DSGVO

Der Datenschutzbeauftragte
– der natürliche Feind eines jeden Webmaster oder System-Administrator.

Aber braucht man diesen wirklich?

Hierzu sagt das BDGS ganz klar – ja – aber – erst ab zehn Personen, die mit Daten beschäftigt sind und in speziellen Branchen.

BDSG Art. 38 (1)

¹Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

²Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Wer kann Datenschutzbeauftragter werden?

Jeder der die Qualifikation gemäß Art. 37 (5) erfüllen kann und nicht dabei mit Art. 38 (6) in Konflikt kommt. Die sich hieraus ergebende Frage, wie diese Qualifikation gem. Art. 37 nachzuweisen ist, wird nicht in der EU-DSGVO beantwortet. Eine diesbezügliche Konkretisierung wäre wünschenswert, da hier technische, juristische und zu guter Letzt auch betriebswirtschaftliche Kenntnisse erforderlich sind. Das Ausschlusskriterium gem. Art. 38 (Interessenskonflikt) wurde bereits vor Einführung der EU-DSGVO, gemäß BDSG, durch verschiedene Gerichtsurteile konkretisiert und sanktioniert. Demnach sind Personen die Inhaber, Geschäftsführer, Personalleiter oder Leiter der IT sind, für diese Aufgaben völligst ungeeignet, eine Ernennung selbige wird gleichgesetzt mit dem nichtvorhandensein eines Datenschutzbeauftragten – und empfindlich sanktioniert. Ein treffendes Zitat aus einem der nachstehende verlinkten Artikel: Der Gesetzgeber verlangt hier salopp, nicht “den Bock zum Gärtner zu machen”.

DSGVO Art. 37  (5)

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

DSGVO Art. 37 (6)

Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

DSGVO Art. 38 (6)

¹Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen.

²Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

Nachstehend einige Links zu dieser Thematik:

• Welche Voraussetzungen muss ein betrieblicher Datenschutzbeauftragter erfüllen
• Ein Datenschutzbeauftragter darf keinen interessenkonflikten unterliegen
• Datenschutzbeauftragter Vorsicht vor Interessenkollision