Der Datenschutzbeauftragte

Aktuell gibt es sehr viele Diskussionen darüber, welche Anforderungen an einen internen oder externen Datenschutzbeauftragten gestellt werden und ob dieser dann gegebenenfalls auch für Verstöße des Unternehmens haftet.

Die Grundlage für den zentral nun in Europa verankerten Datenschutzbeauftragten findet sich in Art. 37 der EU-DSGVO in Abs. 4 und für Deutschland in Paragraf 38 Bundesdatenschutzgesetz (BDSG 2018). Zu den Aufgaben die in Art. 39 EU-DSGVO näher spezifiziert sind gehört erstens die Beratung des Verantwortlichen und der Beschäftigten im Unternehmen, die Überwachung und Einhaltung des Datenschutzes generell und die Zusammenarbeit mit den entsprechenden Aufsichtsbehörden. Hinsichtlich der Qualifikation eines Datenschutzbeauftragten hält sich Art. 37 Abs. 5 sehr zurück und bleibt pauschal. Es wird somit Aufgabe des jeweiligen Landes sein, dieses Amt und insbesondere die Qualifikation der handelnden Personen näher auszugestalten. In der Vergangenheit verhängten in Deutschland Landesdatenschutzbeauftragte auch gegen Unternehmen Bußgelder, wenn der bestellte Datenschutzbeauftragte nicht die nötige Qualifizierung mitbrachte. Insbesondere bei Juristen können daneben Interessen Konflikte eine Rolle spielen und sollten bei der Auswahl dementsprechend beachtet werden. Die Kündigungsschutz die mit dieser Bestellung einhergehend folgt aus Paragraf 38 Abs. 2 BDSG. Ob intern oder extern ein Beauftragter bestellt wird obliegt allein dem Unternehmen. Bezüglich der Haftung ist in vielen Publikationen zu lesen, dass es keinen Unterschied macht, ob der Datenschutzbeauftragte extern oder intern bestellt ist. In beiden Konstellationen wird er für fahrlässige bzw. vorsätzliche Falschberatung haften. Hier kann ich mich der hiesigen und herrschenden Meinung nicht anschließen. Gerade bei der Bestellung von externen Datenschutzbeauftragten, spielt die mangelnde Qualifikation und ein gegebener fahrlässiger Beratung Fehler zusammen. Gerade weil bei internen Bestellungen häufig die Frage nach dem wer auftritt, die nötigen Qualifikationen nicht zwingend im Unternehmen vorrätig sind und immer Markt aktuell wenige freie Datenschutzbeauftragte für Festanstellungen zu Verfügung stehen, bietet sich aus unserer Erfahrung die Bestellung eines externen Datenschutzbeauftragten an. Darüber hinaus ist nicht zu unterschätzen, dass bei einer internen Bestellung nicht nur die Funktion als solches besetzt werden muss, sondern auch entsprechende Managementfunktionen verankert werden müssen. Gerade durch die Kombination von Regulatorischenaspekten, Schulung und Kommunikationsthemen und eine entsprechende Prozessverankerung im Unternehmen, greifen mehrere Qualifizierungsaspekte zusammen. Daneben ist zu beachten, dass für Urlaube oder unerwartete Ausfälle Back-up Lösungen zur Verfügung stehen. Aus der Erfahrung der vergangenen Projekte lässt sich ableiten, dass der Aufbau einer Datenschutzabteilung oder die Umsetzung der Datenschutz Grundverordnung nicht dieselben Anforderungen an einen Berater stellen, wie das Ausfüllen der Funktion im täglichen Geschäft.

Verwandte Beiträge