Die Aufgaben und Pflichten eines Datenschutzbeauftragten sind sehr umfangreich. Er ist für die Einhaltung der Gesetzesvorschriften zum Datenschutz in Unternehmen zuständig. Der Beauftragte fungiert auch als Ansprechpartner für die betroffenen Personen.

Die Aufgaben des Datenschutzbeauftragten sind gesetzlich festgeschrieben und beziehen sich auf

• die Unterrichtung und Beratung der Geschäftsleitung und Beschäftigten im Bezug auf die DSGVO und die weiteren Datenschutzgesetze,

• die Überwachung der Umsetzung der Datenschutzgesetze wie Informationspflichten, Führen des Verarbeitungsverzeichnisses, usw. 

• die Erstellung von Strategien für den Schutz personenbezogener Daten,

• die Sensibilisierung und Schulung von Beschäftigten,

• die Beratung und Überwachung von Datenschutz-Folgenabschätzung bei Datenverarbeitung mit hohem Risiko wie Profiling und Videoüberwachung

• die Zusammenarbeit mit Datenschutzbehörden 

• die Beantwortung von Auskunftsersuchen, Löschbegehren, usw.

Die DSGVO verpflichtet Unternehmen zur Benennung eines Datenschutzbeauftragten in zwei Fällen:

Fall 1: Die Kerntätigkeit des Unternehmens ist die umfangreiche Verarbeitung von Daten zur regelmäßigen und systematischen Überwachung von betroffenen Personen oder von sensiblen Daten.

Der Begriff der umfangreichen regelmäßigen und systematischen Überwachung ist in der DSGVO nicht näher definiert. Ausschließlich aus einem sog. Erwägungsgrund lässt sich auf das Konzept einer „Beobachtung des Verhaltens von betroffenen Personen“ schließen. Der Begriff erstreckt sich demnach auf jede Form der Verfolgung und Profilerstellung im Internet wie zu Zwecken der verhaltensbasierten Werbung. Eine Einschränkung auf „online“ lässt sich jedoch aus den Zielen der DSGVO nicht ableiten. 

Beispiele für regelmäßige und systematische Überwachung von betroffenen Personen sind: 

verfolgende E-Mail-Werbung, Internet-Trackingprogramme, datengesteuerte Marketingaktivitäten, Treueprogramme, verhaltensbasierte Werbung, Überwachung von Wellness-, Fitness- und gesundheitsbezogenen Daten durch sog. Wearables, Überwachungskameras oder vernetzte Geräte (zum Beispiel intelligente Stromzähler, intelligente Autos, Haustechnik usw.).

Fall 2: Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO).

Was sind besondere Kategorien von Daten nach Art. 9 DSGVO?

Besondere Kategorien von Daten sind

• Gesundheits- und Patientendaten, 

• Daten, aus denen die rassische oder ethnische Herkunft hervorgeht,

• Daten, aus denen politische Meinungen hervorgehen, 

• Daten, aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen,

• Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht,

• genetische Daten,

• biometrische Daten zur eindeutigen Identifizierung,

• Daten zum Sexualleben sowie zur sexuellen Orientierung.

Was sind Daten nach Art. 10 DSGVO?

Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln.

Wann liegt eine Kerntätigkeit von der Verarbeitung besonderer Kategorien personenbezogener Daten vor?

Eine Kerntätigkeit eines Verantwortlichen bezieht sich auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit.

Beispiele für die Haupttätigkeit: Ärzte und Zahnärzte sämtlicher Fachrichtungen, Apotheker, Krankenhäuser, Reha-Einrichtungen, Physiotherapeuten, Seniorenheime, Pflegeheime, ambulante Kranken- und Altenpflege, Ergotherapeuten, Heilpraktiker, Hebammen, Logopäden, Psychologen

Für Unternehmen mit Sitz in Deutschland gilt – im Vergleich zu Unternehmen mit Sitz in Österreich – eine strengere Regelung zur Benennung von Datenschutzbeauftragten. 

Die Benennung eines Datenschutzbeauftragten ist verpflichtend, wenn dauernd 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen werden. Da der Begriff des Beschäftigten im Bundesdatenschutzgesetz weit ausgelegt wird, sind auch freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Teilzeitkräfte etc. in der Beschäftigtenanzahl zu berücksichtigen.  

Auch bei einer geringeren Beschäftigtenzahl ist die Benennung eines Datenschutzbeauftragten in bestimmten Fällen nach dem Bundesdatenschutzgesetz notwendig:

• Wenn sensible Daten verarbeitet werden, die einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO unterliegen, oder

• wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Ja, denn die DSGVO gilt unabhängig der Unternehmensgröße, eines bestimmten Jahresumsatzes oder einer bestimmten Anzahl an Beschäftigten. 

Der Datenschutzbeauftragte ist zur Vertraulichkeit verpflichtet und in Ausübung seiner Funktion weisungsfrei.

Der Verantwortliche muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

Der Verantwortliche unterstützt den Datenschutzbeauftragten bei der Erfüllung der Aufgaben. Es sind die erforderlichen Ressourcen und der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sicherzustellen. 

Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an keine Anweisungen bezüglich der Ausübung seiner Aufgaben nach DSGVO gebunden.  

Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte zu Rate ziehen.

Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.

Aufgabe des Datenschutzbeauftragten ist die Kontrolle des Verantwortlichen in der Umsetzung der Datenschutzvorschriften, dies bezieht sich auch auf die Verarbeitung personenbezogener Daten von Beschäftigten. 

Um Interessenskonflikte zu vermeiden, dürfen bestimmte Personen innerhalb des Unternehmens regelmäßig nicht zu Datenschutzbeauftragten benannt werden:

• die Geschäftsleitung wie Geschäftsführer, Verstände, Prokuristen,

• Personen mit enger familiärer Verbindung zur Leitungsebene,

• Betriebsleiter oder IT-Leiter,

• Personalverantwortliche bzw. Head Of HR

Zum Datenschutzbeauftragten dürfen nur Personen benannt werden, die

• die zur Erfüllung der Aufgaben erforderliche berufliche Qualifikation nachweisen. Konkret: Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis (Recht, Technik, Organisation, Betriebswirtschaftliche Zusammenhänge),

• die Fähigkeit zur Erfüllung der gesetzlichen Aufgaben erfüllen sowie 

• die nötige Zuverlässigkeit besitzen.

Ihre Ansprechpartner aus unserem Team verfügen über eine abgeschlossene juristische Ausbildung, die Zertifizierung zum externen Datenschutzbeauftragten sowie langjährige Beratungspraxis. Wir haben zudem immer die Verhältnismäßigkeit und Wirtschaftlichkeit für Sie im Blick.