Geschäftsleitung – Geschäftsführer als Datenschutzbeauftragter? Ein Spiel mit dem Feuer!

Datenschutzbeauftragte – Wer muss und wer darf nicht?

Unternehmen und Behörden sind sich oft bewusst, dass sie einen Datenschutzbeauftragten (DSB) benennen müssen. Doch bei der Auswahl der Person passieren häufig Fehler, die schwerwiegende Folgen haben können. Insbesondere das Risiko hoher Bußgelder und eines langwierigen Rechtsstreits ist nicht zu unterschätzen, wenn ein unqualifizierter oder ungeeigneter Datenschutzbeauftragter benannt wird. Es ist entscheidend, die gesetzlichen Anforderungen genau zu kennen und entsprechend zu handeln.

Warum Datenschutzbeauftragte nicht aus der Geschäftsführung stammen dürfen

Ein häufiger Fehler besteht darin, den Geschäftsführer oder eine Führungskraft aus der IT-Abteilung zum Datenschutzbeauftragten zu ernennen. Dies erscheint vielen Unternehmen als praktisch, ist unzulässig. Der Grund ist klar: Ein Datenschutzbeauftragter hat die Aufgabe, das Unternehmen in Datenschutzfragen zu überwachen. Wenn diese Person jedoch gleichzeitig operative Entscheidungen trifft oder ein Eigeninteresse am wirtschaftlichen Erfolg des Unternehmens hat, entsteht ein Interessenkonflikt. Der DSB würde sich im schlimmsten Fall selbst kontrollieren. Ein solcher Interessenkonflikt kann die Unabhängigkeit und Objektivität des Datenschutzbeauftragten gefährden und somit den Schutz der personenbezogenen Daten beeinträchtigen.

Die Konsequenzen einer fehlerhaften Benennung können erheblich sein. Auch wenn alle anderen Datenschutzmaßnahmen korrekt umgesetzt sind, reicht allein dieser Fehler aus, um hohe Bußgelder nach sich zu ziehen.

Grundlagen: Wer muss einen Datenschutzbeauftragten benennen?

Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) schreiben in bestimmten Fällen die Benennung eines Datenschutzbeauftragten vor. Doch wann genau ist dies erforderlich?

  1. Mindestanzahl an Mitarbeitenden:
    Wenn ein Unternehmen mindestens 20 Mitarbeitende beschäftigt, die regelmäßig personenbezogene Daten automatisiert verarbeiten, ist die Benennung eines Datenschutzbeauftragten gemäß § 38 Absatz 1 BDSG verpflichtend. Dies bedeutet, dass bereits der routinemäßige Abruf von Daten oder die Arbeit am Computer ausreichend ist. Viele Unternehmen unterschätzen, wie schnell diese Grenze erreicht wird, und riskieren damit eine empfindliche Geldstrafe.
  2. Behörden und öffentliche Stellen:
    Gemäß Artikel 37 Absatz 1 Buchstabe a DSGVO müssen auch Behörden und öffentliche Stellen einen Datenschutzbeauftragten benennen, sofern sie personenbezogene Daten verarbeiten. Ausgenommen von dieser Regelung sind lediglich Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.
  3. Regelmäßige Überwachung von Personen:
    Unternehmen, deren Kerngeschäft in der regelmäßigen und systematischen Überwachung von Personen besteht – etwa durch umfangreiche Videoüberwachung oder das systematische Sammeln von Daten über das Nutzerverhalten auf einer Webseite – müssen einen Datenschutzbeauftragten benennen. Diese Verpflichtung ergibt sich aus Artikel 37 Absatz 1 Buchstabe b DSGVO.
  4. Verarbeitung sensibler Daten:
    Unternehmen, die regelmäßig besonders sensible Daten verarbeiten – wie Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen – sind ebenfalls zur Benennung eines Datenschutzbeauftragten verpflichtet, gemäß Artikel 37 Absatz 1 Buchstabe c DSGVO. Dies betrifft beispielsweise Arztpraxen, Krankenhäuser und ähnliche Einrichtungen.
  5. Datenschutz-Folgenabschätzung:
    Unternehmen, die Verarbeitungen durchführen, die einer Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO unterliegen, sind fast immer verpflichtet, einen Datenschutzbeauftragten zu benennen. Denn die Umstände, die eine Datenschutz-Folgenabschätzung notwendig machen, führen in der Regel auch zur Erfüllung der Kriterien aus Artikel 37 DSGVO.

