Das sind die Rahmenbedingungen für Sie als Datenschutzbeauftragter ab 25.5.2018

Erstellt: 12.01.2018

vor dem Hintergrund der ab dem 25.5.2018 verbindlichen neuen Datenschutzbestimmungen macht sich mancher Datenschutzbeauftragte Sorgen, wie es denn ab diesem Zeitpunkt mit ihm weitergeht. Bleibt man Datenschutzbeauftragter? Ist man nach wie vor durch einen Sonderkündigungsschutz abgesichert?

Diese Fragen sind berechtigt. Umso wichtiger ist, dass Sie auf dieser Themenseite Antworten auf all diese Fragen bekommen. Und mit diesem Wissensvorsprung werden Sie schnell merken: Im Hinblick auf Ihre Aufgaben und Ihre Funktion brauchen Sie vor den neuen Regeln keine Angst haben

Gratis-Download

Das aktuelle Gesetz BDSG ändert sich nicht nur, sondern es wird komplett in die DS-GVO aufgehen. Welche Konsequenzen diese Änderung auch für Sie als...

Jetzt downloaden

Nach dem aktuell geltenden Bundesdatenschutzgesetz (BDSG) ist in vielen Fällen klar: Aufgrund § 4f Abs.1 BDSG muss ein Datenschutzbeauftragter (DSB) bestellt werden. Doch wie sieht die Sache nach dem Geltungsbeginn von Datenschutz-Grundverordnung (DS-GVO) und neuem BDSG (BDSG-neu) aus? Auf 12 wichtige Fragen finden Sie hier die Antworten.

1. Welche gesetzlichen Bestimmungen spielen eine Rolle?

Wenn es um Fragen rund um Ihre Benennung, Ihre Stellung und Ihre Aufgaben als DSB geht, müssen Sie in Zukunft in erster Linie zwei Gesetze im Auge behalten. Einerseits die DS-GVO, die für den einheitlichen Rechtsrahmen für den Datenschutz in Europa sorgt und somit auch den DSB europaweit verankert. Andererseits sind ggf. nationale ergänzende Bestimmungen zum DSB zu beachten. So z. B. in Deutschland im BDSG-neu.Inwieweit andere Mitgliedstaaten ebenfalls Sonderbestimmungen zum DSB schaffen werden, muss sich zeigen.

2. Welche gesetzliche Regelung hat Vorrang?

Grundsätzlich haben die Bestimmungen der DS-GVO in Art. 37–39 DS-GVO Anwendungsvorrang. Nur dort, wo die DSGVO den nationalen Gesetzgebern Spielräume eröffnet, können diese selbst zusätzliche Regelungen treffen. Einen solchen Spielraum gibt es beispielsweise im Zusammenhang mit der Frage, wann ein DSB zu benennen ist. Die weniger strengen Voraussetzungen der DS-GVO hat Deutschland mit der Regelung in § 38 BDSG-neu verschärft. Im Ergebnis bestehen auch zukünftig ähnlich strenge Vorgaben zur Bestellpflicht,wie sie bislang § 4f Abs. 1 BDSG vorsieht.

3. In welchen Fällen müssen Unternehmen einen DSB benennen?

Die DS-GVO sieht in Art. 37 Abs. 1 verschiedene Fälle vor, bei denen ein DSB zu benennen ist – und unabhängig von der Zahl der bei der Verarbeitung personenbezogener Daten Beschäftigten. Beispiel: wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 Buchst. b DS-GVO).Allerdings sind die Fälle der DS-GVO für deutsche Unternehmen nicht entscheidend. Vielmehr kommt es auf die Vorgaben des § 38 BDSG-neu an.

§ 37 Abs. 1 BDSG-neu sieht in folgenden Fällen vor, dass ein DSB benannt werden muss:

  • Das Unternehmen beschäftigt in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten oder
  • es kommt zu Verarbeitungen, die einer Datenschutz-Folgenabschätzung im Sinne von Art. 35 DS-GVO unterliegen,was beispielsweise bei einer Videoüberwachung der Fall sein kann (vgl. Art. 35 Abs. 3 Buchst. c DS-GVO) oder
  • es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

4. Welche Voraussetzungen muss der DSB erfüllen?

Zentrale Vorschrift in diesem Zusammenhang ist Art. 37 Abs. 5 DS-GVO. Nach dieser Vorschrift werden Sie auf Grundlage Ihrer beruflichen Qualifikation und insbesondere Ihres Fachwissens benannt, das Sie auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen.Darauf basierend müssen Sie in der Lage sein, die sich aus Art. 39 DS-GVO ergebenden Aufgaben zu erfüllen.

