+49 (0)241 14 94 66 0 beratung@itsecurity-ist-pflicht.de

Datenschutzbeauftragte jetzt überall in der EU

In Deutschland ist man Datenschutzbeauftragte in Unternehmen seit Jahrzehnten ganz selbstverständlich gewohnt. Für andere Länder in der Europäischen Union (EU) sind sie dagegen etwas Neues. Die Datenschutz-Grundverordnung führt sie auch dort in. Ergänzende nationale Vorschriften sind dabei weiterhin zulässig. Deutschland hat sie Mitte Mai 2017 eingeführt. Diese Kombination stellt sicher, dass im Ergebnis alles so bleibt, wie es sich bewährt hat.

Die bisherige Situation – Neuerungen durch die DSGVO

Bisher ist es so: Besondere EU-Regelungen für Datenschutzbeauftragte gibt es nicht. Jeder Mitgliedstaat kann selbst entscheiden, ob er Datenschutzbeauftragte im Unternehmen vorschreibt. Deutschland hat dies schon vor Jahrzehnten getan. Im Ergebnis müssen lediglich kleine Unternehmen mit weniger als zehn Beschäftigten keinen Datenschutzbeauftragten haben.

Ab dem 25. Mai 2018 ändert sich die Situation auf EU-Ebene deutlich. Ab diesem Tag gilt die Datenschutz-Grundverordnung der EU. Erstmals sind dann in allen Mitgliedstaaten Datenschutzbeauftragte für Unternehmen vorgeschrieben. Dabei kommt es nicht auf die Zahl der Beschäftigten an.

Am Beispiel Gesundheitsdaten, SCHUFA & Co.

Entscheidend ist vielmehr, worin die Kerntätigkeit eines Unternehmens besteht. Wenn es beispielsweise in großem Umfang Gesundheitsdaten verarbeitet, muss ein Datenschutzbeauftragter schon nach den Vorgaben der Grundverordnung vorhanden sein. Beispiele für solche Unternehmen sind natürlich Krankenhäuser, aber etwa auch Apotheken.

Ein weiteres Beispiel bilden Unternehmen wie die SCHUFA. Diese Auskunfteien verarbeiten in umfangreicher Weise Daten über Personen und beobachten das wirtschaftliche Verhalten von Personen auf Dauer. Auch das führt dazu, dass die Grundverordnung einen Datenschutzbeauftragten fordert.

Die Grundverordnung formuliert dies etwas kompliziert so: Die Kerntätigkeit eines solchen Unternehmens besteht darin, dass eine umfangreiche regelmäßige und systematische Überwachung von Personen erfolgt.

Ergänzende nationale Regelungen

Alles in allem bleiben relativ viele Unternehmen übrig, die nach den Vorgaben der Grundverordnung keinen Datenschutzbeauftragten bestellen müssten. Hier kommt dann das nationale Recht in Spiel. Die Grundverordnung erlaubt es den Mitgliedstaaten der EU, ergänzende Regelungen für Datenschutzbeauftragte beizubehalten oder neu einzuführen.

In Deutschland bleibt alles wie bisher

Deutschland macht von dieser Möglichkeit Gebrauch. Mitte Mai 2017 wurde ein Nachfolgegesetz zum derzeit geltenden Bundesdatenschutzgesetz beschlossen. Es sieht im Ergebnis vor, dass die jetzt geltenden Regelungen auch künftig fortbestehen. Mit anderen Worten: Unternehmen, die jetzt schon einen Datenschutzbeauftragten haben, müssen ihn auch künftig haben.

Kontrolle der Aufsichtsbehörden

Immer wieder hört man die Vermutung, dass manche Unternehmen keinen Datenschutzbeauftragten bestellt haben, obwohl sie es
müssten. Künftig dürfte es schwierig werden, die gesetzlichen Vorgaben zu umgehen. Die Grundverordnung schreibt nämlich im Gegensatz zum bisherigen Bundesdatenschutzgesetz vor, dass die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde mitzuteilen sind.

Logische Konsequenz: Fehlt eine solche Mitteilung im Einzelfall, wird die Aufsichtsbehörde nachfragen. Dabei kommt dann sehr schnell zutage, ob lediglich die Mitteilung versäumt wurde oder ob gar kein Datenschutzbeauftragter vorhanden ist.

Aufgabe des Datenschutzbeauftragten

Die Aufgaben eines Datenschutzbeauftragten sieht die Grundverordnung übrigens ganz genauso wie das deutsche Recht. Im Fokus steht die Beratung des Unternehmens in Datenschutzfragen. Daneben ist die Funktion als Anlaufstelle für Betroffene besonders wichtig. Dass der Datenschutzbeauftragte zu Geheimhaltung und Vertraulichkeit verpflichtet ist, hebt die Grundverordnung ausdrücklich hervor.

Datenschutz im Unternehmen kann nur gelingen, wenn die Mitarbeiterinnen und Mitarbeiter mitziehen. Die Sensibilisierung und Schulung der Mitarbeiter hebt die Grundverordnung deshalb als besonders wichtige Aufgabe des Datenschutzbeauftragten hervor. Für sie ist völlig klar:
Datenschutz geht im Unternehmen alle an!

Freiwillig bestellte Datenschutzbeauftragte

Bemerkenswert ist, wie viele freiwillig bestellte Datenschutzbeauftragte es bereits jetzt in anderen EU-Staaten gibt. In Frankreich, dem wichtigsten Handelspartner Deutschlands in der EU, sind es deutlich über 3000. Dies ist vor allem ein Signal dafür, dass die Unternehmen den Datenschutz ernst nehmen – ganz unabhängig davon, was im Gesetz im Einzelnen vorgeschrieben ist.