Datenschutzbeauftragter gemäß DSGVO

Datenschutz Verstehen – Datenschutzbeauftragter gemäß DSGVO einfach erklärt.

Kurze Einleitung: Durch den erhöhten Fokus auf die Umsetzung des Datenschutzes in Unternehmen wird immer mehr über den Einsatz eines Datenschutzbeauftragten gesprochen. Das liegt darin begründet, dass es eine Bestellpflicht für einen Datenschutzbeauftragten für den Großteil der Unternehmen gibt. Das ergibt auch Sinn, denn ein Unternehmen alleine kann heute den komplexen Datenschutz nicht mehr bewerkstelligen. In diesem Beitrag klären wir die wichtigsten Fragen rund um den Datenschutzbeauftragten.

 
Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Was ist Datenschutzbeauftragter?

Ein Datenschutzbeauftragter, oft abgekürzt mit DSB, kann sowohl eine natürliche Person als auch eine juristische Person wie zum Beispiel ein Verein sein. Zu den Aufgaben eines Datenschutzbeauftragten gehören unter anderem die Überwachung der Einhaltung der Datenschutzbestimmungen und zudem fungiert dieser als  Ansprechpartner für Datenschutzthemen. Datenschutzbeauftragte können auf Bundes-, Länder und Unternehmensebene bestellt werden. Unter bestimmten Voraussetzungen gilt eine Pflicht zur Bestellung eines Datenschutzbeauftragten. Dies trifft unter anderem ein, wenn ein Unternehmen mindestens 20 Arbeitnehmer beschäftigt, welche mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben. Sollte der Pflicht nicht nachgekommen werden, einen DSB zu bestellen, ist dies eine Ordnungswidrigkeit.

 

Wer braucht einen Datenschutzbeauftragten?

Gemäß der europäischen Datenschutz-Grundverordnung (DSGVO) und ergänzend dazu aus dem Bundesdatenschutzgesetz (BDSG) ergeben sich einige rechtliche Verpflichtung zur Bestellung eines DSBs. So besteht nach § 38 BDSG eine Pflicht, die sich aus der Mitarbeiterzahl eines Unternehmens ergibt. Demnach muss ein Unternehmen einen DSB bestellen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei der Bemessung der Personenanzahl werden auch Teilzeitkräfte, Aushilfen und Praktikanten berücksichtigt. Dabei liegt eine regelmäßige automatisierte Datenverarbeitung z.B. vor, wenn EDV-Programme wie Outlook oder Excel eingesetzt werden, aber auch durch den alltäglichen beruflichen E-Mai-Verkehr. Daneben besteht unabhängig von der Anzahl der Arbeitnehmer in einem Unternehmen gem. Art. 37 Abs. 1 lit. b) DSGVO die Pflicht zur Benennung eines DSBs, wenn die Kerntätigkeit eines Unternehmens Datenverarbeitungsvorgänge betrifft, bspw. die Erhebung, Verarbeitung, Nutzung oder Übermittlung personenbezogener Daten bei Marktforschungsunternehmen. Darüber hinaus gilt eine Benennungspflicht, sobald in großem Umfang besondere Arten von personenbezogenen Daten oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO verarbeitet werden. Nach Art. 9 DSGVO sind besondere Kategorien personenbezogener Daten z.B. Daten zur Gesundheit oder ethnischen Herkunft. Schließlich ergibt sich noch eine Bestellungspflicht, wenn im Sinne des Art. 35 DSGVO eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat und Datenschutzfolgeabschätzung notwendig wird.

 
Datenschutz-Managementsystem
Datenschutz-Management-System

+ über 200 Vorlagen
+ Maßnahmen- & Aufgabensteuerung
+ Export in Word- & PDF-Format
+ Mandantenfähig
+ Automatisierte Prozesse

Informieren Sie sich über den Einsatz eines Datenschutz-Management-Systems (DSMS), damit Sie das Thema Datenschutz noch effizienter gestalten können.

Risk Assessment Datenschutz-Portal

Interner Datenschutzbeauftragter

Ein Interner DSB  ist ein Angestellter des Unternehmens, dieser ist für den Datenschutz innerhalb des Unternehmens verantwortlich. Der interne Datenschutzbeauftragte muss diverse Pflichten und Anforderungen erfüllen, dies geschieht z.B.  anhand von Fortbildungen. Sollte der Mitarbeiter die Anforderungen nicht erfüllen, so wird dies bewertet als wäre kein DSB im Unternehmen vorhanden. Als interner DSB verfügt man über einen erweiterten Kündigungsschutz und hat Ansprüche auf eine eigene Ausstattung und Fortbildungen, welche vom Unternehmen bezahlt werden. Der interne DSB darf außerdem im Feld seiner Tätigkeit weisungsfrei handeln.

