Ab wann benötigt mein Unternehmen einen Datenschutzbeauftragten? Das ist wohl die erste und wichtigste Frage, die sich einem Unternehmer stellt. Oft ist man mit dieser Einschätzung bereits überfordert. Doch laut den kursierenden Aussagen in der aktuellen Medienlandschaft gibt es ein Indiz, wann man einen DSB bestellen muss. Sobald zehn Mitarbeiter mit der ständigen Betreuung bzw. mit der Verarbeitung von personenbezogenen Daten beauftragt sind brauch ich einen DSB, ansonsten benötige ich keinen. Pauschalisieren lässt sich dies nicht so einfach. Aber dazu mehr im 1. Teil des großen Projekt29 Jahresrückblicks.

WAS MACHT EIGENTLICH EIN DSB?

Grundsätzlich gilt, dass ein DSB in öffentlichen und nichtöffentlichen Stellen sorgfältig die Verarbeitung von personenbezogenen Daten überprüft und die gesetzlichen Normen an das Unternehmen bei dieser Verarbeitung heranträgt sowie deren korrekte Umsetzung. Der Datenschutzbeauftragte fungiert als unabhängiges Kontrollorgan und überprüft bekannte Problemstellen und versucht diese stetig zu optimieren. Der Aufbau einer Datenschutzorganisation zusammen mit dem betroffenen Unternehmen steht natürlich an erster Stelle. Allein wird und kann der DSB keine Erfolge erzielen. Eine Hand in Hand Organisation mit den Unternehmen ist wirklich essentiell, da die Mitarbeiter dementsprechend Kenntnis von den internen Abläufen haben. Der Mythos einen DSB zu bestellen und somit die Verantwortung abzuwälzen ist wohl weit verbreitet und in den Köpfen vieler verankert. Dies ist jedoch schlichtweg falsch. Der DSB bildet mit den Koordinatoren eines jeden Unternehmens eine Art Gremium. Der DSB kann wichtige Dinge der DSGVO ansprechen, welche wiederum von den DSK´s auf das jeweilige Unternehmen angewandt werden. Zusammen als Team gilt es hier immer zu eruieren und auch zu differenzieren, was wirklich notwendig ist.

AB WANN IST NUN EIN DSB ZU BESTELLEN?

Eine grundsätzliche Relevanz der DSGVO-Umsetzung ist nicht daran gebunden, ob ein DSB bestellt werden muss. Grundsätzlich gilt die Umsetzung der DSGVO für alle die, die personenbezogene Daten verarbeiten. Ob digital oder analog, die DSGVO gilt für das Internet und für die Offline-Welt.

Mindestens 10 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut.

 

Die bestehende Rechtslage besagt genau jene Aussage. Eine Automatisierte Verarbeitung liegt vor, wenn diese mit Datenverarbeitungsanlagen erfolgt. „In der Regel“ bedeutet, dass die Verarbeitung personenbezogener Daten für die Beschäftigten zu deren „Berufsalltag“ gehört.

Der Beschäftigtenbegriff ist weit zu verstehen, so dass auch freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Teilzeitkräfte etc. als Beschäftigte zählen. Es ist dabei irrelevant, ob die Beschäftigtenzahl kurzzeitig unter oder über 10 Beschäftigte fällt.

Wann eine „ständige Beschäftigung“ vorliegt ist im Einzelfall zu klären. Von einer ständigen Beschäftigung kann aber zumindest dann ausgegangen werden, wenn die Datenverarbeitung durch die Beschäftigten regelmäßig oder wiederkehrend erfolgt.

 

Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, welche regelmäßige und systematische Überwachung von personenbezogenen Daten erfordern.

 

Es muss sich um eine Tätigkeit handeln, die eine umfangreiche und regelmäßige Überwachung von Personen erforderlich macht. Anhaltspunkte für eine umfangreiche Überwachung sind z.B. Dauer der Überwachung, Anzahl der betroffenen Personen und Menge der betroffenen Daten.

Die Verarbeitung muss außerdem eine Kerntätigkeit des Unternehmens sein. Das ist der Fall, wenn die betreffende Datenverarbeitung ein zentraler Bestandteil der unternehmerischen Tätigkeit / Geschäftsstrategie ist. Beispielsweise ist die Verarbeitung von Gesundheitsdaten für ein Krankenhaus oder die Verarbeitung von Adressdaten für Auskunfteien ein zentrales Element ihrer Tätigkeit. Die Verwaltung von Personaldaten innerhalb eines Unternehmens ist dagegen in der Regel als Nebentätigkeit einzustufen.

 

Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Datenkategorien.

 

Zu diesen Daten gehören folgenden Kategorien: Gesundheitsdaten, Straftaten, Sexualleben, sexuelle Orientierung, rassische oder ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, Religion, genetische/biometrische Daten.

 

Das Unternehmen ist nach DSGVO verpflichtet eine Datenschutzfolgeabschätzung (DSFA) durchzuführen.

 

Wenn das Unternehmen verpflichtet ist, eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO), müssen Sie unabhängig vom Vorliegen weiterer Voraussetzungen einen Datenschutzbeauftragten bestellen.