Wie umfangreich Qualifikation und Fachwissen sein müssen, hängt von der individuellen Situation des jeweiligen Unternehmens ab. Dabei sind insbesondere Unternehmensgröße, Organisation, Mitarbeiterzahl,Art und Umfang der Verarbeitung personenbezogener Daten wesentliche Einflussfaktoren.

5. Wer darf nicht zum Datenschutzbeauftragten ernannt werden?

Zunächst grundsätzlich derjenige, der nicht über die notwendige berufliche Qualifikation und das notwendige Fachwissen verfügt. Sie müssen aber auch zuverlässig sein, sprich: etwa dazu in der Lage sein, Meinungen auch gegen Widerstände zu vertreten oder Vertrauliches vertraulich zu halten.Fehlt es daran, können die Aufgaben aus Art. 39 DS-GVO nicht so wahrgenommen werden,wie sie wahrgenommen werden müssen.

Außerdem: Gerade beim Teilzeit-DSB darf es zu keinem Interessenkonflikt kommen, wenn andere Aufgaben wahrgenommen werden sollen (vgl. Art. 38 Abs. 6 DS-GVO). Dies wäre insbesondere dann anzunehmen, wenn der DSB sich selbst kontrollieren oder wenn er in seiner anderen Tätigkeit Interessen wahrnehmen müsste, die dem Datenschutz zuwiderlaufen.Denken Sie hier beispielsweise an den Marketingleiter, dem an einer umfassenden „Beobachtung und Analyse“ der Kunden gelegen ist.

6. Muss das Unternehmen den DSB schriftlich ernennen?

Konkret festgelegt ist das weder in der DS-GVO noch im BDSGneu. Denkbar wäre daher auch, den DSB mündlich oder in Textform zu benennen (z. B. per E-Mail). Allerdings empfehle ich schon allein aus Beweisgründen, den DSB schriftlich zu benennen. Vielleicht fordert nämlich einmal eine Aufsichtsbehörde einen entsprechenden Beleg. Aber auch im eigenen Interesse sollten Sie auf einer schriftlichen Benennung bestehen. Im Fall der Fälle gibt es dann keine Diskussionen darüber,wer wen wann benannt hat.Das kann beispielsweise beim Kündigungsschutz eine wichtige Rolle spielen.

7. Gibt es einen Unterschied zwischen der Bestellung und der zukünftigen Benennung zum DSB?

Mit dieser Wortwahl, neudeutsch dem Wording, sollten Sie sich nicht zu lange aualten. Ob man ein entsprechendes Schreiben nun als Benennung,Ernennung oder Bestellung bezeichnet, ist im Ergebnis ohne wirkliche Bedeutung. Wichtig ist nur, dass es zu einer von der Unternehmensleitung unmissverständlich erklärten Funktions- und Aufgabenzuweisung kommt.

8. Können mehrere Unternehmen eines Konzerns einen DSB benennen?

Im Gegensatz zum heutigen BDSG ist diese Möglichkeit für Unternehmensgruppen, sprich: Konzerne, ausdrücklich in Art. 37 Abs. 2 DS-GVO vorgesehen. So kann etwa die Leitung der Unternehmensgruppe einen gemeinsamen DSB benennen und die Benennung für die verbundenen Unternehmen vornehmen. Mit einer entsprechenden Regelung könnten Sie auch automatisch DSB zukünftiger neuer Unternehmen in der Gruppe werden.

9. Darf ein Unternehmen einen DSB auch über Ländergrenzen hinweg ernennen?

Prinzipiell dürfte das für Unternehmensgruppen in der EU möglich sein. Allerdings muss man dabei eine wichtige Regelung des Art. 37 Abs. 2 DS-GVO berücksichten: Der DSB muss von jeder Niederlassung aus leicht erreicht werden können. Zwar muss der DSB nicht überall vor Ort präsent sein, sodass eine Kontaktaufnahme per Telefon, E-Mail & Co. ausreichen dürfte. Viel größere Hürden können jedoch die Sprache oder die Besonderheiten der auch zukünig bestehenden nationalen Datenschutzgesetze sein. Denn nur wenn der Datenschutzbeauragte auch das diesbezügliche Fachwissen hat, darf er als DSB ernannt werden (vgl.Art. 37 Abs. 5 DS-GVO).

