Pflicht zur Bestellung DSB

 

DIE BESTELLTPFLICHT DES DATENSCHUTZBEAUFTRAGTEN – EIN VERGLEICH ZWISCHEN BDSG UND DSGVO

Das Bundesdatenschutzgesetz (BDSG) verpflichtet Unternehmen zur Ernennung eines betrieblichen Datenschutzbeauftragten,

• wenn ein Unternehmen Computer/EDV nutzt
  und mindestens vorübergehend mehr als neun Personen beschäftigt: § 4f Abs. 1 S. 3 BDSG

• unabhängig von der Zahl der Beschäftigten, wenn ein Unternehmen

  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung erhebt, 
    verarbeitet oder nutzt: § 4f Abs. 1 S. 5 BDSG – z.B. Auskunfteien, Adressverlage, Markt- und Meinungsforschungsinstitute

  • unabhängig von der Zahl der Beschäftigten, wenn das Unternehmen einer Vorabkontrolle unterliegt, weil besonders sensitive Daten verarbeitet werden:  § 4f Abs. 1 S. 5 BDSG – z.B. Scoringverfahren, Religion, Gesundheitsdaten, Angaben über ethnische Herkunft, Rasse, etc. 

Ein betrieblicher Datenschutzbeauftragter ist schriftlich zu bestellen.
Zweckmäßig ist dabei die Festlegung der wichtigsten Aufgaben in der Bestellungsurkunde oder die Bezugnahme auf die Vorschriften der §§ 4f, 4g BDSG.
Ein Datenschutzbeauftragter kann

• (unter Auflagen) aus den Reihen des Unternehmens (interner Datenschutzbeauftragter) oder

• als unabhängiger, externer Dienstleister mit flexibel und frei zu vereinbarendem Aufgabenumfang

bestellt werden. Eine Vernachlässigung dieser Pflicht kann empfindliche Folgen haben, vor allem, wenn tatsächlich etwas passieren sollte.

VERPFLICHTUNG ZUR BENENNUNG EINES DATENSCHUTZBEAUFTRAGTEN NACH DSGVO

Die Regelungen zum Datenschutzbeauftragten unter der DSGVO waren lange unklar. Doch mit der Einführung gilt eine europaweite Verpflichtung für Unternehmen, deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist. Eine Mindestanzahl an Beschäftigte, wie sie das BDSG vorsah, existiert so nicht mehr.

Auch eine Bestellung muss nicht mehr schriftlich erfolgen. Mit der DSGVO ist nun eine Benennung nach Art. 37ausreichend. Zudem kann auch ein Konzern Datenschutzbeauftragter ernannt werden, wenn dieser von der jeweiligen Niederlassung leicht erreicht werden kann. Gehören zu diesem Konzern auch nicht EU-ansässige Unternehmen, muss sich der Sitz des des Datenschutzbeauftragten in der EU befinden.

Zwar unterliegt der Datenschutzbeauftragte einer Überwachungspflicht, diese macht ihn jedoch nicht für das Nichteinhalten der Datenschutzvorschriften verantwortlich. Auch hier haben sich die Sanktionen drastisch erhöht. Somit beträgt die Summe bei einem Verstoß gegen die Verordnung bis zu 10 Mio. Euro oder im Fall eines Unternehmens 2 % des gesamten weltweit ezielten Jahresumsatzes.

 

Grundsätzlich lässt sich sagen, dass durch die Vorschriften der Datenschutzgrundverordnung für deutsche und Auftragsverarbeiter und Verantwortliche nicht viel Neues hizukommt.