Viele denken, dass in einer Behörde oder in einem Unternehmen der Datenschutzbeauftragte verantwortlich im Sinne der DSGVO ist. Das ist ein Irrtum. Als verantwortlich im Sinne der DSGVO gilt nach Art. 4 der EU-DS-GVO, wer über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Datenschutzrechtlich verantwortlich kann eine natürliche Person sein, wenn diese beispielsweise als Einzelunternehmer einen Online-Shop betreibt. Aber auch eine juristische Personen, also beispielsweise eine GmbH. Ein Arbeitnehmer kann in der Regel nicht als Verantwortlicher genannt werden. Es fehlt an der wesentlichen Entscheidungsbefugnis. Anders liegt der Fall beim Geschäftsführer einer GmbH.
Verantwortlicher bestellt Datenschutzbeauftragten
Art. 35 ff. DS-GVO sowie § 38 BDSG (neue Fassung) regeln, welche Unternehmen einen Datenschutzbeauftragen zukünftig benennen müssen. Zum einen sind das solche Unternehmen, deren Kerngeschäft in Verarbeitungsvorgängen besteht.
Verarbeitung personenbezogener Daten
Verpflichtet sind aber auch alle Unternehmen, die “besondere personenbezogene Daten” erheben sowie Unternehmen bei denen zehn Personen oder mehr ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Ein schriftlicher Vertrag mit dem Datenschutzbeauftragten ist zu empfehlen. In einem Unternehmen mit mehreren Niederlassungen darf ein gemeinsamer Datenschutzbeauftragter benannt werden, sofern dieser von den einzelnen Standorten aus leicht erreichbar ist.
Kontaktdaten nennen
In Ihrer Datenschutzerklärung muss der Datenschutzbeauftragte ausdrücklich mit Kontaktdaten aufgeführt werden. Außerdem ist neu geregelt, dass der Datenschutzbeauftragte den Aufsichtsbehörden genannt werden muss („Benennungspflicht“). Sofern noch kein Datenschutzbeauftragter in Ihrem Unternehmen benannt wurde, sollten Sie prüfen, ob die Ernennung eines Datenschutzbeauftragten vorgegeben ist. In der Regel ist das bereits der Fall, wenn Kunden- oder Mitarbeiterdaten per EDV-verwaltet werden. Der Datenschutzbeauftragte ist der Aufsichtsbehörde zu nennen.
Ausnahmeregelungen
Ausnahmen können sich für Kleinbetriebe ergeben: Wenn weniger als 10 Mitarbeiter mit personenbezogenen Daten in Kontakt kommen, ist der Datenschutzbeauftragte entbehrlich. Doch Vorsicht! Auch wer nur gelegentlich mal in die Datenbank blicken kann, zählt bereits als Mitarbeiter. Und: Die Ausnahmeregelung gilt nicht, wenn besondere personenbezogene Daten verarbeitet werden (z. B. Gesundheitsdaten oder Daten zur ethnischen Herkunft und sexuellen Orientierung).