Datenschutzberatung Noll – Datenschutzbeauftragter

FAQ

Was macht ein Datenschutzbeauftragter?

Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

  1. Unterrichtung und Beratung:
    Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  2. Beratung bei Datenschutz-Folgenabschätzungen:
    Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
  3. Zusammenarbeit mit der Aufsichtsbehörde
  4. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Der Datenschutzbeauftragte kann zusätzliche Aufgaben übernehmen, solange dadurch kein Interessenkonflikt mit seinen gesetzlichen Pflichten entsteht. Er hat eine beratende und überwachende Rolle; die letztendliche Verantwortung für die Einhaltung der DSGVO liegt weiterhin bei der Geschäftsführung bzw. dem Vorstand.

Wer braucht einen Datenschutzbeauftragten?

Ob ein Unternehmen oder eine Organisation verpflichtet ist, einen Datenschutzbeauftragten zu benennen, ergibt sich aus Art. 37 Abs. 1 DS-GVO und § 38 Abs. 1 BDSG.
Eine Pflicht besteht, wenn eine der folgenden Voraussetzungen erfüllt ist:

  1. Öffentliche Stelle oder Behörde:
    Es handelt sich um eine öffentliche Stelle oder Behörde, die personenbezogene Daten verarbeitet.
  2. Kerntätigkeit – Überwachung von Personen:
    Die Kerntätigkeit des Unternehmens besteht in der umfangreichen, regelmäßigen und systematischen Überwachung von betroffenen Personen.
  3. Kerntätigkeit – Verarbeitung besonderer Kategorien personenbezogener Daten oder Strafrechtsdaten:
    Die Kerntätigkeit umfasst die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO.
    • Zu den besonderen Kategorien personenbezogener Daten zählen Informationen, aus denen z. B. die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, ebenso wie genetische, biometrische oder Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
  4. Mitarbeiterzahl:
    Im Unternehmen sind in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
  5. Datenschutz-Folgenabschätzung:
    Es werden Verarbeitungsvorgänge durchgeführt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen.
  6. Geschäftsmäßige Datenverarbeitung:
    Personenbezogene Daten werden geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Unternehmen, die nicht unter die gesetzlichen Verpflichtungen zur Benennung eines Datenschutzbeauftragten fallen, steht es frei, dennoch freiwillig einen Datenschutzbeauftragten zu bestellen. Dies kann sich lohnen, da ein Datenschutzbeauftragter die Einhaltung datenschutzrechtlicher Vorgaben unterstützt und das Vertrauen von Kunden und Mitarbeitenden stärkt.

Wer kann Datenschutzbeauftragte werden?

Ein Datenschutzbeauftragter muss sowohl fachlich als auch persönlich in der Lage sein, die ihm übertragenen Aufgaben ordnungsgemäß zu erfüllen.

Fachliche Voraussetzungen:
Gemäß Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benannt.
Der Gesetzgeber macht hierzu keine konkreten Vorgaben. In der Praxis kommen vor allem Personen mit einer rechtswissenschaftlichen oder informationstechnischen Ausbildung in Betracht. Die erforderliche Fachkunde kann zudem durch einschlägige Zertifikate, Fortbildungen oder Berufserfahrung nachgewiesen werden.

Persönliche Voraussetzungen:
Der Datenschutzbeauftragte muss seine Aufgaben unabhängig und weisungsfrei wahrnehmen können. Zudem darf kein Interessenkonflikt zwischen seiner Funktion als DSB und anderen Tätigkeiten bestehen.
So scheidet beispielsweise die Geschäftsführung in der Regel als Datenschutzbeauftragter aus, da sie sich nicht selbst kontrollieren kann. Aus demselben Grund kann auch die Bestellung leitender Angestellter problematisch sein, wenn diese über wesentliche Entscheidungsbefugnisse in der Datenverarbeitung verfügen.

Welche Vorteile bietet ein externer Datenschutzbeauftragter?
  • Keine Interessenkonflikte:
    Ein externer Datenschutzbeauftragter steht grundsätzlich nicht in einem Interessenkonflikt mit anderen betrieblichen Aufgaben und handelt stets weisungsfrei.
  • Kalkulierbare Kosten:
    Fort- und Weiterbildungskosten trägt der externe Datenschutzbeauftragte selbst. Dadurch bleiben die Gesamtkosten für das Unternehmen planbar und transparent.
  • Kein besonderer Kündigungsschutz:
    Im Gegensatz zu einem internen Datenschutzbeauftragten genießt ein externer DSB keinen besonderen Kündigungsschutz, was dem Unternehmen mehr Flexibilität bei der Vertragsgestaltung und Beendigung der Zusammenarbeit ermöglicht.

Darüber hinaus bringt ein externer DSB häufig spezialisierte Fachkenntnisse und Praxiserfahrung aus verschiedenen Branchen mit, was die Qualität der Datenschutzberatung zusätzlich erhöht.

Meine Qualifikationen:

Volljurist (2. Staatsexamen)

DEKRA zertifizierte Fachkraft für Datenschutz