Jede Firma braucht einen Datenschutz-Profi

Änderungen mit der EU-DSGVO

von - 19.10.2017
Im Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, die das geltende Datenschutzrecht in Europa reformieren und vereinheitlichen soll. Laut einer Studie des Software-Anbieters Varonis sind deutsche Unternehmen auf die neuen Vorgaben nicht vorbereitet – ganze 81 Prozent der Unternehmen zweifeln an der fristgerechten Einführung in ihrer Firma. Gleichzeitig betrachten 58 Prozent die Umsetzung nicht als Priorität. Doch laut Art. 35 und 37 der DSGVO gibt es erstmals auch europaweit eine Pflicht zur Bestellung eines Datenschutzbeauftragten.
Art. 37 Abs. 4 ermöglicht es den EU-Mitgliedstaaten, die Voraussetzungen für einen Datenschutzbeauftragten weiter zu konkretisieren. Der deutsche Gesetzgeber hat davon Gebrauch gemacht und §38 des Bundesdatenschutzgesetzes angepasst und erweitert. Der Inhalt entspricht zwar weitgehend §4f des Bundesdatenschutzgesetzes, es findet sich in §38 aber ein Verweis auf die europaweite Datenschutz-Grundverordnung. In Deutschland ändert sich in Bezug auf den Datenschutzbeauftragten daher eigentlich nicht viel: Nach §38 des BDSG besteht auch weiterhin die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn mehr als neun Mitarbeiter ständig mit der automatisierten Datenverarbeitung beschäftigt sind.
Neu hingegen ist die sogenannte Datenschutz-Folgenabschätzung laut Art. 35 der DSGVO. Wenn ein Unternehmen Daten verarbeitet, die einer solchen Folgenabschätzung unterliegen, dann ist unabhängig von der Zahl der damit beschäftigten Mitarbeiter ein Datenschutzbeauftragter zu bestellen. Diese Datenschutz-Folgenabschätzung ist im Grunde aber nichts anderes als die im BDSG festgelegte Vorabkontrolle.
Interessenkonflikte vermeiden
Wenn ein Datenschutzbeauftragter die Aufgabe nicht hauptamtlich wahrnimmt, dann sollte darauf geachtet werden, dass der Beauftragte in keinen Interessenkonflikt gerät.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat vergangenen Herbst gegen ein Unternehmen mit Sitz in Bayern ein Bußgeld verhängt, weil dieses seinen IT-Manager als Datenschutzbeauftragten bestellt hatte. Laut BayLDA darf ein Datenschutzbeauftragter eines Unternehmens „daneben nicht noch für solche Aufgaben zuständig sein, die die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können“. Im konkreten Fall sahen die bayerischen Datenschutzhüter eine solche Interessenkollision, weil eine derart exponierte Position wie die eines IT-Managers im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen in der Regel unvereinbar sei mit der des Datenschutzbeauftragten – „dies liefe letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus.“
Unternehmen sollten zudem beachten, dass auch Mitarbeiter der Personalabteilung nicht für die zusätzliche Aufgabe des Datenschutzbeauftagten infrage kommen. Der Grund: Eine Beschäftigung im Personalbereich ist mit Entscheidungen über Einstellungen, Einstufungen, Beförderungen oder Entlassungen verbunden. Die gleichzeitige Wahrnehmung des Amts eines Datenschutzbeauftragten ist damit üblicherweise ausgeschlossen.
Seite
  1. Teil: Jede Firma braucht einen Datenschutz-Profi
  2. Teil: Bestellung des Datenschutz-Profis
  3. Teil: Änderungen mit der EU-DSGVO
Verwandte Themen

Mehr zum Thema