Datenschutzbeauftragter: Ab wann gilt die Benennungspflicht in Unternehmen

Durch die Einführung der seit dem 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) wurde das Konzept des Datenschutzbeauftragten auf europäischer Ebene etabliert. In diesem Zusammenhang hat sich der Verantwortungsbereich des Datenschutzbeauftragten erweitert. Werden die Vorschriften der DSGVO nicht in vollem Umfang beachtet und umgesetzt, müssen Unternehmen darüber hinaus mit verschärften Sanktionen rechnen. Die einzelnen EU-Mitgliedsstaaten können die Anforderungen der DSGVO weiter konkretisieren. In Deutschland erfolgte diese Konkretisierung durch den deutschen Gesetzgeber im Rahmen des neu gefassten Bundesdatenschutzgesetzes (BDSG-neu).

Entsprechend ist es für Unternehmen unerlässlich, sich mit der Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) auseinanderzusetzen und zu klären, ab wann dieser benannt werden muss.

Mit diesem Beitrag geben wir Ihnen einen informativen Überblick über das Konzept des Datenschutzbeauftragten und die mit dieser Rolle verbundenen Verpflichtungen.

Datenschutzbeauftragter: Ab wann muss ein DSB ernannt werden?

Ab wann ein Datenschutzbeauftragter zu benennen ist, hängt von einigen Faktoren ab. Grundsätzlich müssen private Stellen, das heißt insbesondere Unternehmen, einen Datenschutzbeauftragten bestimmen, wenn sie ständig mit einer umfangreichen regelmäßigen und systematischen Überwachung von Personen befasst sind. Zu Personen, die ständig mit der Verarbeitung von Daten beschäftigt sind, zählen z. B. Mitarbeiter in der Personalverwaltung, im Bereich Marketing oder der Kundenbetreuung. Im Gegensatz hierzu kommen beispielsweise Produktionsmitarbeiter oder Handwerker eher vereinzelt mit personenbezogenen Daten in Berührung. Entsprechend ist hier ein Datenschutzbeauftragter Pflicht.

Diese Pflicht gilt auch dann, wenn besonders sensible Daten (vgl. Art. 9, 10 DSGVO) verarbeitet werden. Marktforschungsunternehmen sind hier ein klassisches Beispiel für Unternehmen, deren Kerntätigkeit in der Datenverarbeitung besteht. Die Benennungspflicht gilt in einem solchen Fall unabhängig von der Zahl der Mitarbeiter.

Zuvor mussten private bzw. nicht-öffentliche Stellen, in denen mehr als zehn Personen ständig mit der Datenverarbeitung befasst sind, einen betrieblichen Datenschutzbeauftragten benennen. Nachdem 2019 eine Anpassung des Datenschutzrechts vorgenommen wurde, ist die Benennung mittlerweile erst ab 20 Mitarbeitern vorgeschrieben (§ 38 BDSG). Zu diesen Mitarbeitern werden alle Personen einschließlich Teilzeitkräften oder Aushilfen gezählt, die auf Daten zugreifen. Dabei ist zunächst unerheblich, wie häufig und intensiv der Datenzugriff stattfindet.

Mit dieser Änderung sollen vor allem kleinere und mittlere Unternehmen sowie ehrenamtliche Vereine entlastet werden. Nichtsdestotrotz gelten auch für kleine Unternehmen die Vorgaben durch die DSGVO – unabhängig davon, ob ein Datenschutzbeauftragter zu benennen ist oder nicht. Datenschutzrechtliches Know-how darf daher in keinem Unternehmen fehlen.

Wer kann als Datenschutzbeauftragter (DSB) benannt werden?

