Datenschutzbeauftragter

Ist der Datenschutzbeauftragte das Schweizer Taschenmesser, um all Ihre Aufgaben rund um den Datenschutz abzuarbeiten? Muss eigentlich jedes Unternehmen einen Datenschutzbeauftragten beschäftigen?

Worum geht‘s?

Der Datenschutzbeauftragte – wer ihn hat, denkt sich: „Datenschutz, ach, das macht doch alles mein Datenschutzbeauftragter, schließlich bezahle ich ihn dafür.“ Oft hört man auch: „Das ist doch ein reines Bürokratie-Monster, kostet mich nur Geld, und den ganzen Datenschutzkram können doch genauso gut nebenbei meine Mitarbeitenden machen.“

Über die Pflicht zur Benennung eines Datenschutzbeauftragten und über die Vor- und Nachteile informieren wir Sie hier.

Muss das denn sein?

Benennungspflicht ab 20 Beschäftigten

20 heißt die magische Zahl. Sobald in ihrem Unternehmen 20 Beschäftigte regelmäßig in die Verarbeitung von personenbezogenen Daten involviert sind, müssen Sie einen Datenschutzbeauftragten benennen.

Gelegentlich finden Sie noch die Angabe, dass ab zehn Beschäftigten ein Datenschutzbeauftragter zu benennen ist. Diese Grenze ist veraltet und galt zur Einführung der DSGVO. Die Schwelle wurde 2019 auf 20 Mitarbeitende angehoben.

Achtung Ausnahme: Benennungspflicht auch unterhalb der 20

Auch wenn Sie den Schwellenwert von 20 Mitarbeitenden nicht erreichen, ist gleichwohl in folgenden Fällen ein Datenschutzbeauftragter zu benennen.

AUSNAHME, die Erste

Auch unterhalb der Schwelle von 20 Mitarbeitenden besteht eine Benennungspflicht, wenn der Kern Ihrer Tätigkeit:

  • eine Datenverarbeitung umfasst, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht,

ODER

  • eine umfangreiche Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO umfasst.

Bei den besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO handelt es sich um

  • Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen,

  • sowie um genetische, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Wenn Sie beispielsweise ein innovatives Start-up planen oder bereits betreiben, welches die Verarbeitung solcher sensiblen Daten in den Fokus seiner Geschäftstätigkeit stellt, dann prüfen Sie eingehend die Pflicht zur Benennung eines Datenschutzbeauftragten, auch wenn Sie noch nicht die Beschäftigtenzahl von 20 erreicht haben.

AUSNAHME, die Zweite

Zudem ist gesetzlich vorgeschrieben, dass unabhängig von der Beschäftigtenzahl ein Datenschutzbeauftragter zu benennen ist, sofern eine Verarbeitung vorgenommen wird, die einer Datenschutz-Folgenabschätzung unterliegt, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

  • Art. 37 DSGVO i. V. m. § 38 BDSG-neu – Benennung eines Datenschutzbeauftragten
  • Erwägungsgrund 97 Datenschutzbeauftragter

Sie wollen mehr wissen?

Datenschutzbeauftragte im Detail

Was können Sie von Datenschutzbeauftragten erwarten?

Im Zentrum der Tätigkeit stehen Beratungs- und Kontrollfunktionen. Das heißt, der Verantwortliche hat weiterhin die erforderlichen Datenschutzmaßnahmen selbst zu organisieren und umzusetzen. Der Datenschutzbeauftragte steht dabei beratend und kontrollierend zur Seite. Eine Übertragung der Verantwortlichkeit für die Datenschutzprozesse und Abwälzung des Haftungsrisikos ist also nicht möglich.

Oftmals wird von Datenschutzbeauftragten erwartet, dass sie sich um alle Prozesse kümmern, denn schließlich haben sie ja hierfür die Expertise. Das Gesetz hat dies jedoch so nicht vorgesehen. Die Unternehmensführung als Verantwortlicher der Datenverarbeitung bleibt weiterhin in der Pflicht, diese selbst zu organisieren und umzusetzen, wähend der Datenschutzbeauftragte hierzu berät und überwacht. 

Die vom Gesetz den Datenschutzbeauftragten zugewiesenen Funktionen sind:

  • Unterrichtung und Beratung
  • Überwachung der Einhaltung des Datenschutzes
  • Konsultation bei Datenschutz-Folgenabschätzung
  • Anlaufstelle für die und Zusammenarbeit mit der Aufsichtsbehörde
  • Ansprechpartner für Betroffene
  • Art. 38 DSGVO – Stellung des Datenschutzbeauftragten
  • Art. 39 DSGVO – Aufgaben des Datenschutzbeauftragten

Intern oder extern – das ist hier die Frage

Wenn Sie sich auf die Suche nach einer geeigneten Person für die Tätigkeit als Datenschutzbeauftragter begeben, so sollten Sie zunächst für sich entscheiden, ob es ein interner oder externer Datenschutzbeauftragter sein soll. Der interne Datenschutzbeauftragte ist in Ihrem Unternehmen beschäftigt. Der externe Datenschutzbeauftragte ist ein Dienstleister, den Sie hierfür beauftragen. Beide Typen von Datenschutzbeauftragten haben ihre Vor- und Nachteile.

