG), findet das Datenschutzgesetz Verwendung. Eine nicht-automatisierte Datei ist zum Beispiel die Personalakte.

Bei der Feststellung der Personenzahl sind alle Beschäftigten zu berücksichtigen. Auch Teilzeitkräfte, Leiharbeitnehmer, Mitglieder der Geschäftsleitung und ehrenamtlich Tätige müssen mitgezählt werden. Dabei ist nicht die Häufigkeit oder Intensität des Zugriffs entscheidend, sondern die Regelmäßigkeit des Zugriffs. Eine nur vorübergehende Tätigkeit z. B. als Urlaubsvertretung muss nicht berücksichtigt werden.

Bestellung eines Data Protection Officer (europäischer bzw. internationaler Datenschutzbeauftragter)

Der Data Protection Officer im europäischen bzw. internationalen Kontext gewinnt ebenfalls an Bedeutung. Insbesondere in Drittländern (außerhalb der europäischen Union bzw. des europäischen Wirtschaftsraums) dürften zukünftig zahlreiche Maßnahmen in punkto Datenschutz folgen müssen. Mit Inkrafttreten der EU-Datenschutzgrundverordnung (EU-DSGVO) müssen Unternehmen außerhalb der europäischen Union bzw. des europäischen Wirtschaftsraums, die Waren oder Dienstleistungen an EU-Bürger anbieten und in diesem Rahmen personenbezogene Daten erheben, verarbeiten oder nutzen, das „einheitliche europäische Datenschutzrecht“   befolgen. Dies wird unweigerlich dazu führen, dass der Einsatz eines Data Protection Officer auch für viele ausländische Unternehmen zur absoluten Pflicht wird, wenn diese weiterhin auf dem europäischen Markt tätig sein möchten und erhebliche Bußgelder vermeiden möchten.

Wann sollte eine Vorabkontrolle durch den Datenschutzbeauftragten bzw. Data Protection Officer erfolgen?

Grundsätzlich sind alle Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Meldepflicht an die Aufsichtsbehörde entfällt allerdings, wenn die verantwortliche Stelle einen Datenschutzbeauftragten bestellt hat. Für diese Position kann ein interner Mitarbeiter (interner Datenschutzbeauftragter) oder auch externer Datenschutzbeauftragter bestellt werden.

Bei automatisierten Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten eines Betroffenen aufweisen, muss gemäß § 4d Abs. 5 Bundesdatenschutzgesetz (BDSG) vor Beginn der Verarbeitung eine Prüfung, sogenannte Vorabkontrolle, durch den Datenschutzbeauftragten erfolgen. Zudem sollte eine Vorabkontrolle erfolgen, wenn besondere Angaben personenbezogener Daten, gemäß § 3 Abs. 9 BDSG, erhoben, verarbeitet oder genutzt werden sollen. Zu den besonderen Angaben personenbezogener Daten zählen unter anderem die Gesundheitsdaten oder die rassische Herkunft.

Nach § 4d Abs. 6 BDSG darf die Vorabkontrolle nur ein Datenschutzbeauftragter durchführen.

Welche Institutionen benötigen einen Datenschutzbeauftragten / Data Protection Officer?

Einen Datenschutzbeauftragten benötigen die gemäß § 2 BDSG definierten und sogenannten nicht-öffentlichen Stellen und die öffentlichen Stellen.

Unter nicht-öffentliche Stellen fallen:

  • natürliche Personen (z. B. Ärzte, Rechtsanwälte usw.),
  • juristische Personen (z. B. Gesellschaft mit beschränkter Haftung (GmbH), Aktiengesellschaft (AG)),
  • Personengesellschaften (z. B. Kommanditgesellschaft (KG), Offene Handelsgesellschaft (OHG) und
  • nicht rechtsfähige Vereine (z.B. Gewerkschaften, Berufsverbände)

Unter Öffentlichen Stellen sind zu verstehen:

  • Behörden
  • Organe der Rechtspflege
  • andere Einrichtungen des Bundes, Körperschaften und Stiftungen des öffentlichen Rechts etc.

Interner (betrieblicher) Datenschutzbeauftragter oder externer Datenschutzbeauftragter als Data Protection Officer?

Die Entscheidung, ob ein interner oder externer Datenschutzbeauftragter (bzw. interner oder externer Data Protection Officer) bestellt wird, ist der Geschäftsleitung überlassen. Sowohl der Interne als auch der externe Datenschutzbeauftragte haben ihre Vor- und Nachteile. Viele „verantwortliche Stellen“ entscheiden sich häufig für den internen Datenschutzbeauftragten, weil dieser die internen Prozesse, Verfahren und Abläufe kennt. Für andere Unternehmen und Behörden, wirkt der besondere Kündigungsschutz des internen Datenschutzbeauftragten abschreckend, weshalb diese eher zum externen Datenschutzbeauftragten tendieren. Neben dem „abgespeckten“ Kündigungsschutz gehören die Objektivität und die Haftung zu den klaren Vorteilen eines externen Datenschutzbeauftragten.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Bettina Sokol erklärte in ihrem 17. Datenschutzbericht folgendes: „Grundsätzlich ist die Möglichkeit für die Bestellung externer Beauftragter […] oft eine praktikable Lösung, da sie häufig selbst nicht über Personal verfügen, das die für Datenschutzbeauftragte erforderliche fachliche Eignung hat. Hier kann eine externe Person, die mehrere ähnlich strukturierte Unternehmen betreut, kostengünstiger und fachlich qualifizierter arbeiten.“

