Was ist ein Daten­schutz­beauftragter? Aufgaben, Pflichten & Vorgaben im Detail

Spätestens mit Einführung der DSGVO im Mai 2018 ist das Thema Datenschutz in aller Munde. Eine entscheidende Rolle kommt hierbei auch dem Datenschutzbeauftragten zu. Was ein Datenschutzbeauftragter genau macht und welche Aufgaben und Pflichten die DSGVO vorgibt, erfahren Sie hier.

Ein Datenschutzbeauftragter (DSB) ist ein Experte für Datenschutz, welcher in einem Unternehmen eine zentrale und verantwortungsvolle Rolle einnimmt. Er stellt die Schnittstelle zwischen dem Unternehmen, den Datenschutzbehörden und den betroffenen Personen dar. Ebenso ist er an der Planung, Umsetzung und Kontrolle datenschutzrechtlicher Vorgänge und Prozesse im Unternehmen beteiligt, damit diese die Vorgaben der DSGVO einhalten. Er ist damit ein essentielles Mitglied eines Unternehmens, das von allen Abteilungen hinsichtlich datenschutzrechtlicher Fragen konsultiert wird.

Gesetzlich festgehalten ist der Datenschutzbeauftragte in den Artikeln 37–39 DSGVO als auch § 38 BDSG. 

Nach Art. 39 DSGVO kommen dem Datenschutzbeauftragten folgende Aufgaben zu:

• Er ist verpflichtet, Unternehmen und deren Mitarbeiter über das Thema Datenschutz zu unterrichten und zu beraten. Darunter fallen auch regelmäßige Schulungen der Mitarbeiter.
• Der DSB überwacht die Einhaltung aller für das Unternehmen geltenden Datenschutzvorschriften (z. B. DSGVO, BDSG).
• Er berät das Unternehmen bei einer Datenschutz-Folgeabschätzung gem. Art. 35 DSGVO.
• Er arbeitet mit den Aufsichtsbehörden zusammen und stellt die zentrale Anlaufstelle für jegliche Kommunikation seitens des Unternehmens mit der Behörde dar.

Zusätzlich zu den gesetzlich fixierten Aufgaben ergeben sich noch folgende Aufgaben aus dem Arbeitsalltag:

• Er ist erster Ansprechpartner bei internen Datenschutzfragen eines Unternehmens.
• Alle Abteilungen sind verpflichtet, bei neuen oder veränderten Arbeitsprozessen, den DSB einzubeziehen. Dieser sollte bereits von Anfang an in neue Projekte involviert sein, um diese aus datenschutzrechtlicher Perspektive analysieren und bewerten zu können.
• Der DSB behält den Überblick über alle Verfahrensverzeichnisse eines Unternehmens und unterstützt die jeweiligen Abteilungen darin, ihre relevanten Prozesse zu protokollieren.
• Er überwacht die rechtmäßige Löschung personenbezogener Daten.
• Der DSB unterliegt einer Verschwiegenheitspflicht und hat zudem gesetzlich ein Zeugnisverweigerungsrecht eingeräumt bekommen.

Ein genauer Kriterienkatalog zur Tauglichkeit eines Datenschutzbeauftragten liegt nicht explizit vor. Artikel 37 Abs. 5 DSGVO besagt lediglich:

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

Aus dieser Formulierung lassen sich jedoch einige Punkte ableiten, die als Voraussetzung angesehen werden können:

• Fachwissen: Die Person sollte in ihrer beruflichen Laufbahn bereits fundierte Erfahrungen im Bereich Datenschutz gesammelt haben. Zudem sollte ein Eigeninteresse an der Materie bestehen.
• Berufliche Qualifikation: Es gibt diverse Zertifikate, welche die Qualifikation zum Datenschutzbeauftragten nachweisen. So stellen unter anderem der TÜV, die IHK und die DEKRA diverse Schulungen und Seminare bereit.
• Kommunikationsfähigkeit: Da der DSB alle internen Prozesse kennenlernen und analysieren muss und somit mit Vertretern aller Fachabteilungen spricht, sollte der DSB im besten Fall über sehr gute Kommunikationsfähigkeiten verfügen. Diese sind ebenso hilfreich in der Einführung und Umsetzung des Datenschutzmanagements, wie auch in der Begründung von Vorschlägen gegenüber der Geschäftsführung.

