Recht und Steuern

Bestellung eines betrieblichen Datenschutzbeauftragten

Die Bestellung eines betrieblichen Datenschutzbeauftragten (DSB) ist für viele Unternehmen in Deutschland nicht nur eine gesetzliche Pflicht, sondern auch ein wichtiger Baustein für Vertrauen und Rechtssicherheit im Umgang mit personenbezogenen Daten. Nachfolgend finden Sie einen kompakten Überblick über die wichtigsten rechtlichen Anforderungen und praktische Empfehlungen aus unternehmerischer Sicht.

1. Wann muss ein Datenschutzbeauftragter bestellt werden?
2. Wer kann Datenschutzbeauftragter werden?
3. Rechte und Stellung des Datenschutzbeauftragten
4. Aufgaben des Datenschutzbeauftragten
5. Praktische Hinweise für Unternehmen
6. Sanktionen bei Verstößen

1. Wann muss ein Datenschutzbeauftragter bestellt werden?

Nach § 38 Abs. 1 BDSG und Art. 37 DSGVO besteht für Unternehmen die Pflicht, einen Datenschutzbeauftragten zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl ist ein DSB immer dann zu bestellen, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

2. Wer kann Datenschutzbeauftragter werden?

Der DSB kann intern (als Beschäftigter) oder extern (z. B. als Dienstleister) bestellt werden. Entscheidend ist die erforderliche Fachkunde und Zuverlässigkeit. Der DSB muss über fundierte Kenntnisse im Datenschutzrecht und in der Datenschutzpraxis verfügen und in der Lage sein, die Aufgaben nach Art. 39 DSGVO zu erfüllen. Wichtig: Es dürfen keine Interessenkonflikte bestehen, etwa durch gleichzeitige Tätigkeit als Leiter der Personalabteilung oder IT-Leiter.

3. Rechte und Stellung des Datenschutzbeauftragten

Der DSB ist in seiner Funktion unabhängig und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt oder abberufen werden, es sei denn, es liegt ein wichtiger Grund vor (z. B. grobe Pflichtverletzung). Er berichtet unmittelbar an die Unternehmensleitung und ist frühzeitig in alle datenschutzrelevanten Prozesse einzubinden. Der DSB unterliegt einer besonderen Verschwiegenheitspflicht und genießt einen besonderen Kündigungsschutz.

Hinweis: Die Kontaktdaten des Datenschutzbeauftragten sind gemäß Art. 37 Abs. 7 DSGVO sowohl auf der Unternehmenshomepage (z. B. in der Datenschutzerklärung) zu veröffentlichen als auch dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) mitzuteilen, die Angabe von E-Mail-Adresse und/oder Telefonnummer genügt, der Name muss nicht zwingend genannt werden.

4. Aufgaben des Datenschutzbeauftragten

Zu den Kernaufgaben zählen:

Überwachung der Einhaltung datenschutzrechtlicher Vorschriften,
Beratung der Unternehmensleitung und der Beschäftigten,
Schulung und Sensibilisierung der Mitarbeitenden,
Zusammenarbeit mit der Aufsichtsbehörde,
Anlaufstelle für Betroffene und Behörden.

5. Praktische Hinweise für Unternehmen

Prüfen Sie regelmäßig, ob Ihr Unternehmen unter die Bestellpflicht fällt.
Wählen Sie den DSB sorgfältig aus und dokumentieren Sie die Bestellung schriftlich.
Vermeiden Sie Interessenkonflikte bei der Auswahl.
Stellen Sie dem DSB die notwendigen Ressourcen und Weiterbildungen zur Verfügung.
Prüfen Sie, ob ein externer DSB für Ihr Unternehmen wirtschaftlich und organisatorisch vorteilhafter ist, insbesondere bei kleinen und mittleren Unternehmen.

6. Sanktionen bei Verstößen

Die Nichtbestellung eines DSB trotz gesetzlicher Verpflichtung stellt eine Ordnungswidrigkeit dar und kann mit empfindlichen Bußgeldern geahndet werden.