10. Muss der Datenschutzbeauftragte Mitarbeiter des betreffenden Unternehmens sein?

Generell können Sie auch einem anderen Unternehmen innerhalb und außerhalb einer eventuellen Unternehmensgruppe angehören. Auch die üblicherweise unter dem Begriff Externe DSB zusammengefassten Datenschutzberater oder Rechtsanwälte können zum Datenschutzbeauftragten bestellt bzw. benannt werden.

11. Muss der DSB der zuständigen Datenschutzaufsichtsbehörde gemeldet werden?

Dies sieht Art. 37Abs. 7 DS-GVO vor. Damit die Datenschutzaufsichtsbehörde Sie schnell und unkompliziert kontaktieren kann, werden zu allgemeine Kontaktinformationen nicht ausreichend sein. Insofern wird man Namen, Anschrift, Telefonnummer und E-Mail-Adresse zur Verfügung stellen müssen.

12. Was droht, wenn im Zusammenhang mit dem DSB gegen gesetzliche Vorgaben verstoßen wird?

Als DSB nehmen Sie auch in Zeiten der DS-GVO eine wichtige Rolle ein.Wie wichtig diese ist, erkennen Sie beispielsweise auch daran, dass Verstöße gegen die Vorgaben rund um den Datenschutzbeauftragten mit schmerzhaften Bußgeldern belegt werden können (Art. 83 Abs. 4 Buchst. a DS-GVO)

Sie brauchen ein Benennungsschreiben? Hier ist Ihr Entwurf

Viele Datenschutzbeauftragte machen sich derzeit auch Gedanken um rein praktische Probleme, die bei Datenschutzaufsichtsbehörden und juristischen Experten auf der Prioritätenliste ganz hinten zu stehen scheinen, z. B.: Muss man eine bestehende Bestellung zum Datenschutzbeauftragten ergänzen, anpassen oder erneuern? Wie muss die Benennung zum Datenschutzbeauftragten zukünftig eigentlich aussehen?

Am besten ein neues Dokument erstellen Klar ist, Ihre bestehende Bestellung zum Datenschutzbeauftragten gilt auch über den 25.5.2018,sprich: den Geltungsbeginn von Datenschutz-Grundverordnung (DS-GVO) und neuem Bundesdatenschutzgesetz (BDSG-neu), hinaus. Allerdings ändern sich nicht nur die „Hausnummern“ der Artikel und Paragrafen. Vielmehr verändert sich Ihr Aufgabenspektrum.

Das ist Grund genug, dass man am besten ein neues Dokument erstellt und für die Ernennung zum Datenschutzbeauftragten verwendet.Nutzen Sie das neue Dokument beispielsweise auch dazu, im Bedarfsfall über mehr Unterstützung oder die erforderliche Freistellung von anderen bisher wahrgenommenen Aufgaben zu diskutieren. Dabei ist klar: Wenn Sie im Zusammenhang mit der Benennung auch die Aufgaben- und Kapazitätssituation ansprechen wollen, müssen Sie sich unbedingt gut vorbereiten und eine umfassende Übersicht geben können

Tipp

Oft werden Datenschutzbeauftragten weitergehende Aufgaben übertragen. Kommt es dabei nicht zu einem Interessenkonflikt, ist dies grundsätzlich zulässig. Idealerweise werden die Aufgaben in einer Anlage zum Benennungsschreiben aufgeführt. Diese können Sie leicht aus der Übersicht auf den nächsten Seiten erstellen. Das bringt allen Beteiligten vor allem eines: Klarheit über die wahrzunehmenden Aufgaben.

Muster für ein Bennungsschreiben

Ernennung zum betrieblichen Datenschutzbeauftragten

Sehr geehrter Herr Müller,

mit Wirkung zum 25.5.2018 werden Sie durch die Geschäftsleitung der ABC Unternehmensgruppe GmbH gemäß Art. 37 Datenschutz-Grundverordnung (DSGVO) und § 38 Bundesdatenschutzgesetz (BDSG)zum Datenschutzbeauftragten ernannt. Sie sind zugleich Datenschutzbeauftragter weiterer Gesellschaften unserer Unternehmensgruppe,wobei eine Ernennung für die jeweilige Gesellschaft durch gesonderte Erklärung erfolgt. Als Datenschutzbeauftragter sind Sie der jeweiligen Geschäftsführung direkt unterstellt. Ihre Ansprechpartnerin in Belangen des Datenschutzes auf Ebene der Unternehmensgruppe ist Frau Meier als Mitglied der Geschäftsführung.

