Externer Datenschutzbeauftragter

Während alle Unternehmen und gemeinnützigen Organisationen die Bestimmungen des Datenschutzes anwenden müssen, trifft die Pflicht zur Bestellung eines Datenschutzbeauftragten nur bestimmte Unternehmen und Non-Profit-Organisationen sowie alle Behörden in Deutschland.

Art. 37 DSGVO ordnet die Bestellung eines Datenschutzbeauftragten an, wenn:

– es sich um eine Behörde handelt oder

– die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

– die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Letzteres ist insbesondere für den sozialen und medizinischen Bereich relevant, weil dort sensible personenbezogene Daten verarbeitet werden. Darunter fallen gemäß Art. 9 DSGVO insbesondere Gesundheitsdaten sowie sonstige Daten des sensiblen persönlichen Bereichs (Religion, Weltanschauung, sexuelle Orientierung, Gewerkschaftszugehörigkeit und vergleichbare sehr schutzbedürftige Daten).

Der deutsche Gesetzgeber hat zudem eine pauschale Bestellpflicht angeordnet, soweit ständig 20 oder mehr Beschäftigte (irgendwelche) personenbezogenen Daten verarbeiten (§ 38 BDSG) oder soweit eine Datenschutzfolgenabschätzung durchzuführen ist.

Die darunterfallenden Unternehmen müssen also einen Datenschutzbeauftragten bestellen, alle anderen können dies freiwillig tun.

Soweit ein Datenschutzbeauftragter bestellt wird, hat man die Wahl, ob man einen internen oder einen externen Datenschutzbeauftragten bestellt.

Interne Beauftragte dürfen keine wichtige Position bekleiden, die zu einem Interessenkonflikt führen kann. Dadurch scheiden die Geschäftsführer oder sonstigen Organe für diese Rolle aus, ebenso ein IT-Leiter oder ein kaufmännischer Leiter. Wenn man eine geeignete Person im Unternehmen findet, die entsprechend geschult ist, kann man sie zum internen Datenschutzbeauftragten bestellen. Dies hat jedoch den großen Nachteil, dass damit ein besonderer Kündigungsschutz verbunden ist, was den internen Datenschutzbeauftragten praktisch unkündbar macht (§ 38 i.V.m. § 6 BDSG).

Ein externer Datenschutzbeauftragter kann demgegenüber jederzeit abberufen werden. Der Vorteil von externen Datenschutzbeauftragten liegt darin, dass sie in der Regel deutlich besser geschult und erfahren sind und zudem für Beratungsfehler gegenüber dem Auftraggeber haften; anders als ein Arbeitnehmer, der die interne Rolle übernommen hat und dann praktisch nur für Vorsatz und grobe Fahrlässigkeit (anteilig) haftet.