Datenschutzbeauftragter (Datenschutz-Grundverordnung)

Der Begriff Datenschutzbeauftragter hat in der umgangssprachlichen Nutzung zwei verschiedene Bedeutungen. Zum einen werden verschiedene Datenschutzaufsichtsbehörden als (Landes-)Datenschutzbeauftragte bzw. -beauftragter bezeichnet. Die Datenschutz-Grundverordnung (DSGVO) meint mit dem Wort jedoch einen betrieblichen Datenschutzbeauftragten, der eine von einem Unternehmen ernannte Person ist, die für die Kontrolle der Einhaltung der Datenschutzrichtlinien zuständig ist.

Hintergrund

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung in Kraft. Die direktgeltende Verordnung wurde durch die Regelungen der am 27. April 2017 vom Bundestag als Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG) ergänzt.[1] Im Bundesgesetzblatt Nr. 44 vom 12. Mai 2017 wurden die Anpassung des Datenschutzrechts an die Verordnung EU 2016/679, also die DSGVO, sowie die Umsetzung der Richtlinie (EU) 2016/680 im Datenschutz-Anpassungs- und Umsetzungsgesetz EU/DSnpUG nach Zustimmung des Bundespräsidenten veröffentlicht. Neben anderen Gesetzesanpassungen wurde zeitgleich das BDSG als Ergänzung zur DSGVO komplett neugefasst.

Die DSGVO sieht vor, dass Unternehmen gegebenenfalls als für die Verarbeitung von Daten „Verantwortlicher“ einen internen oder externen Datenschutzbeauftragten bestellen müssen. Im Artikel 37 Abs. 1 DSGVO ist die Bestellpflicht für den Datenschutzbeauftragten geregelt, nach der betroffene Unternehmen der gesetzlichen Verpflichtung nachzukommen haben. Die Aufgaben des Datenschutzbeauftragten sind im Artikel 39 DSGVO und darüber hinaus im § 7 BDSG (neu) bestimmt.

Benennungspflicht und Benennungsprozess

Benennungspflicht

Sowohl die DSGVO als auch das BDSG kennen Gründe, die es notwendig machen, einen Datenschutzbeauftragten zu bestellen. Die nationalen Regelungen dürfen dabei nicht hinter der DSGVO zurückbleiben, sondern ergänzen und verschärfen diese.

Nach der Datenschutzgrundverordnung

Ein Datenschutzbeauftragter muss im Bereich der staatlichen Verwaltung benannt werden, wenn die Verarbeitung durch eine öffentliche Stelle oder Behörde erfolgt. Ausgenommen ist die Verarbeitung durch Gerichte in ihrer justiziellen Tätigkeit.

Ob im privaten Sektor ein Datenschutzbeauftragter benannt werden muss, hängt davon ab, ob die Kerntätigkeit eines Unternehmens eine regelmäßige und systematische Verarbeitung personenbezogener Daten umfasst. Kriterien dafür sind:

  • Umfang der Verarbeitung gemessen an der Anzahl datenverarbeitender Mitarbeiter im Unternehmen, der Datenmenge und Art der Datensätze, der Zeitraum und die Regelmäßigkeit der Datenverarbeitung sowie die geographische Reichweite der Datenverarbeitung;
  • der Zwecke der Verarbeitung;
  • die Art der Verarbeitung.

Alternativ ist auch die umfangreiche Verarbeitung von personenbezogenen Daten, die zu besonderen Kategorien von Daten wie z. B. gesundheitsbezogenen, politischen oder religiösen Daten gehören, ein Grund für eine Benennungspflicht.

Nach dem Bundesdatenschutzgesetz

In Deutschland sind in §§ 5, 6 und 38 BDSG Vorgaben zur Benennung und Abberufung der Datenschutzbeauftragten für öffentliche und nicht öffentliche Stellen gesetzlich festgeschrieben. Sämtliche Behörden sowie weitere öffentliche Stellen wie z. B. öffentlich-rechtliche Unternehmen müssen ausnahmslos einen Datenschutzbeauftragten bestellen. Gleiches gilt für Markt- und Meinungsforschungsinstitute. Für die freie Wirtschaft ist in der Vorschrift geregelt, dass die Bestellung eines Datenschutzbeauftragten erst für Unternehmen ab 20 Personen, die sich in der Regel ständig mit der automatisierten Datenverarbeitung beschäftigen, und im Falle der Verpflichtung zu einer Datenschutzfolgenabschätzung – also insbesondere bei Vorliegen sensibler Daten – verpflichtend ist.[2]