Kann jeder Datenschutzbeauftragter werden?

Laut Gesetz kann nicht jeder zum Datenschutzbeauftragten ernannt werden. Jede Person, die in einem Interessenkonflikt steht oder bei der die Selbstkontrolle gefährdet ist, ist hiervon explizit gem. Art. 39 Abs. 6 S. 2 DSGVO ausgeschlossen. Dieser Fall liegt vor, wenn der Datenschutzbeauftragte anderen Aufgaben nachkommt, die im Zielkonflikt mit den Grundaufgaben des Datenschutzbeauftragten gem. Art. 39 DSGVO stehen. Zum Beispiel wird die Kontrollfunktion geschwächt, wenn der Datenschutzbeauftragte gleichzeitig der Geschäftsführer oder eine dieser nahestehenden Person ist. Dennoch ist es möglich, dass der Datenschutzbeauftragte anderen Aufgaben und Pflichten nachkommen kann. Solange die datenschutzrechtliche Beratung von einer neutralen Basis ausgeht, die Überwachung des Datenschutzes nicht beeinflusst wird und die Korrespondenz mit Aufsichtsbehörden ebenfalls datenschutzrechtlich neutral gestaltet wird, stellen andere Aufgaben keinen Interessenkonflikt dar.

Die Aufsichtsbehörden sind sich einig, dass die oberste Leistungsebene, also Personen wie der Geschäftsführer, Inhaber, leitende Angestellte, Manager oder Prokuristen, nicht als Datenschutzbeauftragte für das eigene Unternehmen ernannt werden dürfen. Die Vertretungspflicht der Person widerspricht der Kontrollfunktion aus Sicht der DSGVO.

Welche Qualifikation muss ein Datenschutzbeauftragter haben? 

Um der Stellung des Datenschutzbeauftragten im Sinne der DSGVO gerecht zu werden, müssen in jedem Fall die Vorgaben des Art. 37 Abs. 5 DSGVO erfüllt sein. Abweichende nationale, z.B. deutsche Regelungen, sind von der DSGVO nicht vorgesehen und auch nicht zugelassen. Den Mitgliedstaaten steht es lediglich offen, ergänzende bzw. zusätzliche Qualifikationen vorauszusetzen. Grundsätzlich muss ein Datenschutzbeauftragter drei Hauptaufgaben erfüllen: Er muss auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens im Bereich Datenschutzrecht benannt werden. Des Weiteren muss der gleiche Qualifikationsstandard für die Datenschutzpraxis vorliegen. Für die dritte Qualifikation muss der Datenschutzbeauftragte in der Lage sein, auf Grundlage seiner Fähigkeiten, die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Diese Qualifikationen sollten bereits im Vorfeld, also vor Ernennung zum Datenschutzbeauftragten vorliegen. Die Praxis zeigt jedoch, dass dies nicht immer nahtlos möglich ist. Dennoch sollten die Qualifikationen schnellstmöglich nach Ernennung nachgeholt werden und sodann auch erhalten werden. Bedeutet, dass das Wissen stets aktuell gehalten werden muss, um die datenschutzrechtlichen Vorgaben zu erfüllen. Datenschutzbeauftragte können ihr Fachwissen mit entsprechenden Gütesiegeln wie z.B. vom TÜV oder IHK nachweisen. Dabei ist zu berücksichtigen, dass Zertifikate eine Momentaufnahme darstellen und eventuell nicht ausreichend Fachwissen vermitteln, um komplexere datenschutzrechtliche Themen zu behandeln.

 
Datenschutz-Managementsystem
Jetzt Ihren Datenschutzbeauftragten kennenlernen.

Wir erklären Ihnen in einem persönlichen Erstgespräch den Ablauf einer Datenschutz-Optimierung. Sie lernen unsere zertifizierten Juristen kennen, welche als Datenschutzbeauftragte für Sie tätig werden. Wir freuen uns auf Sie!

+0

Über 450 Unternehmen vertrauen international unserem Team aus Datenschutzbeauftragten.

0%

Über 72% effizienter als marktüblich optimieren wir Ihre Datenschutz-Organisation.

externer Datenschutzbeauftragter - Termin buchen

Vor- und Nachteile eines internen Datenschutzbeauftragten

Nachfolgend stellen wir Ihnen die Vorteile und Nachteile eines internen Datenschutzbeauftragten gegenüber.

Vorteile:

  • Kennt die Firma und hat dadurch einen Überblick über interne und vertrauliche Prozesse.
  • Ist i.d.R. vor Ort und schneller handlungsfähig.
  • Keine große Einarbeitung im Unternehmen notwendig.

