Definition Was ist ein Datenschutzbeauftragter?

Autor / Redakteur: Christian Schreiber / Heidemarie Schuster

Jedes Unternehmen, welches personenbezogene Kundendaten speichert und nutzt, ist für die rechtskonforme Sicherheit dieser Informationen verantwortlich. Oft ist gesetzlich sogar die Bestellung eines eigenständigen Datenschutzbeauftragten vorgeschrieben.

Firma zum Thema

Grundlagenwissen zum IT-Business
Grundlagenwissen zum IT-Business
(Bild: © adiruch na chiangmai - Fotolia.com)

Dem Schutz persönlicher Daten ist in den letzten Jahren eine immer größere Bedeutung zugemessen worden. Neben staatlichen Prüf- und Regelungskompetenzen wurde im Rahmen des Inkrafttretens der EU-Datenschutzgrundverordnung (EU-DSGVO) vorgeschrieben, dass Unternehmen, die personenbezogene Daten verarbeiten, in bestimmten Fällen einen Datenschutzbeauftragten zu bestellen haben. Die Rolle dieses Amtes besteht darin, die Einhaltung aller relevanten Datenschutzvorschriften zu überwachen und als Ansprechpartner für betroffene Personen zu fungieren. Dies bedeutet konkret, dass der Datenschutzbeauftragte Informationen darüber zu sammeln hat, nach welches Schema das Unternehmen personenbezogene Daten erfasst, speichert und verarbeitet. Ferner gehören Information und Beratung innerhalb des Unternehmens zum Tätigkeitsbereich des Datenschutzbeauftragten.

Zwei bestimmende Rechtsvorschriften

Hinsichtlich der Frage, wann ein Unternehmen verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, sind zwei Rechtsvorschriften zu beachten. Zum einen das neue Bundesdatenschutzgesetz (BDSG), zum anderen die EU-DSGVO. Ein Datenschutzbeauftragter ist demnach zu bestellen, wenn:

  • Mindestens 20 Mitarbeiter permanent mit der automatisierten Verarbeitung von personenbezogenen Daten befasst sind (§ 38 Abs. 1 Satz 1 BDSG). Als Datenverarbeitung gilt hier bereits die Kommunikation mit Kunden per E-Mail.
  • Im Unternehmen Daten erhoben werden, die der sogenannten „Datenschutz-Folgenabschätzung“ gemäß Art. 35 EU-DSGVO unterliegen oder die geschäftsmäßig zur Übermittlung bzw. für die Markt- und Meinungsforschung verarbeitet werden (§ 38 Abs. 1 Satz 2 BDSG).
  • Die Kerntätigkeit des betreffenden Unternehmens in der Durchführung von Datenverarbeitungsvorgängen besteht, die eine umfassende, permanente und systematische Überwachung betroffener Personen erfordert (Art. 37 Abs. 1 EU-DSGVO).

Hohes Fachwissen notwendig

Ein Datenschutzbeauftragter muss immer dann eingebunden werden, wenn ein Unternehmen Folgenabschätzungen hinsichtlich der Verarbeitung von personenbezogenen Daten vornimmt oder erwägt. Folgenabschätzungen sind regelmäßig dann erforderlich, wenn personenbezogene Daten Dritter erhoben werden und dadurch ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Wichtig ist hierbei die Grundannahme, dass umso mehr Sicherheitsmaßnahmen ergriffen werden müssen, umso sensibler die verarbeiteten Daten sind. Der Datenschutzbeauftragte muss über ausreichendes Fachwissen verfügen, um hier seinen Pflichten in angemessener Weise nachzukommen.

Letzte Verantwortung liegt bei der Unternehmensführung

Trotz seiner wichtigen Rolle trägt der Datenschutzbeauftragte grundsätzlich keine persönliche Verantwortung für die Einhaltung der Datenschutzbestimmungen im Unternehmen. Vielmehr liegt die Haftung hierfür bei der Geschäftsleitung. Zugleich darf der Datenschutzbeauftragte für seine Tätigkeit und seine möglicherweise gegen die Unternehmenspolitik gerichteten Handlungen nicht bestraft werden. Insofern besteht in diesem Bereich eine rechtliche Unabhängigkeit.

(ID:47527448)