Benennungsprozess

Nach der DSGVO ist eine mündliche Benennung ausreichend. Dennoch ist der Unternehmer verpflichtet, die Kontaktdaten des Datenschutzbeauftragten in Schriftform an die zuständige Behörde zu übermitteln und sie zu veröffentlichen. Es sind weitere Formalitäten zu beachten, damit eine Bestellung der Form genügt:

  • Eine Bestellurkunde muss angefertigt und von beiden Parteien unterzeichnet werden.
  • Die Bestellung darf nicht in Kombination mit einem weiteren Vertrag durchgeführt werden (Vermeidung eines Interessenkonfliktes).
  • Es muss eine Beschreibung bzw. Auflistung erstellt werden, die die Aufgaben und Eingliederung des Datenschutzbeauftragten in die Organisation und die damit verbundene Zusicherung personeller und materieller Unterstützung darstellt.[3]

Auswahl des Datenschutzbeauftragten

Als Datenschutzbeauftragter kann entweder ein unternehmensinterner Mitarbeiter oder ein externer Auftragnehmer bestellt werden. Welche Wahl sich besser eignet, hängt von der Unternehmensform und Unternehmensgröße sowie dem Arbeitsaufwand des Datenschutzbeauftragten ab. Allerdings ist es schwieriger, sich von einem internen Datenschutzbeauftragten zu lösen, da dieser nur durch fristlose Kündigung seine Stellung verlieren kann. Konzerne können sich für einen Konzerndatenschutzbeauftragten entscheiden, sofern dieser von jeder Niederlassung aus problemlos erreichbar ist. Dieser ist dann für seinen Arbeitgeber interner Datenschutzbeauftragter und für die anderen Konzernteile externer Datenschutzbeauftragter. Diese Option ist vor allem für EU-weit tätige Konzerne mit mehreren Niederlassungen von Vorteil, da sie verschiedene Ansprechpartner vermeidet und so für mehr Transparenz und Sicherheit in der Datenverarbeitung und Verwaltung sorgt.[4]

Ein Datenschutzbeauftragter darf gleichzeitig anderen Pflichten nachkommen, sofern es dabei nicht zu einem Interessenkonflikt kommt. Dieser Interessenkonflikt kann beispielsweise in den folgenden Fällen vorliegen:

  • Leitungs-, Chef- und Inhaberebene sowie deren Prokuristen,
  • nachgeordnete Positionen mit Führungsaufgaben und Entscheidungskompetenz über die Festlegung von Zwecken und Mitteln der Datenverarbeitung (IT),
  • Mitarbeiter einer Rechtsabteilung, die das Unternehmen auch vor Gericht vertreten,
  • Geheimschutz- oder Geldwäschebeauftragter,
  • Abteilungsleiter und deren Mitarbeiter, wenn sie selbst personenbezogene Daten verarbeiten, wie beispielsweise in der EDV, im Personalbereich, aber auch im Marketing oder im Vertrieb,
  • familiäre Bindungen zwischen Datenschutzbeauftragtem und Verantwortlichem.[5]

Aufgaben, Rechte und Qualifikation

Aufgaben

In Artikel 39 Abs. 1 DSGVO werden die Mindestaufgaben des Datenschutzbeauftragten festgelegt:

  • Der Datenschutzbeauftragte unterrichtet und berät das Unternehmen, das ihn benannt hat, und dessen Beschäftigte bezüglich aller geltenden Datenschutzvorschriften und auf Anfrage bei einer Datenschutzfolgenabschätzung.
  • Er überwacht die Einhaltung von Datenschutzvorschriften und die Strategie, mit der personenbezogene Daten geschützt werden sollen.
  • Er arbeitet mit den Aufsichtsbehörden zusammen und ist deren Anlaufstelle im Unternehmen.

Der Europäische Datenschutzbeauftragte als Sprachrohr aller europäischen Aufsichtsbehörden legt die gesetzlichen Pflichten eines betrieblichen Datenschutzbeauftragten so aus, dass dieser auch als vertraulicher Ansprechpartner für Betroffene zur Verfügung stehen soll. Andererseits ist der als Disziplinarvorgesetzter Verantwortliche für die tatsächliche Umsetzung der Datenschutzanforderungen verantwortlich.[6]

Rechte

Um ihrer Tätigkeit unvoreingenommen nachgehen zu können, unterliegen Datenschutzbeauftragte einem besonderen Kündigungsschutz, der Verschwiegenheitspflicht und dem Zeugnisverweigerungsrecht. Der Kündigungsschutz gilt nur für interne Datenschutzbeauftragte. Sie haben kein Weisungsrecht gegenüber der Geschäftsführung, können aber auch nicht von dieser angewiesen werden.