Sie berichten der Geschäftsführung der Unternehmensgruppe mindestens halbjährlich über Ihre Tätigkeit und die Situation der Unternehmensgruppe im Hinblick auf den Datenschutz. Darüber hinaus haben Sie in aktuellen Angelegenheiten des Datenschutzes ein jederzeitiges Vortragsrecht.

Ihre Funktion, die von Ihnen wahrzunehmenden gesetzlichen Aufgaben sowie Ihre Rechte und Pflichten ergeben sich aus den einschlägigen datenschutzrechtlichen Bestimmungen, insbesondere aus Art. 38 und 39 DS-GVO sowie § 38 BDSG. Weitere Aufgaben ergeben sich aus der beigefügten Aufgabenbeschreibung (Anlage 1), die verbindlicher Bestandteil dieser Ernennung ist.

Bei der Ausübung Ihrer Funktion und Aufgaben auf dem Gebiet des Datenschutzes unterliegen Sie keinen Weisungen,weder unsererseits noch einer anderen Person im Unternehmen. Das Unternehmen und wir werden Sie bei der Wahrnehmung Ihrer Funktion und Ihrer Aufgaben unterstützen.

Sie nehmen die Funktion des Datenschutzbeauftragten neben Ihrer derzeitigen Tätigkeit wahr. Hierzu werden Sie zu 75 % von Ihren derzeit wahrgenommenen Aufgaben entbunden. Soweit Sie nicht die Funktion des Datenschutzbeauftragten ausüben, bleiben disziplinarische wie fachliche Zuordnung und Weisungsrechte unverändert.

Bitte bestätigen Sie durch Ihre Unterschrift, dass Sie mit Ihrer Ernennung zum Datenschutzbeauftragten einverstanden sind und die übertragenen Aufgaben gewissenhaft wahrnehmen werden.

Mit freundlichen Grüßen

Dank Kündigungsschutz: Sie sitzen weiter fest im Sattel

Wenige Monate vor Geltungsbeginn der Datenschutz-Grundverordnung (DS-GVO) und dem neuen Bundesdatenschutzgesetz (BDSG-neu), treibt der 25.5.2018 manchem Datenschutzbeauftragten die Sorgenfalten auf die Stirn. Schließ- lich stellen sich gerade für Arbeitnehmer (überlebens)wichtige Fragen: Kann mir im Zusammenhang mit der DS-GVO gekündigt werden? Wie sieht es überhaupt in Zukunft mit dem Kündigungsschutz aus?

Schauen Sie in das richtige Gesetz

Wenn Sie in die DS-GVO schauen, finden Sie zwar Regelungen zur Pflicht zur Benennung eines Datenschutzbeauftragten, zu dessen Stellung und seinen Aufgaben (Art. 37 ff. DS-GVO). Was Sie nicht finden,sind Regelungen zu einem wie auch immer gearteten (Sonder-)Kündigungsschutz. Doch keine Angst. Zum Glück gilt für Datenschutzbeauftragte nicht nur das, was in der DS-GVO steht. Deutschland hat die Möglichkeit genutzt und im BDSG-neu zusätzliche Regelungen zum Datenschutzbeauftragten geschaffen. Die Konkretisierungsklausel in Art. 37 Abs. 4 DS-GVO macht es möglich. Im Ergebnis heißt das für Sie: Geht es beispielsweise um Ihre Funktion, Ihre Stellung, Ihre Aufgaben, dürfen Sie nicht nur in die DS-GVO schauen. Genauso wichtig ist, dass Sie einen Blick in das BDSG-neu werfen.

Das müssen Sie zum Kündigungsschutz wissen

Suchen Sie nach den Vorgaben zum Kündigungsschutz für Datenschutzbeauftragte, macht man es Ihnen aber auch im BDSGneu nicht leicht. Bei den eigentlichen Regelungen zum Datenschutzbeauftragten, § 38 BDSG-neu,werden Sie nämlich auf den ersten Blick nicht fündig. Der Kündigungsschutz ergibt sich jedoch aus § 38 Abs. 2 BDSG-neu, welcher unter anderem auf § 6 Abs. 4 BDSG-neu verweist. Und genau hier finden Sie nun den Abberufungs- und Kündigungsschutz,wie Sie ihn bereits aus dem derzeit geltenden BDSG kennen (vgl. § 4f Abs. 3 BDSG).

