Datenschutzbeauftragter

Bestellung eines Datenschutzbeauftragten
Stand: November 2017

I. Die Ernennung eines Datenschutzbeauftragten (DSB) im Unternehmen

1. Wer muss einen Datenschutzbeauftragten bestellen?

  1. Die Ernennung des Datenschutzbeauftragten (DSB) im Unternehmen
    1. Wer muss einen Datenschutzbeauftragten bestellen?
    2. Welche Aufgaben hat der DSB?
    3. Welche Besonderheiten gehen mit der Stellung als DSB einher?
    4. Was muss ich bei der Bestellung des DSB beachten?
    5. Welche Konsequenzen drohen bei Verstößen?
  2. Unsere Leistung für Sie

Art. 37 Abs. 1 DSGVO verpflichtet alle nicht-öffentlichen Stellen zur Bestellung eines Datenschutzbeauftragten, wenn:

  • als Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung von Betroffenen durch den Verantwortlichen oder den Auftragsverarbeiter erfolgt oder

  • als Kerntätigkeit eine umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO erfolgt oder

  • als Kerntätigkeit eine umfangreiche Verarbeitung von personenbezogenen Daten ber strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 erfolgt.

Mit § 38 BDSG-neu hat sich der deutsche Gesetzgeber überdies die Öffnungsklausel des Art. 37 Abs. 4 DSGVO zu Nutze gemacht. Ein Datenschutzbeauftragter ist demnach auch zu bestellen, soweit:

  • Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder

  • die Verantwortlichen und Auftragsverarbeiter Datenverarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten. Auf eine bestimmte Personenanzahl kommt es hierbei nicht an.

Für öffentliche-Stellen gilt die Verpflichtung bereits, wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle, mit Ausnahme von Gerichten, durchgeführt wird (Art. 37 Abs. 1 Ziff. 1 DSGVO).

Insoweit ergeben sich nur unwesentliche Änderungen zur bisherigen Rechtslage nach § 4f BDSG-alt. Die Ernennung wird weiterhin für den überwiegenden Anteil der öffentlichen und privatwirtschaftlichen Unternehmen verpflichtend sein.

2. Welche Aufgaben hat der DSB?

Dem Datenschutzbeauftragten obliegt die Überwachung der Einhaltung der Datenschutzvorschriften. Gemäß Art. 39 DSGVO/ § 7 BDSG-neu treffen ihm dabei zumindest folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten hinsichtlich ihrer Pflichten nach der DS-GVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten

  • Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten

  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO

  • Zusammenarbeit mit der Aufsichtsbehörde.

Darüber hinaus kann der Datenschutzbeauftragte auch weitere Aufgaben und Pflichten wahrnehmen, sofern sichergestellt ist, dass diese nicht zu einem Interessenkonflikt führen.

Mit der Überwachungspflicht des Datenschutzbeauftragten geht allerdings keine persönliche Verantwortung zur tatsächlichen Umsetzung der Datenschutzvorgaben einher; diese verbleibt weiterhin bei den Verantwortlichen der Datenverarbeitungsprozesse (Unternehmensleitung). Eine interne Haftung gegenüber dem Unternehmen bleibt allerdings – je nach Anstellungsart – möglich.

3. Welche Besonderheiten gehen mit der Stellung als DSB einher?

Der Datenschutzbeauftragte ist gegenüber dem Verantwortlichen grundsätzlich weisungsfrei. Der Verantwortliche hat die Weisungsfreiheit bei der Erfüllung seiner Tätigkeiten sicherzustellen. Zudem darf der Datenschutzbeauftragte wegen seiner Tätigkeit nicht benachteiligt werden (Art. 38 Abs. 3 DSGVO).

Zur Stellung des Datenschutzbeauftragten verweist § 38 Abs. 2 BDSG-neu ferner auf die Regelungen zum Datenschutzbeauftragten in öffentlichen Stellen (§ 6 Absatz 4, 5 Satz 2 und Absatz 6 BDSG-neu). Demnach ergeben sich weitere Besonderheiten für:

  • die Abberufung des DSB:
    Die Kündigung des Arbeitsverhältnisses ist während bis ein Jahr nach Ende der Tätigkeit als Datenschutzbeauftragter grundsätzlich nur aus wichtigem Grund zulässig (§ 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG-neu).

  • die Verschwiegenheitspflichten des DSB:
    Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Personen zulassen, verpflichtet, soweit er nicht davon durch die betroffene Person befreit wird (§ 38 Abs. 2 i.V.m. § 6 Abs. 5 Satz 2 BDSG-neu).

