Datenschutzbeauftragter bei Kapitalunternehmen und Aktiengesellschaften

Vorrangig um Verbraucherrechte zu stärken, trat im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) in Kraft. Mit dieser Einführung sind die Datenschutzbestimmungen, an welche sich Unternehmen halten müssen, noch einmal deutlich verschärft worden.

Um sicherzustellen, dass sämtliche Vorgaben der DSGVO innerhalb eines Unternehmens ordnungsgemäß umgesetzt werden, sind die Unternehmer dazu verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen. Kapitalunternehmen beziehungsweise Aktiengesellschaften sind von dieser Pflicht selbstverständlich nicht ausgenommen. Was sollte man in diesem Zusammenhang berücksichtigen und welche konkreten Aufgaben und Funktionen fallen einem Datenschutzbeauftragten zu?

Warum muss ein Datenschutzbeauftragter bestellt werden?
Die Pflicht zur Bestellung eines DSB ergibt sich auf Grundlage der Datenschutz-Grundverordnung. Die DSB soll den Verbrauchern die Hoheit über ihre personenbezogenen Daten zurückgeben, beziehungsweise die Verbraucherrechte stärken. Unter personenbezogenen Daten versteht man Informationen, anhand derer ein eindeutiger Bezug zu einer bestimmten Person hergestellt werden kann. Dazu zählen etwa auch IP-Adressen, Chatverläufe, elektronische Einwilligungen, etc.  

Mit zunehmendem Datenaufkommen wurde es immer dringlicher, der „Datensammelwut" vieler Unternehmen durch eine neue gesetzliche Grundlage Einhalt zu gebieten, insbesondere weil diese Daten nicht selten mit anderen Unternehmen gehandelt werden. Ein Datenschutzbeauftragter soll als unabhängige Instanz einen objektiven Blick auf die Vorgänge innerhalb eines Unternehmens werfen und Datenmissbrauch effektiv verhindern.

Wann besteht die Pflicht?
Sobald ein Unternehmen mehr als 20 Mitarbeiter dauerhaft mit Tätigkeiten der automatisierten Datenverarbeitung beschäftigt, ist es automatisch verpflichtet, einen Datenschutzbeauftragten zu bestellen, also zu ernennen. Gleiches gilt für Unternehmen, die mindestens zehn Mitarbeiter beschäftigt, welche personenbezogene Daten verarbeiten. Unter automatisierter Datenverarbeitung versteht man sämtliche Formen der Datenverarbeitung, bei der eine Datenverarbeitungsanlage eingesetzt wird. In der Regel sind das heute Computer, es könnte sich aber auch um jedes andere elektronische Speichersystem handeln.

Sobald ein Unternehmen sehr sensible oder umfangreiche Datenverarbeitungen durchführt, muss ein DSB unabhängig von der Mitarbeiteranzahl bestellt werden.

Aufgabenbereiche eines DSB
Ganz allgemein muss ein Datenschutzbeauftragter vor allem sicherstellen, dass die datenschutzrechtlichen Bestimmungen in Bezug auf den Umgang mit personenbezogenen Daten auf Grundlage der Datenschutz-Grundverordnung innerhalb des Unternehmens eingehalten werden.  

Als unabhängige Kontrollinstanz prüft er regelmäßig Arbeitsabläufe und Prozesse und ergreift entsprechende Maßnahmen, um etwaige Verstöße gegen die DSGVO oder andere Gesetze zügig zu korrigieren. Um diese Tätigkeit ausüben zu können, bedarf es fundierter Kenntnisse sämtlicher relevanten Gesetze und Verordnungen. Weiterhin muss ein Datenschutzbeauftragter unter anderem folgende Aufgaben erfüllen:

• Aufbau eines Datenschutz-Teams, welches sämtliche Mitarbeiter des Unternehmens regelmäßig über neue Datenschutzrichtlinien, Bekanntmachungen etc. in Kenntnis setzt.
• Ansprechpartner für Mitarbeiter, Lieferanten, Kunden etc. bezüglich Fragen und Bedenken hinsichtlich datenschutzrechtlicher Aspekte.
• Überwachung der rechtmäßigen Löschung personenbezogener Daten.
• Ansprechpartner für die Kommunikation mit den entsprechenden Aufsichtsbehörden.  

Interner oder externer Datenschutzbeauftragter?
Unternehmen haben die Möglichkeit, einen internen oder einen externen DSB zu bestellen. Beide Optionen haben ihre eigenen Vorteile und Nachteile, die im Einzelfall genau gegeneinander abgewogen werden sollten. Je nach Unternehmensstruktur und den individuellen Voraussetzungen haben sowohl der interne als auch der externe DSB ihre Berechtigung.

Während ein externer Datenschutzbeauftragter in der Regel ein absoluter Profi in Sachen Datenschutz ist, oft auch als Rechtsanwalt für Datenschutzrecht tätig ist, muss sich ein interner DSB in den meisten Fällen noch weiterbilden, um die entsprechenden Kenntnisse zu erwerben.

Auf der anderen Seite kennt ein interner Datenschutzbeauftragter das jeweilige Unternehmen, die Mitarbeiter und Ansprechpartner bestens und muss sich nicht erst in die Strukturen und Prozesse einarbeiten. Um einen DSB auch möglichst schnell einsetzen zu können, ist es unter Umständen sinnvoll, zunächst einen externen Datenschutzbeauftragten zu bestellen. Sobald ein interner Mitarbeiter seine Qualifikationen erworben hat, kann dieser anschließend seine Aufgabe wahrnehmen und den externen Datenschutzbeauftragten ablösen.    

Wer darf nicht zum DSB bestellt werden?
Unabhängig davon, ob ein interner oder ein externer DSB bestellt werden soll, sind manche Personen nicht geeignet, um diese verantwortungsvolle Aufgabe zu übernehmen. Dazu zählen Personen, die aufgrund der Tätigkeit in einen Interessenkonflikt geraten könnten. Das könnte beispielsweise der Fall sein, wenn der DSB sich selbst kontrollieren muss oder wenn er selbst Interesse am wirtschaftlichen Erfolg oder Misserfolg des Unternehmens hat. Nicht nur ein interner, auch ein externer Datenschutzbeauftragter kann durchaus anfällig für Interessenskonflikte sein. Darüber hinaus können auch Personen, die nicht über die notwendigen Fachkundevorraussetzungen verfügen, nicht zu einem Datenschutzbeauftragten bestellt werden. Zu diesen Voraussetzungen zählen neben umfassender Kenntnis der entsprechenden Rechtsvorschriften vor allem auch technisch-organisatorische Fachkenntnisse.

Fazit
Die Bestellung eines Datenschutzbeauftragten ist für die meisten Unternehmen unumgänglich; andernfalls und auch bei Nicht-Einhaltung geltender Bestimmungen drohen hohe Bußgelder. Ob Unternehmen für die Gewährleistung der DSGVO einen internen oder einen externen Datenschutzbeauftragten einsetzen, spielt prinzipiell keine Rolle. Die Entscheidung sollte sich immer an den individuellen Voraussetzungen des Unternehmens orientieren.