Was ist ein Datenschutzbeauftragter? Aufgaben, Pflichten & Vorgaben im Detail

Was ist ein Datenschutzbeauftragter? Aufgaben, Pflichten & Vorgaben im Detail

Was ein Datenschutzbeauftragter genau macht und welche Aufgaben und Pflichten die DSGVO vorgibt, erfahren Sie hier.
by Usercentrics
13. Jul 2021
Inhaltsverzeichnis
Mehr anzeigen Weniger anzeigen

Spätestens mit Einführung der DSGVO im Mai 2018 ist das Thema Datenschutz in aller Munde. Eine entscheidende Rolle kommt hierbei auch dem Datenschutzbeauftragten zu. Was ein Datenschutzbeauftragter genau macht und welche Aufgaben und Pflichten die DSGVO vorgibt, erfahren Sie hier.

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter (DSB) ist ein Experte für Datenschutz, welcher in einem Unternehmen eine zentrale und verantwortungsvolle Rolle einnimmt. Er stellt die Schnittstelle zwischen dem Unternehmen, den Datenschutzbehörden und den betroffenen Personen dar. Ebenso ist er an der Planung, Umsetzung und Kontrolle datenschutzrechtlicher Vorgänge und Prozesse im Unternehmen beteiligt, damit diese die Vorgaben der DSGVO einhalten. Er ist damit ein essentielles Mitglied eines Unternehmens, der von allen Abteilungen hinsichtlich datenschutzrechtlicher Fragen konsultiert wird.

Gesetzlich festgehalten ist der Datenschutzbeauftragte in den Artikeln 37 – 39 DSGVO als auch §38 BDSG. 

Wichtig:

Ein Datenschutzbeauftragter ist kein Entscheidungsträger! Er ist allein der Geschäftsführung unterstellt und handelt weisungsfrei, um seinen Aufgaben frei und unabhängig nachkommen zu können. Der DSB hat im Unternehmen nur eine Beraterrolle und keine Entscheidungskompetenz inne.

Eingliederung eines Datenschutzbeauftragten in ein Unternehmensorganigramm

Der Datenschutzbeauftragte berichtet ausschließlich an die Geschäftsführung.

Welche Aufgaben und Pflichten hat ein Datenschutzbeauftragter nach der DSGVO?

Nach Art. 39 DSGVO kommen dem Datenschutzbeauftragten folgende Aufgaben zu:

 

  • Er ist verpflichtet, Unternehmen und dessen Mitarbeiter über das Thema Datenschutz zu unterrichten und zu beraten. Darunter fallen auch regelmäßige Schulungen der Mitarbeiter.
  • Der DSB überwacht die Einhaltung aller für das Unternehmen geltenden Datenschutzvorschriften (z.B. DSGVO, BDSG).
  • Er berät das Unternehmen bei einer Datenschutz-Folgeabschätzung gem. Art. 35 DSGVO.
  • Er arbeitet mit den Aufsichtsbehörden zusammen und stellt die zentrale Anlaufstelle für jegliche Kommunikation seitens des Unternehmens mit der Behörde dar.

 

Zusätzlich zu den gesetzlich fixierten Aufgaben ergeben sich noch folgende Aufgaben aus dem Arbeitsalltag:

 

  • Er ist erster Ansprechpartner bei internen Datenschutzfragen eines Unternehmens.
  • Alle Abteilungen sind verpflichtet, bei neuen oder veränderten Arbeitsprozessen, den DSB einzubeziehen. Dieser sollte bereits von Anfang an in neue Projekte involviert sein, um diese aus datenschutzrechtlicher Perspektive analysieren und bewerten zu können.
  • Der DSB behält den Überblick über alle Verfahrensverzeichnisse eines Unternehmens und unterstützt die jeweiligen Abteilungen darin, ihre relevanten Prozesse zu protokollieren.
  • Er überwacht die rechtmäßige Löschung personenbezogener Daten.
  • Der DSB unterliegt einer Verschwiegenheitspflicht und hat zudem gesetzlich ein Zeugnisverweigerungsrecht eingeräumt bekommen.

Wer kann Datenschutzbeauftragter werden und welche Qualifikationen müssen vorgewiesen werden?

