Häufig besteht in Unternehmen Verunsicherung, ab wann ein betrieblichen Datenschutzbeauftragten benötigt wird. Beschäftigt ein Unternehmen mehr als 20 Mitarbeiter, muss ein Datenschutzbeauftragter für das Unternehmen bestellt werden. Diese obliegt es, datenschutzrechtliche Risiken zu erkennen, das Einhalten des Datenschutzes sicherzustellen und ggf. auf bestehende oder drohende Verstöße hinzuweisen.
Ob dabei auf einen externen Datenschutzbeauftragten zurückgegriffen wird oder der Datenschutzbeauftragte aus den eigenen Reihen bestellt wird (internen Datenschutzbeauftragten), spielt hierbei keine Rolle und obliegt dem Unternehmen, sofern die Qualifikation des Kandidaten gewährleistet und nachweisbar ist.
Der mittels einer Bestellungsurkunde eingesetzte Datenschutzbeauftragte erfüllt seine Aufgaben in beiden Fällen unabhängig und weisungsfrei.
Um die einzelnen Schritte der Verarbeitung möglichst nachvollziehbar und transparent festzuhalten, wird im Idealfall ein Verarbeitungsverzeichnis angelegt, in dem alle Schritte der Datenverarbeitung offengelegt und beschrieben werden.
Während eine derart genaue Dokumentation vor dem Inkrafttreten der DSGVO erst ab einer Betriebsgröße von mehr als 250 Mitarbeitern vorgeschrieben war, gilt sie heute für (nahezu) alle Personen und Unternehmen, die in irgendeiner Form Daten erheben, verarbeiten oder übermitteln. Beim Verarbeitungsverzeichnis gilt es, datenschutzrechtlich relevante Prozesse transparent zu dokumentieren und nachvollziehbar zu machen. So müssen Vorgänge, in denen Daten verarbeitet werden, klar benannt und erfasst sein, die Verarbeitung der Daten nachvollziehbar und transparent erfolgen.
Als konkreter “Fahrplan”, der dokumentiert, wie mit personenbezogenen Daten bis zur endgültigen Löschung verfahren wird, versteht sich das Löschkonzept. Es hält fest, wie mit den unterschiedlichen Arten von Daten verfahren wird - unter Berücksichtigung gesetzlicher Lösch- und Aufbewahrungsfristen.
