Datenschutzbeauftragter bestellen

Einleitung

Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn mehr als 20 Beschäftigte im Unternehmen arbeiten. Bei speziellen Tätigkeitsfeldern (Health, Tech etc.) ist eine Bestellung auch vorher erforderlich. Der bestellte Datenschutzbeauftragte muss zwingend die notwendige Qualifikation besitzen. Ein Datenschutzbeauftragter sollte bei der zuständigen Aufsichtsbehörde gemeldet werden.

In diesem Beitrag erfahren Sie mehr über die Bestellung eines Datenschutzbeauftragten, die Aufgaben eines Datenschutzbeauftragten und welche Rolle ein Datenschutzbeauftragter im Unternehmen einnimmt. Sie erfahren, ob Sie einen Datenschutzbeauftragten bestellen müssen für Ihr Unternehmen und erhalten einen guten Überblick zum Datenschutzbeauftragten.

 

Wann muss ein Datenschutzbeauftragter bestellt werden?

Ein Datenschutzbeauftragter (DSB) muss bestellt werden, wenn die Verarbeitung personenbezogener Daten einer Organisation einer der folgenden Kriterien erfüllt:

  1. Beschäftigung von mehr als 20 Personen.
  2. Regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang.
  3. Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten).

Dies ergibt sich aus Artikel 37 Absatz 1 der Datenschutz-Grundverordnung (DSGVO). Unternehmen und Organisationen, die keinen Datenschutzbeauftragten bestellen müssen, sollten dennoch sicherstellen, dass der Datenschutz in ihrer Organisation gewährleistet ist. Denn eine Befreiung der Bestellpflicht führt nicht dazu, dass sämtliche Anforderungen der DSGVO nicht eingehalten werden müssen. Insoweit sollte auch bei nicht Erfüllung der 3 Kriterien darüber nachgedacht werden, einen DSB zu bestellen. Über die Kosten für einen Datenschutzbeauftragten erfahren Sie hier mehr.

 
Datenschutz Preis berechnen
Mehr Vertrauen, weniger Risiko.

Überzeugen Sie Ihre Kunden mit wasserdichtem Datenschutz, verringern Sie den Prüfungsaufwand und senken Sie Ihre Haftung. Berechnen Sie jetzt maßgeschneidert Ihren Preis.

Was ist die Bestellung eines Datenschutzbeauftragten?

Eine Bestellung des Datenschutzbeauftragten erfolgt nicht telefonisch oder per Online-Formular, wie viele andere Bestellungen in unserer Gesellschaft. Viele Unternehmen können den Begriff Bestellung eines Datenschutzbeauftragten zunächst nicht zuordnen und stellen deshalb Vermutungen an. Dabei ist die Bestellung im Datenschutz ganz einfach: Die Bestellung kann mit einer Ernennung verglichen werden. Mit der Bestellung geht einher, dass der DSB seine Funktion öffentlich ausübt und dadurch zum Träger von Rechten und Pflichten im Unternehmen wird. Nur wenn der Datenschutzbeauftragte nach den Vorgaben der DSGVO bestellt wird, ist das Unternehmen hinsichtlich der Bestellung ausreichend abgesichert. Zur Einhaltung der Formalitäten wird eine von der Geschäftsleitung unterzeichnete Bestellungsurkunde aufgesetzt. Aus der Bestellurkunde muss genau hervorgehen, welche Person die Tätigkeit des betrieblichen Datenschutzbeauftragten übernimmt und somit in Zukunft den betrieblichen Datenschutz verantwortet.

