Der Datenschutzbeauftragte (DSB) spielt eine zentrale Präventivrolle, ist aber nicht persönlich für Verstöße verantwortlich.
Die Rolle des DSB:
Gemäß Art. 39 DSGVO hat der DSB folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten
- Überwachung der Einhaltung der DSGVO und der Datenschutzstrategie
- Beratung bei der Datenschutz-Folgenabschätzung (DSFA)
- Zusammenarbeit mit der Aufsichtsbehörde
- Anlaufstelle für die Aufsichtsbehörde und für betroffene Personen
Entscheidend: Die Verantwortung für die DSGVO-Einhaltung liegt beim Verantwortlichen (dem Unternehmen/der Geschäftsleitung), NICHT beim DSB (Art. 24 Abs. 1 DSGVO). Der DSB ist Berater und Überwacher, nicht Garant.
Bußgelder wegen des DSB:
Bußgelder drohen nicht dem DSB persönlich, sondern dem Verantwortlichen, wenn er:
- keinen DSB bestellt, obwohl er dazu verpflichtet ist (Art. 37 DSGVO, Paragraph 38 BDSG)
- den DSB nicht ordnungsgemäß einbindet oder dessen Unabhängigkeit verletzt
- die Kontaktdaten des DSB nicht veröffentlicht oder der Aufsichtsbehörde mitteilt
Diese Verstöße fallen unter Art. 83 Abs. 4 lit. a DSGVO (Stufe 1: bis 10 Mio. EUR / 2% Jahresumsatz).
Benennungspflicht in Deutschland (Paragraph 38 BDSG):
Ein DSB muss benannt werden, wenn:
- mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind, ODER
- DSFA-pflichtige Verarbeitungen vorgenommen werden, ODER
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder Markt-/Meinungsforschung verarbeitet werden.