Ein genauer Kriterienkatalog zur Tauglichkeit eines Datenschutzbeauftragten liegt nicht explizit vor. Artikel 37 Abs. 5 DSGVO besagt lediglich:

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

 

Aus dieser Formulierung lassen sich jedoch einige Punkte ableiten, die als Voraussetzung angesehen werden können:

 

  • Fachwissen: Die Person sollte in ihrer beruflichen Laufbahn bereits fundierte Erfahrungen im Bereich Datenschutz gesammelt haben. Zudem sollte ein Eigeninteresse an der Materie bestehen.
  • Berufliche Qualifikation: Es gibt diverse Zertifikate, welche die Qualifikation zum Datenschutzbeauftragten nachweisen. So stellen unter anderem der TÜV, die IHK als auch die DEKRA diverse Schulungen und Seminare bereit.
  • Kommunikationsfähigkeit: Da der DSB alle internen Prozesse kennenlernen und analysieren muss und somit mit Vertretern aller Fachabteilungen spricht, sollte der DSB im besten Fall über sehr gute Kommunikationsfähigkeiten verfügen. Diese sind ebenso hilfreich in der Einführung und Umsetzung des Datenschutzmanagements, als auch in der Begründung von Vorschlägen gegenüber der Geschäftsführung.

 

Grundsätzlich gilt: Jede natürliche Person kann auch Datenschutzbeauftragter werden, solange keine innerbetrieblichen Interessenkonflikte vorliegen.

Unterzeichnung des Benennungsformulars eines Datenschutzbeauftragten.

Die Benennung eines Datenschutzbeauftragten sollte aus Dokumentationsgründen schriftlich erfolgen.

Wann muss ein Datenschutzbeauftragter benannt werden?

Die wohl größte Unsicherheit besteht in der Frage, ab welchem Zeitpunkt ein Datenschutzbeauftragter in einem Unternehmen benannt werden muss. Um diese Frage beantworten zu können, muss zunächst eine Unterscheidung in öffentliche und nicht-öffentliche Unternehmen getroffen werden.

 

Datenschutzbeauftragter für öffentliche Unternehmen

Bei öffentlichen Unternehmen ist die Antwort schnell gegeben: Jede Behörde und öffentliche Stelle hat die Pflicht, nach Art. 37 Abs. 1 lit. a DSGVO und §5 Abs. 1 BDSG, einen Datenschutzbeauftragten zu benennen.

Die Aufgaben und Pflichten des DSBs unterscheiden sich hierbei nicht von der Rolle in nicht-öffentlichen Unternehmen.

 

Datenschutzbeauftragter bei nicht-öffentlichen Unternehmen

Bei nicht-öffentlichen Unternehmen gelten nachfolgende Kriterien. Sobald eines davon erfüllt ist, besteht die Pflicht, einen Datenschutzbeauftragten im Unternehmen zu benennen:

 

1. In der Regel sind min. 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§38 Abs. 1 BDSG).

 

Da der Satz durchaus viel Spielraum zur Interpretation lässt, schauen wir uns die einzelnen Bestandteile im Detail an:

 

  • In der Regel: Bedeutet, dass die Verarbeitung personenbezogener Daten zum Berufsalltag der jeweiligen Mitarbeiter gehört. Ein Hausmeister würde demnach nicht in die 20 Mitarbeiter fallen.
  • Automatisierte Verarbeitung: Eine autom. Datenverarbeitung liegt dann vor, wenn sie EDV-gestützt ist und somit am Computer vollzogen wird. Werden Personalakten noch manuell mittels Papier geführt, dann fällt diese Tätigkeit und dieser Mitarbeiter nicht in diese Regel.
  • Ständig: Wann genau etwas ständig vorliegt, muss individuell entschieden werden. Sobald eine Tätigkeit aber wiederkehrend oder sogar regelmäßig stattfindet, kann davon ausgegangen werden, dass diese unter den Begriff „ständige Beschäftigung“ fällt.
  • Mitarbeiter beschäftigt: Hierbei ist es wichtig zu verstehen, dass auch freie Mitarbeiter, Leiharbeiter, Auszubildende, Praktikanten als auch Teilzeitkräfte unter den Beschäftigtenbegriff fallen.

 

2. Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs 1 lit. b DSGVO).

 

Die DSGVO regelt hierbei allerdings nicht, wann genau eine „umfangreiche regelmäßige und systematische Überwachung“ vorliegt. Anhaltspunkte könnten aber die Dauer der Überwachung, Anzahl der betroffenen Personen und die Menge der erhobenen Daten darstellen.

