Art.37 – EU-DSGVO – Benennung eines Datenschutzbeauftragten

> Art.37 - EU-DSGVO - Benennung eines Datenschutzbeauftragten

Art.37 - DS-GVO - Benennung eines Datenschutzbeauftragten

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012 Stand: 12.03.2014 Stand: 15.06.2015

 Stand: 27.04.2016

(ehem. Art. 35)

Aufgaben des Datenschutzbeauftragten

 Aufgaben des Datenschutzbeauftragten

 Aufgaben des Datenschutzbeauftragten

Benennung eines Datenschutzbeauftragten

1. Der für die Verarbeitung
Verantwortliche oder der
Auftragsverarbeiter betraut den Datenschutzbeauftragten mit mindestens folgenden Aufgaben:

1. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter betraut den Datenschutzbeauftragten mit mindestens folgenden Aufgaben:

1. Dem Datenschutzbeauftragten obliegen folgende Aufgaben:

1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a) Unterrichtung und Beratung des für die
Verarbeitung Verantwortlichen oder des
Auftragsverarbeiters über dessen aus dieser
Verordnung erwachsenden Pflichten sowie Dokumentation dieser Tätigkeit und der
erhaltenen Antworten;

a) Sensibilisierung, Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über dessen aus dieser Verordnung erwachsenden Pflichten sowie
Dokumentation dieser Tätigkeit und der erhaltenen Antworten, insbesondere in Bezug auf technische und organisatorische Maßnahmen und
Verfahren;

a) Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten;

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,

b) Überwachung der Umsetzung und Anwendung der Strategien des für die
Verarbeitung Verantwortlichen oder des
Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der
Schulung der an den
Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

b) Überwachung der Umsetzung und Anwendung der Strategien des für die Verarbeitung Verantwortlichen oder des
Auftragsverarbeiters für den Schutz
personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten sowie der Strategien des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) Überwachung der Umsetzung und Anwendung dieser Verordnung, insbesondere ihrer Anforderungen an einen
Datenschutz durch Technik und an datenschutzfreundliche Voreinstellungen, an die Datensicherheit, an die
Benachrichtigung der betroffenen Personen und an die Anträge der betroffenen
Personen zur Wahrnehmung der ihren nach dieser Verordnung zustehenden Rechte;

d) Sicherstellung, dass die in Artikel 28 genannte Dokumentation vorgenommen wird;

e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 31 und 32;

f) Überwachung der von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter durchgeführten Datenschutz-Folgenabschätzung sowie der Beantragung einer vorherigen Genehmigung beziehungsweise Zurateziehung gemäß den Artikeln 33 und 34;

g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten;

c) Überwachung der Umsetzung und Anwendung dieser Verordnung, insbesondere ihrer Anforderungen an einen Datenschutz durch Technik und an
datenschutzfreundliche Voreinstellungen, an die Datensicherheit, an die
Benachrichtigung der betroffenen Personen und an die Anträge der betroffenen Personen zur Wahrnehmung der ihren nach
dieser Verordnung zustehenden Rechte;

d) Sicherstellung, dass die in Artikel 28 genannte Dokumentation vorgenommen wird;

e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 31 und 32;

f) Überwachung der von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter durchgeführten Datenschutz-Folgenabschätzung sowie der Beantragung einer vorherigen Konsultation gemäß den Artikeln 32a, 33 und 34;

g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten;

c) (entfällt)

d) (entfällt)

e) (entfällt)

f) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 33g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten;

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

     

2. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der  Datenschutzbeauftragte leicht erreicht werden kann.

      3. Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.
      4. In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.
      5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
     

6. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

     

7. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

<< ZURÜCK    Übersicht    VOR >>

Erwägungsgrund: 97

Die Regelung des DSB in der DSGVO war lange umstritten. Doch nun gilt eine europaweite Verpflichtung zur Bestellung für Unternehmen deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist. Auch eine Mindestanzahl an Beschäftigten, wie sie das BDSG vorsah, existiert in der DSGVO nicht, dafür wird der Datenschutzbeauftragte für diese Fälle europaweit verpflichtend eingeführt – in den meisten Ländern ein Novum.