Nachteile:

  • Oft nur nebenberuflich als DSB tätig, was Zeitmangel und Überforderung verursacht.
  • Nicht tief genug in den Datenschutz eingearbeitet, was zu Fehlern führen kann.
  • Fehlende Expertise aus der Praxis.
  • Zusätzliche Kosten für die Ausbildung des DSB.
  • Fehlende Vertretung, falls der DSB verhindert ist.
  • Erweiterter Kündigungsschutz.
  • Mögliche Interessenkonflikte innerhalb des Unternehmens.
  • Beschränkte Arbeitnehmerhaftung.
  • Oft schwierig eine geeignete Person zu finden.

Unabhängig von der Ausbildung eines internen DSB, ist es zudem auch relevant, die Mitarbeiterinnen und Mitarbeiter rechtssicher über Datenschutz im Unternehmen aufzuklären und zu sensibilisieren. So verhindern Sie die fehlerhafte Umsetzung von rechtlichen Vorgaben und gehen keine weiteren Risiken im Unternehmen bezüglich verschiedenster Datenschutzverletzungen ein. Eine Schulung, wie bspw. die der Mitarbeiterschule, kann dabei ein wichtiges Instrument zur Datenschutz-Optimierung darstellen.

Vor- und Nachteile eines externen Datenschutzbeauftragten

Nun folgt die Gegenüberstellung der Vor- und Nachteile bei Bestellung eines externen Datenschutzbeauftragten.

Vorteile:

  • Höher qualifiziert durch höhere Fortbildungsbudgets.
  • Kann fristgerecht gekündigt werden.
  • Neutrale Person (Vermeidung von Interessenkonflikten).
  • Transparente Vorgehensweise.
  • Unternehmen haftet nicht bei falscher Beratung durch den DSB.
  • Permanenter Ansprechpartner.
  • Viel Praxiserfahrung und benötigte Expertise.
  • Planbare Kostenstruktur.

Nachteile:

  • Eventuell fehlende spezifische Unternehmenskenntnisse, wodurch ggf. Einarbeitung notwendig ist.
  • Es müssen Prozesse für die reibungslose Kommunikation eingerichtet werden.
 

Aufgaben des Datenschutzbeauftragten

Der Aufgabenbereich eines Datenschutzbeauftragten ist sehr vielfältig. Diese übernehmen die gesamte Koordination von datenschutzrechtlichen Aufgaben in einem Unternehmen und entlasten auf diese Weise die Geschäftsführung und das Management. Als Schnittstelle zwischen dem Unternehmen und der zuständigen Aufsichtsbehörde erfüllen diese eine neutrale Kontrollfunktion hinsichtlich der Beratung, Unterstützung und Umsetzung von Datenschutzfragen. Zudem sind sie die Verantwortlichen für die Einhaltung der DSGVO und weiteren Datenschutzvorschriften, wie z.B. das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG) und das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Zusätzlich unterstützt und berät der DSB den Verantwortlichen bei der rechtskonformen Erstellung der Datenschutz-Folgenabschätzungen gem. Art. 36 DSGVO, sprich der Risikoanalyse bzw. Risikoabschätzung vor der Durchführung einer jeweiligen Datenverarbeitung. Darüber hinaus berät und hilft der DSB dem Verantwortlichen zum einen bei der Erstellung von Richtlinien, um dem Prinzip der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO gerecht zu werden und zum anderen bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gem. Art. 30 DSGVO, um die notwendigen Angaben des VVT und die inhaltlichen Anforderungen gem. Art. 30 Abs. 1 lit. a) bis g) DSGVO auf Schlüssigkeit zu kontrollieren. Schließlich ist der DSB bei Verstößen meldeverpflichtet, d.h. bei Datenpannen besteht nach Art. 33 DSGVO eine Informationspflicht bzw. Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten gegenüber den Aufsichtsbehörden.

Zusätzlich kann der Datenschutzbeauftragte  gem. Art. 37 bis Art. 39 DSGVO u.a. folgende Aufgaben übernehmen:

 

  • Kommunikation mit Auftragsverarbeitern und Dienstleistern
  • Erstellung von Auftragsverarbeitungsverträgen (AVV)
  • Koordination der Abschlüsse von Auftragsverarbeitungsverträgen
  • Prüfung und Erstellung von Datenschutzerklärungen
  • Erstellung und Prüfung von Einwilligungserklärungen
  • Entwicklung eines Verfahrens für die Bearbeitung von Betroffenenrechten
  • Prüfung von technisch-organisatorischen Maßnahmen
  • Empfehlungen für gesetzlich erforderliche technisch-organisatorische Maßnahmen
  • Entwurf von Berechtigungs– und Löschkonzepten
  • Prüfung und Niederschrift von Informationsschreiben für betroffene Personen
  • Erstellung von Vertragswerken, wie z.B. EU-Standard-Datenschutzklauseln gem. Art. 46 Abs. 2 lit. c) DSGVO für den Transfer von personenbezogenen Daten in Drittländer oder der Entwurf eines Vertrages zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO
 

Kosten für einen Datenschutzbeauftragten

Nun stellen wir die Kosten beider Varianten eines Datenschutzbeauftragten für Sie gegenüber.

