Wann ist eine Kanzlei gesetztlich dazu verpflichtet, einen Datenschutzbeauftragten zu benennen?
Nach § 38 BDSG besteht die Verpflichtung, einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Verarbeitung ist dann automatisiert, wenn sie unter Einsatz von Datenverarbeitungsanlagen wie zum Beispiel einem Computer / Tablet im Unternehmen erfolgt. Darüber hinaus besteht die Pflicht zur Benennung eines internen oder externen Datenschutzbeauftragten, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen, oder personenbezogene Daten geschäftsmäßig für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Auch gilt im Datenschutz die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens in einer umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über Verurteilungen und Straftaten besteht. Falls Sie sich nicht sicher sind, ob Sie im Unternehmen einen Datenschutzbeauftragten benennen müssen, sprechen Sie uns an.
Welche Voraussetzungen muss ein Datenschutzbeauftragter erfüllen?
Datenschutzbeauftragte müssen eine ausreichende berufliche Qualifikation und Praxiserfahrung im Datenschutz mitbringen, sowie die Fähigkeit, die in Art. 39 DSGVO definierten Aufgaben zu erfüllen. Die DSGVO enthält keine konkreten Vorgaben hinsichtlich der relevanten Qualifikation.
Das notwendige Niveau der Expertise im Datenschutz richtet sich nach dem erforderlichen Schutz für die personenbezogenen Daten, die das Unternehmen verarbeitet. Hier gilt, dass je komplexer die Datenverarbeitungen im Einzelfall sind oder je größer die Menge sensibler Daten ist, desto höhere Anforderungen sind an das Fachwissen des Datenschutzbeauftragten zu stellen.
Unsere fachkundigen externen Datenschutzbeauftragten sind den Aufgaben im Umgang mit personenbezogenen Daten gewachsen, da sie ständig geschult werden und aus ihrer Erfahrung heraus, eine hohe Beratungskompetenz sicherstellen.
Wie ist ein Datenschutzbeauftragter zu benennen?
Eine schriftliche Benennung, wie sie noch nach alter Rechtslage im Datenschutz gefordert wurde, wird durch die DSGVO nicht mehr vorgeschrieben. Aus Beweisgründen und zur Rechtsklarheit ist eine schriftliche Benennung von Datenschutzbeauftragten jedoch empfehlenswert. Zudem wird empfohlen, die Aufgaben der Datenschutzbeauftragten durch den Verantwortlichen im Vertrag explizit festzuhalten, damit sich Verantwortliche und Datenschutzbeauftragte über die Aufgaben im Klaren sind. Da – anders als bisher in § 4f Abs. 1 S. 2 BDSG – keine Frist geregelt ist, ist die Pflicht sofort zu erfüllen, sobald die Voraussetzungen vorliegen. Das Unternehmen veröffentlicht schließlich die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der zuständigen Aufsichtsbehörde mit. Damit ist die Bestellung des internen oder externen Datenschutzbeauftragten abgeschlossen.
Ist der Datenschutzbeauftragte persönlich für die Einhaltung der DSGVO verantwortlich?
Datenschutzrechtlich verantwortlich für die Einhaltung der DSGVO ist diejenige Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet. Dies ist immer das Unternehmen und nie der Datenschutzbeauftragte.
