DER SICHERHEITSDIENST

59 DSD 4 | 2024 RECHT oder am Computer arbeiten. Dies ist der häufigste Grund, weswegen Unternehmen einen Datenschutzbeauftragten benennen müssen. • Regelmäßige Überwachung von Personen: Unternehmen, deren Hauptaufgabe darin besteht, Personen regelmäßig und systematisch zu überwachen, müssen ebenfalls einen Datenschutzbeauftragten benennen. Ein Beispiel: Ein Unternehmen betreibt umfangreiche Videoüberwachung oder sammelt systematisch Daten über das Nutzerverhalten auf seiner Website. Diese Anforderung ergibt sich aus Art. 37 Abs. 1 Buchstabe b DSGVO. • Verarbeitung sensibler Daten: Verarbeitet ein Unternehmen regelmäßig sensible Daten, wie Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen, muss ebenfalls ein Datenschutzbeauftragter benannt werden. Beispiele dafür sind typischerweise Arztpraxen oder Krankenhäuser. Dies ist in Art. 37 Abs. 1 Buchstabe c DSGVO festgelegt. • Datenschutz-Folgenabschätzung: Unternehmen, die Verarbeitungen durchführen, die einer sogenannten Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterliegen, müssen ebenfalls fast immer einen Datenschutzbeauftragten benennen. Denn die Umstände, die eine Datenschutz-Folgenabschätzung notwendig machen, führen meist dazu, dass die Kriterien aus Art. 37 erfüllt sind und somit ein Datenschutzbeauftragter benannt werden muss. Anforderungen an den Datenschutzbeauftragten Damit ein Datenschutzbeauftragter seine Aufgaben richtig erfüllen kann, muss er bestimmte Voraussetzungen erfüllen: • Fachwissen und Qualifikation: Der Datenschutzbeauftragte sollte ausreichend qualifiziert sein, insbesondere im Bereich des Datenschutzrechts und der Datenschutzpraxis. Dazu gehört auch ein technisches Verständnis, da viele Datenschutzfragen eng mit IT-Systemen verbunden sind. Dies ist in Art. 37 Abs. 5 DSGVO festgelegt. • Unabhängigkeit und Neutralität: Ein Datenschutzbeauftragter muss unabhängig arbeiten können. Das bedeutet: Er darf nicht in der Geschäftsführung oder der IT-Abteilung tätig sein. Denn ein Interessenkonflikt entsteht, wenn dieselbe Person gleichzeitig für den Datenschutz und für operative Geschäftsentscheidungen verantwortlich ist. Und damit wären wir wieder bei dem Problem, dass es noch viele Unternehmen gibt, die sich allein wegen eines Fehlers bei der Auswahl der Person des Datenschutzbeauftragten, einem unnötigen Risiko aussetzen. Was passiert, wenn kein (bzw. kein den Anforderungen entsprechender) Datenschutzbeauftragter benannt wird? Unternehmen, die keinen Datenschutzbeauftragten benennen, obwohl sie dazu verpflichtet sind, oder einen Datenschutzbeauftragten benennen, der den Anforderungen nicht entspricht, riskieren hohe Bußgelder. Gemäß Art. 83 Abs. 4 DSGVO können Strafen bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Es ist wichtig, dass Unternehmen die Anforderungen an den Datenschutzbeauftragten ernst nehmen. Selbst wenn ein Datenschutzbeauftragter benannt wurde, sollten Sie sicherstellen, dass diese Person nicht in einem Interessenkonflikt steht und die gesetzlichen Anforderungen erfüllt. Anderenfalls riskieren Sie Bußgelder – und das oft nur aus dem Grund, dass der Datenschutzbeauftragte unabsichtlich falsch gewählt wurde. Überprüfen Sie also unbedingt die interne Struktur und stellen Sie sicher, dass Ihr Datenschutzbeauftragter unabhängig (auch wenn es natürlich ein Arbeitnehmer sein darf), fachkundig und gut qualifiziert ist.

RkJQdWJsaXNoZXIy Mjc4MQ==