Durch die EU-Datenschutz-Grundverordnung sind zahlreiche Unternehmen seit dem 25. Mai 2018 dazu verpflichtet, einen Datenschutzbeauftragten zu stellen. Welche Pflichten auf Firmen und Datenschutzbeauftragte zukommen, erfahren Sie in diesem Ratgeberartikel.
Was macht ein Datenschutzbeauftragter?
Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, müssen aufgrund der EU-DSGVO ihr Datenschutzmanagement unter die Lupe nehmen. Hier finden Sie eine DSGVO-Checkliste mit den wichtigsten Punkten der Verordnung. Auch für Deutschland bringt die DSGVO Änderungen im Datenschutz mit sich.
Ein zentrales Thema ist der Datenschutzbeauftragte (DSB). Ein DSB klärt das Unternehmen über datenschutzrechtliche Pflichten auf und überwacht die Einhaltung des Datenschutzes in einer Organisation. Das verantwortliche Unternehmen oder die verantwortliche Behörde bzw. Organisation benennt ebenso wie der Auftragsdatenverarbeiter einen Datenschutzbeauftragten. Er dient als Ansprechpartner in Sachen Datenschutz und bearbeitet Anfragen von Behörden oder Betroffenen (z.B. Löschanträge von Kunden). Zudem unterstützt er das Unternehmen bei der Durchführung der Datenschutz-Folgenabschätzung (nach Art. 35 DSGVO).
Wer benötigt einen Datenschutzbeauftragten?
Viele Unternehmen mussten bereits auf der Grundlage des Bundesdatenschutzgesetzes (BDSG) einen Datenschutzbeauftragten ausbilden und bestellen. Mit der EU-Datenschutz-Grundverordnung wird der Kreis der Firmen jedoch deutlich erweitert. Bisher war die Größe eines Unternehmens ausschlaggebend. Nun können jedoch auch kleine Unternehmen mit weniger als 10 Angestellten verpflichtet sein, einen Datenschutzbeauftragten zu bestellen.
Nach der DSGVO ist ein Datenschutzbeauftragter bei allen öffentlichen Stellen erforderlich. Zudem benötigen private Unternehmen einen DSB, wenn sie risikoreiche Daten verarbeiten. Kleine Unternehmen oder Kleinunternehmer müssen in folgenden Fällen einen DSB bestellen:
„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn […]
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“
Neben Unternehmen, deren Kerngeschäft der Handel mit personenbezogenen Daten ist (z.B. Auskunfteien) betrifft die Regelung auch Online-Shop-Betreiber oder Website-Betreiber, die zu Marketingzwecken Internettracking und -profiling mit personenbezogenen Daten einsetzen. Darüber hinaus können Unternehmen und Organisationen natürlich auf freiwilliger Basis einen Datenschutzbeauftragten bestellen.
Folgende Artikel könnte Sie interessieren:
Wer kann Datenschutzbeauftragter werden?
Fakten zur EU-Datenschutz-Grundverordnung
Bild: rawpixel – Pixabay.com
Schreibe einen Kommentar