In Deutschland ist man Datenschutzbeauftragte in Unternehmen seit Jahrzehnten ganz selbstverständlich gewohnt. Für andere Länder in der Europäischen Union (EU) sind sie dagegen etwas Neues. Die EU-Datenschutz-Grundverordnung (EU-DSGVO) führt sie auch dort ein. Ergänzende nationale Vorschriften sind dabei weiterhin zulässig. Deutschland hat sie Mitte Mai 2017 eingeführt. Diese Kombination stellt sicher, dass im Ergebnis alles so bleibt, wie es sich bewährt hat.
Die bisherige Situation
Bisher - vor der EU-DSGVO - war es so: Besondere EU-Regelungen für Datenschutzbeauftragte gibt es nicht. Jeder Mitgliedstaat kann selbst entscheiden, ob er Datenschutzbeauftragte im Unternehmen vorschreibt.
Deutschland hat dies schon vor Jahrzehnten getan. Im Ergebnis müssen lediglich kleine Unternehmen mit weniger als zehn Beschäftigten keinen Datenschutzbeauftragten haben.
yourIT: Datenschutzbeauftragte jetzt überall in der EU |
Neuerungen durch die EU-Datenschutz-Grundverordnung
Ab dem 25. Mai 2018 ändert sich die Situation auf EU-Ebene deutlich. Ab diesem Tag gilt die EU-Datenschutz-Grundverordnung. Erstmals sind dann in allen Mitgliedstaaten Datenschutzbeauftragte für Unternehmen vorgeschrieben. Dabei kommt es nicht auf die Zahl der Beschäftigten an.
Das Beispiel Gesundheitsdaten
Entscheidend ist vielmehr, worin die Kerntätigkeit eines Unternehmens besteht. Wenn es beispielsweise in großem Umfang Gesundheitsdaten verarbeitet, muss ein Datenschutzbeauftragter schon nach den Vorgaben der EU-DSGVO vorhanden sein.
Beispiele für solche Unternehmen sind natürlich Krankenhäuser, aber etwa auch Apotheken.
Das Beispiel SCHUFA & Co.
Ein weiteres Beispiel bilden Unternehmen wie die SCHUFA. Diese Auskunfteien verarbeiten in umfangreicher Weise Daten über Personen und beobachten das wirtschaftliche Verhalten von Personen auf Dauer. Auch das führt dazu, dass die EU-DSGVO einen Datenschutzbeauftragten fordert.
Die EU-DSGVO formuliert dies etwas kompliziert so: Die Kerntätigkeit eines solchen Unternehmens besteht darin, dass eine umfangreiche regelmäßige und systematische Überwachung von Personen erfolgt.
Ergänzende nationale Regelungen
Alles in allem bleiben relativ viele Unternehmen übrig, die nach den Vorgaben der EU-DSGVO keinen Datenschutzbeauftragten bestellen müssten. Hier kommt dann das nationale Recht in Spiel.
Die EU-DSGVO erlaubt es den Mitgliedstaaten der EU, ergänzende Regelungen für Datenschutzbeauftragte beizubehalten oder neu einzuführen.
In Deutschland bleibt alles wie bisher
Deutschland macht von dieser Möglichkeit Gebrauch. Mitte Mai 2017 wurde ein Nachfolgegesetz zum derzeit geltenden Bundesdatenschutzgesetz beschlossen. Es sieht im Ergebnis vor, dass die jetzt geltenden Regelungen auch künftig fortbestehen.
Mit anderen Worten: Unternehmen, die jetzt schon einen Datenschutzbeauftragten haben, müssen ihn auch künftig haben.
Kontrolle der Aufsichtsbehörden
Immer wieder hört man die Vermutung, dass manche Unternehmen keinen Datenschutzbeauftragten bestellt haben, obwohl sie es müssten. Künftig dürfte es schwierig werden, die gesetzlichen Vorgaben zu umgehen.
Die EU-DSGVO schreibt nämlich im Gegensatz zum bisherigen Bundesdatenschutzgesetz vor, dass die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde mitzuteilen sind.
Logische Konsequenz: Fehlt eine solche Mitteilung im Einzelfall, wird die Aufsichtsbehörde nachfragen. Dabei kommt dann sehr schnell zutage, ob lediglich die Mitteilung versäumt wurde oder ob gar kein Datenschutzbeauftragter vorhanden ist.
Die neuen Aufgaben des Datenschutzbeauftragten
Die Aufgaben eines Datenschutzbeauftragten sieht die EU-DSGVO übrigens im Grundsatz genauso wie das deutsche Recht. Im Fokus steht die Beratung des Unternehmens in Datenschutzfragen. Daneben ist die Funktion als Anlaufstelle für Betroffene besonders wichtig.
Einige Aufgaben werden dem Datenschutzbeauftragten in Artikel 39 der EU-DSGVO ganz konkret zugewiesen:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
- Zusammenarbeit mit der Aufsichtsbehörde;
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Weitere Aufgaben, die sich aus der EU-DSGVO ergeben, dort aber nicht direkt dem Datenschutzbeauftragten zugewiesen werden, können dem Datenschutzbeauftragten durch den Verantwortlichen zugewiesen werden. Denkbar wäre hier zum Beispiel die Erteilung von Informationen nach Artikel 13 und Artikel 14 oder das Führen des Verzeichnisses der Verarbeitungstätigkeiten nach Artikel 30 der EU-DSGVO.
Dass der Datenschutzbeauftragte zu Geheimhaltung und Vertraulichkeit verpflichtet ist, hebt die EU-DSGVO ausdrücklich hervor.
Schulung und Information der Mitarbeiter
Datenschutz im Unternehmen kann nur gelingen, wenn die Mitarbeiterinnen und Mitarbeiter mitziehen. Die Sensibilisierung und Schulung der Mitarbeiter hebt die EU-DSGVO deshalb als besonders wichtige Aufgabe des Datenschutzbeauftragten hervor.
Für sie ist völlig klar: Datenschutz geht im Unternehmen alle an!
Freiwillig bestellte Datenschutzbeauftragte
Bemerkenswert ist, wie viele freiwillig bestellte Datenschutzbeauftragte es bereits jetzt in anderen EU-Staaten gibt. In Frankreich, dem wichtigsten Handelspartner Deutschlands in der EU, sind es deutlich über 3.000.
Dies ist vor allem ein Signal dafür, dass die Unternehmen den Datenschutz ernst nehmen – ganz unabhängig davon, was im Gesetz im Einzelnen vorgeschrieben ist.
Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.
Ihr Thomas Ströbele, Telefon 07471/930100
Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?
Dann tragen Sie sich einfach hier in unseren Newsletter ein.