 

Zudem muss die genannte Tätigkeit die Kerntätigkeit (Haupttätigkeit) des Unternehmens darstellen (vgl. Erwägungsgrund 97 DSGVO).

 

3. Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10.

Als „besondere Kategorien von Daten“ (ehemals „sensible Daten“) gelten u.a. Gesundheitsdaten, genetische und biometrische Daten, Daten über die rassische und ethnische Herkunft, Religion oder Gewerkschaftszugehörigkeit.

Gleichzusetzen mit dem vorhergehenden Kriterium, muss die Verarbeitung dieser Daten die Kerntätigkeit des Unternehmens darstellen.

 

4. Es besteht die Verpflichtung, eine Datenschutz-Folgeabschätzung durchzuführen (§38 Abs. 1 BDSG).

In gewissen Fällen kann eine Datenschutz-Folgeabschätzung nach Art. 35 Abs. 3 DSGVO notwendig sein. Das BDSG verpflichtet hierbei das Unternehmen, einen Datenschutzbeauftragten zu benennen, ungeachtet ob weitere Voraussetzungen zur Benennungspflicht erfüllt werden.

 

5. Verarbeitung von personenbezogenen Daten zum geschäftsmäßigen Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung (§38 Abs. 1 BDSG).

Ebenso verpflichtet das BDSG Unternehmen zur Benennung eines DSBs, wenn die Verarbeitung personenbezogener Daten u.a. zur Markt- oder Meinungsforschung erfolgt. Wichtig ist hierbei, dass diese Verarbeitung den geschäftsmäßigen Zweck darstellt. Wer eine Marktforschung durchführt, um eine Marketingkampagne für ein Produkt entsprechend auszurichten, fällt nicht in dieses Kriterium.

Zusammenfassend zeigt sich, dass es eine Handvoll Kriterien gibt, die Unternehmen beachten und überprüfen sollten. Besonders ab einer Mitarbeiterzahl von über 20 sollte in regelmäßigen Zeitabständen überprüft werden, ob mehr als 20 Personen regelmäßig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.

Wie wird ein Datenschutzbeauftragter benannt?

Erfüllt das Unternehmen eines der obigen Kriterien, ist es höchste Zeit, die Benennung eines DSBs anzugehen. Eine Benennung muss zwar mittlerweile nicht mehr schriftlich erfolgen, ratsam ist die Schriftform allerdings weiterhin, um der Dokumentationspflicht nachkommen zu können. Ein Muster eines Benennungsformulars kann u.a. hier gefunden werden.

Nachdem der DSB erfolgreich benannt wurde, muss dieser vom Unternehmen noch der jeweiligen Aufsichtsbehörde gemeldet werden (Art. 37 Abs. 7 DSGVO). Dies geht unkompliziert online, wie hier am Beispiel der bayerischen Behörde.

Wie wird ein Datenschutzbeauftragter benannt?

Betrieblicher (interner) oder externer Datenschutzbeauftragter?

Grundsätzlich steht es jedem Unternehmen frei, einen DSB intern oder extern zu benennen. Beides bringt Vor- und Nachteile mit sich:

 

Betrieblicher Datenschutzbeauftragter

Zu den Vorteilen eines betrieblichen Datenschutzbeauftragten zählen mitunter die bereits vorhandenen Kenntnisse über unternehmensinterne Prozesse und ggf. die Reaktionszeit bzw. Kosten einer Reaktion.

Allerdings ergeben sich auch einige Nachteile bei einem innerbetrieblichen Datenschutzbeauftragten. So muss das Unternehmen dafür sorgen, dass Fort- und Weiterbildungen in regelmäßigen Abständen stattfinden, damit der Mitarbeiter stets auf dem neuesten Stand hinsichtlich der verschiedenen Datenschutzthemen bleibt.

Ebenso muss dem Mitarbeiter auch das Zeitkontingent eingeräumt werden, seiner Rolle als DSB nachzukommen. Das ist besonders in der Anfangszeit sehr wichtig, wenn unter Umständen noch keinerlei Dokumentationen oder kein Verfahrensverzeichnis existiert.

Abschließend dürfen auch keine Interessenkonflikte existieren. Ein Geschäftsführer oder Entscheidungsträger kann die Rolle des DSBs somit nicht einnehmen.