Grundsätzlich gilt: Jede natürliche Person kann auch Datenschutzbeauftragter werden, solange keine innerbetrieblichen Interessenkonflikte vorliegen.

Die wohl größte Unsicherheit besteht in der Frage, ab welchem Zeitpunkt ein Datenschutzbeauftragter in einem Unternehmen benannt werden muss. Um diese Frage beantworten zu können, muss zunächst eine Unterscheidung in öffentliche und nicht-öffentliche Unternehmen getroffen werden.

Datenschutzbeauftragter für öffentliche Unternehmen

Bei öffentlichen Unternehmen ist die Antwort schnell gegeben: Jede Behörde und öffentliche Stelle hat die Pflicht, nach Art. 37 Abs. 1 lit. a DSGVO und § 5 Abs. 1 BDSG, einen Datenschutzbeauftragten zu benennen.

Die Aufgaben und Pflichten des DSBs unterscheiden sich hierbei nicht von der Rolle in nicht-öffentlichen Unternehmen.

Datenschutzbeauftragter bei nicht-öffentlichen Unternehmen

Bei nicht-öffentlichen Unternehmen gelten nachfolgende Kriterien. Sobald eines davon erfüllt ist, besteht die Pflicht, einen Datenschutzbeauftragten im Unternehmen zu benennen:

1. In der Regel sind min. 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 BDSG).

Da der Satz durchaus viel Spielraum zur Interpretation lässt, schauen wir uns die einzelnen Bestandteile im Detail an:

• In der Regel: Bedeutet, dass die Verarbeitung personenbezogener Daten zum Berufsalltag der jeweiligen Mitarbeiter gehört. Ein Hausmeister würde demnach nicht in die 20 Mitarbeiter fallen.
• Automatisierte Verarbeitung: Eine autom. Datenverarbeitung liegt dann vor, wenn sie EDV-gestützt ist und somit am Computer vollzogen wird. Werden Personalakten noch manuell mittels Papier geführt, dann fallen diese Tätigkeit und dieser Mitarbeiter nicht in diese Regel.
• Ständig: Wann genau etwas ständig vorliegt, muss individuell entschieden werden. Sobald eine Tätigkeit aber wiederkehrend oder sogar regelmäßig stattfindet, kann davon ausgegangen werden, dass diese unter den Begriff „ständige Beschäftigung“ fällt.
• Beschäftigte Mitarbeiter: Hierbei ist es wichtig zu verstehen, dass sowohl freie Mitarbeiter, Leiharbeiter, Auszubildende, Praktikanten als auch Teilzeitkräfte unter den Beschäftigtenbegriff fallen.

2. Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b DSGVO).

Die DSGVO regelt hierbei allerdings nicht, wann genau eine „umfangreiche regelmäßige und systematische Überwachung“ vorliegt. Anhaltspunkte könnten aber die Dauer der Überwachung, Anzahl der betroffenen Personen und die Menge der erhobenen Daten darstellen.

Zudem muss die genannte Tätigkeit die Kerntätigkeit (Haupttätigkeit) des Unternehmens darstellen (vgl. Erwägungsgrund 97 DSGVO).

3. Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10.

Als „besondere Kategorien von Daten“ (ehemals „sensible Daten“) gelten u.a. Gesundheitsdaten, genetische und biometrische Daten, Daten über die ethnische Herkunft, Religion oder Gewerkschaftszugehörigkeit.

Gleichzusetzen mit dem vorhergehenden Kriterium, muss die Verarbeitung dieser Daten die Kerntätigkeit des Unternehmens darstellen.

4. Es besteht die Verpflichtung, eine Datenschutz-Folgeabschätzung durchzuführen (§ 38 Abs. 1 BDSG).

In gewissen Fällen kann eine Datenschutz-Folgeabschätzung nach Art. 35 Abs. 3 DSGVO notwendig sein. Das BDSG verpflichtet hierbei das Unternehmen, einen Datenschutzbeauftragten zu benennen, ungeachtet dessen, ob weitere Voraussetzungen zur Benennungspflicht erfüllt werden.

5. Verarbeitung von personenbezogenen Daten zum geschäftsmäßigen Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung (§ 38 Abs. 1 BDSG).

