Die Datenschutz-Grundverordnung (DSGVO) hat den Fokus auf die Umsetzung von Datenschutz-Maßnahmen in Unternehmen stark erhöht. Gleichzeitig steigt die Menge an Daten, die Unternehmen für verschiedenste Zwecke sammeln, kontinuierlich. Hieraus ergeben sich einige verpflichtende Konsequenzen für Unternehmen, welche personenbezogene Daten erheben und verarbeiten, deren Missachtung hohe Geldbußen mit sich bringen kann.
Für viele Unternehmen ist es nicht möglich, die komplexen und vielschichtigen Anforderungen an den Datenschutz ohne Fachwissen einzuhalten. Ein interner oder externer Datenschutzbeauftragter ist in der Lage, Unternehmen in allen Belangen rund um Datenschutz zu unterstützen und zu gewährleisten, dass sämtliche den Datenschutz betreffenden Aspekte eingehalten werden.
Ein Datenschutzbeauftragter (DSB) ist für die Überwachung und Einhaltung der Datenschutzbestimmungen innerhalb eines Unternehmens verantwortlich. Welche Aufgaben das konkret sind, ist in der Datenschutz-Grundverordnung klar geregelt. Unter anderem fallen folgende Aufgabenbereiche auf einen DSB:
– Unterrichtung, Beratung und Aufklärung über sämtliche datenschutzrechtlichen Pflichten sowie datenschutzrechtliche Mitarbeiterschulungen
– Erstellung von Richtlinien und Unterstützung bei der Konzeption von Dokumenten mit datenschutzrechtlichem Bezug
– Überwachung der Einhaltung datenschutzrechtlicher Vorgaben
– Durchführung von Datenschutzfolgeabschätzungen
– Unterstützung bei Mitarbeiterkontrollen (bei begründetem Verdacht auf Missachtung datenschutzrechtlicher Aspekte)
Darüber hinaus agiert er als zentraler Ansprechpartner für sämtliche den Datenschutz betreffenden Themen, sowohl für die Mitarbeiter des Unternehmens, als auch als Vermittler zwischen Unternehmen und den zuständigen Aufsichtsbehörden.
Ein Datenschutzbeauftragter muss über umfassende Kenntnisse über alle relevanten, den Datenschutz betreffenden Bereiche innerhalb eines Unternehmens verfügen und nimmt somit die Rolle eines Datenschutzexperten ein.
Allgemein spricht man von internen Datenschutzbeauftragten, wenn ein Unternehmen einen internen Mitarbeiter für diese Position benennt, oder aber von einem externen Datenschutzbeauftragten, wenn ein externer Dienstleister mit dieser Aufgabe betreut wird. Prinzipiell gibt es keine Unterschiede zwischen externem und internem DSB, dennoch sollten Unternehmen die jeweiligen Vor- und Nachteile genau abwägen.
– Interner DSB
Interne Mitarbeiter verfügen in der Regel nicht über die notwendigen Kenntnisse, um der Aufgabe eines Datenschutzbeauftragten nachzukommen. Dies lässt sich beheben, indem man einen Mitarbeiter, der sich diese Aufgabe zutraut, in speziellen Schulungen und Seminaren mit den entsprechenden Fähigkeiten ausstattet. Dies ist selbstverständlich mit Kosten verbunden, zudem kann der Mitarbeiter anschließend seine ursprüngliche Tätigkeit oft nicht mehr in vollem Umfang ausüben. Eine weitere Möglichkeit, einen internen DSB zu bestellen ist die Einstellung eines neuen Mitarbeiters, der die benötigten Qualifikationen vorweisen kann.
– Externer DSB
Externe Datenschutzbeauftragte sind speziell für diese Tätigkeit qualifiziert und bilden sich regelmäßig fort, um stets auf dem aktuellsten Stand zu sein. Als Datenschutzprofis wissen sie genau, welche Maßnahmen in einem Unternehmen umgesetzt werden müssen, um sämtliche Anforderungen zu erfüllen und einzuhalten und sind in der Lage, etwaige Schwachstellen in einem Unternehmen schnell ausfindig zu machen. In der Regel ist ein externer Datenschutzbeauftragter schneller und qualifizierter als ein intern festgelegter DSB und kann so direkt und ohne Verzögerungen eingesetzt werden.
Die Pflicht zur Bestellung eines DSB ergibt sich aus den Vorgaben der Datenschutz-Grundverordnung. Eine Bestellung (Ernennung) ist immer dann unumgänglich, wenn es sich um eine Behörde oder öffentliche Stelle handelt, wenn die Kerntätigkeit eines Unternehmens in der Verarbeitung besonderer personenbezogener Daten liegt oder ein Unternehmen dauerhaft mehr als 20 Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt.
Dies soll gewährleisten, dass die Verbraucher mehr Rechte an ihren personenbezogenen Daten erhalten und der Verbraucherschutz konsequent überwacht wird. Unternehmen, bei denen keine Pflicht zur Bestellung eines DSB besteht, sollten dennoch darüber nachdenken, nicht zuletzt, weil sich die Gesetze und Verordnungen in Zukunft weiter verschärfen könnten. Wenn Unternehmen ihrer Pflicht, einen Datenschutzbeauftragten zu ernennen, nicht nachkommen, droht ihnen ein Bußgeld von bis zu 10 Millionen Euro, bzw. 2 % des jeweiligen Jahresumsatzes, falls dieser die 10 Millionen Euro Grenze überschreitet. Es ist also wichtig, sich mit den grundlegenden Aspekten der DSGVO auseinanderzusetzen und abzuwägen, ob auf die Beschäftigung eines internen oder externen DSB langfristig wirklich verzichtet werden kann.
Sofern ein Unternehmen die in der DSGVO genannten Bedingungen erfüllt, ist die Bestellung eines DSB unumgänglich, doch auch wenn dies nicht zutrifft und personenbezogene Daten im Rahmen von Unternehmensprozessen gesammelt und verarbeitet werden, kann die Unterstützung durch einen qualifizierten Datenschutzbeauftragten sinnvoll sein.
Ob die Wahl eines externen oder internen DSB im Einzelfall die bessere Wahl ist, hängt von unterschiedlichen Aspekten ab. Es empfiehlt sich, die Vor- und Nachteile beider Optionen gegeneinander abzuwägen und eine Lösung zu finden, die bestmöglich zu den individuellen Anforderungen des Unternehmens passt.