 

Externer Datenschutzbeauftragter

Zu den Vorteilen eines externen Datenschutzbeauftragten zählen sicherlich die Expertise und die Erfahrung. In vielen Fällen stellen sich auf Datenschutz spezialisierte Rechtsanwälte als externe DSBs bereit.

Nachteile eines externen Datenschutzbeauftragten ergeben sich aus seinem Dienstleistungsverhältnis. Je nach Vertrag können die Kosten eines externen DSBs die Kosten eines internen weit übersteigen.

Ebenfalls benötigt ein externer DSB weitaus mehr Zeit, sich anfänglich mit dem Unternehmen und den dort vorherrschenden Prozessen auseinanderzusetzen und in diese einzuarbeiten.

Sowohl die Benennung eines internen als auch externen DSBs unterliegt verschiedenen unternehmerischen Gesichtspunkten, weshalb es ohne Einzelfallbetrachtung nicht möglich ist, eine eindeutige Empfehlung auszusprechen.

Was passiert, wenn kein Datenschutzbeauftragter benannt wird?

Wenn kein Datenschutzbeauftragter benannt wurde, obwohl das Unternehmen dazu verpflichtet wäre, drohen Bußgelder. Diese können bis zu 20 Mio. Euro bzw. bis zu 4% des weltweiten Jahresumsatzes ausmachen (Art. 83 Abs. 5 DSGVO). Zögern Sie also nicht, einen DSB zu benennen, falls Ihr Unternehmen einen benötigt.

Fazit: Ein Datenschutzbeauftragter ist unabdingbar für jedes Unternehmen

Kaum eine Person vereint dermaßen viel unternehmensinternes Wissen wie der Datenschutzbeauftragte. Er ist Mediator zwischen der Geschäftsführung und dem Datenschutz. Als Berater steht er jeder Abteilung zur Seite und ist in sämtliche unternehmensbezogenen Prozesse und Entscheidungen mit einbezogen. Gleichzeitig ist er jedoch weisungsfrei und verfügt über keinerlei Entscheidungsmacht, da er rein in seiner Beraterrolle auftritt.

FAQ

Ein Datenschutzbeauftragter ist ein Experte für Datenschutz. Seine Aufgabe ist es, Unternehmen bei der Umsetzung der DSGVO-Vorgaben zu unterstützen und Datenschutzverletzungen zu verhindern.

Diese Frage ist sehr schwer und nur individuell zu beantworten. Sowohl interne als auch externe Datenschutzbeauftragte erzeugen verschiedene Kosten.

Interne DSBs benötigen zwar weniger Zeit, sich in unternehmenseigene Prozesse einzuarbeiten, dafür muss ihnen ein Budget zur Weiterbildung zur Verfügung gestellt werden. Ebenso sind interne DSBs oft nur durch ein einwöchiges Seminar zum DSB ernannt worden und haben somit nicht die langjährige Erfahrung eines externen DSBs.

Weitere Denkanstöße zum Vergleich von internen und externen samt ihren Vor- und Nachteilen haben wir Ihnen in unserem Abschnitt „Betrieblicher oder externer Datenschutzbeauftragter“ festgehalten.

Ja, nicht nur eins. Es gibt eine Vielzahl von Zertifikaten, die von sich behaupten, ihren Teilnehmern das notwendige Wissen vermittelt zu haben, ein Datenschutzbeauftragter zu werden.

Anbei eine nicht-abschließende Liste von Anbietern, bei welchen ein Datenschutzberater-Zertifikat erhalten werden kann:

Ja. Ein Datenschutzbeauftragter einer nicht-öffentliche Stelle genießt einen besonderen Kündigungsschutz (nach § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG). Das bedeutet, dass eine Kündigung des Arbeitsverhältnisses ohne wichtigen Grund unzulässig ist.

Der besondere Kündigungsschutz greift jedoch nur, wenn eine Benennungspflicht seitens des Unternehmens besteht. Ein freiwillig benannter DSB unterliegt keinem besonderen Kündigungsschutz.

Nein. Um seiner Arbeit nachkommen zu können, muss ein Datenschutzbeauftragter weisungsfrei agieren können. Er ist weder weisungsgebunden noch hat er Weisungsbefugnis im Unternehmen.

