Die Bestellpflicht des Datenschutzbeauftragten – oder: Verpflichtung zur Benennung eines Datenschutzbeauftragten

Die Regelungen zum Datenschutzbeauftragten unter der DSGVO waren lange unklar. Doch mit der Einführung der Datenschutz-Grundverordnung (DSGVO) gilt eine europaweite Verpflichtung für Unternehmen, deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist. Geregelt ist dies in Art. 37 DSGVO, die Stellung des DSB in Art. 38 DSGVO und die Aufgaben in Art. 39 DSGVO. Eine Mindestanzahl an Beschäftigte, wie sie das alte BDSG vorsah, existiert in der DSGVO so nicht mehr (Spoiler: aber im neuen BDSG n.F. ).

Auch eine Bestellung muss nach der DSGVO nicht mehr schriftlich erfolgen. Mit der DSGVO ist nun eine Benennung nach Art. 37 ausreichend. Dennoch empfehlen wir dies beizubehalten, da sich ein DSB damit gegenüber Externen damit ausweisen kann.
Zudem kann auch ein Konzern Datenschutzbeauftragter ernannt werden, wenn dieser von der jeweiligen Niederlassung leicht erreicht werden kann. Gehören zu diesem Konzern auch nicht EU-ansässige Unternehmen, muss sich der Sitz des des Datenschutzbeauftragten in der EU befinden.

Der Konzern-DSB muss die lokalen Sprachen der Konzerngesellschaften beherrschen, damit er von den Mitarbeitern leicht angesprochen werden kann. Daraus folgt, dass die Rolle des „global DPO“ in der Praxis meist eine koordinierende Funktion besitzt, er aber nicht der bestellte DSB aller Landesgesellschaften ist.

Zwar unterliegt der Datenschutzbeauftragte einer Überwachungspflicht, diese macht ihn jedoch nicht für das Nichteinhalten der Datenschutzvorschriften verantwortlich. Auch hier haben sich die Sanktionen drastisch erhöht. Somit beträgt die Summe bei einem Verstoß gegen die Verordnung bis zu 10 Mio. Euro oder im Fall eines Unternehmens 2 % des gesamten weltweit erzielten Jahresumsatzes.

Ein Datenschutzbeauftragter kann

bestellt werden. Eine Vernachlässigung dieser Pflicht kann empfindliche Folgen haben, vor allem, wenn tatsächlich etwas passieren sollte.