Ebenso verpflichtet das BDSG Unternehmen zur Benennung eines DSB, wenn die Verarbeitung personenbezogener Daten u. a. zur Markt- oder Meinungsforschung erfolgt. Wichtig ist hierbei, dass diese Verarbeitung den geschäftsmäßigen Zweck darstellt. Wer eine Marktforschung durchführt, um eine Marketingkampagne für ein Produkt entsprechend auszurichten, fällt nicht in dieses Kriterium.

Zusammenfassend zeigt sich, dass es eine Handvoll Kriterien gibt, die Unternehmen beachten und überprüfen sollten. Besonders ab einer Mitarbeiterzahl von über 20 sollte in regelmäßigen Zeitabständen überprüft werden, ob mehr als 20 Personen regelmäßig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.

Erfüllt das Unternehmen eines der obigen Kriterien, ist es höchste Zeit, die Benennung eines DSB anzugehen. Eine Benennung muss zwar mittlerweile nicht mehr schriftlich erfolgen, ratsam ist die Schriftform allerdings weiterhin, um der Dokumentationspflicht nachkommen zu können. Ein Muster eines Benennungsformulars kann u.a. hier gefunden werden.

Nachdem der DSB erfolgreich benannt wurde, muss dieser vom Unternehmen noch der jeweiligen Aufsichtsbehörde gemeldet werden (Art. 37 Abs. 7 DSGVO). Dies geht unkompliziert online, wie hier am Beispiel der bayerischen Behörde.

Grundsätzlich steht es jedem Unternehmen frei, einen DSB intern oder extern zu benennen. Beides bringt Vor- und Nachteile mit sich:

Betrieblicher Datenschutzbeauftragter

Zu den Vorteilen eines betrieblichen Datenschutzbeauftragten zählen mitunter die bereits vorhandenen Kenntnisse über unternehmensinterne Prozesse und ggf. die Reaktionszeit bzw. Kosten einer Reaktion.

Allerdings ergeben sich auch einige Nachteile bei einem innerbetrieblichen Datenschutzbeauftragten. So muss das Unternehmen dafür sorgen, dass Fort- und Weiterbildungen in regelmäßigen Abständen stattfinden, damit der Mitarbeiter stets auf dem neuesten Stand hinsichtlich der verschiedenen Datenschutzthemen bleibt.

Ebenso muss dem Mitarbeiter auch das Zeitkontingent eingeräumt werden, seiner Rolle als DSB nachzukommen. Das ist besonders in der Anfangszeit sehr wichtig, wenn unter Umständen noch keinerlei Dokumentationen oder kein Verfahrensverzeichnis existiert.

Abschließend dürfen auch keine Interessenkonflikte existieren. Ein Geschäftsführer oder Entscheidungsträger kann die Rolle des DSB somit nicht einnehmen.

Externer Datenschutzbeauftragter

Zu den Vorteilen eines externen Datenschutzbeauftragten zählen sicherlich die Expertise und die Erfahrung. In vielen Fällen stellen sich auf Datenschutz spezialisierte Rechtsanwälte als externe DSB bereit.

Nachteile eines externen Datenschutzbeauftragten ergeben sich aus seinem Dienstleistungsverhältnis. Je nach Vertrag können die Kosten eines externen DSBs die Kosten eines internen weit übersteigen.

Ebenfalls benötigt ein externer DSB weitaus mehr Zeit, sich anfänglich mit dem Unternehmen und den dort vorherrschenden Prozessen auseinanderzusetzen und in diese einzuarbeiten.

Sowohl die Benennung eines internen als auch externen DSB unterliegt verschiedenen unternehmerischen Gesichtspunkten, weshalb es ohne Einzelfallbetrachtung nicht möglich ist, eine eindeutige Empfehlung auszusprechen.

Wenn kein Datenschutzbeauftragter benannt wurde, obwohl das Unternehmen dazu verpflichtet wäre, drohen Bußgelder. Diese können bis zu 20 Mio. Euro bzw. bis zu 4% des weltweiten Jahresumsatzes ausmachen (Art. 83 Abs. 5 DSGVO). Zögern Sie also nicht, einen DSB zu benennen, falls Ihr Unternehmen einen benötigt.