  • das Zeugnisverweigerungsrecht des DSB:
    Erhält der Datenschutzbeauftragte bei seiner Tätigkeit Kenntnis von Daten, für die der Leitung oder einer bei der öffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch der oder dem Datenschutzbeauftragten und den ihm unterstellten Beschäftigten zu. Seine Akten und Dokumente unterliegen einem Beschlagnahmeverbot. (§ 38 Abs. 2 i.V.m. § 6 Abs. 6 BDSG-neu).

4. Was muss ich bei der Bestellung des DSB beachten?

Um den Zielsetzungen der DSGVO und des BDSG gerecht zu werden, sollte in Unternehmen und Behörden ein klares Kontroll- und Berichtssystem geschaffen werden, um das Risiko künftiger Datenschutzverstöße effektiv minimieren zu können. Hierbei nimmt der Datenschutzbeauftragte eine zentrale Rolle ein. Er muss über alle wesentlichen (auch zukünftig geplanten) Unternehmensprozesse frühzeitig in Kenntnis gesetzt werden, steht im ständigen Dialog zur Unternehmensführung und tritt gegenüber den Aufsichtsbehörden als primärer Ansprechpartner auf. Daher sollte die Auswahl wohlüberlegt sein.

Im Wesentlichen stellen sich folgende Fragen:

  • Interner oder externer Datenschutzbeauftragter?
    Mit der Stellung des Datenschutzbeauftragten geht ein erheblicher Arbeitsaufwand einher. Viele Unternehmen und Behörden entscheiden sich daher für die Ernennung eines externen Datenschutzbeauftragten. Beide Optionen haben Vor- und Nachteile, die auf den Betrieb individuell abgestimmt werden sollten

  • Welche Voraussetzungen muss der Datenschutzbeauftragte mitbringen?
    Der Datenschutzbeauftragte muss zunächst eine natürliche Person sein; eine Doppelbesetzung ist unzulässig. Des Weiteren muss er die notwendige Fachkunde und Zuverlässigkeit zur gewissenhaften Ausführung seiner Tätigkeit mitbringen. Entsprechende datenschutzrechtliche Vorkenntnisse sind zu erwarten.

5. Welche Konsequenzen drohen bei Verstößen?

Die Rechtsfolgen bei Verstößen gegen die Vorschriften zum Datenschutzbeauftragten ergeben sich aus Art. 83 Abs. 4a DSGVO. Es drohen Bußgelder bis zu 10 Mio. EUR oder in Höhe von 2 % des weltweiten Jahresumsatzes des Gesamtkonzerns. Darüber hinaus bleibt das Unternehmen weiterhin für die interne Umsetzung des Datenschutzes verantwortlich. Eine Exkulpationsmöglichkeit wegen falscher oder ungenügender Beratung durch den Datenschutzbeauftragten besteht grundsätzlich nicht. Vielmehr ist eine eigene Haftung der Geschäftsleitung nach § 93 Abs. 1 AktG bzw. § 43 GmbHG und § 130 OwiG in Betracht zu ziehen, wenn diese keine fachkundige Person als DSB bestellt und/oder diese nur unzureichend kontrolliert hat.

II. Unsere Leistung für Sie

Wir beraten Sie umfassend hinsichtlich der sorgfältigen Auswahl und Schulung geeigneter Personen als Datenschutzbeauftragte. Hierbei erläutern wir Ihnen umfassend alle Vor- und Nachteile einer internen und externen Beauftragung, wägen für Sie die unternehmerischen Risiken ab und unterstützen Sie bei der arbeitsrechtlichen Vertragsgestaltung.

Darüber hinaus unterstützen wir Sie bei dem Aufbau eines internen Zuständigkeits- und Kontrollsystems in Ihrem Unternehmen, so dass das Risiko von Datenschutzverstößen zukünftig minimiert werden kann. Sollte es bereits zu Haftungsfällen gekommen sein, vertreten wir Ihre Interessen selbstverständlich in sämtlichen Verwaltungs-, Zivil- und Ordnungswidrigkeitenverfahren.

Wir bieten regelmäßig Schulungen von Datenschutzbeauftragten und Mitarbeitern an und sensibilisieren Ihre Mitarbeiter für die Themen Datenschutz und IT-Sicherheit.

Sie wünschen einen kompakten Überblick? Dann laden Sie hier unser Factsheet zum Thema Dateschutzbeauftragter herunter:

Factsheet Datenschutzbeauftragter (deutsch)

Diese Webseite verwendet Cookies und zur fortlaufenden Verbesserung unserer Webseite setzen wir Google Analytics ein. Sie können die Cookie-Einstellung jederzeit für die Zukunft ändern und eine erteilte Einwilligung widerrufen. Weitere Informationen erhalten Sie in der Datenschutzerklärung.