Seit Mai des vergangenen Jahres gilt für Unternehmen innerhalb der EU die Datenschutz-Grundverordnung (DSGVO) verpflichtend. Für viele Firmen neu ist dabei die Bestellung eines Datenschutzbeauftragten. „In zahlreichen Gesprächen mit Führungspersonen verschiedenster Branchen bemerken wir, dass noch immer recht hohe Unklarheit herrscht, ob das Unternehmen tatsächlich verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und ob diese Person dann aus dem eigenen Unternehmen kommen darf“, macht Christian Heutger, Geschäftsführer von PSW Group Consulting (www.psw-consulting.de), auf eine Problematik aus der Unternehmenspraxis aufmerksam. Grundsätzlich müssen Unternehmen, die personenbezogene Daten geschäftsmäßig erheben, übermitteln, verarbeiten oder nutzen einen Datenschutzbeauftragten bestellen, so der Experte. Davon abgesehen hängt gemäß der Neufassung des Bundesdatenschutzgesetzes die Bestellung eines Datenschutzbeauftragten vom Ausmaß der Datenverarbeitung ab: Sind mindestens zehn Mitarbeiter mit der regelmäßigen automatisierten Datenverarbeitung, also der Erhebung und Nutzung von Daten, beschäftigt, müssen Unternehmen einen Datenschutzbeauftragten bestellen.

Christian Heutger, Geschäftsführer von PSW Group Consulting (www.psw-consulting.de) Bild: PSW Group

Christian Heutger, Geschäftsführer von PSW Group Consulting (www.psw-consulting.de) Bild: PSW Group

„Unabhängig von der Anzahl der Mitarbeiter, die mit der Datenverarbeitung beschäftigt ist, besteht auch dann eine Pflicht zur Bestellung des Datenschutzbeauftragten, wenn besondere Kategorien von personenbezogenen Daten verarbeitet werden. Dazu gehören etwa Informationen über die ethnische Herkunft, die Rasse, die religiöse Überzeugung, die politische Meinung, über Gewerkschaftszugehörigkeiten, aber auch über Gesundheit oder Sexualleben einer Person“, betont Heutger. Trifft auch nur eines dieser Kriterien auf eine Organisation zu, so ist die Geschäftsleitung oder eine Führungskraft mit Prokura verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Dafür jedoch muss eine geeignete Person gefunden werden. „Die Tätigkeiten eines betrieblichen Datenschutzbeauftragten sind anspruchsvoll. Deshalb muss diese Person mindestens drei Anforderungen erfüllen. Zunächst muss sie über die fachliche Eignung verfügen, also umfassende Fachkunde im Datenschutz besitzen. Daneben muss er Einblick in sämtliche entscheidenden Prozesse und Bereiche der Organisation erhalten und diese verstehen. Und da der Datenschutzbeauftragte mit vielen Ebenen kommuniziert, ist auch eine angemessene Kommunikationsfähigkeit notwendig“, so Heutger weiter.

Um seinen Datenschutz-Aufgaben nachkommen zu können, müsse der Datenschutzbeauftragte außerdem von seinen eigentlichen Aufgaben freigestellt werden. Unternehmen, die das nicht stemmen können, haben laut dem Experten alternativ die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen. Dieser ist als technisch und juristisch versierter Experte dafür zuständig, die Geschäftsführung in allen Belangen des Datenschutzes zu beraten, die Mitarbeiter entsprechend zu schulen sowie die technische und organisatorische Umsetzung des Datenschutzes im Unternehmen zu kontrollieren.

Heutger nennt einige Vorteile: „Ein externer Datenschutzbeauftragter bringt einen Überblick zur marktüblichen Umsetzung mit. In der Regel ist diese Person qualifizierter und in ihrer Arbeit effizienter, bringt alle erforderlichen Arbeitsmittel mit und kann auf bestehende Unterlagen und Konzepte zurückgreifen. Nicht unterschätzt werden darf auch das enorme Know-how, das in das Unternehmen eingebracht wird, denn externe Datenschutzbeauftragte verfügen über juristische Erfahrung und technische Kenntnisse.“

Da er von der Geschäftsführung beauftragt ist, werde dem externen Datenschutzbeauftragten außerdem in aller Regel großes Vertrauen im Unternehmen entgegengebracht: Es bestehe kein Konkurrenzverhältnis, sodass externe Datenschutzbeauftragte oft schnellere und qualifiziertere Antworten erhalten. Vielfach stößt ein externer Datenschutzbeauftragte laut Heutger zudem auf bessere Akzeptanz bei Betriebsräten. Doch Vorsicht: Nicht nur eine fehlende, sondern sogar eine fehlerhafte Bestellung oder Benennung eines Datenschutzbeauftragten könne zu einem Bußgeld führen. Daher sollten Unternehmen darauf achten, den Datenschutzbeauftragten unbedingt formell wirksam zu bestellen. Die Schriftform ist dabei Pflicht, wobei die Bestellungsurkunde sowohl vom Unternehmen als auch dem Datenschutzbeauftragten unterzeichnet werden muss.

„Die Benennung des Datenschutzbeauftragten darf nicht Teil einer anderen Vereinbarung oder eines bereits bestehenden Vertrags sein. Enthalten muss die Benennung die Aufgabenbeschreibung, die präzise organisatorische Stellung sowie die Verpflichtung des Unternehmens, die Arbeit des Datenschutzbeauftragten durch personelle sowie materielle Unterstützung zu ermöglichen“, ergänzt Heutger. Weitere Informationen stehen unter www.psw-consulting.de/blog/2019/01/22/bestellung-eines-datenschutzbeauftragten-fuer-wen-ist-der-dsb-pflicht/ zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.