Vor- und Nachteile im Vergleich

Nahe dran vs. weiter entfernt

Wird ein interner Beschäftiger als Datenschutzbeauftragter tätig, ist er unmittelbar dran am Unternehmengeschehen und kennt die Organisation und die Entscheidungsprozesse aus nächster Nähe. Hingegen bietet die Unternehmensferne eines externen Datenschutzbeauftragten Vorteile, da dieser nicht auf die in jedem Unternehmen bestehenden gewissen Befindlichkeiten unter den Mitarbeitenden Rücksicht nehmen muss und objektiver agieren kann.

Blick von außen vs. Betriebsblindheit

Ein Blick von außen ist zudem hilfreich, um eine gewisse Betriebsblindheit zu überwinden.

Kurzer Draht vs. lange Leitung

Jedoch ist der externe Datenschutzbeauftragte auf Mitteilungen an ihn angewiesen, wohingegen ein interner Datenschutzbeauftragter oftmals selbst datenschutzrechtliche Probleme im Unternehmen feststellen kann und der „Draht“ für Nachfragen zu ihm wesentlich kürzer ist.

Internen Datenschutzbeauftragten auswählen

Beschäftigte, die als interner Datenschutzbeauftragter benannt werden sollen, dürfen nicht Mitglied der Geschäftsleitung sein und müssen eine entsprechende Qualifizierung nachweisen. Ihnen sind angemessene Ressourcen zur Erfüllung ihrer Aufgaben zur Verfügung zu stellen und Weiterbildungen zu ermöglichen. Sie besitzen darüber hinaus einen besonderen Kündigungsschutz.

Externen Datenschutzbeauftragten auswählen

Als externer Datenschutzbeauftragter kommen entsprechend qualifizierte Dienstleister in Frage, die meist mehrere Firmen betreuen und somit über eine besonders breite Praxiserfahrung verfügen sollten. Es empfiehlt sich, vorab ein persönliches Gespräch zu führen und so zu schauen, wer zum Unternehmen passt und ob die Chemie stimmt. 

Geeignetheit des Datenschutzbeauftragten

Die auszuwählende Person muss geeignet und entsprechend qualifiziert sein, um die Tätigkeit des Datenschutzbeauftragten zu erfüllen. Nötig sind:

  • Fachwissen zum Datenschutzrecht und zur Datenschutzpraxis, was rechtliche, technische und organisatorische Aspekte einschließt,
  • die Fähigkeit und Zuverlässigkeit zur Aufgabenerfüllung,
  • Integrität und Vermeidung von Interessenkonflikten.
  • Spezifische Anforderungen je nach Unternehmensumfeld kommen hinzu.

Ein staatlich reglementiertes Berufsbild gibt es jedoch nicht. Lassen Sie sich daher fachspezifische Qualifikationen zeigen.

Wie wird ein Datenschutzbeauftragter benannt?

Keine besondere Form der Benennung

Eine besondere Form der Benennung ist nicht vorgegeben. Aus Dokumentations- und Nachweisgründen sollte in jedem Fall die Benennung mindestens in Textform erfolgen.

Vertrag mit externen Datenschutzbeauftragten

Im Fall eines externen Datenschutzbeauftragten schließen Sie einen Vertrag, in dem mindestens die konkreten gesetzlichen Aufgaben als Leistungspflicht benannt werden. Des Weiteren sollten Vergütungs- und Kündigungsfragen geklärt und eine Mindestlaufzeit von mindestens einem Jahr vereinbart werden.

Benennung des internen Datenschutzbeauftragten

Auch für die Benennung eines internen Datenschutzbeauftragten ist eine Vereinbarung mit dem betreffenden Beschäftigten notwendig. Wenn dieser neben seiner bisherigen Tätigkeit als Datenschutzbeauftragter tätig werden soll, ist eine entsprechende Erweiterung des Arbeitsvertrags vorzunehmen.

Das Aufgabengebiet sollte in einer Stellenbeschreibung oder individuellen Vereinbarung abgebildet werden.

Interne Datenschutzbeauftragte sollten unbefristet benannt werden, da andernfalls an deren Unabhängigkeit gezweifelt werden könnte.*

* Ausnahme: Zeitbegrenzung im Vertretungsfall des in Elternzeit befindlichen bisherigen Datenschutzbeauftragten und ähnliche Fallkonstellationen.

Wer ist zu informieren?

Der Aufsichtsbehörde melden

Der Datenschutzbeauftragte ist bei der zuständigen Landesaufsichtsbehörde zu melden. Dies kann auch der Datenschutzbeauftragte selbst vornehmen. Entsprechende Internetportale bietet jede Aufsichtsbehörde in Deutschland.

Die Kontaktdaten veröffentlichen

Des Weiteren sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen, insbesondere in Ihren Datenschutzhinweisen.