EU-Datenschutz-Grundverordnung (DSGVO): Der Datenschutzbeauftragte
Wann wird ein Datenschutzbeauftragter benötigt und was sind seine Aufgaben?
Lesedauer: 4 Minuten
Besteht eine Verpflichtung zur Bestellung?
Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist für Unternehmen nur in folgenden Fällen vorgesehen, wenn
die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive).
die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten (z.B. Krankenanstalten)oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.
Zur Auslegung der Bestimmungen zum Datenschutzbeauftragten in der DSGVO sowie zu dessen Aufgaben können die Guidelines der ehemaligen Art 29-Gruppe (seit 25.5.2018 „Europäischer Datenschutzausschuss“) zum Datenschutzbeauftragten herangezogen werden, die auf der Website der EU-Kommission abrufbar sind.
Kerntätigkeit
Die ehemalige Art 29-Gruppe definiert „Kerntätigkeit“ als die wichtigsten Arbeitsabläufe, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind. Kerntätigkeit bezieht sich gemäß Erwägungsgrund 97 auf die Haupttätigkeit und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit.
Umfangreiche Verarbeitung
Aus den Aussagen der ehemaligen Art. 29-Gruppe kann man schließen, dass eine solche z.B. dann nicht gegeben ist, wenn die Verarbeitung von Gesundheitsdaten durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufes erfolgt. Indikatoren können sein: die Zahl der betroffenen Personen, die Menge der verarbeiteten Daten und allenfalls die Dauer der Beobachtung oder Speicherung der Daten.
Regelmäßige und systematische Überwachung
Der Begriff „regelmäßig“ wird von der ehemaligen Art 29-Gruppe dahingehend interpretiert, dass mindestens eine der folgenden Eigenschaften vorliegt:
- fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend,
- immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend,
- ständig oder regelmäßig stattfindend.
Die ehemalige Art 29-Gruppe sieht eine systematische Überwachung dann als gegeben, wenn mindestens eine der folgenden Eigenschaften vorliegt:
- systematisch vorkommend,
- vereinbart, organisiert oder methodisch,
- im Rahmen eines allgemeinen Datenerfassungsplans erfolgend,
- im Rahmen einer Strategie erfolgend.
Die oben genannten Kriterien gelten für Verantwortliche und Auftragsverarbeiter gleichermaßen. Sowohl Verantwortliche als auch Auftragsverarbeiter können daher der Verpflichtung zur Bestellung eines Datenschutzbeauftragten unterliegen; das Vorliegen der Voraussetzung ist unabhängig vom jeweils anderen zu prüfen.
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Datenschutzbehörde mitzuteilen.
Eine freiwillige Bestellung eines Datenschutzbeauftragten ist jederzeit möglich.
Achtung: Ein freiwillig bestellter Datenschutzbeauftragter hat dieselbe Stellung und dieselben Aufgaben wie ein verpflichtend zu bestellender Datenschutzbeauftragter.
Aufgaben
Der Datenschutzbeauftragte hat jedenfalls die folgenden Aufgaben zu erfüllen:
Die Unterrichtung und Beratung der Unternehmer und Mitarbeiter hinsichtlich ihrer Pflichten nach dem Datenschutzrecht.
Die Überwachung und Überprüfung der Einhaltung der Datenschutzvorschriften und Strategien für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter.
Beratungen – auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und der Überwachung ihrer Durchführung.
Die Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese.
Qualifikationen
An Qualifikationen muss der Datenschutzbeauftragte jedenfalls ein Fachwissen auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis besitzen und die Fähigkeit die oben genannten Aufgaben zu erfüllen.
Stellung im Unternehmen
Der Datenschutzbeauftragte kann ein Dienstnehmer oder ein Selbständiger sein. Er ist ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Der Unternehmer muss den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen und ihm dafür die erforderlichen Ressourcen und den Zugang zu den personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung stellen. Zur Erhaltung seines Fachwissens hat der Unternehmer ebenfalls die erforderlichen Ressourcen zu gewähren.
Der Datenschutzbeauftragte darf bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten. Weiters darf er vom Unternehmer wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Allerdings ist darin kein genereller Kündigungsschutz zu sehen. Er hat weiters unmittelbar an die höchste Managementebene zu berichten.
Betroffene Personen können mit dem Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte im Bereich der Datenschutz-Grundverordnung im Zusammenhang stehenden Fragen Kontakt aufnehmen. Der Datenschutzbeauftragte sollte nach Ansicht der ehemaligen Art 29-Gruppe der primäre Ansprechpartner für betroffene Personen sein.
Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben zur Geheimhaltung und Vertraulichkeit verpflichtet. Dies gilt insbesondere in Bezug auf die Identität betroffener Personen, die sich an den Datenschutzbeauftragten gewandt haben, sowie über Umstände, die Rückschlüsse auf diese Personen zulassen, außer es ist eine ausdrückliche Entbindung von der Verschwiegenheitspflicht durch die betroffene Person erfolgt. Er kann auch andere Aufgaben und Pflichten übernehmen, doch darf dies nicht zu einem Interessenkonflikt führen. Ein solcher Interessenkonflikt wird insbesondere bei handelsrechtlichen Geschäftsführern einer GmbH, persönliche haftenden Gesellschaftern in der OG und KG als auch bei IT-Leitern des Unternehmens gesehen.
Aussageverweigerungsrecht
Erhält ein Datenschutzbeauftragter bei seiner Tätigkeit Kenntnis von Daten, für die einer der Kontrolle des Datenschutzbeauftragten unterliegenden Stelle beschäftigten Person ein gesetzliches Aussageverweigerungsrecht zusteht, steht dieses Recht auch dem Datenschutzbeauftragten und den für ihn tätigen Personen insoweit zu, als die Person, der das gesetzliche Aussageverweigerungsrecht zusteht, davon Gebrauch gemacht hat.
Bestellung
Der Unternehmer teilt die Kontaktdaten des Datenschutzbeauftragten der Datenschutzbehörde mit und veröffentlicht sie. Näheres zur Bestellung ist nicht geregelt. Sie sollte aber jedenfalls aus Beweisgründen schriftlich erfolgen und die klare Zustimmung des Datenschutzbeauftragten zu seiner Position enthalten.
Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann.
Haftung - verantwortlicher Beauftragter
Eine Bestellung des Datenschutzbeauftragten als verantwortlicher Beauftragter nach dem Verwaltungsstrafgesetz ist nicht zulässig.
Geldstrafen
Die Missachtung der Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist mit bis zu 10 Mio EUR oder 2 % des letztjährigen weltweiten Jahresumsatzes sanktioniert.
Relevante Artikel der DSGVO: Art 37-39
Relevante Erwägungsgründe: 91, 97
Relevante Bestimmungen des DSG: § 5
Stand: 07.08.2024