Datenschutzbeauftragter gemäß DSGVO

Datenschutz Verstehen – Datenschutzbeauftragter gemäß DSGVO einfach erklärt.

Zusammenfassung

Ein Datenschutzbeauftragter muss offiziell bestellt und gemeldet werden von Unternehmen. Eine Pflicht für den Datenschutzbeauftragten besteht schon für kleine Unternehmen ab 20 Mitarbeitern. Der Datenschutzbeauftragte übernimmt lediglich einen Teil der Aufgaben, welche durch die Anforderungen der DSGVO resultieren. Ein Datenschutzbeauftragter benötigt eine fachliche Qualifikation und darf keinem Interessenkonflikt unterliegen. Die meisten Unternehmen bestellen daher den Datenschutzbeauftragten extern.

 

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter, oft abgekürzt mit DSB, kann sowohl eine natürliche Person als auch eine juristische Person wie zum Beispiel eine GmbH sein. Zu den Aufgaben eines Datenschutzbeauftragten gehören unter anderem die Überwachung der Einhaltung der Datenschutzbestimmungen, und zudem fungiert der DSB als Ansprechpartner für Datenschutzthemen. Datenschutzbeauftragte können auf Bundes-, Länder- und Unternehmensebene bestellt werden. Unter bestimmten Voraussetzungen gilt eine Pflicht zur Bestellung eines Datenschutzbeauftragten für Unternehmen. Dies trifft unter anderem ein, wenn ein Unternehmen mindestens 20 Arbeitnehmer beschäftigt, welche mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Sollte der Pflicht nicht nachgekommen werden, einen DSB zu bestellen, ist dies eine Ordnungswidrigkeit.

 

Wer braucht einen Datenschutzbeauftragten?

Gemäß der europäischen Datenschutz-Grundverordnung (DSGVO) und ergänzend dazu aus dem Bundesdatenschutzgesetz (BDSG) ergeben sich einige rechtliche Verpflichtung zur Bestellung eines DSBs. So besteht nach § 38 BDSG eine Pflicht, die sich aus der Mitarbeiterzahl eines Unternehmens ergibt. Demnach muss ein Unternehmen einen DSB bestellen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei der Bemessung der Personenanzahl werden auch Teilzeitkräfte, Aushilfen und Praktikanten berücksichtigt. Dabei liegt eine regelmäßige automatisierte Datenverarbeitung z.B. vor, wenn EDV-Programme wie Outlook oder Excel eingesetzt werden, aber auch durch den alltäglichen beruflichen E-Mai-Verkehr. Daneben besteht unabhängig von der Anzahl der Arbeitnehmer in einem Unternehmen gem. Art. 37 Abs. 1 lit. b) DSGVO die Pflicht zur Benennung eines DSBs, wenn die Kerntätigkeit eines Unternehmens Datenverarbeitungsvorgänge betrifft, bspw. die Erhebung, Verarbeitung, Nutzung oder Übermittlung personenbezogener Daten bei Marktforschungsunternehmen. Darüber hinaus gilt eine Benennungspflicht, sobald in großem Umfang besondere Arten von personenbezogenen Daten oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO verarbeitet werden. Nach Art. 9 DSGVO sind besondere Kategorien personenbezogener Daten z.B. Daten zur Gesundheit oder ethnischen Herkunft. Schließlich ergibt sich noch eine Bestellungspflicht, wenn im Sinne des Art. 35 DSGVO eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat und Datenschutzfolgeabschätzung notwendig wird.

 

Arten des Datenschutzbeauftragten

ES gibt zwei verschiedene Arten von Datenschutzbeauftragten. Ein interner DSB ist ein Angestellter des Unternehmens, dieser ist für den Datenschutz innerhalb des Unternehmens verantwortlich. Der interne Datenschutzbeauftragte muss diverse Pflichten und Anforderungen erfüllen, dies geschieht z.B. anhand von Fortbildungen. Sollte der Mitarbeiter die Anforderungen nicht erfüllen, so wird dies bewertet, als wäre kein DSB im Unternehmen vorhanden. Als interner DSB verfügt man über einen erweiterten Kündigungsschutz und hat Ansprüche auf eine eigene Ausstattung und Fortbildungen, welche vom Unternehmen bezahlt werden. Der interne DSB darf außerdem im Feld seiner Tätigkeit weisungsfrei handeln.

