Der betriebliche Datenschutzbeauftragte

Durch die fortschreitende Verbreitung der Verarbeitung personenbezogener Daten sind die Gefahren von Datenschutzverstößen gestiegen. Um diese Gefahren zu begrenzen, misst der Gesetzgeber dem Prinzip der innerbetrieblichen Selbstkontrolle durch den Datenschutzbeauftragten (DSB) große Bedeutung zu. Das findet in der seit dem 25. Mai 2018 Anwendung findenden EU-Datenschutzgrundverordnung (DSGVO) und in dem ebenfalls seit diesem Zeitpunkt wirksamen neu gefassten Bundesdatenschutzgesetz seinen Niederschlag. Die wesentlichen Rechtsgrundlagen für den betrieblichen Datenschutzbeauftragten enthalten Artikel 37 DSGVO und § 38 BDSG.

1. Wann muss ein betrieblicher Datenschutzbeauftragter bestellt werden?

Nach § 38 BDSG muss ein Unternehmen einen betrieblichen Datenschutzbeauftragten benennen, soweit es in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Unter personenbezogenen Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen (z.B. Adressen, andere Kontaktdaten, Kontodaten). Typischerweise damit beschäftigt sind Sachbearbeiter, Vertriebsmitarbeiter, Callcenter-Mitarbeiter, IT-Personal sowie Mitarbeiter der Personal- und Finanzabteilung. Über die Bedeutung des Wortes “ständig” wird noch heftig gestritten. Mit der am 26. November 2019 in Kraft getretenen Gesetzesänderung zur Erhöhung der relevanten Personenzahl von 10 auf 20 wurde dieser Streit für kleinere Unternehmen entschärft.
Ein betrieblicher Datenschutzbeauftragter ist unabhängig von der Anzahl der mit der automatisierten Verarbeitung von Daten beschäftigten Personen zu bestellen, wenn:
  • im Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
  • die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Auskunfteien) oder
  • die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO (z.B. Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht.

2. Wie wird ein betrieblicher Datenschutzbeauftragter bestellt?

Es ist der unternehmerischen Entscheidung überlassen, ob ein betriebsinterner (zur Eignung siehe Nr. 5) oder ein externer Datenschutzbeauftragter bestellt wird. Beide Varianten haben Vor- und Nachteile, die im Einzelfall abzuwägen sind.
Die Bestellung des Datenschutzbeauftragten sollte schriftlich nach Aufnahme der Tätigkeit erfolgen. Das Schriftstück sollte die wesentlichen Rechte und Pflichten beider Parteien enthalten. Für die Bestellung eines internen Datenschutzbeauftragten steht Ihnen ein Muster auf dieser Seite, rechts, unter “Weitere Informationen” bereit.
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen, eine unternehmensinterne Bekanntmachung genügt nicht. Die Darstellung der Kontaktdaten auf einer uneingeschränkt zugänglichen Internethomepage dürfte hingegen genügen.
Die Kontaktdaten sind auch der Brandenburgischen Landesdatenschutzbeauftragten zu melden. Eine Verlinkung hierzu finden Sie unter “Weitere Informationen”. 

3. Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Die wesentlichen Aufgaben des Datenschutzbeauftragten werden in Artikel 39 DSGVO genannt:
  • Unterrichtung und Beratung der Verantwortlichen und Beschäftigten bezüglich ihrer datenschutzrechtlichen Rechte und Pflichten,
  • Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften und der internen Datenschutzrichtlinien, etwa durch Prüfungen oder regelmäßige Kontrollen,
  • Beratung bei der Datenschutz-Folgeabschätzung,
  • Schaffung von Transparenz in der betrieblichen Datenverarbeitung,
  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme,
  • Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung,
  • Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes, sowie Benachrichtigung des Betroffenen über die Datenerhebung,
  • Vertretung des Unternehmens in datenschutzrechtlichen Fragen,
  • Zusammenarbeit und Ansprechpartner für die Aufsichtsbehörden,
  • Risikobewertung bezüglich der Erfüllung seiner Aufgaben, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung zu berücksichtigen hat.

