Brauche ich nun einen Datenschutzbeauftragten?

Wenn Ihnen dennoch unklar ist, ob Sie für Ihr Unternehmen nun einen Datenschutzbeauftragten bestimmen müssen oder nicht, können Sie Ihr Unternehmen auf folgende Punkte hin prüfen.

• Umfang der gesammelten Daten & Unternehmensgröße
  Generell ist der Umfang der personenbezogenen Daten ausschlaggebend. Natürlich spielt aber auch die Unternehmensgröße dabei eine Rolle. Jedoch vielmehr in Richtung, wie viele Mitarbeiter regelmäßig mit der Erhebung und Nutzung von automatisierter Datenverarbeitung zu tun haben. Wenn mehr als 9 Personen involviert sind, müssen Sie einen Datenschutzbeauftragten Bestimmen. Außerdem gilt, sobald 20 Personen regelmäßig mit nicht automatisierten Datenverarbeitung zu tun haben, muss ein Datenschutzbeauftragter bestimmt werden.
• Sensible Daten
  Entsprechen die erhobenen Daten den Kriterien von sensiblen Daten und sind diese Bereiche des Kerngeschäfts?
• Branche bzw. Tätigkeitsfeld
  Zentraler Dreh- und Angelpunkt ist die Kerntätigkeit Ihres Unternehmens. Unternehmen, die regelmäßige personenbezogene Daten erheben, Daten verarbeiten oder Daten nutzen, sollten aufgrund der Kerntätigkeit einen DSB bestellen. Beispielsweise Branchen und Tätigkeiten in den Bereichen Finanzdienstleister wie Banken, Versicherungen, Gesundheit wie Krankenhäuser.

Datenschutzbeauftragter bei Gesundheitsbetrieben

Allem Anschein nach, gibt es in der DSGVO bei Gesundheitsberufen eine Grauzone. Es gibt ausschließende Gründe bzw. Ausnahme-Regelungen.

Die Voraussetzungen für die Bestimmung eines BDG gelten nicht, wenn Folgendes zutrifft:

• die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin,
• für die Beurteilung der Arbeitsfähigkeit des Beschäftigten,
• für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts
• oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich

Grundsätzlich ist klar definiert, dass Krankenhäuser einen Datenschutzbeauftragten benennen müssen. Da die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses zur Kerntätigkeit zählt. Jedoch wird als Beispiel für den Fall wo keine umfangreiche Verarbeitung vorliegt, die Verarbeitung von Patientendaten durch einen einzelnen Arzt genannt.

Dies wirft Fragen auf, da die DSGVO nicht eindeutig bei Patientendaten ausgelegt werden kann, hat die Bundesinnung der Gesundheitsberufe gemeinsam mit der Bundessparte Gewerbe und Handwerk eine branchenspezifische Information zur DSGVO für Gesundheitsberufe erarbeitet.
zum DSGVO-Leitfaden der WKO für Gesundheitsberufe

Sonderfall: Personalvermittlung und Headhunter

Bei dieser Tätigkeit ist vor allem ausschlaggebend, welche personenbezogenen Daten gespeichert und in welchem Ausmaß diese verarbeitet werden.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Der DSB hat laut DSGVO folgende Aufgaben und Verpflichtungen:

• Er muss dem Unternehmen in allen Datenschutz-Angelegenheiten beratend zur Seite stehen. Dazu zählt auch die Aufklärung bzw. das Informieren der Mitarbeiter, Auftragsverarbeiter und Verantwortlichen über ihre Pflichten lt. DSGVO und weiteren Datenschutzvorschriften (der Union bzw. der Mitgliedsstaaten).
• Zudem hat er eine Überwachungs- und Kontrollfunktion. Er ist für die Einhaltung der DSGVO oder anderen Datenschutzvorschriften verantwortlich und muss darauf achten, dass Strategien für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter umgesetzt werden.
• Auf Anfrage hat er eine beratende Funktion im Zusammenhang mit der  Datenschutz-Folgenabschätzung und Überwachung der Durchführung (laut Artikel 35).
• Der DSB ist dazu verpflichtet mit Aufsichtsbehörden zu kooperieren und bei Fragen Auskunft zu geben.
• Der DSB soll nach Art 29-Gruppe die primäre Anlaufstelle für betroffene Personen sein und ist bei der Erfüllung seiner Aufgaben zur Geheimhaltung und Vertraulichkeit verpflichtet.

Wer kann die Tätigkeit des Datenschutzbeauftragten ausüben?

Damit man als Datenschutzbeauftragter tätig sein kann, sind ein gewisses Maß an praktischer Erfahrung und Fachwissen zum Datenschutzrecht erforderlich. Was sich natürlich mit dessen Fähigkeiten zur Erfüllung der in Artikel 39 genannten Aufgaben decken muss. Eine Ausbildung als Datenschutzbeauftragter ist nicht zwingend notwendig, wird jedoch empfohlen.

Ist der DSB eine interne oder externe Person?

Der Datenschutzbeauftragte kann sowohl ein angestellter Mitarbeiter innerhalb des Unternehmens sein, als auch eine extern beauftragte Person.

Wenn Sie einen internen Datenschutzbeauftragten bestimmen, muss dieser zunächst die Anforderungen erfüllen und darf zudem in keinem Interessenkonflikt mit einer weiteren Aufgabe stehen. Beispielsweise ist es nicht möglich, dass Ihr IT-Leiter gleichzeitig Ihr DSB ist. Daraus würde sich ein Interessenskonflikt ergeben, da er gleichzeitig die Datenschutzbestimmungen umsetzen und sich selbst kontrollieren müsste. Dasselbe gilt für Ihren Leiter der Rechtsabteilung.