Wichtig

Zwar ist § 6 BDSG-neu auf Datenschutzbeauftragte öffentlicher Stellen zugeschnitten. Durch den Verweis in § 38 Abs. 2 BDSG-neu sind die in § 6 Abs. 4, Abs. 5 Satz 2, Abs. 6 BDSG-neu genannten Festlegungen für Sie anzuwenden.

Nicht jeder Grund zählt

Zur Sicherstellung Ihrer Unabhängigkeit gilt: Eine Kündigung Ihres Arbeitsverhältnisses ist grundsätzlich nur zulässig, wenn Ihr Unternehmen berechtigt ist, Ihnen aus wichtigem Grund ohne die Einhaltung einer Frist zu kündigen. Dabei sollten Sie stets bedenken: Nicht jeder Grund ist wichtig genug, um eine Kündigung zu rechtfertigen. Ein wichtiger Grund kann gegeben sein, wenn Sie gravierend gegen Ihre Aufgaben oder Ihre Arbeitspflicht verstoßen.Auch ist ein wichtiger Grund anzunehmen, wenn durch Ihr Verhalten das Vertrauensverhältnis zum Arbeitgeber gestört ist. Dabei führt dies dazu, dass ihm eine Weiterbeschäftigung nicht mehr zuzumuten ist.

Denkbare wichtige Gründe sind:

  • Sie sorgen selbst für einen Datenschutzvorfall (z. B. verlorene unverschlüsselte Festplatte mit sensiblen Daten).
  • Sie nutzen Ihre Zugriffsrechte, um private Zwecke und Interessen zu verfolgen (z. B. Datenabfrage über Nachbarn).
  • Sie beraten das Unternehmen absichtlich falsch und es kommt zu einem Bußgeld.

Auch bei Stellenwechsel sind Sie geschützt

Selbst wenn Sie etwa aus eigener Veranlassung auf eine andere Stelle im Unternehmen wechseln und daher abberufen werden, sind Sie geschützt.Ähnlich wie § 4f Abs. 3 Satz 6 BDSG macht es nunmehr § 38 Abs. 2 i.V. m. § 6 Abs. 4 Satz 3 BDSG-neu zur Auflage, dass dem abberufenen Datenschutzbeauftragten frühestens ein Jahr nach Ende derAusübung seiner Funktion gekündigt werden darf. Nur wenn Ihr Unternehmen zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist, muss diese Frist nicht eingehalten werden.

Sonderfall: Freiwillig benannte oder externe Datenschutzbeauftragte

Ist das Unternehmen nicht zur Benennung eines Datenschutzbeauftragten verpflichtet, weil die Vorgaben aus Art. 37 Abs. 1 DSGVO oder § 38 Abs. 1 BDSG-neu nicht erfüllt sind, gelten nach § 38 Abs. 2 BDSG-neu für einen auf freiwilliger Basis ernannten Datenschutzbeauftragten die Schutzbestimmungen aus § 38Abs. 2 i. V. m. § 6 Abs. 4 BDSG-neu nicht. Bei externen Datenschutzbeauftragten wird es weiterhin Rechtsunsicherheit geben, ob auch für diese ein Kündigungs- und Abberufungsschutz bestehen kann. Einerseits sollen sie unabhängig arbeiten können, andererseits sind sie jedoch keine Arbeitnehmer des Verantwortlichen.

Wichtig

Auch wenn eine Fremdfirma weitgehend autonom ihren Auftrag abarbeitet und auf den ersten Blick sicherheitstechnisch ordentlich betreut wird, bleibt dem auftraggebenden Unternehmer stets eine Mitverantwortung. Zwar haben Sie den Fremdmitarbeitern gegenüber – im Gegensatz zu Leiharbeitern – in aller Regel keine Weisungsbefugnis. Aber: Wenn Sie feststellen, dass Mitarbeiter einer Fremdfirma massiv gegen Arbeitsschutzvorschriften verstoßen, z. B. eine Baugrube nicht absichern oder bei Ihnen abgeholte Waren nicht ausreichend auf der Ladefläche sichern oder vorgeschriebene Persönliche Schutzausrüstung nicht verwenden, dürfen Sie das nicht mit der Aussage „Sind halt selbst schuld, wenn was passiert!“ ignorieren. Im Gegenteil: Sie müssen das unverzügliche Einstellen der Arbeiten anordnen und sollten schnellstens eine Führungskraft der Fremdfirma von den Versäumnissen in Kenntnis setzen.  