4. Welche Rechte hat der Datenschutzbeauftragte im Unternehmen?

Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte eine Reihe von Befugnissen und Rechten gegenüber der Geschäftsführung. Sie hat ihn bei seiner Aufgabenerfüllung aktiv zu unterstützen
  • Die Geschäftsführung hat dem DSB die erforderliche Zeit zur Wahrnehmung seiner Tätigkeit einzuräumen und ihm die Möglichkeit zur eigenen sowie zur Schulung der Mitarbeiter zu geben. (Freistellungspflicht)
  • Der Arbeitgeber ist verpflichtet, auf eigene Kosten dem DSB die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen, damit dieser für die Erfüllung seiner Aufgaben die erforderliche Sachkunde erlangt. (Kostenerstattungspflicht)
  • Dem DSB sind die erforderlichen Mittel wie Hilfspersonal, Geräte und ähnliches, insbesondere auch eigene Räumlichkeiten zur Verfügung zu stellen. (Nutzungsrechte)
  • Dem DSB ist eine Übersicht über die Dateien und über die Datenverarbeitungsanlagen bereitzustellen. (Zugangs- und Einsichtsrechte)
  • Bei neuen Projekten im Rahmen der automatisierten Verarbeitung ist der DSB rechtzeitig zu informieren, damit er notwendige Datenschutzaspekte einbringen kann. (Informationsrechte)
  • Bei der Ausführung seiner Aufgaben unterliegt der DSB keinen Weisungen. (Weisungsfreiheit)
  • Der DSB ist für die Dauer seiner Amtszeit nicht mehr ordentlich, sondern nur noch außerordentlich kündbar. (Sonderkündigungsschutz)
  • Nach Abberufung ist der DSB für die Dauer eines Jahres nicht mehr ordentlich, sondern nur außerordentlich kündbar. (nachwirkender Sonderkündigungsschutz)
  • Der DSB ist der Geschäftsführung disziplinarisch unmittelbar zu unterstellen und es ist ein direktes Vortragsrecht und eine direkte Vortragspflicht sicherzustellen. (Informations- und Berichtspflicht)
  • Der DSB ist im Rahmen seiner Aufgaben zur Geheimhaltung verpflichtet. (Geheimhaltungspflicht) 

5. Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Dabei richtet sich die erforderliche Fachkunde nach dem Bedarf für das jeweilige Unternehmen. Kriterien sind hierbei insbesondere der Umfang der Datenverarbeitung und der Schutzbedarf der personenbezogenen Daten im Unternehmen.
Zur erforderlichen Fachkunde gehören EDV-technische, betriebswirtschaftliche und datenschutzrechtliche Kenntnisse, die ggf. durch Schulungen erworben werden. Zu erwarten sind auch organisatorische Fähigkeiten, sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit.
Der Datenschutzbeauftragte ist nicht gehindert im Unternehmen weitere Aufgaben und Pflichten wahrzunehmen. Es ist jedoch sicherzustellen, dass diese nicht zu einem Interessenkonflikt führen. Zur Vermeidung von Interessenskonflikten ist von einer Bestellung von folgenden Gruppen abzuraten:
  • Geschäftsführer,
  • Leiter von Personal-, Marketing- oder IT-Abteilungen,
  • Betriebsratsmitglieder
Wie erwähnt, muss nicht zwangsläufig ein Mitarbeiter des Unternehmens zum (internen) Datenschutzbeauftragten bestellt werden. Es besteht auch die Möglichkeit einen externen Berater zu berufen.

6. Was droht bei Verstößen?

Nach den Leitlinien der sogenannten Artikel-29-Datenschutzgruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) vom Dezember 2016 trägt der Datenschutzbeauftragte im Falle der Nichteinhaltung der DSGVO keine persönliche Verantwortung. Aus der DSGVO gehe klar hervor, dass es Sache des Verantwortlichen sei, sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit der DSGVO erfolge. Die leitende Geschäftsführung kann sich daher einer Haftung nicht entziehen.
Bei Verstößen gegen Vorschriften des Datenschutzrechts können Bußgelder drohen. Dies gilt auch für die Vorschriften über den Datenschutzbeauftragten, zum Beispiel die Benennungspflicht oder Einhaltung der Rechte des Datenschutzbeauftragten. Bei Verstößen können Geldbußen bis zu 10 Millionen Euro oder bis zu 2 Prozent des gesamten, weltweit erzielten (Konzern-) Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.