Der Datenschutzbeauftragte im Unternehmen stellt sicher, dass die Anforderungen des Bundesdatenschutzgesetzes (BDSG) eingehalten werden und so Daten von Kunden, Beschäftigten und Lieferanten geschützt werden. Praktisch alle KMUs in Deutschland haben einen Datenschutzbeauftragten zu bestellen. Dennoch gibt es noch immer viele Unternehmen, die diese gesetzliche Anforderung nicht berücksichtigen.
Zu bestellen ist der Datenschutzbeauftragte in allen Unternehmen,
- in denen mehr als 9 Personen mit automatisierter Datenverarbeitung beschäftigt sind (also eigentlich jeder, der mit Computern arbeitet; es zählt jeder Kopf einzeln, also auch Teilzeitkräfte, Auszubildende usw.) oder
- in denen mehr als 19 Personen Daten verarbeiten (auch wenn es nicht automatisiert von Statten geht) oder
- die personenbezogene Daten geschäftsmäßig zum Zweck der (ggf. anonymisierten) Übermittlung oder zu Markt- oder Meinungsforschung automatisiert erheben oder
- die Datenverarbeitungen vornehmen, die der Vorabkontrolle (§ 4d Abs. 5 S. 1 BDSG) unterliegen, also grob gesagt Unternehmen mit besonders schwerwiegender Verarbeitung personenbezogener Daten.
- Auch Selbstständige und Berufsgeheimnisträger wie Rechtsanwälte und Ärzte sind davon erfasst!
Interne oder externe Bestellung des Datenschutzbeauftragten?
Sollte der Datenschutzbeauftragte intern (also ein Mitarbeiter des Unternehmens) oder extern (ein selbstständig tätiger Berater/Anwalt) bestellt werden? Beides hat Vor- und Nachteile. Ein interner Datenschutzbeauftragter kennt das Unternehmen besonders gut und kann so direkt agieren – allerdings kann er oft finanziell schlecht ausgestattet sein oder sich dem Arbeitgeber verpflichtet fühlen. Ein externer Datenschutzbeauftragter kann offener sprechen und so ggf. einen höheren Schutz umsetzen, zudem ist er speziell ausgebildet und besitzt so ein besonders Know-How.
Perfekt wäre die Bestellung eines internen ebenso wie die Hinzuziehung eines externen Datenschutzbeauftragten. Arbeitgeber sollten auch bedenken, dass interne Datenschutzbeauftragte besonderen Kündigungsschutz genießen und nur schwer gekündigt werden können. Datenschutzbeauftragte arbeiten von der Geschäftsführung unabhängig und sind nicht weisungsgebunden!
Folgen fehlender Bestellung eines Datenschutzbeauftragten:
Jedes Unternehmen, das keinen Datenschutzbeauftragten bestellt hat, kann ein Bußgeld von bis zu 50.000,- € zahlen müssen (§ 43 Abs. 1 Nr. 2, Abs. 3 S. 1 BDSG). Dies wird verhängt durch die Datenschutz-Aufsichtsbehörde. Wenn die Aufsichtsbehörde datenschutzrechtliche Anforderungen Ihres Unternehmens prüft, ist eine deren ersten Fragen, wer Ihr Datenschutzbeauftragter ist. Kann ein Unternehmen keinen benennen, besteht ein hohes Risiko, dass ein Bußgeld verhängt wird.
Hinweis: Lesen Sie auch den Beitrag zu Aufgaben und Pflichten des Datenschutzbeauftragten (erscheint Ende der Woche). Weitergehende Informationen finden Sie in dem „Formularhandbuch Datenschutzrecht“, das von RA Matthias Lachenmann co-herausgegeben wird. Neben Vertragsmustern sind auch strategische Überlegungen zur Datenschutz-Organisation im Unternehmen erläutert. Wenn Sie einen Datenschutzbeauftragten benötigen oder wissen möchten, ob Sie einen benötigen, sprechen Sie mich gerne an!