Muster Bestellung Datenschutzbeauftragter

Sofern Sie keinen externen Datenschutzbeauftragten bestellen, benötigen Sie eine gültige Bestellung des Datenschutzbeauftragten innerhalb Ihres Unternehmens. Wenn Sie einen externen Datenschutzbeauftragten bestellen, dann ist die Bestellung ein Gegenstand des Dienstleistungsvertrages zwischen Ihrem Unternehmen und dem externen Datenschutzbeauftragten. Folgende Formulierung können Sie für die Bestellung eines Datenschutzbeauftragten verwenden:

Bestellung zum Datenschutzbeauftragten

Hiermit bestellen wir Max Mustermann gemäß Art. 37 DSGVO und § 38 BDSG-neu mit Wirkung zum 01.08.2023 zum Datenschutzbeauftragten für
die Beispiel AG. Zu Ihren Aufgaben gehören gemäß Art. 39 DSGVO u.a. die Unterrichtung und Beratung in Sachen des Datenschutzes, die Kontrolle der Einhaltung der geltenden Datenschutzbestimmungen sowie die Zusammenarbeit mit der Aufsichtsbehörde. In Ihrer Funktion als externer Datenschutzbeauftragter sind Sie weisungsfrei.“

Die Bestellung des Datenschutzbeauftragten muss in der Regel in Schriftform erfolgen als Ergänzung zum Arbeitsvertrag. Lassen Sie sich vorab durch einen Datenschutzexperten beraten hinsichtlich des besonderen Kündigungsschutzes eines internen Datenschutzbeauftragten.

Ist die Bestellung des Datenschutzbeauftragten öffentlich?

In der DSGVO ist festgelegt, dass Unternehmen, die einen Datenschutzbeauftragten bestellen, diese Bestellung den Aufsichtsbehörden mitteilen müssen. Das bedeutet, dass die Aufsichtsbehörde weiß, wer der DSB eines Unternehmens ist. Es ist zudem Pflicht, dass Unternehmen Kontaktdaten ihres DSB (z. B. E-Mail-Adresse) in ihrer Datenschutzerklärung veröffentlichen, damit betroffene Personen bei Datenschutzfragen oder -anliegen direkt Kontakt aufnehmen können. Dies ist aber nicht gleichbedeutend mit einer völligen öffentlichen Bekanntmachung der Bestellung an sich. Die formale Bestellung des DSB kann darüber hinaus von Aufsichtsbehörden oder im Rahmen eines Audits angefragt werden.

 

Welche Aufgaben hat ein Datenschutzbeauftragter nach seiner Bestellung?

Der Datenschutzbeauftragte hat eine interne oder externe Funktion, um die Einhaltung der datenschutzrechtlichen Vorgaben eines oder mehrerer Unternehmen sicherzustellen. Im Unternehmen gilt der Datenschutzbeauftragte als Dreh- und Angelpunkt für das Thema Datenschutz. Ein wichtiges Merkmal des Datenschutzbeauftragten ist, dass dieser weisungsfrei im Sinne des Datenschutzes agiert und andere Interessen nicht überwiegen dürfen. Oftmals kann ein Interessenskonflikt nicht vermieden werden, daher bestellen Unternehmen den Datenschutzbeauftragten extern in Form eines Dienstleistungsvertrags.
Die Aufgaben eines Datenschutzbeauftragten sind gesetzlich normiert. Oftmals wird jedoch beim externen Datenschutzbeauftragten ein größeres Aufgaben-Spektrum übernommen, um das Unternehmen bestmöglich zu entlasten. In jedem Fall muss der Datenschutzbeauftragte seine Aufgaben weisungsfrei erfüllen können. Die Aufgaben eines Datenschutzbeauftragten ergehen aus dem Artikel 39 DSGVO, welche zunächst die Einhaltung relevanter Datenschutz-Vorschriften gewährleisten sollen, insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten. Vor dem Hintergrund der Einhaltung der Datenschutz-Grundverordnung sind folgende Aufgaben wesentlicher Bestandsteil der Arbeit eines Datenschutzbeauftragten:

In Summe bedeutet es allerdings nicht, dass der Datenschutzbeauftragte für die Einhaltung des Datenschutzes haftet oder verantwortlich ist. Der Datenschutzbeauftragte ist berechtigt, Aufgaben zu delegieren und zu überwachen. Das ist auch zwingend notwendig für ein reibungsloses Datenschutz-Management. Weitere Informationen zu den Aufgaben im Detail finden Sie hier.