Ein externer Datenschutzbeauftragter wird durch einen Dienstleister gestellt. Unternehmen beauftragen also im Rahmen von Dienstleistungsverträgen eine externe Person und verlagern somit die Aufwände extern. Als externe Datenschutzbeauftragte kommen dabei Dienstleister in Frage, welche viel Erfahrung und juristische Expertise besitzen.

Wer kann Datenschutzbeauftragter werden?

Laut Gesetz kann nicht jeder zum Datenschutzbeauftragten ernannt werden. Jede Person, die in einem Interessenkonflikt steht oder bei der die Selbstkontrolle gefährdet ist, ist hiervon explizit gem. Art. 39 Abs. 6 S. 2 DSGVO ausgeschlossen. Dieser Fall liegt vor, wenn der Datenschutzbeauftragte anderen Aufgaben nachkommt, die im Zielkonflikt mit den Grundaufgaben des Datenschutzbeauftragten gem. Art. 39 DSGVO stehen. Zum Beispiel wird die Kontrollfunktion geschwächt, wenn der Datenschutzbeauftragte gleichzeitig der Geschäftsführer oder eine dieser nahestehenden Person ist. Hierzu hatte ein Unternehmen bereits ein Bußgeld erhalten. Dennoch ist es möglich, dass der Datenschutzbeauftragte anderen Aufgaben und Pflichten nachkommen kann. Solange die datenschutzrechtliche Beratung von einer neutralen Basis ausgeht, die Überwachung des Datenschutzes nicht beeinflusst wird und die Korrespondenz mit Aufsichtsbehörden ebenfalls datenschutzrechtlich neutral gestaltet wird, stellen andere Aufgaben keinen Interessenkonflikt dar.

Die Aufsichtsbehörden sind sich einig, dass die oberste Leistungsebene, also Personen wie der Geschäftsführer, Inhaber, leitende Angestellte, Manager oder Prokuristen, nicht als Datenschutzbeauftragte für das eigene Unternehmen ernannt werden dürfen. Die Vertretungspflicht der Person widerspricht der Kontrollfunktion aus Sicht der DSGVO.

Welche Qualifikation muss ein Datenschutzbeauftragter haben? 

Um der Stellung des Datenschutzbeauftragten im Sinne der DSGVO gerecht zu werden, müssen in jedem Fall die Vorgaben des Art. 37 Abs. 5 DSGVO erfüllt sein. Abweichende nationale, z.B. deutsche Regelungen, sind von der DSGVO nicht vorgesehen und auch nicht zugelassen. Den Mitgliedstaaten steht es lediglich offen, ergänzende bzw. zusätzliche Qualifikationen vorauszusetzen. Grundsätzlich muss ein Datenschutzbeauftragter drei Hauptaufgaben erfüllen: Er muss auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens im Bereich Datenschutzrecht benannt werden. Des Weiteren muss der gleiche Qualifikationsstandard für die Datenschutzpraxis vorliegen. Für die dritte Qualifikation muss der Datenschutzbeauftragte in der Lage sein, auf Grundlage seiner Fähigkeiten die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Diese Qualifikationen sollten bereits im Vorfeld, also vor Ernennung zum Datenschutzbeauftragten, vorliegen. Die Praxis zeigt jedoch, dass dies nicht immer nahtlos möglich ist. Dennoch sollten die Qualifikationen schnellstmöglich nach Ernennung nachgeholt werden und sodann auch erhalten werden. Bedeutet, dass das Wissen stets aktuell gehalten werden muss, um die datenschutzrechtlichen Vorgaben zu erfüllen. Datenschutzbeauftragte können ihr Fachwissen mit entsprechenden Gütesiegeln wie z.B. vom TÜV oder IHK nachweisen. Dabei ist zu berücksichtigen, dass Zertifikate eine Momentaufnahme darstellen und eventuell nicht ausreichend Fachwissen vermitteln, um komplexere datenschutzrechtliche Themen zu behandeln.