Grundlage für die Entscheidung, wer als Datenschutzbeauftragter geeignet ist, bildet die berufliche Qualifikation und das Fachwissen der Person. Entsprechend sollte sie über umfangreiches Wissen im Bereich des Datenschutzrechts, der IT-Sicherheit sowie der Datenschutzpraxis verfügen. Außerdem wird die Eignung darüber bestimmt, ob die Person die Aufgaben eines Datenschutzbeauftragten laut Art. 39 DSGVO erfüllen kann. Hierzu zählen zum Beispiel die Schulung von Mitarbeitern in Datenschutzthemen und die Überwachung von Strategien zur Einhaltung des Datenschutzes.

Bei dem DSB kann es sich sowohl um einen Mitarbeiter des betreffenden Unternehmens als auch um eine externe Person handeln, die im Rahmen eines Vertrags mit einem fachkundigen Dienstleister benannt wird. In diesem Zusammenhang werden häufig die Begriffe „interner Datenschutzbeauftragter“ und „externer Datenschutzbeauftragter“ verwendet.

Nimmt der Datenschutzbeauftragte neben dieser Rolle andere Aufgaben oder Pflichten wahr, darf es hierdurch nicht zu einem Interessenkonflikt kommen. Ein solcher Konflikt kann beispielsweise entstehen, wenn der DSB gleichzeitig als Mitarbeiter in der IT-Abteilung tätig ist und sich selbst überwachen müsste.

Wie erfolgt die Benennung des Datenschutzbeauftragten?

Häufig wird durch die Geschäftsführung eine sogenannte Bestellungsurkunde aufgesetzt. Aus dieser muss konkret hervorgehen, welche Person zum Datenschutzbeauftragten ernannt wird. Wird gegen die Bestellpflicht verstoßen, ist ein Bußgeld von bis zu 10 Millionen Euro möglich. Handelt es sich um ein Unternehmen und nicht etwa um einen Verein oder eine Behörde, kann eine Strafe in Höhe von bis zu 2 % des weltweiten Jahresumsatzes aus dem vergangenen Geschäftsjahr verhängt werden.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Datenschutzbeauftragte überwachen zunächst einmal die Datenverarbeitungsprozesse in einer Organisation und sind dafür zuständig, die Einhaltung des Datenschutzes sicherzustellen. Dabei muss die beauftragte Person, wie bereits erwähnt, nicht zwangsläufig in der Organisation bzw. im Unternehmen selbst angestellt sein. Auch ein externer Datenschutzbeauftragter kann bestellt werden.

Die Aufgaben des Datenschutzbeauftragten gehen jedoch über die Überwachung und Einhaltung des Datenschutzes in einem Unternehmen hinaus. Nachfolgend finden Sie eine Übersicht der wichtigsten Aufgaben:

  • Beratung des Unternehmens: Der DSB führt eine umfassende datenschutzrechtliche Beratung des Unternehmens durch und berichtet an die höchste Managementebene.
  • Unterrichtung, Beratung und Schulung: Alle Beschäftigte, die personenbezogene Daten im Unternehmen verarbeiten, werden durch den DSB über ihre Pflichten aus der DSGVO informiert und beraten. Hierzu gehören auch die Sensibilisierung und Schulung aller beteiligten Mitarbeiter in Datenschutzbelangen. Auf Anfrage berät er außerdem den Verantwortlichen bzw. Auftragsverarbeiter bei der Datenschutz-Folgenabschätzung und ihrer Überwachung.
  • Überwachung der Strategien des Verantwortlichen bzw. Auftragsverarbeiters: Der DSB ist dafür zuständig, die Strategien des Verantwortlichen oder des Auftragsverarbeiters in Bezug auf den Datenschutz zu überwachen.
  • Zusammenarbeit mit der zuständigen Aufsichtsbehörde: Der DSB arbeitet stets mit der jeweils zuständigen Aufsichtsbehörde zusammen und steht dieser als Kontaktpunkt und für Fragen zur Verfügung.
  • Ansprechpartner für Betroffene: Betroffene Personen können auf den DSB zukommen. Dieser steht für Fragestellungen rund um die Verarbeitung ihrer Daten und die Wahrnehmung ihrer Rechte im Einklang mit der DSGVO bereit.

