Datenschutzbeauftragter
Gemäß § 38 Abs. 1 BDSG sind Unternehmen in Deutschland verpflichtet, einen Datenschutzbeauftragten zu bestellen, sobald mindestens 20 Mitarbeiter ständig in automatisierter Form mit dem Erheben, Verarbeiten oder Nutzen personenbezogener Daten beschäftigt sind. Zu beachten ist dabei, dass unter Mitarbeitern auch Auszubildende, Praktikanten oder Leiharbeiter zu verstehen sind und dass "ständig" nicht mit "dauerhaft" gleichzusetzen ist. So werden z.B. auch die Teilzeitkraft, die monatlich die Lohnabrechnungen durchführt, oder der Praktikant, der regelmäßig personenbezogene Daten nach Ablauf ihrer Aufbewahrungsfristen dokumentiert löscht, erfasst. Sofern ein Geschäftszweck des Unternehmens in der (anonymisierten) Übermittlung personenbezogener Daten oder deren Verarbeitung für Zwecke der Martk- und Meinungsforschung besteht, fällt übrigens jegliche Mitarbeitergrenze weg, d.h. ein solches Unternehmen ist grundsätzlich immer zur Bestellung eines Datenschutzbeauftragten verpflichtet. Selbiges gilt für Unternehmen, die personenbezogene Daten auf eine Weise verarbeiten, die eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erfordert.
Der Gesetzgeber fordert vom Datenschutzbeauftragten die nötige Fachkunde und Zuverlässigkeit. Zum Erhalt der Sachkunde ist außerdem der Nachweis entsprechender regelmäßiger Fort- oder Weiterbildungsmaßnahmen zu erbringen. Im Falle eines internen Datenschutzbeauftragten ist der Arbeitnehmer, der diese Aufgabe übernimmt, auf Kosten des Arbeitgebers entsprechend aus- und fortzubilden. Außerdem ist er für einen angemessenen Teil seiner regulären Arbeitszeit für die Erfüllung seiner Tätigkeiten als Datenschutzbeauftragter freizustellen und es müssen ihm hierfür ein geeigneter Raum sowie Arbeits- und Hilfsmittel zur Verfügung gestellt werden. Nicht zu unterschätzen ist auch der weitreichende Kündigungsschutz, den ein interner Datenschutzbeauftragter genießt, um ihm die für die Erfüllung seiner Aufgabe notwendige Unabhängigkeit zu sichern. Zur Vorbeugung von Interessenskonflikten eignen sich Vertreter der Geschäftsleitung sowie leitende Angestellte - insbesondere Leiter der EDV-, Personal-, Rechts- oder Marketingabteilung - nicht als interne Datenschutzbeauftragte. Ganz entscheidend ist im Zusammenhang mit den vorgenannten Punkten, dass die Bestellung eines nicht gesetzeskonform bestellten Datenschutzbeauftragten nichtig ist, d.h. das Unternehmen steht vor Aufsichtsbehörde und Gesetzgeber genau so da, wie wenn es gar keinen Datenschutzbeauftragten bestellt hätte.
Auch wenn aufgrund der Anforderungen und Vorgaben des Gesetzgebers für die allermeisten mittelständischen Unternehmen die Bestellung eines externen Datenschutzbeauftragten die beste Wahl ist, dürfen Sie von uns eine objektive und auf Ihre konkrete Situation ausgerichtete Erläuterung der Vor- und Nachteile eines internen bzw. externen Datenschutzbeauftragten erwarten. Auf dieser Basis ist es alleine Ihre unternehmerische Entscheidung, für welche Variante Sie sich entscheiden. Wir möchten Sie gerne auf diesem Weg begleiten: Sei es als Starthilfe oder temporäre Unterstützung für Ihren internen Datenschutzbeauftragten, sei es im Rahmen eines Mandats als externer Datenschutzbeauftragter. Unser Ziel ist der bestmögliche Nutzen für Sie und Ihr Unternehmen.