Qualifikation und Ausstattung

Der Datenschutzbeauftragte wird gemäß Art. 37 Abs. 5 DSGVO „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ Zudem sollte er befähigt sein, die dieser Rolle obliegenden Aufgaben zu erfüllen. Der Berufsverband der Datenschutzbeauftragten Deutschlands (BVD) teilt das notwendige Fachwissen in seiner Selbstverpflichtung in die Bereiche Recht, Informations- und Kommunikationstechnologie und Organisation und Prozesse auf.[7] Dabei sollte zumindest in einem der Bereiche eine berufliche Qualifikation und in den anderen Bereichen solides Fachwissen vorliegen. BVD-Mitglieder verpflichten sich zudem, mindestens zwei Jahre Berufserfahrung in einem der Bereiche und eine anerkannte Qualifikation als Datenschutzbeauftragter erlangt zu haben (Zertifizierung).

Der Verantwortliche muss dem Datenschutzbeauftragten gemäß Art. 38 Abs. 2 DSGVO die für die Erfüllung seiner Aufgaben notwendigen Ressourcen, u. a. zur Erhaltung des Fachwissens, zur Verfügung stellen und ihm den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen ermöglichen.

Sanktionen bei Zuwiderhandlung

Eine Nichtbenennung trotz Verpflichtung führt zu empfindlichen Bußgeldern für das betroffene Unternehmen.[8] Die DSGVO sieht Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.

Wiktionary: Datenschutzbeauftragter – Bedeutungserklärungen, Wortherkunft, Synonyme, Übersetzungen

Einzelnachweise

  1. Neues Datenschutzrecht (BDSG-neu): Das Bundesdatenschutzgesetz wird europäisiert. In: computerwoche.de. Abgerufen am 29. November 2017.
  2. Nina Diercks, Christian Frerix, Tobias Hinderks: Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO. In: diercks digital recht Blog. (diercks-digital-recht.de [abgerufen am 5. Februar 2019]).
  3. Datenschutzbeauftragter: Aufgaben, Ausbildung und Kosten. In: IDR – Weller. Abgerufen am 15. Mai 2022 (deutsch).
  4. Interner vs. Externer DSB | Datenschutzexperte. In: Datenschutzexperte.de. (datenschutzexperte.de [abgerufen am 29. November 2017]).
  5. Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (Hrsg.): 34. Tätigkeitsbericht zum Datenschutz. S. 28–29 (datenschutz.de [PDF]).
  6. Position paper on the role of Data Protection Officers of the EU institutions and bodies. In: edps.europa.eu. EDSB, abgerufen am 5. Februar 2019 (englisch).
  7. BvD Berufsbild Auflage 4. Berufsverband der Datenschutzbeauftragten Deutschlands, abgerufen am 5. Februar 2019.
  8. GDD-Praxishilfe_DS-GVO_1.pdf — GDD e. V. Archiviert vom Original (nicht mehr online verfügbar) am 1. Dezember 2017; abgerufen am 29. November 2017 (englisch).  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.gdd.de

Read other articles:

American baseball player (born 1997) Baseball player Brent HeadrickHeadrick with the St. Paul Saints in 2023Minnesota Twins – No. 53PitcherBorn: (1997-12-17) December 17, 1997 (age 25)Braidwood, Illinois, U.S.Bats: LeftThrows: LeftMLB debutApril 19, 2023, for the Minnesota TwinsMLB statistics (through 2023 season)Win–loss record3–0Earned run average6.31Strikeouts30 Teams Minnesota Twins (2023–present) Brent Wayne Headrick (born December 17, 1997) is an American pro...

 

Not to be confused with FIFA World Cup. Football tournamentVIVA World CupFounded2006RegionInternational (N.F.-Board)Current champions Kurdistan Region (2012)Most successful club(s) Padania(3 titles)Websitewww.nfboard.org#!viva/cz1i The VIVA World Cup was an international association football tournament organized by the N.F.-Board, an umbrella association for teams unaffiliated with FIFA, held five times between 2006 and 2012.[1] History Occitania 2006Sapmi 2008Padania 2...

 

11-та окрема мотопіхотна бригада Нарукавний знак бригадиНа службі 2017 — по т.ч.Країна  УкраїнаВид Сухопутні військаТип  Механізовані військаЧисельність бригада У Вікіпедії є статті про інші значення цього терміна: 11-та бригада. 11-та окрема мотопіхотна бригада (11 О...