Ja. Nach erfolgreicher Benennung eines Datenschutzbeauftragten ist das Unternehmen dazu verpflichtet, diesen bei der zuständigen Aufsichtsbehörde zu melden (Art. 37 Abs. 7 DSGVO). Die Meldung an die Aufsichtsbehörde geht online innerhalb weniger Minuten (hier am Beispiel der bayrischen Behörde).

Zudem müssen die Kontaktdaten des DSBs auf der Webseite veröffentlicht werden. Hierbei reicht allerdings die Nennung der E-Mail-Adresse.

Die DSGVO stellt klar, dass es grundsätzlich in der Pflicht des Verantwortlichen liegt, sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der geltenden Datenschutzvorschriften stattfindet (Art. 24 Abs. 1 DSGVO).

Da es aber dennoch sein kann, dass es u.a. aufgrund falscher Beratung und mangelnder Expertise oder aufgrund grober Fahrlässigkeit des betrieblichen DSBs zu Bußgeldern kommt, lohnt sich ein Blick in das Arbeitsrecht. Dort kann eine Haftung seitens des DSBs bestehen und auch geltend gemacht werden.

Wer genaueres dazu erfahren möchte, findet auf Haufe einen sehr guten Artikel zu diesem Thema: Die Haftung des Datenschutzbeauftragten.

Dass ein Datenschutzbeauftragter nicht im Interessenkonflikt zu seinen anderen Aufgaben steht, ist in Art. 38 Abs. 6 DSGVO geregelt.

Beispiele für Interessenkonflikte könnten sein, wenn z.B.:

  • Eine enge familiäre Verbindung oder anderweitige Nähe zur Leitungsebene besteht (z.B. Prokuristen).
  • Der DSB eine andere Position innehat, bei der er die Zwecke und Mittel der Verarbeitung personenbezogener Daten selbst festlegt (Entscheidungskompetenz z.B. als Abteilungsleiter).
  • Eine gleichzeitige Tätigkeit als DSB und Geheimschutz- oder Geldwäschebeauftragter vorliegt.

Für weitergehende Informationen und Beispiele hinsichtlich potenzieller Interessenkonflikte, lohnt sich ein Blick in den Tätigkeitsbericht Datenschutz vom LfDI Baden-Württemberg.

Ja, und das sollten Sie auch. Auch wenn Ihr Unternehmen noch nicht verpflichtet ist, einen DSB zu benennen (weil es evtl. als Startup noch zu wenige Beschäftigte gibt), sollten Sie darüber nachdenken einen DSB freiwillig zu benennen.

Ein DSB hilft gerade bei Themen, die bei kleinen Unternehmen keinen dedizierten Ansprechpartner finden: Dokumentationen, Verfahrensverzeichnisse, Risikoabschätzungen und Anfragen betroffener Personen. Hier kann ein DSB seine Expertise einbringen und einerseits den Beschäftigten viel Arbeit abnehmen und andererseits gleichzeitig das Unternehmen auf das bevorstehende Wachstum vorbereiten. Denn spätestens dann wird ein DSB gesetzlich zur Pflicht.

Frühzeitig in das Thema Datenschutz und Datenschutzbeauftragter zu investieren, spart einem Unternehmen letztendlich viel Geld und allen Beteiligten Nerven.

Unter Umständen, ja. Für Vereine gelten die selben Bedingungen wie für nicht-öffentliche Unternehmen (Sprungmarke nach oben).

Ja. Nach der DSGVO dürfen religiöse Vereinigungen ihre eigenen Datenschutzvorschriften beibehalten, sofern welche existieren und sie mit der DSGVO in Einklang gebracht werden können (Art. 91 Abs. 1 DSGVO).

Sowohl die evangelische als auch katholische Kirche haben von dieser Möglichkeit Gebrauch gemacht: Die evangelische Kirche mit dem Datenschutzgesetz der evangelischen Kirche in Deutschland (DSG-EKD) und die katholische Kirche mit dem Gesetz über den Kirchlichen Datenschutz (KDG).

Versetzung eines bestehenden Beschäftigten oder um die Einstellung eines neuen Beschäftigten zum DSB handelt (§ 99 BetrVG).

Der Betriebsrat hat allerdings kein Mitspracherecht, wenn es sich um die Benennung eines externen DSBs handelt, da dies mittels eines Dienstvertrages geschieht.

Home Ressourcen Blog Was ist ein Datenschutzbeauftragter? Aufgaben, Pflichten & Vorgaben im Detail

Ähnliche Artikel