Die Risiken einer falschen oder fehlenden Benennung

Wenn kein qualifizierter Datenschutzbeauftragter benannt wird, obwohl dies gesetzlich vorgeschrieben ist, drohen empfindliche Bußgelder. Darüber hinaus besteht das Risiko, dass personenbezogene Daten unzureichend geschützt werden, was zu weiteren rechtlichen und finanziellen Konsequenzen führen kann. Besonders problematisch wird es, wenn der Datenschutzbeauftragte nicht unabhängig oder fachlich nicht ausreichend qualifiziert ist. Die DSGVO verlangt in Artikel 37 Absatz 5, dass der DSB über die erforderliche Fachkunde im Bereich des Datenschutzrechts und der Datenschutzpraxis verfügt. Unternehmen, die diese Anforderungen missachten, setzen sich und ihre Geschäftsführung unnötigen Risiken aus. Gemäß Artikel 83 Absatz 4 DSGVO können Strafen bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.

Auch wenn die Bußgelder für Datenschutzverstöße in den Medien oft im Mittelpunkt stehen, ist es wichtig zu betonen, dass Datenschutzverletzungen das Vertrauen der Kunden und Geschäftspartner nachhaltig schädigen können. Eine nachträgliche Korrektur solcher Fehler ist meist teurer und komplizierter als von Anfang an die richtigen Maßnahmen zu ergreifen.

Checkliste: Haben Sie den richtigen Datenschutzbeauftragten benannt?

– Gibt es in Ihrem Unternehmen mindestens 20 Mitarbeitende, die regelmäßig personenbezogene Daten verarbeiten?

– Verarbeitet Ihr Unternehmen sensible Daten (z. B. Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen)?

– Überwacht Ihr Unternehmen regelmäßig und systematisch Personen (z. B. durch Videoüberwachung)?

Wenn Sie eine dieser Fragen mit „Ja“ beantwortet haben, dann benötigen Sie wohl einen Datenschutzbeauftragen. Wenn Sie keinen haben, dann treten Sie schnell mit uns in Verbindung, wir können das übernehmen.

Wenn Sie bereits einen Datenschutzbeauftragten haben, dann wird es jetzt spannend:

– Ist Ihr Datenschutzbeauftragter Teil der Geschäftsführung oder IT-Abteilung?

– Fehlt Ihrem Datenschutzbeauftragten die erforderliche Fachkompetenz im Bereich Datenschutzrecht und Datenschutzpraxis?

Wenn Sie hier nun eine Frage mit „Ja“ beantwortet haben, sollten Sie dringend prüfen, ob eine externe Lösung für Ihr Unternehmen sinnvoll wäre. Denn dann haben Sie offensichtlich in Ihrem Unternehmen ein selbst gesetztes Risiko und stehen im schlimmsten Fall so da, als ob Sie überhaupt keinen Datenschutzbeauftragten hätten (inkl. aller Konsequenzen wie z.B. Bußgeld).

Denken Sie daran, dass externe Datenschutzbeauftragte den Vorteil der Unabhängigkeit bieten, und spezialisiert auf die Einhaltung aller gesetzlichen Vorgaben sind. In unserer Kanzlei steht Ihnen RA Cornelius Matutis mit seinem Team als erfahrener externer Datenschutzbeauftragter zur Verfügung, um Ihnen zu einer sicheren und gesetzeskonformen Lösung zu verhelfen.