Kosten interner DSB Kosten externer DSB 
  • laufende Fortbildungskosten von mehreren 1.000 Euro
  • kein besonderer Kündigungsschutz
  • durch den besonderen Kündigungsschutz können zusätzliche Kosten entstehen
  • Haftet für seine Fehler 
  • Unternehmen haftet selber bei Fehlern des DSB
  • initiale Kosten zwischen 2.500 – 8.000 Euro 
  • Weitere Kosten für z.B. benötigte Literatur oder Vertragsvorlagen
  • fortlaufende Kosten zwischen 350 – 1.500 Euro
  • ca 5.000 Euro für Erstausbildung
  • Kosten sind abhängig davon, wie gut der Datenschutz im Unternehmen bereits eingehalten wird
  • höherer Gehaltsanspruch, da mehr Aufwand und Verantwortung 
  • Preise vom Anbieter abhängig

Gerne unterstützen unsere zertifizierten Branchenexperten Sie bei der datenschutzrechtlichen Optimierung Ihres Unternehmens und begleiten Sie bei den einzelnen Prozessen und der Umsetzung. Hierzu können Sie ganz einfach einen kostenfreien Beratungstermin buchen.

 

Was droht bei Verstößen gegen die Bestellungspflicht?

Die fehlerhafte oder gänzlich unterlassene Bestellung eines Datenschutzbeauftragten könnte von den zuständigen Aufsichtsbehörden nach Art. 83 Abs.4 lit.a DSGVO entweder mit einem Bußgeld von bis zu 10 Mio. Euro oder einem Bußgeld von bis zu zwei Prozent des weltweiten Jahresumsatzes geahndet werden. Für die Höhe ist der Umsatz des Unternehmens aus dem vorangegangenen Geschäftsjahr maßgeblich.

Zudem können durch die Benennung eines DSB mögliche Verstöße minimiert oder gänzlich vermieden werden. Bei den meisten Verstößen drohen sonst Strafen in Form von Bußgeldern. Diese richten sich an die jeweilige verantwortliche Stelle, so z.B. an die juristischen Personen im Fall eines Unternehmens. Welche Verstöße zu Bußgeldern führen, zählt Art. 83 DSGVO auf. Hierzu gehören u.a. Verstöße gegen Regelungen, die folgende Bereiche des Datenschutzes betreffen:

  • Auftragsverarbeitung
  • Betroffenenrechte
  • Verzeichnis der Verarbeitungstätigkeiten
  • Informationspflichten (Datenschutzerklärungen)
  • Technisch-organisatorische Maßnahmen
  • Übermittlungen von personenbezogenen Daten in Drittstaaten
  • Grundsätze der Datenverarbeitung
  • Datenschutzfolgen-Abschätzungen

Bei solchen Verstößen drohen Verantwortlichen Bußgelder von bis zu 20 Mio. Euro oder im Fall eines Unternehmens bis zu vier Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist, vgl. Art. 83 Abs. 4 und Abs. 5 DSGVO.

Nach Art. 55 Abs. 1 DSGVO ist jede Aufsichtsbehörde für die Erfüllung der Aufgaben und die Ausübung der Befugnisse, die ihr übertragen wurden, im Hoheitsgebiet ihres eigenen Mitgliedstaats zuständig. Dies bedeutet, dass für Unternehmen und andere nicht-öffentliche Stellen in Deutschland grundsätzlich die örtlich zuständigen Landesaufsichtsbehörden zuständig sind. Dabei können die Kontrollen anlasslos oder anlassbezogen erfolgen. Bei diesen Kontrollen können dann bspw. durch Mängel bei der schriftlichen Bestellung des DSB oder wenn dieser nicht die Voraussetzungen nach Art. 37 Abs. 5 DSGVO erfüllt, Bußgelder drohen. Als Ordnungswidrigkeit gem. § 43 BDSG können diese Bußgelder bis zu 50.000 Euro betragen.

Welche weiteren Folgen bspw. auch natürlichen Personen bei Verstößen gegen die Regelungen des Datenschutzes drohen, können Sie in unserem Blog erfahren. Zudem können Sie hier aktuelle News aus dem Datenschutz über neue Rechtsprechungen oder Bußgelder einsehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Menü