 
Datenschutz Preis berechnen
Mehr Vertrauen, weniger Risiko.

Überzeugen Sie Ihre Kunden mit wasserdichtem Datenschutz, verringern Sie den Prüfungsaufwand und senken Sie Ihre Haftung. Berechnen Sie jetzt maßgeschneidert Ihren Preis.

Vor- und Nachteile eines internen Datenschutzbeauftragten

Nachfolgend stellen wir Ihnen die Vorteile und Nachteile eines internen Datenschutzbeauftragten gegenüber.

Vorteile:

  • Kennt die Firma und hat dadurch einen Überblick über interne und vertrauliche Prozesse.
  • Ist i.d.R. vor Ort und schneller handlungsfähig.
  • Keine große Einarbeitung im Unternehmen notwendig.

Nachteile:

  • Oft nur nebenberuflich als DSB tätig, was Zeitmangel und Überforderung verursacht.
  • Nicht tief genug in den Datenschutz eingearbeitet, was zu Fehlern führen kann.
  • Fehlende Expertise aus der Praxis.
  • Zusätzliche Kosten für die Ausbildung des DSB.
  • Fehlende Vertretung, falls der DSB verhindert ist.
  • Erweiterter Kündigungsschutz.
  • Mögliche Interessenkonflikte innerhalb des Unternehmens.
  • Beschränkte Arbeitnehmerhaftung.
  • Oft schwierig eine geeignete Person zu finden.

Unabhängig von der Ausbildung eines internen DSB, ist es zudem auch relevant, die Mitarbeiterinnen und Mitarbeiter rechtssicher über Datenschutz im Unternehmen aufzuklären und zu sensibilisieren. So verhindern Sie die fehlerhafte Umsetzung von rechtlichen Vorgaben und gehen keine weiteren Risiken im Unternehmen bezüglich verschiedenster Datenschutzverletzungen ein. Eine Schulung, wie bspw. die der Mitarbeiterschule, kann dabei ein wichtiges Instrument zur Datenschutz-Optimierung darstellen.

Vor- und Nachteile eines externen Datenschutzbeauftragten

Nun folgt die Gegenüberstellung der Vor- und Nachteile bei Bestellung eines externen Datenschutzbeauftragten.

Vorteile:

  • Höher qualifiziert durch höhere Fortbildungsbudgets.
  • Kann fristgerecht gekündigt werden.
  • Neutrale Person (Vermeidung von Interessenkonflikten).
  • Transparente Vorgehensweise.
  • Unternehmen haftet nicht bei falscher Beratung durch den DSB.
  • Permanenter Ansprechpartner.
  • Viel Praxiserfahrung und benötigte Expertise.
  • Planbare Kostenstruktur.

Nachteile:

  • Eventuell fehlende spezifische Unternehmenskenntnisse, wodurch ggf. Einarbeitung notwendig ist.
  • Es müssen Prozesse für die reibungslose Kommunikation eingerichtet werden.
 

Aufgaben des Datenschutzbeauftragten

Der Aufgabenbereich eines Datenschutzbeauftragten ist sehr vielfältig. Diese übernehmen die gesamte Koordination von datenschutzrechtlichen Aufgaben in einem Unternehmen und entlasten auf diese Weise die Geschäftsführung und das Management. Als Schnittstelle zwischen dem Unternehmen und der zuständigen Aufsichtsbehörde erfüllen diese eine neutrale Kontrollfunktion hinsichtlich der Beratung, Unterstützung und Umsetzung von Datenschutzfragen. Zudem sind sie die Verantwortlichen für die Einhaltung der DSGVO und weiteren Datenschutzvorschriften, wie z.B. das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG). Zusätzlich unterstützt und berät der DSB den Verantwortlichen bei der rechtskonformen Erstellung der Datenschutz-Folgenabschätzungen gem. Art. 35 DSGVO, sprich der Risikoanalyse bzw. Risikoabschätzung vor der Durchführung einer jeweiligen Datenverarbeitung. Darüber hinaus berät und hilft der DSB dem Verantwortlichen zum einen bei der Erstellung von Richtlinien, um dem Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht zu werden und zum anderen bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO, um die notwendigen Angaben des VVT und die inhaltlichen Anforderungen gem. Art. 30 Abs. 1 lit. a) bis g) DSGVO auf Schlüssigkeit zu kontrollieren.

