DSGVO: Wer braucht einen Datenschutzbeauftragten?

02.Oktober 2019

Seit 25. Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft. Bestimmte Unternehmen müssen einen oder eine Datenschutzbeauftragten (Data Protection Officer, kurz DPO) bestellen.

Der Verstoß gegen die Bestellpflicht unter beachtlicher Strafandrohung – bis zu EUR 10 Mio. bzw. zwei Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Die Wiener Sozietät CMS Reich-Rohrwig Hainz erklärt in ihrem Newsletter, wann ein DPO berufen werden muss und was seine bzw. ihre Aufgaben sind.

Kerntätigkeit von Verarbeitungsvorgängen

Eine Verpflichtung zur Bestellung eines DPO besteht

  • für Behörden und öffentliche Stellen sowie
  • für private Unternehmen, insbesondere wenn ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht.

Eine „Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen“ ist gegeben, wenn es um die entscheidende Umsetzung der Unternehmensstrategie geht. Bei Steuerberatern, IT-Dienstleistern und Headhuntern wird der Hauptzweck der unternehmerischen Tätigkeit überwiegend in der Datenverarbeitung liegen und daher regelmäßig ein DPO zu bestellen sein.

Personalverwaltung ist Nebentätigkeit

Nicht darunter fallen bloße routinemäßige Verwaltungsaufgaben. Die übliche Personalverwaltung (Führen von Personalakten, allgemeine Personaladministration) oder auch Videoüberwachung des Unternehmensgeländes stellen als bloße Nebentätigkeiten keine Kerntätigkeit dar, weshalb eine DPO-Bestellung nicht notwendig ist.

Regelmäßige Datenverarbeitung

Als weitere Voraussetzung für die Pflicht zur Bestellung eines DPO bei privaten Unternehmen muss

  • entweder eine umfangreiche regelmäßige und systematische Überwachung oder
  • die Verarbeitung von besonderen Kategorien von Daten vorliegen.

Bei der umfangreichen und systematischen Überwachung kommt es auf die Anzahl der betroffenen Personen, das Ausmaß der Daten, die Dauer bzw. die Regelmäßigkeit der Verarbeitung sowie die örtliche Ausdehnung der Verarbeitung an. So wird beispielsweise die Verarbeitung von Kundendaten durch eine Versicherung oder Bank wie auch die Analyse des Surfverhaltens für die Ermittlung gezielter Werbung als umfangreiche Datenverarbeitung gelten. Besondere Kategorien von Daten betreffen z.B. personenbezogene Angaben über strafrechtliche Verurteilungen.

Unternehmenszweck und Daten

Vor Bestellung des DPO sollten das Unternehmen folgende Punkte analysieren :

  • Werden zur Umsetzung der Unternehmensstrategie personenbezogene Daten verarbeitet?
  • Handelt es sich bei der Verarbeitung um Verwaltungstätigkeiten (Führen von Personalakten) oder darüber hinausgehende Verarbeitungsvorgänge?
  • Erfolgt eine Datenverarbeitung umfangreich und systematisch?
  • Wie ist das Ausmaß, die Dauer, die Regelmäßigkeit und die örtliche Ausdehnung der Datenverarbeitung?
  • Werden besondere Kategorien von Daten (= „sensible“ Daten) verarbeitet?

Intern oder extern?

Seit 25.5.2018 muss für ein Unternehmen, das die Voraussetzungen nach § 37 DSGVO erfüllt, ein DPO bestellt sein. In diesem Zusammenhang ist auch die Frage zu klären, ob dieser intern oder extern bestellt werden soll, da sich hier je nach Unternehmensgröße und -ausrichtung unterschiedliche Anforderungen an den DPO ergeben. Kommt das Unternehmen zur Ansicht, dass kein DPO zu bestellen ist, sollten dieses Ergebnis der Prüfung sowie die Gründe dafür schriftlich dokumentiert werden.

Eindeutige Dokumentation

Zwar ist für die Bestellung eines/r Datenschutzbeauftragten keine Formvorschrift vorgesehen, dennoch sollte diese aus mehreren Gründen schriftlich erfolgen und vor allem die Dauer der Bestellung (befristet oder unbefristet) genau regeln. Dabei raten die Experten von CMS Reich-Rohrwig Hainz, dass auch im Falle des Ausscheidens des DPO umgehend ein neuer Verantwortlicher bestellt sein muss. Bei der Ausgestaltung der Bestellung sollte berücksichtigt werden, dass das Organmandat ohne vertragliche Regelung jederzeit zurückgelegt werden kann, auf (arbeits-)vertraglicher Seite aber noch Kündigungsfrist und -termin eingehalten werden müssen.

 

Mehr zum Thema

CMS Reich-Rohrwig Hainz: Ungekürzter Beitrag