Ihren Datenschutzbeauftragten benennen Sie ganz einfach mit einem Benennungsschreiben. Damit dokumentieren Sie die Benennung des Datenschutzbeauftragten und machen sie nachweisbar.
Bevor Sie einen Datenschutzbeauftragten benennen, sollten Sie noch ein paar grundsätzliche Überlegungen anstellen. Einen Überblick erhalten Sie im folgenden Text.
Noch eine kleine Anmerkung. In BDSG Zeiten war auch die Rede von der Bestellung – über den Begriff Bestellungsschreiben stolpern Sie in diesem Zusammenhang auch hin und wieder. Prinzipiell ist die Bestellung eines Datenschutzbeauftragten nicht falsch, nur überholt… Achten Sie trotzdem auf die DSGVO Begrifflichkeiten in Vorlagen.
Benennungsschreiben
Ein geeignetes Benennungsschreiben kann (hoffentlich) Ihr Datenschutzbeauftragter zur Verfügung stellen.
Falls nicht: es gibt es viele gute kostenpflichtige Vorlagen oder ein Muster der GDD in Kombination mit der Stellenbeschreibung.
VORSICHT bei den kostenlosen Varianten aus dem Internet! Diese sind manchmal etwas älter und beziehen sich noch auf das nicht mehr gültige BDSG (alt).
Vertrag
Schließen Sie mit Ihrem Datenschutzbeauftragten einen Vertrag, denn irgendein Vertragsverhältnis in dem Rechte und Pflichten geregelt sind, brauchen Sie.
Für interne Datenschutzbeauftragte gibt es einen Arbeitsvertrag / ein Arbeitsverhältnis und eine Stellenbeschreibung (z.B. das Muster der GDD),
für externe Datenschutzbeauftragte gibt es einen Dienstleistungsvertrag.
Pflicht zur Benennung oder Bestellung
Die Pflichten zur Benennung eines Datenschutzbeauftragten stehen in Art. 37 DSGVO und § 38 BDSG.
Kurz zusammengefasst: Mit einer Änderung des BDSG wurde im November 2020 die Benennungsgrenze von 10 auf 20 Mitarbeiterinnen und Mitarbeiter angehoben, wenn diese mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Die Datenschutzgesetze gelten unabhängig von der Benennungspflicht eines Datenschutzbeauftragten.
Öffentliche Stellen (Behörden, Ämter, usw.) müssen immer einen Datenschutzbeauftragten benennen.
Die Freiwillige Benennung ist immer möglich.
Weitere Details dazu in einem gesonderten Artikel.
Weitere Hinweise gibt auch bei der Bayerischen Aufsichtsbehörde BayLDA unter: https://www.lda.bayern.de/de/thema_datenschutzbeauftragter.html
Wer kann als DSB benannt werden?
Sie können sich Ihren Datenschutzbeauftragten frei aussuchen. Allerdings sollte dieser über die notwendige Fachkunde verfügen.
Wichtig ist auch dessen Unabhängigkeit. Das bedeutet er muss weisungsfrei seine Aufgaben erfüllen können und darf sich nicht selbst kontrollieren. Ein Interessenkonflikt scheidet also aus. Bei Geschäftsführern, nahen Angehörigen der Geschäftsleitung, IT-Leitern, usw. kann man die Unabhängigkeit oft bezweifeln.
Der Datenschutzbeauftragte muss eine natürliche Person, also ein lebender Mensch sein.
Fachkunde des DSB
Zur Fachkunde eines Datenschutzbeauftragten gibt es wenige konkrete Vorgaben.
In einem älteren Beschluss (11/2010) der obersten Aufsichtsbehörden (Düsseldorfer Kreis) für den Datenschutz im nicht-öffentlichen Bereich sind die Anforderungen an die Fachkunde aufgelistet: http://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/DuesseldorferKreis/24112010-MindestanforderungenAnFachkunde.pdf?__blob=publicationFile
Aus einem Gerichtsurteil (LAG Mecklenburg Vorpommern) ergibt sich diese kurze Zusammenfassung:
Der Datenschutzbeauftragte muss fähig sein um die Anforderungen aus Artikel 39 DSGVO zu erfüllen, aber die Tätigkeit des DSB setzt keine bestimmte Ausbildung voraus.
Das genaue Fachwissen richtet nach der Größe der Organisation, die daraus resultierenden dem Umfang der Verarbeitungsvorgänge samt eingesetzter IT und Art personenbezogener Daten. Der DSB muss selbst nicht alle Bereiche abdecken, sondern kann auch auf Fachkundige Mitarbeiter zurückgreifen. Weiterbildungen / Fortibildugnen zu technischen Entwicklungen und gesetzlichen Änderungen bzw. Entwicklungen in der Rechtsprechung müssen stattfinden. Der Datenschutzbeauftragte muss seine Aufgaben gewissenhaft erfüllen und seine Pflichten beachten.
Übersicht Fachkundenachweise
zu den Fachkundenachweisen von Christian Schröder – DatenschutzFachmann.eu
intern oder extern
Ob Sie die Position des Datenschutzbeauftragten intern oder extern besetzen bleibt Ihnen überlassen.
Die Vorgaben, Rechte und Pflichten sind die gleichen, so dass es eigentlich keinen Unterschied machen sollte.