DSGVO

Bestellung eines betrieblichen Datenschutzbeauftragten

Ein betrieblicher Datenschutzbeauftragter muss bestellt werden, wenn mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

1. Bestellung eines betrieblichen Datenschutzbeauftragten

Ein betrieblicher Datenschutzbeauftragter (bDSB) ist zwingend zu bestellen, wenn die Kerntätigkeit des Verantwortlichen in Verarbeitungsvorgängen besteht, welche aufgrund Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen. Unter „Kerntätigkeit“ fallen hierbei Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie erforderlich sind (insbesondere, aber nicht abschließend: Kundenservice, Marketing, Produktdesign, Auskunfteien oder Adresshandel). „Art, Umfang und Zweck“ ist anhand objektiver Merkmale zu beurteilen (insbesondere die Anzahl der Betroffenen, die Menge der betroffenen Daten und/oder Vielzahl der verschiedenen Datensätze, die Dauer oder geographische Reichweite der Datenverarbeitung).
Die Datenschutz-Grundverordnung (DSGVO) lässt den Mitgliedstaaten die Befugnis, weitere Bestellpflichten zu regeln. Hiervon hat der deutsche Gesetzgeber im Rahmen des Bundesdatenschutzgesetzes (BDSG) Gebrauch gemacht: Ein bDSB muss bestellt werden, wenn mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG).
Achtung: Durch das 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU gilt die 20-Personen-Grenze seit 26.11.2019. Zuvor galt die 10-Personen-Grenze.
Eine freiwillige Bestellung von Datenschutzbeauftragten ist möglich.
Die Position des bDSB kann innerhalb des Betriebs durch einen eigenen Mitarbeiter besetzt werden (auch als „Teilzeit“-Tätigkeit neben seinen eigentlichen Aufgaben), wenn er die persönlichen und fachlichen Voraussetzungen dafür besitzt. Es kann auch ein externer Datenschutzbeauftragter bestellt werden. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter benannt werden. Dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein.
Im Folgenden werden die Pflicht zur Bestellung eines bDSB, die persönlichen und sachlichen Anforderungen sowie seine Rechte und Pflichten beschrieben.

2. Anforderungen an die Bestellung, Stellung und Aufgaben

2.1 Bestellpflicht

  • Nicht bestellt werden darf eine Person, die in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht (insb. Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT-Administratoren).
  • Der bDSB muss aufgrund der beruflichen Qualifikation und des Fachwissens benannt werden, um die Aufgaben aus Art. 39 DSGVO übernehmen zu können. Zu den Fachkundevoraussetzungen gehört ein Verständnis der allgemein datenschutzrechtlichen und spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das eigene Unternehmen relevant sind, sowie
  • technisch-organisatorische Kenntnisse, insbesondere Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit. Diese Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung zum bDSB vorliegen.
  • Eine Form und bestimmte Dauer für die Bestellung besteht nicht; die Bestellung sollte aus Nachweisgründen in Textform erfolgen. Ein Muster finden Sie auf dieser Seite als Download unter "Weitere Informationen".
  • Die Kontaktdaten des bDSB sind zu veröffentlichen (z. B. auf der Unternehmenshomepage) und sind der jeweiligen Landesdatenschutzbehörde zu melden, in Bayern dem Bayerischen Landesamt für Datenschutzaufsicht.

2.2 Stellung

  • Der bDSB ist weisungsunabhängig bzgl. seiner Aufgabenerfüllung und er berichtet unmittelbar der höchsten Managementebene des Verantwortlichen.
  • Er darf wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden.
  • Es besteht ein Anspruch auf ordnungsgemäße und frühzeitige Einbindung in alle datenschutzrechtlichen Fragen. Dem bDSB sind zur Aufgabenerfüllung das notwendige Zeitbudget sowie die nötige Unterstützung (Fortbildung, finanzielle, materielle und personelle Ausstattung) zu gewähren.
  • Dem bDSG ist Zugang zu allen personenbezogenen Daten und damit zusammenhängenden Verarbeitungsvorgängen zu geben.
  • Der bDSB ist zur Wahrung der Geheimhaltung und Vertraulichkeit bei der Erfüllung seiner Aufgaben verpflichtet. Dies gilt insbesondere in Bezug auf die Identität von betroffenen Personen, die sich an den bDSB gewandt haben. Ein gesetzliches Zeugnisverweigerungsrecht steht ihm zu, soweit der Leitung oder einer bestimmten Person des Verantwortlichen ein solches Recht zusteht. Akten oder Schriftstücke des bDSB unterliegen soweit einem Beschlagnahmeverbot.
Nach dem BDSG besteht ein besonderer Kündigungsschutz für den bDSB. Das Arbeitsverhältnis darf während der Tätigkeit als Datenschutzbeauftragter und nach deren Beendigung für ein Jahr nicht gekündigt werden, es sei denn die Kündigung erfolgt aus wichtigem Grund (§ 6 Abs. 4 BDSG).

2.3 Aufgaben

Der bDSB hat schwerpunktmäßig die Einhaltung der datenschutzrechtlichen Vorschriften und den datenschutzkonformen Umgang mit personenbezogenen Daten im Betrieb zu überwachen.
In diesem Zusammenhang hat er gem. Art. 39 DSGVO die folgenden Aufgaben zu erfüllen:
  • Unterrichtung über die bestehenden datenschutzrechtlichen Pflichten und Beratung bei der Lösung datenschutzrechtlicher Fragen.
  • Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften (DSGVO, BDSG sowie weitere Rechtsvorschriften) sowie der unternehmenseigenen Datenschutzbestimmungen inkl. Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung von Mitarbeitern.
  • Auf Anfrage Beratung bei der Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und Überwachung ihrer Durchführung.
  • Zusammenarbeit mit der Aufsichtsbehörde und Zuständigkeit für die vorherige Konsultation datenschutzrechtlicher Fragen an die Aufsichtsbehörde.
  • Ansprechpartner für betroffene Personen und Mitarbeiter zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte zusammenhängenden Vorgänge.
Über diese Mindestaufgaben hinaus nimmt der bDSB eine beratende und unterstützende Funktion ein. Insbesondere sind hier zu nennen: Unterstützung des Verantwortlichen bei der Etablierung von Prozessen bzw. Dokumentationen zur Erfüllung der umfassenden Nachweispflicht, Unterstützung bei der Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen sowie die Erfüllung der Betroffenenrechte (Recht aus Auskunft, Berichtigung, Einschränkung oder Löschen von Daten).
Die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, liegt grundsätzlich beim Verantwortlichen, kann aber  – unter der Verantwortung des Verantwortlichen – auf den bDSB übertragen werden.
Bei der Erfüllung seiner Aufgaben hat der bDSB die Pflicht zur risikoorientierten Tätigkeit, d. h., er entscheidet selbst, welche Verarbeitungsvorgänge er aufgrund des damit verbundenen Risikos vorrangig prüft.

3. Haftung

Der bDSB trägt im Falle der Nichteinhaltung der DSGVO keine persönliche Verantwortung. Aus der DSGVO geht hervor, dass es Sache des Verantwortlichen ist, sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.

4. Folgen bei Nichtbestellung

Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten nicht oder nicht rechtezeitig zu bestellen, kann nach der DSGVO Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist.

5. Informationen

Weitere Informationen zum Thema finden Sie auch im Kurzpapier der Datenschutzkonferenz (Datenschutzbehörden des Bundes und der Länder).