Dies reduziert zunächst (!) die Zahl der zur Bestellung eines DSB verpflichteten Unternehmen drastisch. Allerdings gibt es eine Öffnungsklausel für nationale Ausnahmeregelungen, die vom Gesetzgeber im BDSG(neu) genutzt wurden und die vom BDSG(alt) bekannten Regeln in Deutschland weiterhin aufrecht erhält. (s. unten).

Im Gegensatz zum BDSG(alt) gibt es keine Verpflichtung zu einer schriftlichen Bestellung. Eine „Benennung“ des DSB ist nun ausreichend. Im Sinne der Rechtssicherheit und der Nachweisverpflichtungen empfiehlt es sich jedoch, die Benennung zu dokumentieren und Termin, Aufgaben, Zeitkontingent/Ressourcen und andere Rahmenbedingungen schriftlich zu regeln.

Art. 37 Abs. 7 sieht jedoch vor, dass „der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des DSB veröffentlicht und diese Daten der Aufsichtsbehörde mitteilt.“
Die Artikel-29-Gruppe empfiehlt im Working-Paper 243 die Bereitstellung der postalischen Adresse sowie einer E-Mail-Adresse und Telefonnummer. Nicht zwingend muss der Name des Datenschutz-beauftragten veröffentlicht sein, aber die Benennung gegenüber Aufsichtsbehörden und Beschäftigten empfohlen.

Sanktionen bei fehlender Bestellung des DSB

Nach der DSGVO kann nach §83 Abs. 4 lit. A ein Bußgeld in Höhe von 10 Mio. € oder 2% des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist. Eine zivilrechtliche – oder ordnungswidrigkeiten Haftung kann ausgeschlossen sein, wenn der DSB seine Pflichten entsprechend erfüllt hat. Hierbei trifft ihn eine Nachweispflicht.

Der Konzern-DSB

Eine Unternehmensgruppe darf einen gemeinsamen DSB ernennen, wenn dieser von jeder Niederlassung aus leicht erreicht werden kann.

Wenn zu einem Konzern auch nicht EU ansässige Unternehmen zählen, muss der DSB seinen Sitz in einer Gesellschaft haben, die sich in der EU befindet. Dadurch soll die leichte Erreichbarkeit gewährleistet sein.


Kündigungsschutz für den (stellvertretenden) DSB

In der DSGVO ist die Regelung des Kündigungsschutzes recht knapp ausgefallen. Art. 38 Abs. 3 spricht davon, dass der DSB von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.

Externer DSB als Service

Die Bestellung eines externen DSB auf Basis eines Dienstleistungsvertrages ist unter der DSGVO weiterhin möglich,
das gilt neuerdings auch für öffentliche Stellen, wie z.B. Behörden des Bundes und der Länder sowie für Kommunen.

Hierbei sind Aufwand/Arbeitsteilung und Budget verhandelbar. Es gibt keinen Kündigungsschutz und der externe DSB ist stärker haftbar als ein Mitarbeiter.

Die Bestellung eines DSB nach dem BDSG(neu)

Das neue Bundesdatenschutzgesetz ab dem 25. Mai 2018  – BDSG(neu) – novelliert das BDSG nach der DSGVO und regelt die nationalen Öffnungsklauseln.

Die Bestellpflicht des DSB für nicht-öffentliche Stellen (insbes. Unternehmen, Vereine, etc.) wird in §38 BDSG(neu) abweichend zur DSGVO erweitert und behält die Regelungen des BDSG weitgehend bei: demnach muss ein DSB bestellt werden, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Für öffentliche Stellen (Bundes-/Landesbehörden, Kommunen) findet sich eine Regelung in §§5-7 BDSG(neu)§6.IV, V.2 und VI BDSG(neu) finden auch Anwendung für nicht-öffentliche Stellen (§38.II BDSG(neu))

Auch der verschärfte Kündigungsschutz, wie im BDSG geregelt, findet seinen Einzug in das BDSG(neu), und zwar in §6.IV BDSG(neu). Dieser ist in der Privatwirtschaft aber durch dann gegeben, wenn die Bestellung eines Datenschutzbeauftragten verpflichtend erfolgte (Einschränkung der Anwendbarkeit in §38.II BDSG(neu) .

Unsere Management-Information zum Datenschutzbeauftragten ist als PDF-Datei abrufbar. (Plagiate werden verfolgt!)

