Betrieblicher Datenschutzbeauftragter (bDSB)

Ein bDSB ist nach Art. 37 DSGVO zwingend zu bestellen, wenn die Kerntätigkeit des Verantwortlichen in Verarbeitungsvorgängen besteht, welche aufgrund Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen. Unter Kerntätigkeit fallen hierbei Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie erforderlich sind (insbesondere, aber nicht abschließend: Kundenservice, Marketing, Produktdesign, Auskunfteien oder Adresshandel). Art, Umfang und Zweck sind anhand objektiver Merkmale zu beurteilen (insb. die Anzahl der Betroffenen, die Menge der betroffenen Daten und/oder Vielzahl der verschiedenen Datensätze, die Dauer oder geographische Reichweite der Datenverarbeitung).

Die DSGVO lässt den Mitgliedstaaten die Befugnis, weitere Bestellpflichten zu regeln. Hiervon hat der deutsche Gesetzgeber in § 38 BDSG Gebrauch gemacht. Nach dem derzeitigen BDSG muss ein bDSB bestellt werden, wenn mindestens zwanzig Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Sobald also ein Unternehmen zehn Mitarbeiter hat, die regelmäßig Zugriff auf Kunden- oder Mitarbeiterdaten haben, ist die Bestellung eines bDSB zwingend. Sonderregeln gelten für Unternehmen, die mit besonders sensiblen Daten umgehen, beispielsweise mit Gesundheitsdaten. Diese Unternehmen müssen auch bei weniger Mitarbeitern einen Datenschutzbeauftragten bestellen.

Eine freiwillige Bestellung von Datenschutzbeauftragten ist möglich.

Bei vorsätzlicher oder fahrlässiger Versäumnis, einen bDSB ordnungsgemäß zu bestellen, kann nach der DSGVO ein Bußgeld von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist.

BDSB kann entweder ein eigener Mitarbeiter sein (auch als “Teilzeit”-Tätigkeit neben seinen eigentlichen Aufgaben) oder ein externer Beauftragter. Für eine Unternehmensgruppe kann ein gemeinsamer bDSB benannt werden; dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein.

Sowohl der interne wie auch der externe bDSB müssen eine hinreichende fachliche Qualifikation im Datenschutz besitzen. Zu den Fachkundevoraussetzungen gehört ein Verständnis der allgemein datenschutzrechtlichen und spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das eigene Unternehmen relevant sind. Zudem sind technisch-organisatorische Kenntnisse, insbesondere Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit erforderlich. Diese Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung vorliegen. Bei externen bDSB ist es für die Unternehmen empfehlenswert, sich entsprechende Nachweise vorlegen zu lassen. Bei internen bDSB ist auf die entsprechende Schulung zu achten.

Nicht bestellt werden darf eine Person, die in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht (insb. Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT- Administratoren).

Eine Form und bestimmte Dauer für die Bestellung besteht nicht; die Bestellung sollte aus Nachweisgründen in Textform erfolgen. Hier finden Sie ein Muster für die interne Bestellung zum bDSB:

Bestellung zum/zur Datenschutzbeauftragten

Herrn/Frau
Name
Anschrift

Hiermit bestellen wir Sie im gegenseitigen Einvernehmen und mit sofortiger Wirkung/zum (Datum) zum/zur betrieblichen Datenschutzbeauftragten gem. Art. 37 ff. DSGVO, § 38 BDSG.

In Ihrer Funktion als Datenschutzbeauftragte/r sind Sie der Geschäftsleitung unmittelbar unterstellt (Achtung Hinweis: Diese Regelung ist nicht verpflichtend in den gesetzlichen Vorschriften vorgesehen, kann aber von dem Unternehmen so getroffen werden).

Zuständiges Mitglied der Geschäftsleitung ist Herr/Frau................................

Ihre Aufgaben als Datenschutzbeauftragte/r ergeben sich aus der DSGVO und dem BDSG, die wir in der Anlage konkretisiert haben.

In Ihrer Aufgabe als betriebliche/r Datenschutzbeauftragte/r sind Sie weisungsfrei.

