Um die gesetzlich erforderlichen Datenschutzmaßnahmen umzusetzen, hat ein Unternehmen eine Datenschutzorgansisaton zu unterhalten, die entsprechend der Größe und Struktur des Unternehmens die Daten der Betroffenen schützt.
Weiter kann es erforderlich werden, einen Datenschutzbeauftragten (DSB) zu ernennen. Hier stellt sich die Frage, wann ein DSB zu ernennen ist. Hierbei gilt es, die Vorschrften aus der DS-GVO und dem BDSG zu beachten.
Der Artikel 37 DS-GVO enthält folgende Vorgaben für die Benennung eines DSB:
öffentliche Stellen mit Ausnahme von Gerichten
wenn der Verantwortliche im Sinne eines Kerngeschäftes Verarbeitungen durchführt, die umfangreiche und systematischen Überwachung von Betroffenen erforderlich machen
bei Kerntätigkeiten, die umfangreiche Verarbeitung von besonderer Kategorien von Daten erforderlich machen (z. B. Gesundheitsdaten; weitere Details siehe in den Art. 9 u. 10 DS-GVO)
Der § 38 BDSG ergänzt die o. g. Punkte und schreibt die Ernennung eines DSB vor, wenn:
mindestens 20 Personen ständig mit der automatisiertenVerarbeitung von personenbezogenen Daten zu tun haben
Weiter ist die Ernennung eines DSB unabhängig von der „20-Personen-Regel“ erforderlich, wenn:
Daten verarbeitet werden, die einer Datenschutz-Folgenabschätzung unterliegen
Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder der Markt- oder Meinungsforschung verarbeitet werden
Die „20-Personen-Regel“ wird für viele Unternehmen der Hauptgrund sein, einen DSB zu benennen. Das Unternehmen kann für diese Aufgabe einen Mitarbeiter intern benennen oder diese Aufgabe an einen externen Dienstleister vergeben.
Zu den Hauptaufgaben eines DSB zählen:
Auch wenn der Fall eintritt, dass personenbezogene Daten im Auftrag eines Unternehmens von einem Subunternehmen verarbeitet werden (z.B. Auslieferung von Waren im Auftrag oder Inkasso), sind besondere Vorschriften zu beachten. Wenn Sie Fragen hierzu haben und Regelungsbedarf in Ihrem Unternehmen besteht, nehmen Sie Kontakt zu uns auf!
Ein bekanntgewordener Verstoß gegen eine der gesetzlichen Vorschriften zum Datenschutz wirkt sich negativ auf das Unternehmensimage und die Kundenbeziehungen aus.
Doch es gilt nicht nur diese Schäden zu vermeiden: Entsprechend Art. 83 Abs. 5 DS-GVO können Strafzahlungen von bis zu 20 Millionen Euro fällig werden. Bei schweren Verstößen sogar bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens.
Nach § 42 BDSG kann der Verantwortliche sogar zu Haftstrafen zwischen 2 und 3 Jahren verurteilt werden.