Bestellung eines betrieblichen Datenschutzbeauftragten

Wann ist ein betrieblicher Datenschutzbeauftragter zu bestellen?

Eine europaweite Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB) besteht seit Anwendbarkeit der DSGVO, also seit dem 25. Mai 2018. Der bDSB ist zwingend zu bestellen, wenn die Kerntätigkeit des Verantwortlichen in Verarbeitungsvorgängen besteht, welche aufgrund Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen. Unter „Kerntätigkeit“ fallen hierbei Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie erforderlich sind. Beispiele (nicht abschließend) sind: Kundenservice, Videoüberwachung, Detekteien und private Sicherheitsunternehmen, Nachverfolgung des Surfverhaltens im Internet oder des Kaufverhaltens durch ein Treueprogramm.
„Art, Umfang und Zweck“ ist anhand objektiver Merkmale zu beurteilen, so insbesondere die Anzahl der Betroffenen, die Menge der betroffenen Daten und/oder Vielzahl der verschiedenen Datensätze, die Dauer oder geographische Reichweite der Datenverarbeitung. Im Weiteren begründet die DSGVO die Pflicht zur Bestellung, wenn die Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien von Daten (z. B. Gesundheit, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugung) oder strafrechtlicher Verurteilungen umfasst.
Die DSGVO lässt den Mitgliedstaaten die Befugnis, weitere Bestellpflichten zu regeln, solange der nationale Gesetzgeber nicht von den oben beschriebenen Rechten und Aufgaben abweicht. Hiervon hat der deutsche Gesetzgeber im Rahmen der Änderung des Bundesdatenschutzgesetzes (BDSG) Gebrauch gemacht.
Bisher musste nach dem BDSG ein bDSB ab einer Mindestanzahl von zehn Personen bestellt werden, wenn diese ständig mit der automatisierten Verarbeitung personenbezogener Daten beauftragt waren. Seit dem 26. November 2019 gilt die Bestellpflicht für Betriebe, die mindestens 20 Personen mit der Verarbeitung beschäftigen. Gezählt werden grundsätzlich diejenigen Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Leitung des Verantwortlichen (z. B. Geschäftsführer, Chef, Inhaber, Partner) bzw. des Auftragsverarbeiters wird hierbei immer hinzugerechnet. Es bleibt zu beachten, dass trotz der Erhöhung der maßgebenden Personenanzahl alle anderen Pflichten, die sich aus der DSGVO ergeben, nicht wegfallen. Das BDSG nennt eine weitere Pflicht zur Benennung eines bDSB unabhängig von der Anzahl der mit der Verarbeitung Beschäftigten. Und zwar, wenn die Verarbeitung der Datenschutz-Folgenabschätzung unterliegt oder wenn die Verarbeitung geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung (v. a. Wirtschaftsauskunfteien, Adresshändler sowie Markt- und Meinungsforschungsinstitute) erfolgt.
Unterliegt ein Unternehmen keiner der oben genannten Pflichten zur Bestellung eines bDSG, so ist die freiwillige Bestellung eines bDSG möglich.
Die Position des bDSB kann innerhalb des Betriebs durch einen eigenen Mitarbeiter besetzt werden (auch als „Teilzeit“-Tätigkeit neben seinen eigentlichen Aufgaben), wenn er die persönlichen und fachlichen Voraussetzungen dafür besitzt. Es kann auch ein externer DSB bestellt werden. Eine Unternehmensgruppe kann einen gemeinsamen DSB benennen. Dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein.

Bestellung des betrieblichen Datenschutzbeauftragten

Nicht bestellt werden darf eine Person, die in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht (insb. Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT-Administratoren).
Der bDSB muss aufgrund der beruflichen Qualifikation und des Fachwissens benannt werden, um die Aufgaben aus Art. 39 DSGVO übernehmen zu können. Zu den Fachkundevoraussetzungen gehört ein Verständnis der allgemein datenschutzrechtlichen wie der spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das eigene Unternehmen relevant sind, sowie
technisch-organisatorische Kenntnisse, insbesondere Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit. Diese Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung zum bDSB vorliegen.
Eine Form und bestimmte Dauer für die Bestellung besteht nicht; die Bestellung sollte aus Nachweisgründen in Textform erfolgen (s. untenstehendes Muster). Nur natürliche Personen können durch eine Bestellung Datenschutzbeauftragter werden. Juristische Personen sind in der DSGVO nicht als Datenschutzbeauftragter vorgesehen.
Die Kontaktdaten des dDSB sind zu veröffentlichen (z. B. auf der Unternehmenshomepage) und sind der jeweiligen Landesdatenschutzbehörde zu melden. Hierfür steht ein elektronisches Formular bei den Aufsichtsbehörden zur Verfügung.
Für Baden-Württemberg kann das Online-Meldeformular des Landesbeauftragten für Datenschutz und Informationsfreiheit hier aufgerufen werden