Das Gleiche gilt, wenn Gefahren drohen, die nicht von den Mitarbeitern der Fremdfirma selbst ausgehen. Selbstverständlich müssen Sie bei allen Alarmierungen oder gar Räumungen in Gefahrensituationen auch die Mitarbeiter von Fremdfirmen einbeziehen. Versäumen Sie diese Pflichten und kommen Fremdfirmen-Mitarbeiter zu Schaden, drohen Ihnen unangenehme Rechtsfolgen, ähnlich, als wenn Sie die Fürsorge für die eigenen Mitarbeiter vernachlässigen (Buß- gelder, Regressforderungen usw.). 

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Herausgeber: VNR Verlag für die Deutsche Wirtschaft AG
Sie können den kostenlosen E-Mail-Newsletter jederzeit wieder abbestellen.

Datenschutz

Gut zu wissen: Das sind Ihre Rechte ab 25.5.2018

Datenschutzbeauftragter zu sein, ist eine ziemlich große Herausforderung – diese Aussage können Sie bestimmt aus eigener Erfahrung voll und ganz unterschreiben. Weil man in vielen Fällen auch gegen Widerstände ankämpfen muss, ist es besonders wichtig, dass Sie wissen, wie es um Sie steht und welche Rechte das zukünftige Datenschutzrecht, sprich: Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG-neu), für Sie vorsieht.

Als Datenschutzbeauftragter sind Sie insbesondere …

… in Datenschutzfragen ordnungsgemäß und frühzeitig einzubinden (Art. 38 Abs. 1 DS-GVO)

Das heißt für Sie: Spielen bei einem Sachverhalt Datenschutzfragen eine Rolle, muss man Sie zeitlich so einbinden, dass Sie genügend Zeit haben, die bestehenden Fragen sorgfältig und in der notwendigen Tiefe zu prüfen und zu beantworten. Außerdem muss man Ihnen die hierfür erforderlichen Informationen zur Verfügung stellen.Werden Ihnen die notwendigen Informationen nicht rechtzeitig zur Verfügung gestellt, können Sie Ihren Aufgaben nicht gerecht werden.

… bei der Erfüllung Ihrer Aufgaben zu unterstützen (Art. 38 Abs. 2 DS-GVO)

Das heißt für Sie: Ähnlich wie heute muss man Sie mit den notwendigen Ressourcen so unterstützen, dass Sie Ihren Aufgaben als Datenschutzbeauftragter gerecht werden können. Dazu zählen nicht nur notwendige Arbeitsmittel wie beispielsweise Computer, Software oder Drucker. Dazu können je nach Unternehmensgröße, Strukturen und Datenverarbeitungen auch Räumlichkeiten und Personal zählen.Und vergessen Sie nicht:Auch die Ressource Zeit muss angemessen zur Verfügung stehen.

… berufen, der höchsten Managementebene unmittelbar Bericht zu erstatten (Art. 38 Abs. 3 Satz 3 DS-GVO)

Das heißt für Sie: Sie stehen in direktem Kontakt zur höchsten Managementebene. Dies gilt unabhängig davon, ob Sie vielleicht ansonsten viele Managementebenen darunter tätig sind. In Datenschutzfragen haben Sie direktes Vortragsrecht.Allerdings auch nicht mehr. Man muss keine Stelle schaffen, die auch disziplinarisch direkt der obersten Managementebene zugeordnet ist.

… berechtigt, Ihr Fachwissen zu erhalten (Art. 38 Abs. 2 DSGVO)

Das heißt für Sie: Um Ihre Aufgaben wirklich wahrnehmen zu können, brauchen Sie aktuelles Know-how.Das gewinnen Sie beispielsweise durch Fachliteratur.Aber auch der Austausch mit anderen Datenschutzbeauftragten (Erfahrungsaustauschrunden) oder die Teilnahme an Fortbildungsveranstaltungen kann erforderlich sein.

