FAQ (Häufig gestellte Fragen)

Antworten zu den wichtigsten Datenschutzfragen

Die folgenden Fragen werden immer wieder gestellt und wir haben passende Antworten dazu formuliert:

1. EU-DSGVO: Was hat sich geändert?

Die für Unternehmen folgenschwersten Neuerungen, die durch die EU-DSGVO eingetreten sind, sind die maßgebliche Erweiterung der Informations- und Dokumentationspflichten sowie die Ausweitung der Rechte von Betroffenen. Außerdem wurden hinsichtlich der Sanktionierung neue Bußgeldtatbestände eingeführt und die maximale Höhe der möglichen Bußgelder auf entweder 20 Mio. Euro bzw. 4 % des Jahresumsatzes erhöht, abhängig von den Umständen des Einzelfalls. Hinzu kommt die Möglichkeit, immateriellen Schadensersatz (“Schmerzensgeld”) geltend zu machen.

2. Wann ist ein Datenschutzbeauftragter vorgeschrieben?

Die Frage, ob Ihr Unternehmen dazu verpflichtet ist, einen Datenschutzbeauftragten (DSB) zu benennen, richtet sich vor allem nach Art. 37 DSGVO und § 38 BDSG. Danach besteht diese Verpflichtung, wenn

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht.

Aus dem Bundesdatenschutzgesetz (BDSG) ergibt sich außerdem, dass eine Verpflichtung zudem besteht, soweit das Unternehmen i.d.R. mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten (pbD) beschäftigt. Ebenso muss ein DSB benannt werden, wenn durch den Verantwortlichen oder Auftragsverarbeiter Verarbeitungen vorgenommen werden, die einer Datenschutzfolgenabschätzung unterliegen oder pbD zum Zwecke der (anonymisierten) Übermittlung oder Markt- oder Meinungsforschung verarbeitet werden.

Wichtig zu verstehen ist, dass auch dann, wenn kein Datenschutzbeauftragter benannt werden muss, keine sonstige datenschutzrechtliche Pflicht entfällt, also gleichwohl das Datenschutzrecht vollumfänglich einzuhalten ist. 

Aufgrund der Komplexität ist es jedoch stets empfehlenswert, einen DSB zu benennen, der sich ausreichend mit dem Thema auseinandersetzt.

3. Interner oder externer Datenschutzbeauftragter: Vor- und Nachteile

Entscheidend für die Frage ist, worauf Sie vorrangig Wert legen. Der interne Datenschutzbeauftragte (DSB) kennt die internen Abläufe aus der täglichen Praxis, ist aber oft zu sehr durch das Tagesgeschäft ausgelastet, Zeit und Budget für Aus- und Fortbildung, Fachliteratur, Verbandsmitgliedschaften etc. sind oft (zu) knapp – Branchenvergleich und datenschutzrechtlicher Austausch für die praktische Handhabung fehlen meist wie bei einem “isolierten Einzelkämpfer”. Es besteht die Gefahr unzureichender Unabhängigkeit oder unnötiger Strenge aufgrund von Unwissenheit oder Unsicherheit, weil z. B. IT-technisches oder juristisches Know-How fehlen. Zudem besteht ein strengerer Kündigungsschutz.

Dagegen zeigen sich Vorteile des externen DSB in den Bereichen Kostenaufwand, Haftung, Akzeptanz im Unternehmen, Unabhängigkeit sowie bei dem Kündigungsschutz. Es lässt sich also sagen, dass der externe DSB in vielen Fällen zu bevorzugen ist.

 

Eine Empfehlung:
Für die schnellere Einarbeitung eines externen DSB hilft es ungemein, wenn ihm ein sogenannter Datenschutzkoordinator im Unternehmen zur Seite steht bzw. die Prozesse und weitere datenschutzrelevante Dokumentationen zu- und erarbeitet.

4. Wer darf nicht Datenschutzbeauftragter werden?

Wem die Unabhängigkeit fehlt (z. B. Ehegatten) oder wenn Interessenkonflikte vorliegen (IT-Leiter oder Geschäftsführung würden sich selbst kontrollieren) kann nicht Datenschutzbeauftragter werden. Daher sind vor allem Mitglieder der Unternehmensleitung ausgeschlossen. Außerdem bedarf es nach Art. 38 Abs. 5 DSGVO zur Eignung als DSB der beruflichen Qualifikation und insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Des Weiteren muss er die Aufgaben aus Art. 39 DSGVO erfüllen können.

5. Was kostet ein Datenschutzbeauftragter?

Die Beantwortung dieser Frage hängt davon ab, ob es sich um einen internen oder externen DSB handelt. Bei einem internen DSB kommen zusätzlich zum regulären Gehalt Kosten für die Aus- und Fortbildung sowie für Literatur und Mitgliedschaftsbeiträge in Fachverbänden hinzu. Bei einem externen DSB ergeben sich lediglich die Kosten gemäß der vertraglich getroffenen Vereinbarung. Diese hängen u. a. von der Größe des Unternehmens, der Komplexität der Datenverarbeitung und der Sensibilität der Daten ab.