Hallo Herr Windmann, in Deutschland wird ein Datenschutzbeauftragter benötigt, wenn mindestens 10 Personen in einem Unternehmen mit automatisierter Datenverarbeitung beschäftigt sind oder besonders schutzwürdige Daten verarbeitet werden. Ein Datenschutzbeauftragter ist künftig nach Art. 37 Abs. 1 DS-GVO zu benennen, bei a) Behörden und sonstigen öffentlichen Stellen, b) einer Kerntätigkeit mit umfangreicher oder systematischer Überwachung von Personen oder c) einer Kerntätigkeit mit umfangreicher Verarbeitung besonderer Kategorien von Daten. Aufgrund der Befugnisnorm in Art. 37 Abs. 4 DS-GVO wird dies durch das neue Bundesdatenschutzgesetz (BDSGneu) erweitert, das zeitgleich mit der DS-GVO wirksam wird. In § 38 Abs. 1 BDSGneu erweitert der deutsche Gesetzgeber den Passus des Art. 37 DSGVO um folgende Punkte: Ein Datenschutzbeauftragter ist somit ebenfalls zu benennen, wenn d) in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung beschäftigt sind, e) Verarbeitungen durchgeführt werden, welche der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegen oder f) personenbezogene Daten zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Im Falle der Punkte e) und f) ist die Anzahl der beschäftigten Personen nicht mehr relevant. Ein Datenschutzbeauftragter muss hier auf jeden Fall benannt werden, da es sich hierbei um Verarbeitungen durch besonders risikoreiche Prozesse (§ 38 Abs. 1 S. 2 BDSGneu i.V.m. Art. 35 DS-GVO) oder besonders schutzwürdige Daten (z.B. Gesundheitsdaten, religiöse Überzeugungen, etc.) (Art. 37 Abs. 1 lit. c DS-GVO i.V.m. Art. 9 DS-GVO) handelt. Zu Ihren beiden Beispielen: Inwieweit hier für die Benennungspflicht durch einen Steuerberater die Voraussetzungen erfüllt werden ist, aufgrund der unbestimmten Rechtsbegriffe noch nicht abschließend geklärt. Beispiel 1: Der Kanzleiinhaber darf hierbei jedoch nicht der Datenschutzbeauftragte sein. Dies ergibt sich aus Art. 38 Abs. 6 DS-GVO. „Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen." => Der Kanzleiinhaber hat nach Meinung der Aufsichtsbehörden – Stellungnahmen nach aktuellem BDSG – ein Interessenskonflikt und scheidet somit als Datenschutzbeauftragter aus, auch wenn es nur zwei Beschäftigte sind. Beispiel 2: Hier gilt vorab zu prüfen, ob durch die Stempeluhr ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen existiert. Ist dies der Fall, so gilt die selbe Schlussfolgerung wie in Beispiel 1. Allgemeines Fazit: Ein Kanzleiinhaber darf nach derzeitiger und künftiger Rechtslage kein Datenschutzbeauftragter sein. In kleineren Kanzleien bliebe somit nur die Möglichkeit, einen Mitarbeiter oder einen externen Datenschutzbeauftragten zu benennen. Ich hoffe, dass ich Ihnen mit dieser Antwort die Situation etwas näher gebracht und Ihre Fragen beantwortet habe.
... Mehr anzeigen