Es gilt: Ein Datenschutzbeauftragter muss bestellt werden, wenn sich mindestens zehn Personen ständig mit der Verarbeitung von personenbezogenen Daten, im Unternehmen befassen. Diese Voraussetzung erfüllen zahlreiche Unternehmen. Allerdings stellt das Gesetz es den Unternehmen frei, ob die Funktionen an eine externe Person oder eine interne Person gegeben wird.
Unternehmen, die noch keinen Datenschutzbeauftragten haben, müssen jetzt in jedem Falle handeln
Falls ein Mitarbeiter aus dem eigenen Unternehmen für diese Stelle bereits ausgewählt wurde, sollte dieser zunächst mit der notwendigen Fachkunde ausgestattet werden. Weiter ist er auf seine neue Rolle schriftlich zu verpflichten und die Zuverlässigkeit zu überprüfen. Neben der Inanspruchnahme regelmäßiger Weiterbildungsangebote ist es auch erforderlich, dass keine Interessenkollision aufgrund der Funktion im Unternehmen vorliegt. Der Datenschutzbeauftragte muss eine unabhängige Instanz im Unternehmen sein und das Unternehmen auf die Einhaltung des Datenschutzes hinweisen. Diese Pflichten werden mit der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) noch einmal deutlich ausgeweitet. Artikel 39 EU-DSGVO sieht hier inzwischen die Aufgabe der Überwachung zur Einhaltung der geltenden Datenschutzvorschriften vor. Das bislang geforderte „Hinwirken“ auf die Berücksichtigung datenschutzrechtlicher Vorgaben wird durch die konkrete Überwachungsaufgabe mit entsprechenden Kontrollhandlungen somit deutlich erweitert.
Um diese Aufgaben auch wirkungsvoll ausüben zu können, ist es erforderlich, dass der Datenschutzbeauftragte frei von datenschutzfremden Interessen tätig werden kann. Somit sind Unternehmen gut beraten, Mitarbeiter ohne Leitungsfunktion aus Bereichen ohne IT- oder Vertriebsaufgaben als Datenschutzbeauftragte zu benennen. Wenn Mitarbeiter aus den genannten Unternehmensbereichen benannt werden, ist sicherzustellen, dass Interessenkollisionen ausgeschlossen werden.
Die Unternehmen stehen somit vor der schwierigen Aufgabe einen Mitarbeiter zu finden, der sowohl technisch als auch juristisch die fachlichen Anforderungen an einen Datenschutzbeauftragten tatsächlich in einer Person ausfüllen kann. Nicht zuletzt müssen auch ausreichende Kapazitäten für den jeweils bestellten geschaffen werden, damit dieser seinen Aufgaben angemessen nachkommen kann.
Bei Nichtberücksichtigung der Auswahlkriterien für Datenschutzbeauftragte drohen Bußgelder
Nun ist der Fall eingetreten, dass ein Unternehmen, welches einen IT-Manager zum Datenschutzbeauftragten bestellt hatte, durch das Bayrische Landesamt für Datenschutzaufsicht aufgefordert wurde, diesen aufgrund seiner offensichtlichen Interessenkollision abzubestellen. Dieser Aufforderung kam das Unternehmen auch nach mehrfacher Aufforderung nicht nach.
Hierzu führt der Präsident des BayLDA aus: „Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen.“ und betont „Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“.
Somit sind Unternehmen im Zuge der Vorbereitungen auf die EU-DSGVO angehalten ihr Datenschutzmanagement kritisch zu überprüfen und den Datenschutzbeauftragten als strategische Funktion gezielt einzusetzen. Wir möchten mit diesen kleinen Beiträgen zu den aktuellen Entwicklungen bei Aufsichtsbehörden sowie zur Vorbereitung auf die EU- DSGVO sensibilisieren und Handlungsanweisungen geben.
(Mit Material der Pressemitteilung des BayLDA vom 20.10.2016)
(Philipp Frenz, Creditreform Compliance Services GmbH)
