Datenschutzbeauftragte
Eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter ist eine Person, die Unternehmen oder Behörden in allen Datenschutzfragen berät, die Einhaltung der DSGVO überwacht und als Kontaktstelle zur Datenschutzbehörde dient. Die Bestellung ist unter bestimmten Voraussetzungen verpflichtend.
Ausführliche Erklärung
Ein Datenschutzbeauftragter ist eine intern oder extern bestellte Person mit Fachwissen im Datenschutzrecht und der Datenverarbeitungspraxis. Zu den Hauptaufgaben zählen die Beratung der Geschäftsführung und der Mitarbeitenden zu datenschutzrechtlichen Vorgaben, die Überwachung der Einhaltung der DSGVO, die Schulung von Personal sowie die Mitwirkung bei Datenschutz-Folgenabschätzungen. Datenschutzbeauftragte arbeiten weisungsfrei und berichten direkt an die oberste Managementebene.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich in Deutschland und Österreich aus unterschiedlichen Regelungen. In Deutschland muss gemäß Paragraf 38 BDSG ein Datenschutzbeauftragter bestellt werden, sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. In Österreich existiert keine solche Mitarbeiterschwelle. Hier richtet sich die Pflicht ausschließlich nach Artikel 37 DSGVO: Eine Bestellung ist erforderlich, wenn die Kerntätigkeit des Unternehmens in der umfangreichen regelmäßigen Überwachung von Personen oder in der umfangreichen Verarbeitung besonderer Datenkategorien besteht. Zu letzteren zählen etwa Gesundheitsdaten, biometrische Daten oder Informationen über strafrechtliche Verurteilungen.
Unternehmen können zwischen einem internen Datenschutzbeauftragten, der als Mitarbeitender tätig ist, oder einem externen Dienstleister wählen. Wichtig ist, dass keine Interessenkonflikte entstehen: Geschäftsführende, IT-Leitende oder Personen, die über Zweck und Mittel der Datenverarbeitung entscheiden, dürfen diese Funktion nicht übernehmen. Die Kontaktdaten müssen veröffentlicht und der zuständigen Aufsichtsbehörde gemeldet werden. Wird trotz Pflicht kein Datenschutzbeauftragter bestellt, kann dies als Verstoß gegen die DSGVO mit Bußgeldern bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden.
Auch ohne gesetzliche Verpflichtung kann die freiwillige Bestellung eines Datenschutzbeauftragten für KMU sinnvoll sein, um die Datenschutz-Compliance strukturiert zu organisieren und Haftungsrisiken zu minimieren.
Praxisbeispiel
Eine österreichische Steuerberatungskanzlei mit 12 Mitarbeitenden verarbeitet sensible Finanzdaten ihrer Mandanten. Obwohl keine Mitarbeiterschwelle existiert, entscheidet sich die Kanzlei zur Bestellung eines externen Datenschutzbeauftragten, da die umfangreiche Verarbeitung sensibler Daten zur Kerntätigkeit gehört. Der DSB berät bei der Erstellung des Verarbeitungsverzeichnisses, schult die Mitarbeitenden und dient als Ansprechperson für Mandantenanfragen.