Ein Datenschutzbeauftragter dient der innerbetrieblichen Selbstkontrolle für den sicheren Umgang mit personenbezogenen Daten in einer Organisation. Das Datenschutzmanagement fängt bei der Bestellung eines betrieblichen Datenschutzbeauftragten an und ist somit ein essentieller Baustein eines in der Organisation einzuführenden Datenschutzmanagementsystems.
Nicht jede Organisation ist dazu verpflichtet einen Datenschutzbeauftragten zu bestellen. Hierfür gibt es bestimmte Voraussetzungen, unter denen ein Datenschutzbeauftragter (DSB) bestellt werden muss. Natürlich steht es einer Organisation frei einen DSB zu bestellen, obwohl noch keine Verpflichtung aufgrund von erfüllten Voraussetzungen besteht.
Wer bestellt den DSB?
Welche Stellen dazu verpflichtet sind einen DSB zu bestellen wird in § 4f BDSG geregelt. Grundsätzlich muss eine Organisation abwägen, ob ein DSB zu bestellen ist, wenn personenbezogene Daten (pb Daten) automatisiert verarbeitet werden oder pb Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel keine 20 Personen beschäftigt sind. Bei nicht-öffentlichne Stellen, bei denen höchstens 9 Personen ständig pb Daten automatisiert verarbeiten, ist eine Bestellung noch nicht verpflichtend.
- Bundesbehörden müssen grundsätzlich einen behördlichen Datenschutzbeauftragten bestellen.
- Nicht-öffentliche Stellen
- Natürliche Personen im Rahmen der beruflichen Tätigkeit(Freiberuflicher z. B. Arzt, Rechtsanwalt, Steuerberater etc.)
- Inhabergeführte Einzelfirmen
- Juristische Personen (GmbH, eingetragener Verein, AG, etc.)
- Personengesellschaften (oHG, KG, GbR etc.)
- Nichtrechtsfähige Vereine
Voraussetzungen zur Bestellung eines DSB
Folgende Kategorien zur Prüfung, ob eine Bestellung notwendig ist, sind nach § 4f BDSG zu berücksichtigen:
- Eigenschaft als öffentliche/nicht-öffentliche Stelle
- automatisierte/nicht automatisierte Verarbeitung von personenbezogenen Daten
- Zahl der Personen, die ständig mit der Verarbeitung von pb Daten beschäftigt sind
- Notwendigkeit einer Vorabkontrolle
- geschäftsmäßige Verarbeitung pb Daten zum Zweck
- der Übermittlung
- der anonymisierten Übermittlung
- der Markt- und Meinungsforschung
Bestellung?
Grundsätzlich liegt bei Verletzung der Bestellungspflicht eines DSB eine Ordnungswidrigkeit vor.
§ 43 Abs. 1 Nr. 2 BDSG: „Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig entgegen § 4 f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt,…“
Die gesetzlichen Vorschriften verlangen, dass bei nicht-öffentlichen Stellen, binnen eines Monats nach Aufnahme der Geschäftstätigkeit mit pb Daten, ein Datenschutzbeauftragter bestellt werden muss.
Die Bestellung muss in jeden Fall schriftlich erfolgen (§ 4f Abs. 1 BDSG). Eine Bestellung kann im Arbeitsvertrag implementiert werden. Im Hinblick auf eine eventuelle Abberufung empfiehlt es sich jedoch die Bestellung in einem separaten Dokument zu fixieren.
Überblick:
- Die Bestellung muss schriftlichen erfolgen
- Die Bestellung muss spätestens innerhalb von vier Wochen nach Aufnahme der Geschäftstätigkeit mit pb Daten erfolgen
- Ein DSB, der nicht die erforderliche Fachkunde und Zuverlässigkeit besitzt, gilt als nicht bestellt.
Vorlage zur Bestellung eines Datenschutzbeauftragten
Stand: 2017