 

(Visited 10.117 times, 3 visits today)

Kommentar

Art.37 - DS-GVO - Benennung eines Datenschutzbeauftragten

<<ZURÜCK   Übersicht   VOR >>

 Stand: 25.01.2012 Stand: 12.03.2014 Stand: 15.06.2015

 Stand: 27.04.2016

(ehem. Art. 35)

Aufgaben des Datenschutzbeauftragten

 Aufgaben des Datenschutzbeauftragten

 Aufgaben des Datenschutzbeauftragten

Benennung eines Datenschutzbeauftragten

1. Der für die Verarbeitung
Verantwortliche oder der
Auftragsverarbeiter betraut den Datenschutzbeauftragten mit mindestens folgenden Aufgaben:

1. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter betraut den Datenschutzbeauftragten mit mindestens folgenden Aufgaben:

1. Dem Datenschutzbeauftragten obliegen folgende Aufgaben:

1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a) Unterrichtung und Beratung des für die
Verarbeitung Verantwortlichen oder des
Auftragsverarbeiters über dessen aus dieser
Verordnung erwachsenden Pflichten sowie Dokumentation dieser Tätigkeit und der
erhaltenen Antworten;

a) Sensibilisierung, Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über dessen aus dieser Verordnung erwachsenden Pflichten sowie
Dokumentation dieser Tätigkeit und der erhaltenen Antworten, insbesondere in Bezug auf technische und organisatorische Maßnahmen und
Verfahren;

a) Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten;

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,

b) Überwachung der Umsetzung und Anwendung der Strategien des für die
Verarbeitung Verantwortlichen oder des
Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der
Schulung der an den
Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

b) Überwachung der Umsetzung und Anwendung der Strategien des für die Verarbeitung Verantwortlichen oder des
Auftragsverarbeiters für den Schutz
personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten sowie der Strategien des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) Überwachung der Umsetzung und Anwendung dieser Verordnung, insbesondere ihrer Anforderungen an einen
Datenschutz durch Technik und an datenschutzfreundliche Voreinstellungen, an die Datensicherheit, an die
Benachrichtigung der betroffenen Personen und an die Anträge der betroffenen
Personen zur Wahrnehmung der ihren nach dieser Verordnung zustehenden Rechte;

d) Sicherstellung, dass die in Artikel 28 genannte Dokumentation vorgenommen wird;

e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 31 und 32;

f) Überwachung der von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter durchgeführten Datenschutz-Folgenabschätzung sowie der Beantragung einer vorherigen Genehmigung beziehungsweise Zurateziehung gemäß den Artikeln 33 und 34;

g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten;

c) Überwachung der Umsetzung und Anwendung dieser Verordnung, insbesondere ihrer Anforderungen an einen Datenschutz durch Technik und an
datenschutzfreundliche Voreinstellungen, an die Datensicherheit, an die
Benachrichtigung der betroffenen Personen und an die Anträge der betroffenen Personen zur Wahrnehmung der ihren nach
dieser Verordnung zustehenden Rechte;

d) Sicherstellung, dass die in Artikel 28 genannte Dokumentation vorgenommen wird;

e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 31 und 32;

f) Überwachung der von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter durchgeführten Datenschutz-Folgenabschätzung sowie der Beantragung einer vorherigen Konsultation gemäß den Artikeln 32a, 33 und 34;

g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten;

c) (entfällt)

d) (entfällt)

e) (entfällt)

f) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 33g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten;

c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

     

2. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der  Datenschutzbeauftragte leicht erreicht werden kann.

      3. Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.
      4. In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.
      5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
     

6. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

     

7. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

<< ZURÜCK    Übersicht    VOR >>

Erwägungsgrund: 97

Die Regelung des DSB in der DSGVO war lange umstritten. Doch nun gilt eine europaweite Verpflichtung zur Bestellung für Unternehmen deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist. Auch eine Mindestanzahl an Beschäftigten, wie sie das BDSG vorsah, existiert in der DSGVO nicht, dafür wird der Datenschutzbeauftragte für diese Fälle europaweit verpflichtend eingeführt – in den meisten Ländern ein Novum.

