Externer Datenschutzbeauftragter
ITS-Konzept stellt Ihnen einen zertifizierten, erfahrenen externen Datenschutzbeauftragten in der Bodenseeregion zur Seite. Es gibt immer wieder Unsicherheiten bezüglich der Frage ab wann ein Datenschutzbeauftragter verpflichtend bestellt werden muss:
- es erfolgt eine personenbezogene Datenverarbeitung durch eine öffentliche Stelle oder Behörde (Ausnahme hierbei sind Gerichte) [Art.37 1a DSGVO]
- die Kerntätigkeit der verantwortlichen Stelle (Ihrem Unternehmen) besteht in der Durchführung von Verarbeitungsvorgängen mit personenbezogenen Daten in großem Umfang [Art.37 1b DSGVO]
- die Kerntätigkeit der verantwortlichen Stelle besteht in der umfangreichen Verarbeitung von besonderen Kategorien von Daten (z.B. Gesundheitsdaten, ethnische Daten) [Art.37 1c DSGVO]
- eine freiwillige Bestellung ist natürlich auch jederzeit möglich, denn wenn kein Datenschutzbeauftragter im Unternehmen benannt wurde, so ist es doch die Pflicht der Geschäftsführung Datenschutz nach den Regelungen der DSGVO zu betreiben [Art. 37 Abs.4 DSGVO]
- durch die Öffnungsklausel der DSGVO greift ebenfalls die Gesetzgebung des BDSG-Neu: ein Datenschutzbeauftragter ist demnach zu bestimmen wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Datenverarbeitung von personenbezogenen Daten beschäftigt sind [§38 BDSG-Neu]
- es werden Verarbeitungen vorgenommen die einer Datenschutz-Folgeabgeschätzung unterliegen [Art. 35 DSGO] oder es werden personenbezogene Daten zum geschäftsmäßigen Zweck der Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet
Trifft einer der genannten Punkte auf Sie zu, besteht eine rechtliche Bestellpflicht für einen Datenschutzbeauftragten. Wenn nicht müssen Sie den datenschutzrechtlichen Forderungen dennoch nachkommen können diese aber selber wahrnehmen.
Datenschutzbeauftragter – Voraussetzungen
Die DSGVO sieht vor das ein Datenschutzbeauftragter (egal ob intern oder extern) nach Maßgabe der beruflichen Qualifikation und insbesondere seines Fachwissens im Bereich des Datenschutzrechts und der einschlägigen Praktiken besitzt. Ebenfalls muss er in der Lage sein die geforderten Aufgaben des Art. 37 DSGVO zu erfüllen. Nach §38 BDSG-Neu ist ebenfalls darauf zu achten das ein Datenschutzbeauftragter (z.B. intern) nicht in einen Interessenskonflikt gerät (dies würde z.B. beim IT-Leiter oder der Personalleitung der Fall sein)
Konzern / Unternehmensgruppe
Seit der Einführung der DSGVO gibt es die Möglichkeit einen Konzerndatenschutzbeauftragten zu bestellen. Dies gilt auch für eine Unternehmensgruppe (Art.37 Abs.2 DSGVO). Die Unternehmensgruppe wird hierbei definiert als einem Zusammenschluss mehrerer Unternehmen welche in Abhängigkeit zu einem herrschenden Unternehmen stehen (Art.4 Abs.19 DSGVO). Diese Definition entspricht also die eines Konzerns (§18 AktG).
Daher ist es einem Unternehmensverbund ungenommen einen gemeinsamen Datenschutzbeauftragten zu bestellen. Es ist allerdings darauf zu achten das der Datenschutzbeauftragte von jeder Niederlassung aus „leicht zu erreichen ist“ – was in der heutigen Zeit wohl grundsätzlich kein Problem darstellen sollte.
Auch im öffentlichen Bereich können mehrere Stellen einen gemeinsamen Datenschutzbeauftragten bestellen. Zu beachten sind allerdings die Organisationsstrukturen und die Größe der jeweiligen öffentlichen Stellen bzw. Behörden.