Für ein Unternehmen egal welcher Größe ist in der heutigen Zeit ein kompetenter Ansprechpartner und Berater in Datenschutzangelegenheiten unabdingbar geworden.
Datenschutz als Compliance-Thema
Denn Datenschutz geht alle Unternehmen an. Der Datenschutz ist in Form des informationellen Selbstbestimmungsrechts im Grundgesetz manifestiert. Bei einer Nichtbeachtung des Datenschutzes drohen – teils erhebliche – zivilrechtliche und strafrechtliche Risiken. Jedes Unternehmen ist aus Comliance-Gründen verpflichtet, die Vorgaben der Datenschutzgrundverordnung (DSGVO) und anderer datenschutzrechtlicher Vorgaben zu erfüllen. Auch wenn ein Unternehmen gem. § 38 Abs. 1 BDSG nicht die gesetzliche Verpflichtung hat, einen Datenschutzbeauftragten zu bestellen, muss datenschutzkonform gehandelt werden. In diesem Fall obliegt es der Geschäftsführung des Unternehmens, die Anforderungen an ein datenschutzgerechtes Handeln sicherzustellen. Gelingt das nicht, droht hier ein Bußgeld (Art. 83 DSGVO), eine zivilrechtliche Inanspruchnahme oder negative Publicity.
Datenschutz als ein Mittel der Kundenbindung
In erster Linie sollte der Datenschutz als Kundenbindungsinstrument verstanden werden. Zum einen erwarten Kunden und Vertragspartner, dass mit den überlassenen Daten verantwortungsvoll und mit einem gewissen Respekt vor sensiblen Daten umgegangen wird. Dies äußert sich in vielen Fällen auch darin, dass eine Auftragsvergabe/ Vertragsschluss von der Dokumentation bestimmter datenschutzrechtlicher Prozesse, des Nachweises der Bestellungung eines Datenschutzbeauftragten oder der Verpflichtung der Mitarbeiter auf Vertraulichkeit/ Datenschutz gem. Art. 28 Abs. 3 lit. b DSGVO abhängig gemacht wird. Zum anderen signalisiert ein Unternehmen mit aktivem Datenschutzmanagement nach außen, dass das Thema Datenschutz ernst genommen wird und damit die Interessen von Geschäftspartnern, Kunden und Mitarbeitern geachtet werden.
Datenschutzbeauftragter als gesetzliche Verpflichtung
Natürlich besteht auch die gesetzliche Pflicht, Datenschutz zu betreiben und bei Vorliegen bestimmter Voraussetzungen einen Datenschutzbeauftragten zu bestellen. So müssen nach Art. 37 DSGVO i.V.m. § 38 BDSG Unternehmen einen Datenschutzbeauftragten bestellen, bei denen in der Regel mindestens zwanzig Personen ständig personenbezogene Daten automatisiert verarbeiten, ferner Unternehmen, welche zu einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtet sind und Unternehmen, die personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
Auch nach Art. 37 Abs. 1 lit. b DSGVO die Kerntätigkeit eines Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/ oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, ist die Bestellung eines Datenschutzbeauftragten unabhängig von der Mitarbeiteranzahl obligatorisch.
Ein weiterer Fall der verpflichtenden Bestellung eines Datenschutzbeauftragten ist gegeben, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht (Art. 37 Abs. 1 lit. c DSGVO).
Für den Fall, dass ein Unternehmen diesen Anforderungen nicht nachkommt, droht gem. Art. 83 DSGVO ein Bußgeld von bis zu bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes.
Es gibt daher gute und überzeugende Gründe, ein effektives Datenschutzmanagement zu betreiben.
Noch mehr Informationen über das Thema Datenschutzbeauftragter finden sie auf den xDSB-Websiten.