Wir möchten einen Cloud-Server betreiben, der personenbezogene Daten verwaltet und vermutlich dem “Kerngeschäft” zuzurechnen sein wird. Damit wird ein Datenschutzbeauftragter benötigt. Bisher benötigen wir keinen.
Frage: Ist es möglich, den Datenschutzbeauftragten allein auf den (gut abgrenzbaren) Geschäftsbereich “Cloud-Server” zu begrenzen? Wir möchten wegen eines (letztlich geringfügigen) Geschäftsbereichs nicht für das gesamte Unternehmen einen Datenschutzbeauftragten etablieren müssen.
Das geht nicht, die Einschränkung der gesetzlichen Aufgaben ist nicht möglich. Es ist eben nicht wie bei (ISO-) Normen. Und wenn die Firma bisher schon ihre Pflichten erfüllt, so dürfte ja nicht viel dazu kommen … ahem.
Eine Ausnahme wäre wenn der Geschäftsbereich eine eigenständige Tochterfirma wäre.
Datenschutzkoordinatoren wären auch noch Ideen - dies sind Vertreter des DSB in z.B. Geschäftsbereichen die dem DSB zuarbeiten und als Multiplikatoren arbeiten. Aber ein DSB muss es trotzdem geben. Die Koordinatoren genießen auch nicht den Schutz / Stellung wie der DSB.
Grundsätzlich gilt: Die Verarbeitung personenbezogener Daten unterliegt immer der DSGVO. Der Verantwortliche zur Einhaltung der Rechtmässigkeit personenbezogene Daten zu verarbeiten ist der Geschäftsführer. Wenn er mit den Gepflogenheiten der DSGVO vertraut ist, benötigt er erstmal keinen DSB, wenn das Unternehmen nicht mehr als (korrigiert mich bitte) 20 Mitarbeiter hat. Ist er mit der DSGVO nicht vertraut, wandelt er auf dünnem Eis, denn die Bussgelder bei Verstößen gegen die DSGVO sind hoch!
Was ich sagen möchte, egal wo die Firma personenbezogene Daten erhebt, verarbeitet und letzlich speichert, ist die DSGVO bindend und der Geschäftsführer für deren Einhaltung verantwortlich.
Warum also einen DSB nur für die Cloud? Macht keinen Sinn. Ich rate zu einem externen DSB. Hierbei fallen Kosten nur temporär an und der Geschäftsführer ist immer auf der sicheren Seite.
Hier auch noch mein Senf zu Ihrer/Deiner Frage:
wie schon dargestellt:
das bedeutet, dass Ihr zur Einhaltung der Pflichten auf jeden Fall Kompetenz in “DSGVO” benötigt und zwar für die gesamte Firma, denn es ist äußerst unwahrscheinlich, dass in der Firma keine DSGVO-relevante Verarbeitung stattfindet
Sie schrieben/Du schriebst, dass die Firma für das Cloud-Server-Geschäft einen Datenschutzbeauftragten (DSB) benötigen werde - ist das mit der Pflicht nacht Art. 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG geprüft?
Ich schreibe das, weil es sein kann, dass in diesem Fall gar kein DSB sein muss - unbenommen der Dringlichkeit, dass der Verantwortliche alle Pflichten erfüllen muss. Dafür ist also wahrscheinlich mindestens kompetente Beratung einzuholen - und das eher regelmäßig als einmalig.
Und zum wiederholten Mal: der Verantwortliche (=Chef, Gf …) haftet immer, denn schließlich ist er der Verantwortliche.
OK: sinnvoll ist die Benennung eines (externen) DSB auch ohne Pflicht, denn der hat - anders als ein Fachberater - dann qua Rolle bestimmte Pflichten, was den Verantwortlichen vor Ungemach bewahren kann.