• Mehr als 25 Jahre Erfahrung
  • Individuelle betriebswirtschaftliche Beratung
  • Praxisorientiert mit Know-how
Start » Lexikon » Interner/externer betrieblicher Datenschutzbeauftragter

Wissenswertes

Lexikon

Interner/externer betrieblicher Datenschutzbeauftragter

Art. 37 DSGVO, §§ 38, 6 Abs. 4 BDSG

Unternehmen der privaten Wirtschaft sind, unabhängig von ihrer Rechtsnatur, verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, sofern

  • mehr als zwanzig Personen (unabhängig von deren arbeitsrechtlichem Status) regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden,
  • personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder der Markt- oder Meinungsforschung automatisiert verarbeitet werden, unabhängig von den oben genannten Personenzahlen,
  • bei dem Verantwortlichen eine Datenschutz-Folgenabschätzung vorhanden ist oder notwendig ist,
  • die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Besteht die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten, hat das Unternehmen die Wahl, ob es dieser Pflicht mittels einer externen Bestellung („Einkauf“ der Kompetenz von Dritten) oder intern (durch die Bestellung einer eigenen Mitarbeiterin / eines eigenen Mitarbeiters) erfüllt. In beiden Fällen hat das Unternehmen einen Monat nach Betriebsaufnahme, bzw. Überschreiten des relevanten Schwellenwertes Zeit, dieser Pflicht nachzukommen. Die DSGVO kennt ein Konzernprivileg im Art. 37 Abs. 2 DSGVO für einen gemeinsamen Datenschutzbeauftragten. Dieser kann bestellt werden, wenn der Datenschutzbeauftragte leicht von jeder Niederlassung aus zu erreichen ist. Im Konzernverbund sollte stets für jedes Unternehmen, das die oben genannten Kriterien für sich erfüllt, eine separate Bestellung vorgenommen werden oder ggf., falls die Möglichkeit eines gemeinsamen Datenschutzbeauftragten gegeben ist, ein gemeinsamer Datenschutzbeauftragter bestellt werden. Es kann auch dieselbe Person für alle Unternehmen, bei den Nicht-Anstellungsunternehmen dann extern, zum betrieblichen Datenschutzbeauftragten bestellt werden.

Nicht zum internen betrieblichen Datenschutzbeauftragten bestellt werden können Mitglieder der Geschäftsführung sowie Beschäftigte, bei welchen aufgrund ihrer innerbetrieblichen Tätigkeiten oder Positionen besondere Kontrollkonflikte zu erwarten sind. Gemeinhin gelten somit Leiterinnen bzw. Leiter der Bereiche Personal, EDV, oder Controlling als nicht geeignet. Bei Mitgliedern des Betriebsrates sieht die inzwischen wohl h. M. keinen übermäßigen Kontrollkonflikt. Aber auch an anderen Stellen kann, je nach den unternehmensspezifischen Strukturen, ein derartiger Konflikt bestehen. Dies sollte in jedem Fall bereits vor der Bestellung geprüft werden, da diese sonst ggf. als nichtig angesehen werden kann.

Die Bestellung sollte schriftlich durch die Geschäftsleitung erfolgen. Eine Pflicht zur Information der Aufsichtsbehörde besteht zudem.

Anders als der externe genießt der interne betriebliche Datenschutzbeauftragte ein umfassendes Benachteiligungsverbot, das seine Unabhängigkeit gewährleisten soll. Dieses Benachteiligungsverbot beinhaltet einen sehr weitreichenden Kündigungsschutz, der in der Praxis dazu führt, dass sich Unternehmen einseitig nur von ihrem internen betrieblichen Datenschutzbeauftragten trennen können, wenn ein Grund zur außerordentlichen Kündigung des Arbeitsverhältnisses (§ 626 BGB) vorliegt. Selbst kann der Datenschutzbeauftragte jederzeit das Amt niederlegen. Für das beim internen betrieblichen Datenschutzbeauftragten bestehende Arbeitsverhältnis besteht dann ein Jahr nachlaufender Kündigungsschutz, sofern es sich um eine Pflichtbestellung handelte.

Der betriebliche Datenschutzbeauftragte muss bereits bei der Aufnahme der Tätigkeit über die allgemeine Fachkunde verfügen. Nach dem so genannten „Ulmer Urteil“ (Az.: 5T 153/90-01 LG Ulm) zum alten Datenschutzrecht bedeutet dies, dass einschlägige Kenntnisse in den Bereichen Recht und BWL vorhanden sein müssen. Ferner muss der Datenschutzbeauftragte „Computerexperte“ sein. Ferner stellte das Gericht fest, dass Datenschutzbeauftragte einen Beruf ausüben. Zur allgemeinen Fachkunde hinzu kommt die unternehmensspezifische Fachkunde. Dies bedeutet, dass sich der Datenschutzbeauftragte mit den im konkreten Einzelfall relevanten Prozessen, Belangen und Anforderungen vertraut machen muss. Die unternehmensspezifische Fachkunde kann zeitnah nach der Bestellung erworben werden. Der Arbeitgeber eines internen betrieblichen Datenschutzbeauftragten ist verpflichtet, diesem die erforderliche Fortbildung zu gewähren.

Aufgabe des Datenschutzbeauftragten ist es, auf die Einhaltung der gesetzlichen Anforderungen zum Datenschutz hinzuwirken, nicht sie zu gewährleisten. Dies kann der Datenschutzbeauftragte aufgrund seiner ihm vom Gesetzgeber verliehenen Kompetenzen (Prüfungs-, Dokumentations- und Vorschlagsrechte und -pflichten, jedoch keine Verfügungsbefugnis) nicht. Ferner berät der Datenschutzbeauftragte bei dem Verzeichnis von Verarbeitungstätigkeiten und Datenschutzfolgenabschätzungen.