Anders als in anderen EU-Mitgliedstaaten ist hierzulande die Bestellung eines Datenschutzbeauftragten derzeit nicht verpflichtend. Dies ändert sich jedoch mit Geltung der EU-Datenschutz-Grundverordnung (DSGVO) ab dem 25. Mai 2018.

Die DSGVO schreibt die Bestellung eines Datenschutzbeauftragten sowohl für den Auftraggeber (neu: Verantwortlichen) als auch den Dienstleister (neu: Auftragsverarbeiter) verpflichtend vor, wenn auch nur eine der folgenden Voraussetzungen erfüllt ist:

  • die Datenverarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt;
  • die Kerntätigkeit des Unternehmens besteht in (a) der umfangreichen, regelmäßigen und systematischen Überwachung von Betroffenen  oder (b) der umfangreichen Verarbeitung von „strafrechtlich relevanten“ oder „sensiblen“ Daten;
  • die Bestellung eines Datenschutzbeauftragten ist sonst nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben.

Die Art 29-Datenschutzgruppe hat dazu die Guidelines on Data Protections Officers und entsprechende FAQs bereitgestellt, die die Beurteilung vereinfachen soll. Verstöße gegen die Verpflichtung zur Bestellung eines Datenschutzbeauftragten sind mit drakonischen Strafen sanktioniert. So besteht bei einem Verstoß gegen diese Verpflichtung ein Straf-rahmen von bis zu EUR 10 Mio. oder von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens (je nachdem, welcher der vorgenannten Beträge höher ist).

Nach Auffassung der Art 29-Datenschutzgruppe soll der Datenschutzbeauftragte nicht nur – wie von der DSGVO gefordert – Fachwissen im Bereich des Datenschutzrechts, sondern auch Kenntnisse im Bereich der IT haben. Er kann Beschäftigter des Datenverarbeiters sein oder als Externer seine Aufgabe auf Grundlage eines Dienstleistungsvertrages erfüllen. Der Datenschutzbeauftragte ist weisungsfrei zu stellen und darf wegen der Erfüllung seiner Aufgaben nicht abberufen werden. Angesichts dieses „Kündigungsschutzes“ angestellter Datenschutzbeauftragter kann daher die Bestellung eines externen Datenschutz-beauftragten (wie etwa eines Rechtsanwalts) vorteilhaft sein.

Die Art 29-Datenschutzgruppe empfiehlt allen Unternehmen, im Rahmen einer internen Analyse die rechtliche Notwendigkeit eines Datenschutzbeauftragten zu prüfen und die Analyse schriftlich zu dokumentieren. Dies setzt eine datenschutzrechtliche Due Diligence-Prüfung hinsichtlich bestehender Datenanwendungen im Unternehmen voraus. Erst auf dieser Grundlage kann beurteilt werden, ob ein Unternehmen einen Datenschutz-beauftragten bestellen muss. Angesichts der drohenden Strafen sollte jedes Unternehmen eine solche Analyse rechtzeitig vor dem 25. Mai 2018 durchführen.