Möchten Sie mehr über die Vor- und Nachteile des internen und externen Datenschutzbeauftragten erfahren, dann lesen Sie doch unseren Beitrag „Interner (betrieblicher) Datenschutzbeauftragter (DSB) vs. externer DSB – ein Vergleich“

Welche Anforderungen muss ein Data Protection Officer erfüllen?

Basierend auf den Anforderungen des Datenschutzbeauftragten zählen zu den Voraussetzungen eines Data Protection Officer in erster Linie die Fachkunde und die Zuverlässigkeit. Die „verantwortliche Stelle“ hat beim internen Datenschutzbeauftragten für die Erhaltung seiner Fachkunde, insbesondere durch Kostenübernahme für Fort- und Weiterbildungsveranstaltungen einschließlich Freistellung für diese Zeiträume sowie die Kostenübernahme für Fachliteratur Sorge zur tragen hat. Ein externer Datenschutzbeauftragte sollte wiederrum über die erforderliche Fachkunde verfügen, bevor er bestellt wird.

Um die Zuverlässigkeit eines Datenschutzbeauftragten zu wahren, sollte insbesondere darauf geachtet werden, dass er keine Tätigkeiten im Unternehmen ausführt, die im Konflikt zu den Aufgaben des Datenschutzbeauftragten stehen. Dieser Interessenskonflikt ist insbesondere anzunehmen bei:

  • Geschäftsführern oder Vorständen
  • IT-Leitern
  • Vertriebsleiter
  • Personalleitern
  • aber auch z. B. bei IT-Administratoren.

Welche Änderungen sieht die EU-Datenschutzgrundverordnung vor?

Die EU-Datenschutzgrundverordnung (EU-DSGVO), die im Mai 2018 in Kraft tritt, sieht die Position des Datenschutzbeauftragten weiterhin vor, denn auch in der Grundverordnung besteht eine Bestellpflicht. Unternehmen und Behörden müssen unter anderem ein Datenschutzbeauftragen bestellen, wenn Sie mehr als 250 Beschäftigte oder innerhalb von 12 Monaten Daten von mehr als 5000 Betroffenen verarbeitet haben.

Die EU-Datenschutzgrundverordnung lässt den EU-Mitgliedstaaten zudem Raum für Sonderregelungen in Hinblick auf die Bestellung des Datenschutzbeauftragten. Schenkt man dem Bundesinnenministerium Glauben, so dürfte sich somit an den Voraussetzungen zur Bestellungspflicht in Deutschland nichts ändern. Ob und inwieweit andere EU-Mitgliedstaaten Sonderregelungen einführen, wird sich zukünftig zeigen.

Des Weiteren ist davon auszugehen, dass die Position des Datenschutzbeauftragten noch gefragter sein wird, denn mit der EU-DSGVO gilt, wie bereits erläutert, das Marktortprinzip. Unternehmen, die ihre Ware und ihre Dienstleistungen innerhalb der EU / des EWR anbieten und in diesem Rahmen personenbezogene Daten erheben oder verarbeiten, müssen sich an das europäische Datenschutzrecht halten. Zudem können Unternehmensgruppen einen gemeinsamen Datenschutzbeauftragten ernennen.

Wie wird ein Data Protection Officer bestellt?

Als Grundlage für die Bestellung sollte ein Vertrag geschlossen werden. Des Weiteren ist die schriftliche Bestellung durch eine Bestellungsurkunde zwingend anzuraten. Diese Urkunde sollte sowohl durch die Geschäfts- (Geschäftsführer, Vorstand) bzw. Behördenleitung und auch durch die Person des Data Protection Pfficer / Datenschutzbeauftragten unterzeichnet werden.

Diese Funktion kann durch einen internen Mitarbeiter, auf der Basis des Arbeitsvertrages sowie der Bestellungsurkunde, und als externer (betrieblicher) Datenschutzbeauftragter, basierend auf einem Dienstleistungsvertrag und der Bestellungsurkunde, ausgeübt werden.

Schauen Sie sich unsere Muster Bestellungsurkunde – externer Datenschutzbeauftragter Paragraf 4f BDSG an.

Haben Sie noch Fragen zum internen oder externen Datenschutzbeauftragten, dann nehmen Sie Kontakt zu uns auf oder fordern Sie ein unverbindliches Datenschutz-Angebot an.

 


 

Nützliche Dienstleistungen können sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts