Recht und Steuern

Der betriebliche Datenschutzbeauftragte

Die grundlegenden Fragen zur Bestellung eines betrieblichen Datenschutzbeauftragten, seinen Aufgaben und Pflichten haben wir Ihnen in diesem Artikel zusammengestellt und beantwortet.

Wann muss ein Datenschutzbeauftragter bestellt werden?

Auch nach in Kraft treten der Datenschutzgrundverordnung am 25. Mai 2018 muss ein betrieblicher Datenschutzbeauftragter weiterhin immer dann bestellt werden, wenn sich im Betrieb mindestens zehn Personen ständig mit automatisierter Datenverarbeitung beschäftigen. Die Bundesrepublik hat insofern von ihrem Recht auf Regelung weiterer Bestellpflichten Gebrauch gemacht. Zu der Zahl der Personen zählen dabei auch die Mitarbeiter in der IT, Teilzeitkräfte, Auszubildende und Leihpersonal sowie der Geschäftsführer.
Zusätzlich ist eine Bestellung stets notwendig, wenn die Kerntätigkeit des Unternehmens in Verarbeitungsvorgängen besteht, die aufgrund Art, Umfang oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen. Beispielhaft aber nicht abschließend sind hier der Adresshandel, Kundenservice, Marketing oder Produktdesign zu nennen. Unter personenbezogenen Daten sind Einzelangaben über persönliche (zum Beispiel Name, Anschrift, Geburtsdatum) oder sachliche Verhältnisse (zum Beispiel vertragliche oder sonstige Beziehungen zu Dritten) einer bestimmten oder bestimmbaren natürlichen Person zu verstehen. Ein Datenschutzbeauftragter kann, auch wenn er von Rechts wegen nicht bestellt werden muss, freiwillig bestellt werden. Soweit die Bestellung eines Datenschutzbeauftragten nicht gesetzlich vorgeschrieben ist, muss die Unternehmensleitung den Datenschutz in anderer Weise sicherstellen.

Wie muss der Datenschutzbeauftragte bestellt werden?

Die Position des betrieblichen Datenschutzbeauftragten kann innerhalb des Betriebes durch einen eigenen Mitarbeiter besetzt werden, wenn die persönlichen und fachlichen Voraussetzungen dafür vorliegen. Die Bestellung erfolgt durch Mitteilung der Kontaktdaten an die zuständige Aufsichtsbehörde, mit der Erfüllung der Meldepflicht ist die Benennung offiziell vollzogen. Für die Mitteilung ist das Online-Formular des unabhängigen Landeszentrums für Datenschutz zu nutzen (www.datenschutzzentrum.de/formular/meldung-dsb.php).
Die Notwendigkeit einer schriftlichen Bestellung entfällt, beachten Sie jedoch, dass die Bestellung aus Nachweisgründen in Textform erfolgen sollte. Eine Frist für die Ernennung ist nicht geregelt, es empfiehlt sich, den Beauftragten unverzüglich zu benennen. Nach der Bestellung müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden, zum Beispiel auf der Unternehmenswebsite. Es gibt grundsätzlich kein Mitbestimmungsrecht des Betriebsrats, es sei denn, die Bestellung geht mit einer Einstellung oder Versetzung einher.

Wer kann zum Datenschutzbeauftragten bestellt werden?

Der Datenschutzbeauftragte kann, muss aber nicht, Arbeitnehmer des Unternehmens sein. Es können also auch externe Datenschutzbeauftragte bestellt werden. Auch der externe Datenschutzbeauftragte kann sich bei Daten, die der beruflichen Geheimhaltungspflicht unterliegen, auf ein Zeugnisverweigerungsrecht berufen. Deshalb können nun auch diejenigen Berufsgruppen, die besondere Berufsgeheimnisse zu beachten haben, einen externen Datenschutzbeauftragten bestellen.

Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und berufliche Qualifikation besitzt. Zur Fachkunde gehört ein Verständnis der allgemeinen und spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das eigene Unternehmen relevant sind. Um eine effektive Selbstkontrolle zu gewähren und Interessenkonflikte auszuschließen, darf der Datenschutzbeauftragte nicht der Geschäftsführung angehören, da er dieser gerade unterstellt sein muss. Auch IT- und Personalleiter, sowie IT-Administratoren sind ausgeschlossen. Ferner ist darauf zu achten, dass ein nebenberuflich bestellter Datenschutzbeauftragter nicht in Konflikt zu seiner hauptberuflichen Tätigkeit geraten darf.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Zu den wesentlichen Aufgaben des Datenschutzbeauftragten zählen:
  • Unterrichtung über die bestehenden datenschutzrechtlichen Pflichten und Beratung bei der Lösung datenschutzrechtlicher Fragen.
  • Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften (DSGVO, BDSG, sowie spezialgesetzliche Vorschriften, sowie der unternehmenseigenen Datenschutzbestimmung inklusive Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter.
  • Auf Anfrage Beratung bei der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
  • Zusammenarbeit mit der Aufsichtsbehörde und Zuständigkeit für die vorherige Konsultation datenschutzrechtlicher Fragen an die Aufsichtsbehörde.
  • Ansprechpartner für betroffene Personen und Mitarbeiter zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte zusammenhängende Vorgänge. 

Welche Rechte und Befugnisse hat der Datenschutzbeauftragte?

Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte eine Reihe von Rechten und Befugnissen:
  • Initiativ- und Einspruchsrecht, verbunden mit einem direkten Kontrollrecht in allen Bereichen des Unternehmens,
  • Einsichtsrecht in sämtliche relevante Unterlagen,
  • Recht auf die Zurverfügungstellung des erforderlichen Hilfspersonals, der Räume, Einrichtungen, Geräte und Mittel,
  • Zeugnisverweigerungsrecht bei Daten, die der beruflichen Geheimhaltung unterliegen,
  • Verschwiegenheitspflicht, die auch gegenüber der Unternehmensleitung gilt, sofern der Betroffene nicht davon befreit hat,
  • Recht auf Teilnahme an Fach- und Fortbildungsveranstaltungen,
  • der Datenschutzbeauftragte kann die Beratungsleistung der zuständigen Aufsichtsbehörde in Anspruch nehmen,
  • der Datenschutzbeauftragte ist dem Leiter des Unternehmens unmittelbar zu unterstellen,
  • in Ausführung seiner Aufgaben ist er weisungsfrei und er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.

Welche Pflichten hat der Unternehmer?

Damit der Datenschutzbeauftragte seine Aufgaben erfüllen kann, müssen verschiedene Rahmenbedingungen seitens des Unternehmens geschaffen werden:
  • Einräumung aller notwendigen Zutritts- und Einsichtsrechte,
  • ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen,
  • Zurverfügungstellung aller zur Erfüllung der Aufgabe erforderlichen Ressourcen und Gewährung von Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen,
  • Gewährung der erforderlichen Arbeitszeit,
  • Ermöglichung von Fortbildungsveranstaltungen,
  • Unterstützung durch Zurverfügungstellung des erforderlichen Hilfspersonals, der Räume, Einrichtung, Geräte und Mittel.

Welche Besonderheiten sind bei externen Datenschutzbeauftragten zu beachten?

Neben den Regelungen für die internen Datenschutzbeauftragten gelten folgende Besonderheiten für die externen Datenschutzbeauftragten:
  • Der Dienstvertrag muss Ausführungen zu Kündigungsfristen, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten enthalten.
  • Im Dienstvertrag muss eine bedarfsgerechte Leistungserbringung vereinbart werden.
  • Es ist vertraglich zu vereinbaren, dass ein angemessener Teil der Leistung im beauftragenden Unternehmen selbst zu erbringen ist. 
  • Wenn ausdrücklich vereinbart wurde, dass die Kosten für die Fortbildung Bestandteil der vereinbarten Vergütung sind, brauchen keine weiteren Kosten für Fortbildung vom beauftragenden Unternehmen bereitgestellt zu werden.
  • Es wird bei Erstverträgen mit externen Datenschutzbeauftragten eine Laufzeit von ein bis zwei Jahren
  • empfohlen, um die spezifische Eignung vertieft prüfen zu können. Ansonsten wird eine Laufzeit von vier Jahren angeregt.

Kann die Bestellung widerrufen werden und welchen Kündigungsschutz haben betriebliche Datenschutzbeauftragte?

Gemäß § 38 Abs. 3 DSGVO dürfen Unternehmen den Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligen. Das BDSG in seiner neuen Fassung erweitert diesen Schutz noch. Demnach ist die Kündigung des Datenschutzbeauftragten nur unter den Voraussetzungen des § 626 BGB möglich. Dieser besondere Kündigungsschutz bleibt nach der Abberufung der Bestellung als betrieblicher Datenschutzbeauftragter für ein Jahr bestehen. Eine Kündigung ist in diesem Zeitraum unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.
Nach der herrschenden Rechtsliteratur genießt der freiwillig bestellte betriebliche Datenschutzbeauftragte keinen besonderen Kündigungsschutz. Die Bestellung als Datenschutzbeauftragter kann von vornherein ohne Angabe von Gründen zeitlich befristet werden. Im Falle einer Befristung ist der Zeitraum so festzulegen, dass der Datenschutzbeauftragte seine Aufgaben sinnvoll wahrnehmen kann. Dafür wird ein Zeitraum von zwei bis fünf Jahren als ausreichend angesehen. Nicht zulässig ist allerdings die Befristung für den Zeitraum der Probezeit, weil die Unternehmen vorab zu prüfen haben, ob ein Kandidat die Voraussetzungen der Bestellung erfüllt. 
Stand: Mai 2018