Benennung eines Datenschutzbeauftragten
Wenn bereits nach den Vorschriften des BDSG a.F. ein Datenschutzbeauftragter benannt wurde, verfällt diese Benennung mit dem Inkrafttreten der DSGVO nicht, sondern bleibt bestehen. Mit der DSGVO sind das Wesen des Datenschutzbeauftragten, seine rechtliche Stellung und auch seine Aufgaben nicht in einem Maße verändert, dass dies zum Erlöschen der Benennung führen würde.
Eine Formvorschrift für die Benennung des Datenschutzbeauftragten besteht nicht. Es empfiehlt sich aber, den Datenschutzbeauftragten schriftlich oder zumindest in Schriftform zu benennen. Die Benennung muss von der Geschäftsleitung im Unternehmen kommuniziert werden, damit die Mitarbeiter die erforderlichen Informations- und Unterstützungspflichten auch erfüllen können. Ebenso ist, anders als in § 4f Abs. 1 BDSG a.F., für die Benennung keine Frist bestimmt. Aus dem Wortlaut des Art. 37 Abs. 1 DSGVO ergibt sich aber, dass der Datenschutzbeauftragte bei Aufnahme der benennungspflichtigen Verarbeitungstätigkeit benannt sein muss.
Der Verantwortliche oder der Auftragsverarbeiter muss gem. Art. 37 Abs. 7 DSGVO die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und der Aufsichtsbehörde melden. Mit der Veröffentlichung soll die Erreichbarkeit des Datenschutzbeauftragten sowohl für die Beschäftigten des Unternehmens als auch für außenstehende Personen, z. B. Kunden oder sonstige Betroffene, sichergestellt werden. Für die Aufsichtsbehörden sind diese Kontaktdaten erforderlich, um ggf. im Rahmen des Art. 39 Abs. 1 lit. d und e DSGVO mit dem Datenschutzbeauftragten in Verbindung treten zu können. Art. 37 Abs. 7 DSGVO nennt als zu veröffentlichende Daten die Kontaktdaten, nicht aber den Namen des Datenschutzbeauftragten. Die Kontaktdaten (Telefonnummer, Fax-Nr., E-Mail-Adresse) reichen auch aus, um seitens der betroffenen Personen den Kontakt aufnehmen zu können. Eine Veröffentlichung des Namens ist nach dem Wortlaut der Bestimmung und vom Zweck der Veröffentlichung her weder verlangt noch erforderlich. Es bietet sich unter diesen Umständen an, als E-Mail-Adresse eine Funktionsadresse einzurichten. Für die Meldung des Datenschutzbeauftragten an die Aufsichtsbehörden stellen die Aufsichtsbehörden Onlineformulare zur Verfügung.
Der Datenschutzbeauftragte kann gem. Art. 37 Abs. 6 DSGVO ein Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. Damit kann, auch wie bisher schon, eine externe Person zum Datenschutzbeauftragten benannt werden.
Dringend zu empfehlen ist mit der Benennung die Herausgabe einer Information der Beschäftigten über die organisatorische Einbettung des Datenschutzbeauftragten und die Regelung der Zusammenarbeit. Dazu zählt insbesondere, an welche Stelle der Datenschutzbeauftragte zu berichten hat und wie die Zusammenarbeit der einzelnen Stellen im Unternehmen mit dem Datenschutzbeauftragten geregelt sein soll. Erfahrungsgemäß bereitet diese regelmäßige und rechtzeitige Information des Datenschutzbeauftragten in der Praxis immer wieder Probleme. Um hier klare Verhältnisse zu schaffen, sollte geregelt werden, was bezüglich der zu liefernden Informationen und Unterlagen für den Datenschutzbeauftragten Holschuld und für die Mitarbeiter Bringschuld ist. Ebenso wichtig ist die Klarstellung der Unterstützungspflicht, der Weisungsfreiheit und des uneingeschränkten Informations- und Prüfrechts des Datenschutzbeauftragten.
Fachthema weiterlesen
Bei diesem Artikel handelt es sich um einen Auszug aus unserem Datenschutz-Fachportal.
Profitieren Sie durch eine Anmeldung zum TÜV SÜD Datenschutz-Fachportal von vielen fachrelevanten Vorteilen:
- DSGVO-Schulungen für Ihre Mitarbeiter
- Unverzichtbares Praxiswissen
- Mustervorlagen zur DSGVO
- Nützliche Arbeitshilfen wie Vertragsmuster, Checklisten und vieles mehr.