Datenschutzbeauftragten bestellen?



Nicht erst seit Inkrafttreten der Datenschutzgrundverordnung (DS-GVO) am 25. Mai 2018 besteht für viele Unternehmen die Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen. Nachfolgend möchten wir deshalb einen Überblick über die Regelungen zur Bestellung von Datenschutzbeauftragten sowie deren Aufgaben und Stellung geben.

Wo finde ich die Rechtsgrundlagen?

Die Bestellung sowie die Stellung und Aufgaben des DSB sind in erster Linie in den Artikeln 37 bis 39 DS-GVO geregelt. Die Definition einzelner Rechtsbegriffe (z.B. „Verantwortlicher“, „Auftragsverarbeiter“ oder „personenbezogene Daten“) finden sich in Art. 4 DS-GVO. Darüber hinaus sieht Art. 37 Abs. 4 DS-GVO eine Öffnungsklausel vor, welche es den Mitgliedsstaaten erlaubt, die Pflichten zur Benennung eines DSB zu erweitern. Hiervon hat der deutsche Gesetzgeber in § 38 Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht.

Wer muss einen Datenschutzbeauftragten bestellen?

Grundsätzlich muss jedes Unternehmen, dass in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (z.B. am Computer, Tablet oder Smartphone) beschäftigt, einen betrieblichen Datenschutzbeauftragten bestellen (§ 38 Abs. 1 Satz 1 BDSG).
Unabhängig von der Zahl der mit Datenverarbeitung beschäftigten Personen ist nach § 38 Abs. 1 Satz 2 BDSG ein Datenschutzbeauftragter zu bestellen, wenn
  • Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgeabschätzung nach Art. 35 DS-GVO unterliegen (z.B. der Einsatz von Monitoringsystemen zur Überwachung von Mitarbeitern) oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung (z.B. durch Adresshandel) oder der Markt- oder Meinungsforschung verarbeitet werden.
Unabhängig davon regelt Art. 37 Abs. 1 DS-GVO weitere Fälle. Danach ist ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit des Unternehmens
  • mit umfangreicher oder systematischer Überwachung von Personen (z.B. Videoüberwachung) oder
  • mit umfangreicher Verarbeitung besonders sensibler Daten (z.B. Gesundheitsdaten)
verbunden ist. Mit Kerntätigkeit ist dabei die Haupttätigkeit des Unternehmens gemeint und nicht die Datenverarbeitung als Nebentätigkeit.
Darüber hinaus ist auch eine freiwillige Bestellung möglich.

Wer kann zum Datenschutzbeauftragten bestellt werden?

Die DS-GVO verlangt, dass die Bestellung des betrieblichen Datenschutzbeauftragten auf Basis der beruflichen Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis erfolgt. Zu den Fachkundevoraussetzungen gehört ein Verständnis der allgemeinen und spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das eigene Unternehmen relevant sind, sowie technisch-organisatorische Kenntnisse, insbesondere Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit.
Zum Datenschutzbeauftragten kann sowohl ein Mitarbeiter des Unternehmens (= interner) als auch ein außenstehender Dienstleister (= externer) bestellt werden. In Unternehmensgruppen kann weiterhin ein gemeinsamer Datenschutzbeauftragter bestellt werden.
Zu beachten ist, dass der Datenschutzbeauftragte durch die Ausübung seiner Tätigkeit nicht in einen Interessenkonflikt geraten darf. Daher dürfen z.B. Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT-Administratoren nicht zum Datenschutzbeauftragten bestellt werden.

Welche Vorgaben müssen beachtet werden?

Das Verfahren zur Bestellung des Datenschutzbeauftragten ist in der DS-GVO selbst nicht geregelt. Aus Dokumentationsgründen ist jedoch zumindest eine Bestellung in Textform ratsam. Eine Befristung ist zulässig, sollte aber nicht zu kurz bemessen sein. Empfehlenswert ist ein Zeitraum von 3 Jahren. Zu beachten ist außerdem, dass die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen sind.
Ein Muster zur Bestellung eines betrieblichen Datenschutzbeauftragten (RTF-Datei · 2110 KB) steht unter "Weitere Informationen" zum Download bereit.

Welche Stellung hat der DSB innerhalb des Betriebs?

Die Stellung des Datenschutzbeauftragten ist grundsätzlich in Art. 38 DS-GVO geregelt. Ihr Kern ist seine Unabhängigkeit, insbesondere von fachlichen Weisungen. Daneben besteht eine Verpflichtung zur Gewährleistung eines unmittelbaren Berichtswegs zur höchsten Leitungsebene. Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden. Weiterhin besteht für den internen Datenschutzbeauftragten ein Sonderkündigungsrecht, welches jedoch die Möglichkeit zur Kündigung aus wichtigem Grund unberührt lässt.

Was sind die Aufgaben eines DSB?

Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DS-GVO niedergelegt. Sein Aufgabenkatalog umfasst:
  • Unterrichtung und Beratung der Leitung und der Beschäftigten des Unternehmens,
  • Überwachung der Einhaltung der aller relevanten Datenschutzvorschriften,
  • Beratung der Leitung im Zusammenhang mit einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO und Überwachung ihrer Durchführung und
  • Zusammenarbeit mit der Aufsichtsbehörde.
Weiterhin hat der Datenschutzbeauftragte die Unternehmensleitung bei der Einführung neuer Datenverarbeitungsprozesse, bei der Dokumentationen der umfassenden Nachweispflichten, bei den Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen sowie bei der Erfüllung der Betroffenenrechte (auf Auskunft, Benachrichtigung, Einschränkung oder Löschen von Daten) zu unterstützen.
Die Erfüllung der Aufgaben erfolgt risikoorientiert, wobei Art, Umfang, Umstände und Zwecke der Verarbeitung zu berücksichtigen sind.

Was sind die Folgen einer Pflichtverletzung?

Verletzungen der Artikel 37 bis 39 DS-GVO (z.B. Nichtbenennung oder unzureichende Unterstützung des DSB) sind mit hohen Bußgeldern bedroht – hier können bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes als Bußgeld festgesetzt werden, je nachdem, welcher Betrag höher ist.