Dem internen oder externen Datenschutzbeauftragten obliegt gem. Art. 39 DSGVO die Aufgabe, das Unternehmen sowie deren Beschäftigte, über ihre datenschutzrechtlichen Pflichten zu unterrichten und im Datenschutz zu beraten. Hier ist der Datenschutzbeauftragte gefordert, nicht lediglich die einschlägigen Vorschriften nach der DSGVO wiederzugeben, sondern das Unternehmen aktiv beim Lösen von konkreten Problemen zu unterstützen, die bei der Umsetzung von Maßnahmen auftauchen können. Der interne oder externe Datenschutzbeauftragte haftet bei vorsätzlicher oder grober Fahrlässigkeit in vollem Umfang. Bei normaler Fahrlässigkeit kommt es zu einer quotalen Verteilung zwischen Arbeitgeber und Arbeitnehmer. Eine Haftung des internen Datenschutzbeauftragten bei leichter Fahrlässigkeit scheidet regelmäßig aus. Anders stellt sich die Lage beim externen Datenschutzbeauftragten dar. Kommt dieser seinen vertraglichen Beratungspflichten nicht im erforderlichen Umfang nach, etwa aufgrund einer Falschberatung, sind vertragliche Schadensersatzansprüche in vollem Umfang denkbar. Auch aus diesem Grund ist die Bestellung eines externen Datenschutzbeauftragten für Unternehmen vorteilhaft.
Wie sieht die Zusammenarbeit des Datenschutzbeauftragten mit der Aufsichtsbehörde aus?
Die Pflicht zur Zusammenarbeit und Kooperation mit der Aufsichtsbehörde nach der DSGVO stellt im Vergleich zu der alten Rechtslage eine wichtige Neuerung im Datenschutz dar. Damit sind interne oder externe Datenschutzbeauftragte berechtigt, direkt mit der Aufsichtsbehörde zu kommunizieren. Dieser Umstand ist auch für die Aufsichtsbehörde von Bedeutung, die sich in der Vergangenheit in erster Linie an die Unternehmensleitung zu wenden hatte.
Der interne oder externe Datenschutzbeauftragte wird hier in enger Abstimmung mit der Geschäftsführung die Kommunikation mit den Aufsichtsbehörden pflegen.
Unsere Leistungen
NEU: Informationsdienst Datenschutz – ideal für den internen Datenschutzbeauftragten
Bereitstellung von Datenschutz-Musterinformationen - Muster Datenschutzerklärung für die Webseite - Mustervorlage-Auftragsdaten-Vereinbarung - Mustervorlage-Verfahrensübersichten für Verarbeitungstätigkeiten - Checklisten
Monatlicher Newsletter
Mitarbeiter-Schulung per Webinar einmal im Jahr (60 Minuten)
Juristische Beratung und Unterstützung in allen datenschutzrechtlichen Angelegenheiten auf Stundenbasis (269 € / Stunde zzgl. gesetzlicher MwSt.) bei minutengenauer Abrechnung
Mit der Verabschiedung des Wachstumschancengesetzes im März 2024 ist die verpflichtende Einführung elektronischer Rechnungen (E-Rechnungen) beschlossen worden. So müssen vom 1. Januar 2025 an Unternehmen solche Rechnungen empfangen können. Vom 1. Januar 2027 an müssen Unternehmen, die im Vorjahr einen Umsatz von mehr als 800.000 Euro erreicht haben, ihren Geschäftskunden auch E-Rechnungen schicken können. Ab […]
Im Rahmen des diesjährigen EDV-Gerichtstages in Saarbrücken, Mitte September, hat juris die durch ein Sprachmodell unterstütze Softwareanwendung juris KI vorgestellt. Damit haben nun alle relevanten Anbieter juristischer Online-Datenbanken eine KI-Lösung annonciert, welche die Recherche in juristischen Fachinformationen erleichtern soll oder sonstige Funktionen für juristische Recherchearbeit bereithält. Die Lösungen befinden sich teilweise noch in Pilot- oder […]
Personenbezogene Daten, auch bekannt als Personally Identifiable Information (PII), umfassen alle Informationen, die zur Identifizierung einer Person genutzt werden können. Das betrifft alle Angaben, die eine natürliche Person identifizierbar machen: Namen, Adresse und Standortangaben, Kennnummer, wie die Sozialversicherungsnummer oder Finanzdaten etc. Für Anwaltskanzleien, die täglich mit sensiblen Mandantendaten arbeiten, ist der Schutz dieser Informationen von […]