Letzte Änderung: Uhr
DSGVO Datenschutzbeauftragter
Wer braucht den Datenschutzbeauftragten?
Innerhalb der EU-weiten DSGVO findet sich die Aufforderung zur Nennung einer datenschutzbeauftragten (DSB) Person. Dies wirft einige Fragen auf. Beispielsweise, ob diese Aufforderung für jeden zwingend gilt, welche Aufgaben und Pflichten ein Datenschutzbeauftragter im Unternehmen hat und wie dieses Thema bei großen Konzernen zu handhaben ist? Auf diese Fragen wollen wir näher eingehen.
Wer ist verpflichtet einen DSB zu benennen?
Zunächst, es ist NICHT automatisch für jedes Unternehmen zwingend notwendig einen Datenschutzbeauftragten zu benennen. Dieser ist nur unter folgenden Voraussetzungen zwingend vorgeschrieben:
- Die Datenverarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt. Ausgenommen sind Gerichte, die im Rahmen ihrer juristischen Tätigkeit handeln. (Beispiel: Körperschaft öffentlichen Rechts z.B. ein Tourismusverband)
- die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. (Beispiel: Detekteien, Versicherungen, Finanzdienstleister z.B. Bank)
- Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung sensibler Daten (gemäß Artikel 9) oder von Daten über strafrechtliche Verurteilungen oder Straftaten (gemäß Artikel 10). (Beispiel: Krankenhäuser)
Definitionen
Kerntätigkeiten: Unter Kerntätigkeit fallen die wichtigsten Arbeitsabläufe, die zur Erreichung der Ziele des Unternehmens erforderlich sind. Beispielsweise die Verarbeitung von Gesundheitsdaten in einer Arztpraxis.
Sensible Daten (Artikel 9, Absatz 1)
Bei sensiblen Daten handelt es sich um die Verarbeitung von personenbezogenen Daten, aus denen
- die rassische und ethnische Herkunft,
- politische Meinung,
- religiöse oder weltanschauliche Überzeugungen,
- die Gewerkschaftszugehörigkeit hervorgeht,
- genetische Daten,
- biometrische Daten, die zur eindeutigen Identifizierung einer natürlichen Person dienen,
- der Gesundheit betreffende Daten,
- Daten zum Sexualleben oder der sexuellen Orientierung.
Brauche ich nun einen Datenschutzbeauftragten?
Wenn Ihnen dennoch unklar ist, ob Sie für Ihr Unternehmen nun einen Datenschutzbeauftragten bestimmen müssen oder nicht, können Sie Ihr Unternehmen auf folgende Punkte hin prüfen.
- Umfang der gesammelten Daten & Unternehmensgröße
Generell ist der Umfang der personenbezogenen Daten ausschlaggebend. Natürlich spielt aber auch die Unternehmensgröße dabei eine Rolle. Jedoch vielmehr in Richtung, wie viele Mitarbeiter regelmäßig mit der Erhebung und Nutzung von automatisierter Datenverarbeitung zu tun haben. Wenn mehr als 9 Personen involviert sind, müssen Sie einen Datenschutzbeauftragten Bestimmen. Außerdem gilt, sobald 20 Personen regelmäßig mit nicht automatisierten Datenverarbeitung zu tun haben, muss ein Datenschutzbeauftragter bestimmt werden. - Sensible Daten
Entsprechen die erhobenen Daten den Kriterien von sensiblen Daten und sind diese Bereiche des Kerngeschäfts? - Branche bzw. Tätigkeitsfeld
Zentraler Dreh- und Angelpunkt ist die Kerntätigkeit Ihres Unternehmens. Unternehmen, die regelmäßige personenbezogene Daten erheben, Daten verarbeiten oder Daten nutzen, sollten aufgrund der Kerntätigkeit einen DSB bestellen. Beispielsweise Branchen und Tätigkeiten in den Bereichen Finanzdienstleister wie Banken, Versicherungen, Gesundheit wie Krankenhäuser.
Datenschutzbeauftragter bei Gesundheitsbetrieben
Allem Anschein nach, gibt es in der DSGVO bei Gesundheitsberufen eine Grauzone. Es gibt ausschließende Gründe bzw. Ausnahme-Regelungen.
Die Voraussetzungen für die Bestimmung eines BDG gelten nicht, wenn Folgendes zutrifft:
- die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin,
- für die Beurteilung der Arbeitsfähigkeit des Beschäftigten,
- für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts
- oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich
Grundsätzlich ist klar definiert, dass Krankenhäuser einen Datenschutzbeauftragten benennen müssen. Da die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses zur Kerntätigkeit zählt. Jedoch wird als Beispiel für den Fall wo keine umfangreiche Verarbeitung vorliegt, die Verarbeitung von Patientendaten durch einen einzelnen Arzt genannt.
