Wer ist eigentlich dieser Datenschutzbeauftragte? In diesem Beitrag möchte ich mit einigen Mythen und Legenden aufräumen, die sich um den Datenschutzbeauftragten ranken.
#1 Der Geschäftsführer ist interner Datenschutzbeauftragter.
Den Geschäftsführer als internen Datenschutzbeauftragten zu ernennen, ist auf den ersten Blick nahe liegend, schließlich kennt er sich mit den Unternehmensprozessen (Datenverarbeitungsvorgängen) am besten aus. Eine solche Bestellung wäre allerdings unwirksam, weil ein Interessenkonflikt bestünde. Ähnlich wäre es auch bei einem IT-Leiter.
#2 Der Datenschutzbeauftragte ist für Datenschutz verantwortlich.
Falsch, verantwortlich ist im datenschutzrechtlichen Sinne immer das Unternehmen, nicht der Datenschutzbeauftragte. Der Datenschutzbeauftragte wirkt zwar auf den Schutz personenbezogener Daten hin und berät, für die Umsetzung ist aber allein das Unternehmen zuständig.
#3 Der externe Datenschutzbeauftragte muss vor Ort sein.
Die DSGVO schreibt nicht vor, wie ein (externer) Datenschutzbeauftragter seine Aufgaben erfüllt. Wichtig ist nur, dass er sie erfüllt. Der Datenschutzbeauftragte braucht nicht unbedingt ein Büro im Unternehmen. Ebenso sind Vor-Ort-Besuche nicht zwingend notwendig. Allein die Kommunikation und Anweisungegn per E-Mail, Telefon oder Videokonferenz sind vorstellbar, um die gesetzlichen Aufgaben zu erfüllen.
#4 Ohne Datenschutzbeauftragten kein Datenschutz
Wenn Sie keinen Datenschutzbeauftragten bestellt haben oder bestellen müssen, haben Sie Datenschutz trotzdem zu beachten. Die wesentlichen Anforderungen der DSGVO gelten für jedes Unternehmen gleichermaßen, auch für Einzelunternehmer ohne Mitarbeiter.
#5 Der externe Datenschutzbeauftragte setzt den Datenschutz eigenständig um.
Wie weiter oben erwähnt, ist der (externe) Datenschutzbeauftragte grundsätzlich nicht für die Umsetzung verantwortlich. Er kann aber – nach Vereinbarung – für bestimmte Aufgaben (z. B. Eintrag von Verarbeitungen in das Verarbeitungsverzeichnis, Erstellung von Datenschutzinformationen etc.) zuständig gemacht werden. Dies funktioniert natürlich nur auf Zuarbeit aus dem Unternehmen.
#6 Datenschutz(beauftragter) kann ich nach einem 5-tägigem Seminar.
Unterschiedliche Seminaranbieter werben damit, unbescholtene Personen in einer Woche zum externen Datenschutzbeauftragten auszubilden. Richtig ist, dass sich Teilnehmer nach einer solchen Veranstaltung formal externer Datenschutzbeauftragter nennen dürfen – ihnen wurde schließlich in der Theorie die dafür notwendige Fachkunde vermittelt. In der Praxis werden sie aber meiner Meinung nach schnell an ihre Grenzen stoßen oder gar Unternehmen falsch beraten.
#7 Der Datenschutzbeauftragter als Spielverderber
Der Datenschutzbeauftragte wird in einigen Unternehmen als Spielverderber wahrgenommen, der bei jedem neuen Projekt sein Veto einlegt. Der Grund hierfür ist erfahrungsgemäß, dass er nicht von Anfang an in das neue Projekt eingebunden wurde, sondern mit dem fertigen Projekt vor vollendete Tatsachen gestellt wird. Natürlich muss er hier ggf. Einspruch erheben – dazu ist er gesetzlich verpflichtet.
#8 Die Bestellung des Datenschutzbeauftragten muss ich nur unternehmensintern bekannt geben.
Die Bestellung eines Datenschutzbeauftragten muss auch an die zuständige Aufsichtsbehörde gemeldet werden.