Aktualisierung: 05.07.2022
05.07.2022
Mit der neuen DSGVO bleibt kein Stein auf dem anderen? Nicht ganz, denn bewährte Prinzipien bleiben auch nach der Gesetzesänderung im Mai 2018 erhalten. So wird auch der Datenschutzbeauftragte im Unternehmen für Compliance sorgen. Nur die Rechtsgrundlage ist eine neue.
Compliance spielt besonders im Datenschutz eine wichtige Rolle, denn Online-Händler hantieren tagtäglich mit Datenmengen, darunter hochsensible Kundendaten wie Anschriften, Bankdaten oder Informationen zu den gekauften Produkten. Geraten sie in die falschen Hände, etwa von unautorisierten Mitarbeitern oder Dritten (z. B. Hackern), kann das ein ungeahntes Ausmaß haben. Um neben der behördlichen Überwachung von Datenvorgängen ein weiteres Kontrollinstrument zu haben, besteht für einige Unternehmen die Pflicht, einen Datenschutzbeauftragten zu bestellen.
Der Datenschutzbeauftragte hat die Aufgabe, auf die Einhaltung der datenschutzrechtlichen Vorgaben hinzuwirken sowie die gesetzmäßige Nutzung von EDV-Programmen im Unternehmen zu kontrollieren und zu überwachen. Der Datenschutzbeauftragte ist in seiner Funktion der Geschäftsleitung unmittelbar unterstellt. Er agiert bei der Wahrnehmung seiner Aufgabe als Datenschutzbeauftragter aber weisungsfrei. Der Datenschutzbeauftragte ist per Gesetz zur Verschwiegenheit verpflichtet. Eine weitere Besonderheit ist der zusätzliche Kündigungsschutz des internen Datenschutzbeauftragten
Im derzeit gültigen Bundesdatenschutzgesetz ist festgelegt, wann ein Unternehmen einen Datenschutzbeauftragten benötigt. Einen Datenschutzbeauftragten müssen alle Unternehmen bestellen, die Daten automatisiert verarbeiten. Ausgenommen sind Unternehmen, in denen höchstens 9 Personen Daten automatisiert verarbeiten oder weniger als 20 Personen personenbezogene Daten nicht-automatisiert verarbeiten. Das bedeutet, dass alle Privatunternehmen, die personenbezogene Daten mittels EDV-System verarbeiten und mit der Verarbeitung 10 oder mehr Personen betrauen, einen Datenschutzbeauftragten bestellen müssen. Bei der Berechnung der Anzahl der Mitarbeiter werden auch Teilzeitkräfte oder freie Mitarbeiter mitgezählt, wenn sie zeitweise Datenverarbeitungsaufgaben wahrnehmen.
„Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.“ Zum Datenschutzbeauftragten kann entweder ein eigener Mitarbeiter, der nicht zur Unternehmensleitung gehört, bestellt werden (= interner Datenschutzbeauftragter) oder auch eine Person, die außerhalb der Unternehmung steht (= externer Datenschutzbeauftragter).
Der Datenschutzbeauftragte taucht auch in der DSGVO wieder auf. In Artikel 37 werden Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn deren Kerntätigkeit (d. h. deren Hauptgeschäftsfeld) etwa in einer Datenverarbeitung besteht, die aufgrund ihres Zwecks oder ihres Umfangs eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erfordert. Das dürfte auf kleine und mittelständige Online-Händler nicht zutreffen, da sie kaum systematisch oder in größerem Umfang Kundendaten überwachen – zumindest nicht in der Hauptaufgabe.
Die DSGVO normiert die vom Datenschutzbeauftragten wahrzunehmenden Aufgaben wie Unterrichtung und Beratung des Unternehmens sowie der Beschäftigten, Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften, Schulungen und Zusammenarbeit mit der Aufsichtsbehörde. Der Datenschutzbeauftragte ist weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Natürlich ist er zur Geheimhaltung verpflichtet. Insoweit gibt es also kaum Neuerungen zur bisherigen Rechtslage.
Aber Achtung: Auch wenn die Vorschriften der DSGVO meist zu keiner Pflicht führen dürften, kann das nach neuem nationalen Recht anders aussehen. Die Mitgliedstaaten dürfen im nationalen Recht für weitere Fälle die Bestellung eines Datenschutzbeauftragten vorschreiben. Das hat der deutsche Gesetzgeber auch getan. Im neuen Bundesdatenschutzgesetz ist der Datenschutzbeauftragte in privaten Unternehmen weiter konkretisiert (Gesetzesentwurf Artikel 38 ff.). Ergänzend zur DSGVO benennt der Verantwortliche eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Kleine Online-Händler sind damit auch weiterhin befreit.
Die Abberufung der oder des Datenschutzbeauftragten ist nur mit außerordentlicher Kündigung möglich. Die oder der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Personen zulassen, verpflichtet, soweit sie oder er nicht davon durch die betroffene Person befreit wird.
Die Themenreihe zur Datenschutzgrundverordnung (DSGVO)
Teil 1: Newsletterversand
Teil 2: Informationspflichten
Teil 3: Auskunftspflichten
Teil 4: Betroffenenrechte
Teil 5: Umgang mit Datenpannen
Teil 6: Neuerungen beim Umgang mit Kundendaten
Teil 7: Übermittlung von Daten ins Ausland
Teil 8: Auftragsdatenverarbeitung
Teil 9: Der Einsatz von Cookies
Teil 10: Social Plugins
Teil 11: Der Datenschutzbeauftragte
Teil 12: Verfahrensverzeichnis, Vorabkontrolle und Folgenabschätzung
Teil 13: Aufsichtsbehörden
Teil 14: Befugnisse und Sanktionsmaßnahmen
Teil 15: Praxisteil - Maßnahmen zur Vorbereitung (Checkliste)
Teil 16: Glossar
Der DSGVO-Countdown: Wie plane ich die nächsten 157 Tage? (Teil 1)
Der DSGVO-Countdown: Wie plane ich die nächsten 135 Tage? (Teil 2)
Der Händlerbund hat Online-Händler zur DSGVO befragt. Die Infografik zeigt, wie Händler sich auf die DSGVO vorbereitet fühlen und was sich bisher bei der Umsetzung getan hat.
Yvonne bringt juristische Klarheit in komplexe Fragen – zu Abmahnungen, EU-Recht, Wettbewerbsregeln und Urheberrechtsfragen.
Instagram
Facebook
LinkedIn
X
Threads
YouTube
Spotify
Twitter
Threads
Kommentar schreiben