Der betriebliche Datenschutzbeauftragte

Benötigt ihr Unternehmen einen Datenschutzbeauftragten? Der deutsche Gesetzgeber hat sich dafür entscheiden, verantwortliche Stellen in gewissen Konstellationen zur Bestellung eines betrieblichen Datenschutzbeauftragten zu verpflichten. Nichtöffentliche Stellen müssen einen Datenschutzbeauftragten bestellen, wenn in der Regel mehr als 9 Personen ständig damit betraut sind, personenbezogene Daten zu verarbeiten. Sind mehr als 19 Personen in der Regel (also nicht zwingend ständig) mit der Verarbeitung personenbezogener Daten beschäftigt, ist die Bestellung eines Datenschutzbeauftragten ebenfalls notwendig. Unabhängig dieser „Mitarbeiterregel“ besteht eine Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn das Unternehmen personenbezogene Daten zum Zweck der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet. Diese Voraussetzungen sind nicht neu. Sie werden auch nicht etwa durch die EU Datenschutzgrundverordnung erst neu geschaffen, sie stehen im deutschen Bundesdatenschutzgesetz (BDSG). In der EU Datenschutzgrundverordnung gibt es im Übrigen die „9 Personen Grenze“ so gar nicht. In diesem Bereich enthält die Verordnung aber eine Öffnungsklausel, mit dem Ergebnis, dass es dem einzelnen Mitgliedsland offensteht, auch eine Verschärfung gestezlich herbeizuführen. Das macht der deutsche Gesetzgeber, soweit es um die ständige Beschäftigung von mehr als 9 Personen mit der Verarbeitung von personenbezogenen Daten geht, mit dem BDSG.

Der Datenschutzbeauftragte kann intern oder extern sein. Eigene Mitarbeiter fungieren als interne Datenschutzbeauftragte und erhalten damit einen Kündigungsschutz. Ferner ist der Betrieb dafür verantwortlich, einen geeigneten Mitarbeiter zu bestellen und diesen auch zu schulen, dafür freizustellen, ein Budget zu geben etc. Was die Haftung anbelangt, richtet sich diese nach den Grundsätzen des innerbetrieblichen Schadensausgleich, d.h. bei einfacher Fahrlässigkeit ist eine Haftung nicht vorhanden oder stark begrenzt. Unternehmensinhaber, Gesellschafter, IT-Leiter etc. sind von der Möglichkeit ausgeschlossen, als Datenschutzbeauftragte zu fungieren, um Interessenskollisionen auszuschließen.

Viel spricht also dafür, sich einen externen Datenschutzbeauftragten zu suchen: Dieser muss sich auf eigene Kosten und Verantwortung fortbilden, es gibt keine privilegierte Haftung, ähnlich einem Arbeitnehmer. Der externe Datenschutzbeauftragte hat keinen Kündigungsschutz, das Auftragsverhältnis zu ihm kann jederzeit gekündigt werden. Der externe Datenschutzbeauftragte ist mit der Bestellung sofort einsatzbereit und muss nicht erst geschult werden.

Kein Unternehmer muss davor Angst haben, dass ihm der Datenschutzbeauftragte „reinredet“. Dieser hat nur eine Hinwirkungspflicht, dass der Datenschutz im Betrieb umgesetzt wird aber keine Entscheidungskompetenz. D.h. die Geschäftsführung oder der Unternehmer bleiben „Herr im eigenen Haus“. Das Thema steht aber auf der Compliance to-do-List ganz oben, da sich viele Unternehmen nicht darüber im Klaren sind, dass sie schon längst einen Datenschutzbeauftragten hätten bestellen müssen. Nachdem die Bestellung ab Mai 2018 im Impressum anzugeben ist, sollte dies Beachtung finden. Abmahnungen drohen, Bußgelder obendrein. Die Sensibilität von Kunden für Datenschutz steigt. Skandale in diesem Bereich werden durch das beste Marketing nicht aufgefangen. Wer in diesem Bereich Support benötigt für die Beauftragung oder auch weiterer Verträge wie die Auftragsdatenverarbeitung oder den Geheimnisschutz, sollte sich professionellen Rat holen.

Dr. Steffen Häussler, LL.M. (Fachanwalt für Versicherungs- und IT-Recht)
Profil Dr. Steffen Häussler ansehen »