У Вікіпедії є статті про інші географічні об’єкти з назвою Ешленд. Переписна місцевість Ешлендангл. Ashland Координати 46°37′36″ пн. ш. 68°24′06″ зх. д. / 46.62670000002777471° пн. ш. 68.401900000027779924° зх. д. / 46.62670000002777471; -68.401900000027779924Координати: 46°37′36″ пн. ...

 

?Ткачик короткохвостий Охоронний статус Найменший ризик (МСОП 3.1)[1] Біологічна класифікація Домен: Еукаріоти (Eukaryota) Царство: Тварини (Animalia) Тип: Хордові (Chordata) Клас: Птахи (Aves) Ряд: Горобцеподібні (Passeriformes) Родина: Ткачикові (Ploceidae) Підродина: Ткачичні (Ploceinae) Рід: Коротк...

 

 Nota: Para outras cidades com este nome, veja Ferrera. Coordenadas: 45° 07' N 8° 52' E Ferrera Erbognone    Comuna   Localização Ferrera ErbognoneLocalização de Ferrera Erbognone na Itália Coordenadas 45° 7' N 8° 52' E Região Lombardia Província Pavia Características geográficas Área total 19 km² População total 1 147 hab. Densidade 60 hab./km² Altitude 89 m Outros dados Comunas limítrofes Galliavola, Lomello, Mezzana Bi...

نصيرة بن حراث   وزيرة البيئة تولت المنصب23 جوان 2020[1](3 سنواتٍ و5 أشهرٍ و9 أيامٍ) الرئيس عبد المجيد تبون الحكومة حكومة جراد الثانية رئيس الوزراء عبد العزيز جراد نفسها (وزيرة البيئة والطاقات المتجددة)   وزيرة البيئة والطاقات المتجددة في المنصب2 يناير 2020[2] – 23 جوان 202...

 

Jean Joseph Mounier Jean Joseph Mounier (12 November 1758 – 28 Januari 1806) merupakan seorang politikus dan hakim berkebangsaan Prancis. Mounier lahir di Grenoble, wilayah tenggara Prancis. Ia belajar hukum, dan pada tahun 1783 ia memperoleh jabatan sebagai hakim di Grenoble. Pranala luar Full text online versions of pamphlets written by Jean Joseph Mounier from the Ball State University Digital Media Repository Referensi  Chisholm, Hugh, ed. (1911). Mounier, Jean Joseph. Encyclopædi...

 

Het wapen van de familie de Spangen Het hotel de Spangen op het Koningsplein in Brussel, gebouwd door een lid van de familie de Spangen tegen het einde van de 18de eeuw. De Spangen was een Zuid-Nederlands adellijk geslacht. Geschiedenis In 1607 werd aan Corneille de Spang(h)en (1571-1638), heer van Terbist, de persoonlijke titel van ridder verleend door aartshertog Albert van Oostenrijk. In 1634 volgde de verlening van de titel baron van het Heilige Roomse Rijk, overdraagbaar op alle afstamme...

Group of achondrite meteorites HED meteorite— Clan —HED meteorites: NWA 2698 (howardite), Millbillillie (eucrite), Bilanga (diogenite)TypeStonyClassAchondriteSubgroups Howardite Eucrite Diogenite Parent bodyVestaQUE 94200, howardite HED meteorites are a clan (subgroup) of achondrite meteorites. HED stands for howardite–eucrite–diogenite. These achondrites came from a differentiated parent body and experienced extensive igneous processing not much different from the m...

 

Israeli espionage thriller television series TehranTehran's first season international poster. Azadi Tower as background.Genre Serial drama Espionage thriller Created by Moshe Zonder Dana Eden Maor Kohn Written by Moshe Zonder Omri Shenhar Directed byDaniel SyrkinStarring Niv Sultan Shaun Toub Menashe Noy Liraz Charhi Shervin Alenabi Shila Ommi Darius Homayoun Glenn Close ComposerMark EliyahuCountry of originIsraelOriginal languages Hebrew Persian English No. of seasons2No. of episodes16Produ...

 

Dieser Artikel behandelt die Stadt Rorschach; für weitere Bedeutungen siehe Rorschach (Begriffsklärung). Rorschach Wappen von Rorschach Staat: Schweiz Schweiz Kanton: Kanton St. Gallen Kanton St. Gallen (SG) Wahlkreis: Rorschach BFS-Nr.: 3215i1f3f4 Postleitzahl: 9400 UN/LOCODE: CH RRC Koordinaten: 754900 / 26070047.4788149.493842400Koordinaten: 47° 28′ 44″ N, 9° 29′ 38″ O; CH1903: 754900 / 260700 Höhe: 400&#...