Dies wirft Fragen auf, da die DSGVO nicht eindeutig bei Patientendaten ausgelegt werden kann, hat die Bundesinnung der Gesundheitsberufe gemeinsam mit der Bundessparte Gewerbe und Handwerk eine branchenspezifische Information zur DSGVO für Gesundheitsberufe erarbeitet.
zum DSGVO-Leitfaden der WKO für Gesundheitsberufe
Sonderfall: Personalvermittlung und Headhunter
Bei dieser Tätigkeit ist vor allem ausschlaggebend, welche personenbezogenen Daten gespeichert und in welchem Ausmaß diese verarbeitet werden.
Welche Aufgaben hat ein Datenschutzbeauftragter?
Der DSB hat laut DSGVO folgende Aufgaben und Verpflichtungen:
- Er muss dem Unternehmen in allen Datenschutz-Angelegenheiten beratend zur Seite stehen. Dazu zählt auch die Aufklärung bzw. das Informieren der Mitarbeiter, Auftragsverarbeiter und Verantwortlichen über ihre Pflichten lt. DSGVO und weiteren Datenschutzvorschriften (der Union bzw. der Mitgliedsstaaten).
- Zudem hat er eine Überwachungs- und Kontrollfunktion. Er ist für die Einhaltung der DSGVO oder anderen Datenschutzvorschriften verantwortlich und muss darauf achten, dass Strategien für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter umgesetzt werden.
- Auf Anfrage hat er eine beratende Funktion im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung der Durchführung (laut Artikel 35).
- Der DSB ist dazu verpflichtet mit Aufsichtsbehörden zu kooperieren und bei Fragen Auskunft zu geben.
- Der DSB soll nach Art 29-Gruppe die primäre Anlaufstelle für betroffene Personen sein und ist bei der Erfüllung seiner Aufgaben zur Geheimhaltung und Vertraulichkeit verpflichtet.
Wer kann die Tätigkeit des Datenschutzbeauftragten ausüben?
Damit man als Datenschutzbeauftragter tätig sein kann, sind ein gewisses Maß an praktischer Erfahrung und Fachwissen zum Datenschutzrecht erforderlich. Was sich natürlich mit dessen Fähigkeiten zur Erfüllung der in Artikel 39 genannten Aufgaben decken muss. Eine Ausbildung als Datenschutzbeauftragter ist nicht zwingend notwendig, wird jedoch empfohlen.
Ist der DSB eine interne oder externe Person?
Der Datenschutzbeauftragte kann sowohl ein angestellter Mitarbeiter innerhalb des Unternehmens sein, als auch eine extern beauftragte Person.
Wenn Sie einen internen Datenschutzbeauftragten bestimmen, muss dieser zunächst die Anforderungen erfüllen und darf zudem in keinem Interessenkonflikt mit einer weiteren Aufgabe stehen. Beispielsweise ist es nicht möglich, dass Ihr IT-Leiter gleichzeitig Ihr DSB ist. Daraus würde sich ein Interessenskonflikt ergeben, da er gleichzeitig die Datenschutzbestimmungen umsetzen und sich selbst kontrollieren müsste. Dasselbe gilt für Ihren Leiter der Rechtsabteilung.
Pflichten des Unternehmers, nach Bestimmung des DSB
Wenn Sie als Unternehmer nun verpflichtend oder auf freiwilliger Basis einen Datenschutzbeauftragten ernannt haben, kommen folgende Pflichten auf Sie zu:
- Sie müssen sicherstellen, dass der DSB frühzeitig und ordnungsgemäß einbezogen wird in allen mit dem Schutz personenbezogener Daten zusammenhängenden Fragen.
- Sie müssen den DSB die nötigen Ressourcen zur Verfügung stellen, wie den Zugang zu personenbezogene Daten und Verarbeitungsvorgängen und unterstützen, damit dieser seine Aufgaben laut Artikel 39 durchführen kann.
- Damit der DSB sein Fachwissen erhält, müssen Sie ihm die nötigen Ressourcen zur Verfügung stellen.
- Sie haben Sorge zu tragen, dass der DSB keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält.
- Sie dürfen den DSB nicht abberufen oder aufgrund seiner Tätigkeiten nachteilig behandeln. Hinzuzufügen ist jedoch, dass der DSB unter keinem besonderen Kündigungsschutz unterliegt. Außerdem hat dieser die Pflicht an die höchste Managementebene zu berichten.