Seit 25. Mai 2018 gilt die DSGVO.
Laut Art.37 Abs.1 lit. b) und c) DSGVO ist in einem Betrieb, Stiftung und Verein
immer dann ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihres Zweckes eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht. Unabhängig von der Mitarbeiteranzahl muss bei der Verarbeitung sensibler Daten gemäß Art. 9 DSGVO immer ein Datenschutzbeauftragter bestellt werden.
Es drohen Bußgelder bis zu 4% des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bzw. bis zu 20 Millionen Euro.
Die Bestellung eines Datenschutzbeauftragten ist deshalb ernst zu nehmen.
Der Mitarbeiter muss entsprechend ausgebildet und fortgebildet sein, um die Aufgaben zum Zeitpunkt der Bestellung übernehmen zu können. Von anderen Aufgaben muss er befreit sein, so dass ein angemessenes Zeitbudget für die Datenschutztätigkeit sichergestellt ist.
Es darf keine Interessenkollision vorliegen, d.h. der Datenschutzbeauftragte darf sich nicht selbst kontrollieren.
Eine Kündigung des bestellten internen Datenschutzbeauftragten ist nur in bestimmten Fällen zulässig.
Der Beauftragte unterliegt nicht dem Diskriminierungsverbot, d.h. dass die Vereinbarungen zwischen dem Unternehmen, Stiftung oder Verein und dem externen Datenschutzbeauftragten regelmäßige Kündigungsfristen vorsehen. Der externer Datenschutzbeauftragter obliegt es selbst sich zu qualifizieren und regelmäßig fortzubilden. Da er persönlich im Unternehmen, Stiftung oder Verein keiner anderen Arbeit nachgeht, sind Interessenskonflikte unwahrscheinlich.