…berechtigt, personenbezogene Daten und Verarbeitungsvorgänge zu kontrollieren (Art. 39 Abs. 1 Buchst. b, Art. 38 Abs. 2 DS-GVO)

Das heißt für Sie: Damit Sie Ihrem Kontrollauftrag gerecht werden können, muss man Sie auch dadurch unterstützen, dass man Ihnen Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen gewährt.Eine Einschränkung gibt es hier nicht.Besteht Personenbezug, haben Sie ein Zugangsrecht.

… in Ausübung Ihrer Aufgaben weisungsfrei (Art. 38 Abs. 3 Satz 1 DS-GVO)

Das heißt für Sie:Ihr Tätigwerden im Interesse des Datenschutzes macht es notwendig, dass Sie in Fachfragen unabhängig sind. Das heißt, auch in Zukun darf Ihnen niemand vorschreiben, wie Sie die Dinge im Datenschutz zu beurteilen haben. Dieses Recht erstreckt sich aber nur auf Ihre Arbeit als Datenschutzbeauftragter. Sonstige Weisungen (z. B. zur Arbeitszeit) müssen Sie natürlich befolgen.

… bei Datenschutz-Folgenabschätzungen zurate zu ziehen (Art. 35 Abs. 2 DS-GVO)

Das heißt für Sie: Ihr Spezialwissen soll im Interesse des Datenschutzes Berücksichtigung finden, insbesondere bei neuen Verarbeitungen. Daher muss man Sie einbinden.

… gegen unzulässige Abberufung, Benachteiligung oder Kündigung geschützt (Art. 38 Abs. 3 Satz 2 DS-GVO, § 38 Abs. 2 i.V. m. § 6 Abs. 4 BDSG-neu)

Das heißt für Sie: Mit diesen Schutzrechten will der Gesetzgeber sicherstellen, dass Sie unabhängig und weisungsfrei Ihren Aufgaben nachgehen können. In Deutschland wird der bisherige Sonderkündigungsschutz (§ 4f Abs. 3 Sätze 5 und 6 BDSG) in § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG-neu fortgeführt.

… zur Vertraulichkeit verpflichtet und berechtigt, bestimmte Zeugnisverweigerungsrechte in Anspruch zu nehmen (Art. 38 Abs. 5 DS-GVO, § 38 Abs. 2 i. V. m. § 6 Abs. 6 BDSG-neu)

Das heißt für Sie: Die Vorgabe ist Pflicht, aber auch zugleich Recht. Damit wird einerseits sichergestellt, dass sich Betroffene vertrauensvoll an Sie wenden können, und andererseits, dass für Verantwortliche bestehende Zeugnisverweigerungsrechte nicht über den Datenschutzbeauftragten umgangen werden.

Ganz Wichtig

Werden Ihre Rechte verletzt, könnte auch das zu einem schmerzhaften Bußgeld führen. Denn auch die gesetzlichen Festlegungen zum Datenschutzbeauftragten sind gemäß Art. 83 Abs. 4 Buchst. b DS-GVO mit einem Bußgeld bedroht. Das ist ein erheblicher Fortschritt gegenüber den heutigen Regelungen und kann Ihnen hier und da die Arbeit erleichtern.

Autorin: Sibylle Würz

Ähnliche Beiträge

| Andreas Würtz - Um Ihre Rolle als Datenschutzbeauftragter ranken sich häufig Missverständnisse. Gerade im Hinblick auf die anstehenden Veränderungen durch die... Artikel lesen

| Andreas Würtz - Transparenz für die Betroffenen über die Verwendung ihrer Daten ist der Kern des informationellen Selbstbestimmungsrechts und des europäischen... Artikel lesen

| Andreas Hessel - In der Datenschutz-Grundverordnung (DS-GVO) gibt es keine ausdrückliche Regelung über die Zulässigkeit der Videoüberwachung. Im aktuellen... Artikel lesen

| Andreas Würtz - Egal, ob es dem Unternehmen gerade schlecht geht oder man das Geld zurzeit anderswo einsetzen muss, Sie müssen einen Weg finden, Wissen bezüglich der... Artikel lesen

| Wolfram von Gagern - Was Sie beachten müssen, wenn Sie bei der Weitergabe von ausrangierter Hardware jegliches Datenschutzrisiko ausschließen möchten, lesen Sie im... Artikel lesen

| Wolfram von Gagern - Die Frage: Ich habe gelesen, dass es verboten werden soll, über Bewerber Informationen zu ergoogeln. Wie ist denn da der Rechtsstand? Artikel lesen

Jobs