Über Ihre Tätigkeit erstatten Sie der zuständigen Geschäftsleitung (Zeitraum angeben: z. B.: 1x jährlich) Bericht.

_______________________________

Ort, Datum

Unterschrift: ....................

(Unternehmensleitung)

Mit der Bestellung bin ich einverstanden: ..................

Die Kontaktdaten des bDSB sind zu veröffentlichen (z. B. auf der Unternehmens-Homepage) und der jeweiligen Landesdatenschutzbehörde zu melden.

Der bDSB hat schwerpunktmäßig die Einhaltung der datenschutzrechtlichen Vorschriften und den datenschutzkonformen Umgang mit personenbezogenen Daten im Betrieb zu überwachen.

In diesem Zusammenhang hat er gemäß Art. 39 DSGVO die folgenden Aufgaben zu erfüllen: Unterrichtung über die bestehenden datenschutzrechtlichen Pflichten und Beratung bei der Lösung datenschutzrechtlicher Fragen; Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften (insbesondere DSGVO, BDSG und unternehmenseigene Datenschutzbestimmungen); Sensibilisierung und Schulung von Mitarbeitern; auf Anfrage Beratung bei der Datenschutz-Folgenabschätzung (Art. 35 Abs. 2 DSGVO) und Überwachung ihrer Durchführung; Zusammenarbeit mit der Aufsichtsbehörde; Ansprechpartner für betroffene Personen und Mitarbeiter zu allen mit der Verarbeitung ihrer Daten und Wahrnehmung ihrer Rechte zusammenhängenden Vorgänge.

Über diese Mindestaufgaben hinaus berät und unterstützt der bDSB den Verantwortlichen bei der Erfüllung der Nachweis-, Melde- und Benachrichtigungspflichten und der Wahrung der Betroffenenrechte. Die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, liegt grundsätzlich beim Verantwortlichen, kann aber auf den bDSB übertragen werden.

Bei der Erfüllung seiner Aufgaben trifft den bDSB eine Pflicht zur risikoorientierten Tätigkeit, er entscheidet also selbst, welche Verarbeitungsvorgänge er aufgrund des damit verbundenen Risikos vorranging prüft.

Nach den Leitlinien der sogenannten Artikel-29-Datenschutzgruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) trägt der bDSB im Falle der Nichteinhaltung der DSGVO keine persönliche Verantwortung. Aus der DSGVO gehe klar hervor, dass es Sache des Verantwortlichen sei, sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.

Der bDSB ist bei seiner Aufgabenerfüllung weisungsunabhängig und berichtet unmittelbar der höchsten Managementebene des Verantwortlichen. Er darf wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden.

Es besteht ein Anspruch auf ordnungsgemäße und frühzeitige Einbindung in alle datenschutzrechtlichen Fragen. Dem bDSB sind zur Aufgabenerfüllung das nötige Zeitbudget sowie die erforderliche Unterstützung (Fortbildung, finanzielle, materielle und personelle Ausstattung) zu gewähren. Dem bDSB ist Zugang zu allen personenbezogenen Daten und damit zusammenhängenden Verarbeitungsvorgängen zu geben.

Der bDSB ist zur Wahrung der Geheimhaltung und Vertraulichkeit bei der Erfüllung seiner Aufgaben verpflichtet. Dies gilt insbesondere in Bezug auf die Identität von betroffenen Personen, die sich an ihn wenden. Ein gesetzliches Zeugnisverweigerungsrecht steht dem bDSB zu, soweit der Leitung oder einer bestimmten Person des Verantwortlichen ein solches Recht zusteht. Akten oder Schriftstücke des bDSB unterliegen insoweit einem Beschlagnahmeverbot.

Es besteht ein besonderer Kündigungsschutz für den bDSB. Das Arbeitsverhältnis darf während der Tätigkeit als Datenschutzbeauftragter und nach Beendigung für ein Jahr nicht gekündigt werden, es sei denn, die Kündigung erfolgt aus wichtigem Grund.