 

Wer kann zum Datenschutzbeauftragten bestellt werden?

Damit eine Person als Datenschutzbeauftragter bestellt werden kann, müssen gewisse Voraussetzungen erfüllt werden, sodass die Bestellung des Datenschutzbeauftragten auch wirksam ist. Grundsätzlich kann ein Datenschutzbeauftragter mittels interner Mitarbeiter oder externer Mitarbeiter (im Rahmen eines Dienstleistungsvertrages) bestellt werden. Wichtig zu beachten ist dabei, dass eine berufliche sowie fachliche Qualifikation vorliegen muss, sodass die ordnungsgemäße Wahrnehmung der normierten Aufgaben aus dem Art. 39 DSGVO gewährleistet wird.
Oftmals entstehen bei einer Bestellung des Datenschutzbeauftragten mittels interner Ressourcen Interessenkonflikte, da Mitarbeiter mit Leitungsfunktionen oder solchen Funktionen, welche als gegensätzlich zum Datenschutz verstanden werden, die Rolle als Datenschutzbeauftragter ausüben sollen. Sollte ein Interessenkonflikt vorliegen, so ist die Bestellung des Datenschutzbeauftragten unwirksam. Hierzu hat es bereits Bußgeldbescheide über 525.000 € gegen Unternehmen gegeben.

 

Wer darf nicht zum Datenschutzbeauftragten bestellt werden?

Unternehmen müssen sicherstellen, dass die Bestellung eines Datenschutzbeauftragten auch wirksam ist. Daher ist es unabdingbar zu beachten, dass nicht jede Person zum Datenschutzbeauftragten im Unternehmen benannt werden darf. Grundsätzlich dürfen nur Personen die Rolle des Datenschutzbeauftragten ausüben, welche in keinen Interessenskonflikt geraten können. Stehen die betrieblichen Interessen des Unternehmens im Vordergrund des Mitarbeiters, ist die Bestellung nicht wirksam. In der Regel ist das der Fall, wenn Führungspositionen, Abteilungsleiter oder Betriebsratsmitglieder die Rolle des Datenschutzbeauftragten übernehmen. Da das Potenzial einer unwirksamen Bestellung groß ist, bestellen viele Unternehmen ihren Datenschutzbeauftragten extern.

 

Was passiert, wenn kein Datenschutzbeauftragter bestellt wird?

Wenn Unternehmen, welche gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, es unterlassen, einen Datenschutzbeauftragten zu bestellen oder eine unwirksame Bestellung durchführen, kann es zu sehr hohen Bußgeldern kommen. Die Aufsichtsbehörden dürfen Bußgelder in Höhe von bis zu 20 Millionen Euro verhängen. Darüber hinaus sollten Unternehmen bereits erkannt haben, dass ein Datenschutzbeauftragter ein Qualitätsmerkmal ist und somit als Wettbewerbsvorteil angesehen werden kann. Andererseits riskieren Unternehmen gleichzeitig einen Reputationsverlust gegenüber Kunden.

 

Fazit zur Bestellung eines Datenschutzbeauftragten

Die Frage, ab wann ein Datenschutzbeauftragter zu bestellen ist, lässt sich abschließend wie folgt beantworten: Ein Datenschutzbeauftragter muss bestellt werden (ausgenommen von öffentlichen Stellen), wenn über 20 Mitarbeiter personenbezogene Daten im Unternehmen verarbeiten oder besondere personenbezogene Daten verarbeitet werden (Gesundheitsdaten etc.) gem. Art. 9 und 10 DSGVO oder die Kerntätigkeit dies aufgrund ihrer Art, ihres  Umfangs und/oder ihrer Zwecke erfordert. Da dies Auslegungssache ist, empfiehlt sich eine Beratung, sobald ihr Unternehmen Daten in einem größeren Rahmen verarbeitet. Außerdem ist darauf zu achten, dass die Bestellung nicht zu einem internen Interessenkonflikt führt und der Datenschutzbeauftragte unter Berücksichtigung seiner fachlichen und beruflichen Qualifikation bestellt wird.

Menü