Dies reduziert zunächst (!) die Zahl der zur Bestellung eines DSB verpflichteten Unternehmen drastisch. Allerdings gibt es eine Öffnungsklausel für nationale Ausnahmeregelungen, die vom Gesetzgeber im BDSG(neu) genutzt wurden und die vom BDSG(alt) bekannten Regeln in Deutschland weiterhin aufrecht erhält. (s. unten).

Im Gegensatz zum BDSG(alt) gibt es keine Verpflichtung zu einer schriftlichen Bestellung. Eine „Benennung“ des DSB ist nun ausreichend. Im Sinne der Rechtssicherheit und der Nachweisverpflichtungen empfiehlt es sich jedoch, die Benennung zu dokumentieren und Termin, Aufgaben, Zeitkontingent/Ressourcen und andere Rahmenbedingungen schriftlich zu regeln.

Art. 37 Abs. 7 sieht jedoch vor, dass „der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des DSB veröffentlicht und diese Daten der Aufsichtsbehörde mitteilt.“
Die Artikel-29-Gruppe empfiehlt im Working-Paper 243 die Bereitstellung der postalischen Adresse sowie einer E-Mail-Adresse und Telefonnummer. Nicht zwingend muss der Name des Datenschutz-beauftragten veröffentlicht sein, aber die Benennung gegenüber Aufsichtsbehörden und Beschäftigten empfohlen.

Sanktionen bei fehlender Bestellung des DSB

Nach der DSGVO kann nach §83 Abs. 4 lit. A ein Bußgeld in Höhe von 10 Mio. € oder 2% des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist. Eine zivilrechtliche – oder ordnungswidrigkeiten Haftung kann ausgeschlossen sein, wenn der DSB seine Pflichten entsprechend erfüllt hat. Hierbei trifft ihn eine Nachweispflicht.

Der Konzern-DSB

Eine Unternehmensgruppe darf einen gemeinsamen DSB ernennen, wenn dieser von jeder Niederlassung aus leicht erreicht werden kann.

Wenn zu einem Konzern auch nicht EU ansässige Unternehmen zählen, muss der DSB seinen Sitz in einer Gesellschaft haben, die sich in der EU befindet. Dadurch soll die leichte Erreichbarkeit gewährleistet sein.


Kündigungsschutz für den (stellvertretenden) DSB

In der DSGVO ist die Regelung des Kündigungsschutzes recht knapp ausgefallen. Art. 38 Abs. 3 spricht davon, dass der DSB von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.

Externer DSB als Service

Die Bestellung eines externen DSB auf Basis eines Dienstleistungsvertrages ist unter der DSGVO weiterhin möglich,
das gilt neuerdings auch für öffentliche Stellen, wie z.B. Behörden des Bundes und der Länder sowie für Kommunen.

Hierbei sind Aufwand/Arbeitsteilung und Budget verhandelbar. Es gibt keinen Kündigungsschutz und der externe DSB ist stärker haftbar als ein Mitarbeiter.

Die Bestellung eines DSB nach dem BDSG(neu)

Das neue Bundesdatenschutzgesetz ab dem 25. Mai 2018  – BDSG(neu) – novelliert das BDSG nach der DSGVO und regelt die nationalen Öffnungsklauseln.

Die Bestellpflicht des DSB für nicht-öffentliche Stellen (insbes. Unternehmen, Vereine, etc.) wird in §38 BDSG(neu) abweichend zur DSGVO erweitert und behält die Regelungen des BDSG weitgehend bei: demnach muss ein DSB bestellt werden, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Für öffentliche Stellen (Bundes-/Landesbehörden, Kommunen) findet sich eine Regelung in §§5-7 BDSG(neu)§6.IV, V.2 und VI BDSG(neu) finden auch Anwendung für nicht-öffentliche Stellen (§38.II BDSG(neu))

Auch der verschärfte Kündigungsschutz, wie im BDSG geregelt, findet seinen Einzug in das BDSG(neu), und zwar in §6.IV BDSG(neu). Dieser ist in der Privatwirtschaft aber durch dann gegeben, wenn die Bestellung eines Datenschutzbeauftragten verpflichtend erfolgte (Einschränkung der Anwendbarkeit in §38.II BDSG(neu) .

Unsere Management-Information zum Datenschutzbeauftragten ist als PDF-Datei abrufbar. (Plagiate werden verfolgt!)

 

(Visited 10.117 times, 3 visits today)

Anmerkungen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.