2016 video game 2014 video gameMotorsport ManagerOfficial poster for PC version of the gameDeveloper(s)Playsport GamesPublisher(s)Sega (PC)Director(s)Christian WestEngineUnity Platform(s)iOS, Android, macOS, Windows, Linux, Nintendo SwitchReleaseiOS21 August 2014Android2015macOS, Windows9 November 2016Linux23 November 2016Nintendo Switch14 March 2019Genre(s)Simulation, sports managementMode(s)Single-player Motorsport Manager is a racing management-simulation strategy video game developed...

 

Private, co-ed, day schoolFriends School of BaltimoreAddress5114 N. Charles Street, Baltimore, MD, 21210, United StatesCoordinates39°21′22″N 76°37′39″W / 39.35611°N 76.62750°W / 39.35611; -76.62750InformationTypePrivate, Co-ed, DayMottoPalma Non Sine PulvereReligious affiliation(s)QuakerEstablished1784; 239 years ago (1784)Head of SchoolChristian DonovanFaculty95Enrollment1009 totalAverage class size12 studentsStudent to teacher ratio8:1Ca...

 

Wives of US astronauts This article is about the group of astronauts' wives. For the TV series, see The Astronaut Wives Club. For the book by Lily Koppel, see The Astronaut Wives Club (book). The Astronaut Wives Club was an informal support group of women, sometimes called Astrowives, whose husbands were members of the Mercury 7 group of astronauts. The group included Annie Glenn, Betty Grissom, Louise Shepard, Trudy Cooper, Marge Slayton, Rene Carpenter, and Jo Schirra. Background Throughout...

Interstate Highways of the Iowa Primary Highway System Highway markers for I-80, I-380, and I-35 Bus. LoopInterstate Highways in Iowa highlighted in redSystem informationFormedAugust 14, 1957[1]Highway namesInterstatesInterstate X (I-X)Business Loops:Interstate X Business (I-X Bus.)System links Iowa Primary Highway System Interstate US State Secondary Scenic Interstate Highways in Iowa form a network of freeways that cross the state. Primary Interstates Number Length (mi)[2] L...

 

South Korean TV series or program Conspiracy in the CourtPromotional posterAlso known asSeoul's Sad SongGenreHistoricalWritten byPark Jin-wooDirected byKwak Jung-hwanStarringJin Yi-han Kim Ha-eun Lee Chun-hee Ahn Nae-sangComposerChoi In-heeCountry of originSouth KoreaNo. of episodes8ProductionProducerKBS mediaRunning timeWednesdays and Thursdays at 21:55 (KST)Original releaseNetworkKBS2ReleaseJuly 9 (2007-07-09) –July 31, 2007 (2007-07-31) Conspiracy in the Court (Korean...

 

Church in Somerset, England Church of St Mary MagdaleneLocationCricket Malherbie, Somerset, EnglandCoordinates50°53′59″N 2°54′35″W / 50.8998°N 2.9096°W / 50.8998; -2.9096Built12th century. Rebuilt 1855 Listed Building – Grade II*Official nameChurch of St Mary MagdalenDesignated4 February 1958[1]Reference no.1177461 Location of Church of St Mary Magdalene in Somerset The Anglican Church of St Mary Magdalene in Cricket Malherbie, Somerset, Engl...

List of events ← 1827 1826 1825 1824 1823 1828 in France → 1829 1830 1831 1832 1833 Decades: 1800s 1810s 1820s 1830s 1840s See also:Other events of 1828History of France  • Timeline  • Years Events from the year 1828 in France. Incumbents Monarch – Charles X[1] Prime Minister – Joseph de Villèle[2] (until 4 January), then Jean Baptiste Gay[3] Events 4 January - Jean Baptiste Gay, vicomte de Martignac succeeds Jea...

 

Israeli vocal duo Esther & Abi OfarimEsther & Abi Ofarim arriving in the Netherlands on October 10, 1963Background informationAlso known asEsther Ofarim & AbrahamOriginIsraelGenres Folk pop world schlager Years active1960–69Labels Israphone Philips Past members Esther Zaied Abraham Reichstadt Esther & Abi Ofarim were an Israeli musical duo active during the 1960s, consisting of husband and wife Abi Ofarim and Esther Ofarim. They enjoyed particular success in Germany.[1&#...

 

Strategi Solo vs Squad di Free Fire: Cara Menang Mudah!