Europäische Datenschutz-Grundverordnung: Benötige ich einen Datenschutzbeauftragten?

8 months ago
datenschutzbeauftragter

In wenigen Monaten tritt die neue EU-Datenschutzgrundverordnung, kurz EU-DSGVO, in Kraft. Sie ist die größte Neuregelung des Datenschutzes und bringt umfangreiche Änderungen rund um die Erhebung, Verarbeitung und Nutzung personengebundener Daten mit sich. Jedes Unternehmen, und damit auch kleine Unternehmen, sind von diesen Neuregelungen betroffen! Damit Firmen sich beim Umgang mit solchen sensiblen Informationen gesetzeskonform verhalten, fordert die künftige Rechtsgrundlage in vielen Fällen die Bestellung eines Datenschutzbeauftragten.

Wer benötigt einen Datenschutzbeauftragten?

Grundsätzlich müssen alle Unternehmen einen Datenschutzbeauftragten bestellen, die personenbezogene Daten automatisiert verarbeiten. Mit personenbezogenen Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person gemeint, also insbesondere Kunden- oder Mitarbeiterdaten.

Aufgaben und Pflichten eines Datenschutzbeauftragten nach der DSGVO

Die Aufgaben und Pflichten eines betrieblichen Datenschutzbeauftragten sind in Art. 39 DSGVO geregelt und umfassen:

  • Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten
  • Überwachung der Einhaltung der DSGVO und nationalen Sonderregelungen
  • Sensibilisierung und Schulung
  • Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde

Um diesen Aufgaben und Pflichten nachkommen zu können, regelt die Datenschutz-Grundverordnung explizit, dass der Datenschutzbeauftragte „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden ist (vgl. Art. 38 Abs. 1 DSGVO).

Es gibt Ausnahmen!

Es gibt allerdings einige Ausnahmen von dem oben beschriebenen Grundsatz, bei denen trotz automatisierter Verarbeitung von personenbezogenen Daten kein Datenschutzbeauftragter für das Unternehmen benannt werden muss.

Die für Startups und kleine Unternehmen wichtigste Ausnahme besagt, dass dann kein Datenschutzbeauftragter bestellt werden muss, wenn in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung der personenbezogenen Daten betraut sind.

Allerdings müssen hier alle mit der Verarbeitung betrauten Personen einbezogen werden, also auch Teilzeitkräfte, Praktikanten, freie Mitarbeiter oder nur gelegentlich damit betraute Personen.

Hohe Bußgelder drohen

Mit der EU-Datenschutzgrundverordnung verschärfen sich nicht nur die Auflagen für die Unternehmen. Der Gesetzgeber wird die Einhaltung der neuen Vorschriften auch noch genauer überprüfen als bisher. Bei Verstößen drohen Ihnen Bußgelder in Höhe von vier Prozent Ihres Jahresumsatzes bzw. bis zu 20 Millionen Euro. Und zwar pro Datenschutzverletzung. Genau die liegt bereits dann vor, wenn Sie es versäumen, rechtzeitig einen Datenschutzbeauftragten zu bestellen. Denn genau das muss spätestens vier Wochen nach Beginn der Datenverarbeitung erfolgen.

Tipp: Checkliste

Was also gilt für Ihren Betrieb? Mit unserer Checkliste können Sie Schritt für Schritt prüfen, ob Sie tatsächlich einen Datenschutzbeauftragten brauchen – und wie Sie diese Forderung mit Ihren verfügbaren Ressourcen am besten umsetzen. Gegebenenfalls sollten Sie die Entscheidung treffen, ob Sie einen internen oder externen Datenschutzbeauftragen organisieren. Auch die Möglichkeit, einen Datenschutzbeauftragten mit weiteren Unternehmen zu teilen besteht laut DSGVO. Mehr zu den verschiedenen Möglichkeiten sowie ihren Vor- und Nachteilen finden Sie ebenfalls in unserer Checkliste.

Weiterführende Informationen zur DSGVO

Sage hat ein umfangreiches Informationsangebot zur Europäischen Datenschutz-Grundverordnung zur Verfügung gestellt. Wenn Sie also an detaillierteren Wissen dazu interessiert sind, dann schauen Sie gern auf dem Sage Blog vorbei.