Was müssen Sie wissen?

Was müssen Sie wissen?

Gemäß Art. 37 Abs. 1 DSGVO ist unter bestimmten Voraussetzungen ein Datenschutzbeauftragter für die Praxis oder Unternehmen zu benennen. Ein Datenschutzbeauftragter muss bestellt werden, wenn regelmäßig zehn Personen oder mehr in der Firma oder Praxis mit Datenverarbeitung beschäftigt sind (vgl. § 38 Abs. 1 BDSG). Dabei wird schon der reine, nicht nur gelegentliche Zugang zu personenbezogenen Daten als ausreichend angesehen. Ein Anstellungsverhältnis ist nicht notwendig und auch eine urlaubs- oder krankheitsbedingte Abwesenheit lässt die Regelmäßigkeit nicht entfallen. Ebenso ist auch dem Praxis- oder Firmeninhaber selbst zu den zehn datenverarbeitenden Personen zu rechnen.

Art. 37 Abs. 1 DSGVO bestimmt zudem, dass ein Datenschutzbeauftragter auch bei geringerer Beschäftigtenzahl zu bestellen ist, wenn die Kerntätigkeit des Verantwortlichen in Verarbeitungsvorgängen liegt, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO unterliegen, haben sie ebenfalls unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.

Die Benennung der Person des Datenschutzbeauftragten ist dann auf Basis der beruflichen Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie der Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben (Art. 37 Abs. 5 DSGVO) vorzunehmen. Die DSGVO (Art. 38 Abs. 6 Satz 2) verbietet wie das BDSG Interessenkonflikte, sodass also weder der Praxis – oder Firmeninhaber selbst noch ein für die Datenverarbeitung verantwortlicher Mitarbeiter Datenschutzbeauftragter sein kann.

Selbst wenn geeignete Mitarbeiter in der Praxis für diese Aufgabe vorhanden sein sollten, ist vor einer Berufung zu bedenken, dass der Beauftragte bei Ausübung seiner Tätigkeit gem. § 4f Abs. 3 Satz 2 BDSG weisungsfrei ist und zur Sicherstellung der Weisungsfreiheit und Unabhängigkeit ein „interner“ Datenschutzbeauftragter einen besonderen Kündigungsschutz genießt. Der Externe Datenschutzbeauftragte ist oftmals die bessere Wahl, da dieser täglich mit dem Thema Datenschutz beschäftigt ist und sich schon aus diesem Grund immer Fortbilden muss.

Egal ob „extern“ oder „intern“ bestellt, hat der Datenschutzbeauftragte gem. § 4g BDSG im Rahmen seiner Tätigkeit auf die Einhaltung des Datenschutzes „hinzuwirken“. Er ist dabei nicht für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich, hat also die Compliance des Unternehmens nicht selbst sicherzustellen. Datenschutz bleibt immer „Chefsache“. Die Aufgabe des Datenschutzbeauftragten ist vielmehr die Beratung der Praxis, die Sensibilisierung von Mitarbeitern durch Schulungen sowie die Unterstützung bei der datenschutzkonformen Umsetzung von Projekten. Damit er auf Rechtsverstöße oder drohende Risiken hinweisen kann, ist er in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen frühzeitig einzubinden und durch den Praxisinhaber bei der Aufgabenerfüllung zu unterstützen. Ihm sind die zur Aufgabenwahrnehmung notwendigen Ressourcen und Fortbildungen genauso zu eröffnen wie der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen. Bedarf die Aufsichtsbehörde einer Anlaufstelle sowie einer internen Stelle für eine ggf. notwendige Zusammenarbeit, ist dafür der Datenschutzbeauftragte zuständig.

Machen Sie den Selbstcheck Klicken Sie HIER

admin