Aufgrund des immer wiederkehrenden Themas: "Wann ein Datenschutzbeauftragter zu benennen ist", möchte ich mit diesen Beitrag über die aktuellen Gegebenheiten und Änderungen informieren.
Dabei sind zwei Szenarien zu berücksichtigen:
1. Ein Datenschutzbeauftragter (intern wie extern) ist bei einer Anzahl von 10 Mitarbeitern zu benennen. Dies gilt bei allen Tätigkeiten, die in Zusammenhang mit Verarbeitung personenbezogener Daten stehen. Als Beispiel kann der Monteur aufgeführt werden, der Daten auf einem Papierformular erfasst, die später in ein IT-System überführt werden. Hierzu zählen aber insbesondere die Nutzung eines E-Mail-Postfachs durch Mitarbeiter oder auch freiberuflichen Kolleginnen und Kollegen.
2. Ein Datenschutzbeauftragter ist auch bei einer Anzahl von weniger als 10 Mitarbeitern zu benennen, wenn eine umfangreiche Verarbeitung besonderer personenbezogener Daten durchgeführt werden. Hierzu zählt bspw. die Verarbeitung von Gesundheitsdaten, wie in Arztpraxen, Anwaltskanzleien oder bei Versicherungsmaklern. Die Frage ist an dieser Stelle: Wann eine umfangreiche Verarbeitung stattfindet? Dies lässt sich nicht eindeutig beantworten und ist von Fall zu Fall zu betrachten. Eine Empfehlung aus der Praxis lässt sich am Beispiel einer Arztpraxis aufführen. Dort ist von einer umfangreichen Datenverarbeitung auszugehen, wenn 2 oder mehr Ärzte in der Praxis tätig sind. Im Zweifelsfall kann dazu die zuständige Aufsichtsbehörde kontaktiert werden. Jedoch sollte im Angesicht eines drohenden Bußgelds die Kosten für einen externen Datenschutzbeauftragten berücksichtigt werden, die im Vergleich verschwindend niedrig sind!
An dieser Stelle möchte ich auch darauf hinweisen, dass der Datenschutzbeauftragte ab dem 25.05.2018 bei der zuständigen Aufsichtsbehörde des jeweiligen Bundeslandes zu melden ist. Die Aufsichtsbehörden arbeiten aktuell an Online-Meldeformularen, die den Prozess vereinfachen sollen.
Fazit: Mit der Datenschutzgrundverordnung (DSGVO) hat sich zu den aktuellen Regelungen, außer dem drohenden Bußgeld, nicht viel geändert. Einzig die Anmeldung des Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde ist zu berücksichtigen. Es sollte aber auch darauf hingewiesen werden, dass die Anforderungen aus der DSGVO unabhängig von einem Datenschutzbeauftragten für alle Unternehmen gelten, die personenbezogene Daten verarbeiten und das betrifft mit ziemlicher Sicherheit 99,9% aller Unternehmen.
Comments