Zusätzlich kann der Datenschutzbeauftragte gem. Art. 37 bis Art. 39 DSGVO u.a. folgende Aufgaben übernehmen:

  • Kommunikation mit Auftragsverarbeitern und Dienstleistern
  • Erstellung von Auftragsverarbeitungsverträgen (AVV)
  • Koordination der Abschlüsse von Auftragsverarbeitungsverträgen
  • Prüfung und Erstellung von Datenschutzerklärungen
  • Erstellung und Prüfung von Einwilligungserklärungen
  • Entwicklung eines Verfahrens für die Bearbeitung von Betroffenenrechten
  • Prüfung von technisch-organisatorischen Maßnahmen
  • Empfehlungen für gesetzlich erforderliche technisch-organisatorische Maßnahmen
  • Entwurf von Berechtigungs- und Löschkonzepten
  • Prüfung und Niederschrift von Informationsschreiben für betroffene Personen
  • Erstellung von Vertragswerken, wie z.B. EU-Standard-Datenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO für den Transfer von personenbezogenen Daten in Drittländer oder der Entwurf eines Vertrags zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO
 

Was droht bei Verstößen gegen die Bestellungspflicht?

Die fehlerhafte oder gänzlich unterlassene Bestellung eines Datenschutzbeauftragten könnte von den zuständigen Aufsichtsbehörden nach Art. 83 Abs.4 lit.a DSGVO entweder mit einem Bußgeld von bis zu 10 Mio. Euro oder einem Bußgeld von bis zu zwei Prozent des weltweiten Jahresumsatzes geahndet werden. Für die Höhe ist der Umsatz des Unternehmens aus dem vorangegangenen Geschäftsjahr maßgeblich.

Zudem können durch die Benennung eines DSB mögliche Verstöße minimiert oder gänzlich vermieden werden. Bei den meisten Verstößen drohen sonst Strafen in Form von Bußgeldern. Diese richten sich an die jeweilige verantwortliche Stelle, so z.B. an die juristischen Personen im Fall eines Unternehmens. Welche Verstöße zu Bußgeldern führen, zählt Art. 83 DSGVO auf. Hierzu gehören u.a. Verstöße gegen Regelungen, die folgende Bereiche des Datenschutzes betreffen:

  • Auftragsverarbeitung
  • Betroffenenrechte
  • Verzeichnis der Verarbeitungstätigkeiten
  • Informationspflichten (Datenschutzerklärungen)
  • Technisch-organisatorische Maßnahmen
  • Übermittlungen von personenbezogenen Daten in Drittstaaten
  • Grundsätze der Datenverarbeitung
  • Datenschutzfolgen-Abschätzungen

Bei solchen Verstößen drohen Verantwortlichen Bußgelder von bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO.

Nach Art. 55 Abs. 1 DSGVO ist jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. Dies bedeutet, dass für Unternehmen und andere nicht-öffentliche Stellen in Deutschland grundsätzlich die örtlich zuständigen Landesaufsichtsbehörden zuständig sind. Dabei können die Kontrollen anlasslos oder anlassbezogen erfolgen. Bei diesen Kontrollen können dann bspw. durch Mängel bei der schriftlichen Bestellung des DSB oder wenn dieser nicht die Voraussetzungen nach Art. 37 Abs. 5 DSGVO erfüllt, Bußgelder drohen. Als Ordnungswidrigkeit gem. § 43 BDSG können diese Bußgelder bis zu 50.000 Euro betragen.

Welche weiteren Folgen bspw. auch natürlichen Personen bei Verstößen gegen die Regelungen des Datenschutzes drohen, können Sie in unserem Blog erfahren. Zudem können Sie hier aktuelle News aus dem Datenschutz über neue Rechtsprechungen oder Bußgelder einsehen.

Menü