Görtz – Legal
DE
EN
Sprache:

Das neue Datenschutzrecht 2018 – Erweiterte Pflichten zur Bestellung eines Datenschutzbeauftragten

Ab 25. Mai 2018 ändern die europaweit geltende Datenschutzgrundverordnung (DSGVO) sowie das neue deutsche Bundesdatenschutzgesetz (BDSG-neu) viele altbekannte Vorgaben im Datenschutzrecht. So werden etwa die bisher nach dem BDSG geltenden Pflichten zur Bestellung eines betrieblichen Datenschutzbeauftragten erweitert.

Auch Unternehmer mit weniger als 10 Mitarbeitern sollten daher dringend prüfen, ob sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen! Bei Verstößen gegen die Regelungen zum Datenschutzbeauftragten können Geldbußen von bis zu 10 000 000 EUR oder 2 % des weltweiten Jahresumsatzes verhängt werden!

Im Folgenden erläutert unsere Mitarbeiterin Frau Rechtsassessorin Karoline Nutz, in welchen Fällen die Benennung eines Datenschutzbeauftragten nach der künftigen Rechtslage Pflicht wird und was es sonst bei der Benennung zu beachten gibt.

Benennung eines Datenschutzbeauftragten

Wie schon nach alter Rechtslage besteht künftig für Unternehmer die Pflicht zur Benennung eines Datenschutzbeauftragten, soweit mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Gleich bleibt auch, dass Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, verarbeiten, unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen haben (§ 38 Abs. 1 BDSG-neu).

Ausgehend davon, dass bei der Verarbeitung sensibler Daten eine gehobene Kontrolle notwendig ist, soll nach den neuen Regelungen in den folgenden Fällen ein betrieblicher Datenschutzbeauftragter benannt werden:

  • Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b).
  • Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung persönlicher Daten besonderer Kategorien (z.B. Gesundheitsdaten oder konfessionelle Daten) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten (Art. 37 Abs. 1 lit. c).
  • Die Datenverarbeitungen des Unternehmens unterliegen einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO; dies ist der Fall, wenn die Datenverarbeitung die Wahrscheinlichkeit eines hohen Eintrittsrisikos für die Rechte und Freiheiten natürlicher Personen mit sich bringt (§ 38 Abs. 1 BDSG-neu).

Unterschiede ergeben sich auch im Verfahren um die Benennung eines Datenschutzbeauftragten. Die DSGVO fordert die „Benennung“ (anstatt wie bisher: „Bestellung“) eines Datenschutzbeauftragten. Ob dies entsprechend der noch gültigen Rechtslage schriftlich zu erfolgen hat oder nicht, ist nicht abschließend geklärt. Es empfiehlt sich daher, eine schriftliche Benennung vorzunehmen.

Die Kontaktdaten des Datenschutzbeauftragten müssen künftig veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.

Neu ist zudem die in Art. 37 Abs. 2 DSGVO enthaltene Möglichkeit zur Benennung eines Konzerndatenschutzbeauftragten. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

Anforderungen an den Datenschutzbeauftragten

Unternehmen können darüber hinaus wählen, ob sie die Position des Datenschutzbeauftragten intern oder extern besetzen.

Die auserwählte Person muss aufgrund ihrer beruflichen Qualifikation, dem Fachwissen, das sie auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt sowie ihrer Fähigkeit zur Erfüllung der in der DSGVO verankerten Aufgaben benannt werden. Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 DSGVO und umfassen die unternehmensinterne Unterrichtung, Beratung und Überwachung hinsichtlich datenschutzrechtlicher Vorschriften sowie die Zusammenarbeit mit der Aufsichtsbehörde.

Zwar kann theoretisch „jedermann“ Datenschutzbeauftragter sein. Die stetigen technischen und rechtlichen Neuerungen bedingen jedoch eine sorgfältige Auswahl des Datenschutzbeauftragten, um als Unternehmen bei der Umsetzung des Datenschutzrechts bestmöglich unterstützt zu werden.

Im Einzelfall kann es von Vorteil sein, einen externen Datenschutzbeauftragten mit dem nötigen Fachwissen zu benennen. Zudem besteht bei internen Datenschutzbeauftragten vermehrt die Gefahr eines Interessenkonflikts, wenn diese zusätzlich einer anderen Tätigkeit nachgehen und sich dann unter Umständen selbst kontrollieren müssen.

Was sollten Unternehmer jetzt tun?

Unternehmer sollten prüfen, ob eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Überdies kann die Benennung eines Datenschutzbeauftragter auch ohne bestehende Pflicht freiwillig erfolgen. Um die Umsetzung des neuen Datenschutzrechts voranzutreiben, kann eine freiwillige Benennung Sinn machen – vorausgesetzt, die Person des Datenschutzbeauftragten ist hinreichend qualifiziert.

IHK Heilbronn-Franken & Görtz Legal: Webinar am 05.02.2025 – Erste Erfahrungen mit der neuen EU-Produktsicherheitsverordnung (GPSR)

Veranstaltungsdetails:

Die Umsetzung der GPSR (General Product Safety Regulation – VO (EU) 2023/988) erweist sich als nicht ganz einfach, zumal es zu wenig für die Unternehmenspraxis nutzbare Literatur dazu gab.

Nach dem Inkrafttreten der GPSR am 13.12.2024 soll das dreistündige Webinar (einschließlich 20-minütiger Pause) einen praxisorientierten Überblick über die wichtigsten Fragen geben.

Der Referent Dominik Görtz von der Görtz Legal Rechtsanwaltsgesellschaft mbH in Stuttgart ist Rechtsanwalt und Fachanwalt für internationales Wirtschaftsrecht. Er ist seit vielen Jahren im Produktsicherheitsrecht tätig und berät mittelständische Unternehmen bei der Umsetzung der GPSR.

Das kostenfreie Webinar richtet sich ausschließlich an IHK-Mitgliedsunternehmen und findet am 05.02.2025 in der Zeit von 13.30 Uhr bis 16.30 Uhr statt.

Die Zugangsdaten zum Webinarraum erhalten Sie spätestens drei Tage vor dem Termin in einer separaten E-Mail.

Bitte beachten Sie, dass bei einem Webinar keine Teilnahmebescheinigungen ausgegeben werden.

Wir freuen uns auf Ihre Anmeldung!

https://www.ihk.de/heilbronn-franken/system/veranstaltungssuche/vstdetail-antrago/5588746/19461?terminId=19461

Weihnachtsaktion Görtz Legal 2024 – Spende statt Geschenke

Festanstellung Anwalt/Anwältin (m/w/d) im Zivilrecht

Görtz Legal berät mittelständische und größere Unternehmen aus Industrie und Handel sowie vermögende Privatpersonen in Angelegenheiten des Zivil-, Handels- und Wirtschaftsrecht.

In den Bereichen der Produkthaftung und Produktsicherheit teilen wir gerne unsere langjährigen Erfahrungen im gemeinsamen Austausch und bieten die Gelegenheit zur Zusammenarbeit in Beratungsprojekten oder Unternehmens-Workshops.

Wir freuen uns immer über die Kontaktaufnahme gleichermaßen engagierter und motivierter Kollegen/innen für einen ersten gemeinsamen Austausch.

Bitte wenden Sie sich gerne an uns.

Dominik Görtz
Rechtsanwalt

0711 / 365 917 10

goertz@goertz-legal.de