Stellung des betrieblicher Datenschutzbeauftragter

Der bDSB ist weisungsunabhängig bzgl. seiner Aufgabenerfüllung und er berichtet unmittelbar der höchsten Managementebene des Verantwortlichen. Er darf wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden. Es besteht ein Anspruch auf ordnungsgemäße und frühzeitige Einbindung in alle datenschutzrechtliche Fragen. Dem bDSB sind zur Aufgabenerfüllung das notwendige Zeitbudget sowie die nötige Unterstützung (Fortbildung, finanzielle, materielle und personelle Ausstattung) zu gewähren.
Dem bDSG ist Zugang zu allen personenbezogenen Daten und damit zusammenhängenden Verarbeitungsvorgängen zu geben. Der bDSB ist zur Wahrung der Geheimhaltung und Vertraulichkeit bei der Erfüllung seiner Aufgaben verpflichtet. Dies gilt insbesondere in Bezug auf die Identität von betroffenen Personen, die sich an den bDSB gewandt haben. Ein gesetzliches Zeugnisverweigerungsrecht steht ihm zu, soweit der Leitung oder einer bestimmten Person des Verantwortlichen ein solches Recht zusteht. Akten oder Schriftstücke des bDSB unterliegen soweit einem Beschlagnahmeverbot.
Trotz Änderung des BDSG besteht weiterhin ein besonderer Kündigungsschutz für den bDSB. Das Arbeitsverhältnis darf während der Tätigkeit als Datenschutzbeauftragter und nach deren Beendigung für ein Jahr nicht gekündigt werden, es sei denn die Kündigung erfolgt aus wichtigem Grund.

Aufgaben des betrieblicher Datenschutzbeauftragter

Der bDSB hat schwerpunktmäßig die Einhaltung der datenschutzrechtlichen Vorschriften und den datenschutzkonformen Umgang mit personenbezogenen Daten im Betrieb zu überwachen. In diesem Zusammenhang hat er die folgenden Aufgaben zu erfüllen (vgl. Art. 39 DSGVO):
Unterrichtung über die bestehenden datenschutzrechtlichen Pflichten und Beratung bei der Lösung datenschutzrechtlicher Fragen. Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften (DSGVO, BDSG sowie weitere Rechtsvorschriften) sowie der unternehmenseigenen Datenschutzbestimmungen inkl. Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung von Mitarbeitern.
Auf Anfrage Beratung bei der Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und Überwachung ihrer Durchführung. Zusammenarbeit mit der Aufsichtsbehörde und Zuständigkeit für die vorherige Konsultation datenschutzrechtlicher Fragen an die Aufsichtsbehörde. Ansprechpartner für betroffene Personen und Mitarbeiter zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte zusammenhängenden Vorgänge.
Über diese Mindestaufgaben hinaus nimmt der bDSB eine beratende und unterstützende Funktion ein. Insbesondere sind hier zu nennen:
  • Unterstützung des Verantwortlichen bei der Etablierung von Prozessen bzw. Dokumentationen zur Erfüllung der umfassenden Nachweispflicht.
  • Unterstützung bei der Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen sowie Löschen von Daten.
  • Die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, liegt grundsätzlich beim Verantwortlichen, kann aber – unter der Verantwortung des Verantwortlichen – auf den bDSB übertragen werden.
Bei der Erfüllung seiner Aufgaben hat der bDSB die Pflicht zur risikoorientierten Tätigkeit. Er entscheidet selbst, welche Verarbeitungsvorgänge er aufgrund des damit verbundenen Risikos voranging prüft.

Welche Folgen treten bei Nichtbestellung ein?

Die vorsätzliche oder fahrlässige Versäumnis, einen bDSG nicht oder nicht rechtzeitig zu bestellen, kann nach der DSGVO mit Bußgeldern von bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes belegt werden, je nachdem, welcher Betrag höher ist.

Muster für die interne Bestellung

Bestellung zum*zur Datenschutzbeauftragten
Herrn/Frau/Divers …
Name …
Anschrift …
Hiermit bestellen wir Sie im gegenseitigen Einvernehmen und mit sofortiger Wirkung zum … (Datum) zum*zur betrieblichen Datenschutzbeauftragten gemäß Art. 37 ff. EU-Datenschutz-Grundverordnung, § 38 BDSG. 1In Ihrer Funktion als Datenschutzbeauftragte*r sind Sie der Geschäftsleitung unmittelbar unterstellt.
Zuständiges Mitglied der Geschäftsleitung ist Herr/Frau/Divers ...
Ihre Aufgaben als Datenschutzbeauftragte*r ergeben sich aus der EU-Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz, die wir in der Anlage konkretisiert haben. In Ihrer Aufgabe als betriebliche*r Datenschutzbeauftragte*r sind Sie weisungsfrei. Über Ihre Tätigkeit werden Sie der zuständigen Geschäftsleitung (Zeitraum angeben: z. B.: 1 x jährlich) Bericht erstatten.

Ort, Datum …
Unterschrift: ... (Unternehmensleitung)
Mit der Bestellung bin ich einverstanden: ... (Unterschrift bDSB)
1Diese Regelung ist nicht verpflichtend in den gesetzlichen Vorschriften vorgesehen, kann aber von dem Unternehmen so getroffen werden.
Stand: Dezember 2019