Obwohl der Datenschutzbeauftragte Verantwortung übernimmt, muss er sich nicht unbedingt um den gesamten Datenschutz des Unternehmens kümmern. Daher kann er Zuständigkeiten zuweisen und Aufgaben an andere Personen delegieren und entsprechend überwachen.

Grundsätzlich ist der Datenschutzbeauftragte dazu verpflichtet, Geheimhaltung und Vertraulichkeit zu wahren. Außerdem ist er nicht weisungsgebunden. Das bedeutet, dass er lediglich dem geltenden Recht verpflichtet ist und keine Anweisungen z. B. vom Verantwortlichen erhalten darf.

Je nach Unternehmen kann es sinnvoll sein, dass der Datenschutzbeauftragte das sogenannte Verarbeitungsverzeichnis erstellt und pflegt. Diese Aufgabe zählt laut DSGVO jedoch nicht zu seinen direkten Pflichten. In diesem Verzeichnis dokumentiert für gewöhnlich der Verantwortliche alle Verarbeitungsprozesse im Kontext von personenbezogenen Daten.

Was verbirgt sich hinter den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“?

Damit Sie das Konzept des Datenschutzbeauftragten umfassend nachvollziehen können, erläutern wir Ihnen kurz, was hinter den Begriffen steckt.

Als „Verantwortlicher“ wird im Rahmen der DSGVO eine Person bezeichnet, die allein oder auch gemeinsam mit anderen dafür verantwortlich ist, wie und zu welchem Zweck personenbezogene Daten verarbeitet werden. Der Verantwortliche kann diese Datenverarbeitung jedoch auch an anderer Stelle in Auftrag geben. Diese Person wird entsprechend als „Auftragsverarbeiter“ bezeichnet. Wichtig ist hier, dass auch Behörden oder Einrichtungen Verantwortlicher bzw. Auftragsverarbeiter sein können.

Eine wichtige Aufgabe des Datenschutzbeauftragten besteht oftmals darin, den Verantwortlichen oder Auftragsverarbeiter bei der bereits angesprochenen Datenschutz-Folgenabschätzung zu unterstützen und diese zu überwachen. Außerdem kann es vorkommen, dass eine Aufsichtsbehörde Rückfragen zu einer solchen Abschätzung hat und sich an den DSB wendet.

Der Verantwortliche bzw. Auftragsverarbeiter muss immer dann eine sogenannte Datenschutz-Folgenabschätzung durchführen, wenn durch die Verarbeitung von Daten ein besonders hohes Risiko für die Rechte von Betroffenen erwartet wird. In solchen Fällen muss abgeschätzt werden, welche Folgen die vorgesehenen Verarbeitungsvorgänge voraussichtlich haben werden. Wenn im Rahmen der Datenschutz-Folgenabschätzung ein hohes Risiko vorausgesagt wird und keine Maßnahmen getroffen werden, das Risiko einzudämmen, muss der Verantwortliche dies an die Aufsichtsbehörde melden und sie zurate ziehen.

Wie viele Datenschutzbeauftragte braucht ein Unternehmen?

Grundsätzlich muss nur ein Datenschutzbeauftragter benannt werden. Sind die Aufgaben für den DSB zu umfangreich, sollte der Verantwortliche weitere Personen zu seiner Unterstützung einbinden. Möglich und sinnvoll kann es jedoch sein, einen stellvertretenden DSB zu stellen, der den Datenschutzbeauftragten unterstützt und ihm zuarbeitet.

Für Unternehmensgruppen besteht die Möglichkeit, einen gemeinsamen Datenschutzbeauftragten zu ernennen. Hierbei muss gewährleistet sein, dass die ernannte Person von allen Niederlassungen aus leicht erreichbar ist.

Welche Pflichten hat ein Unternehmen bei der Benennung des Datenschutzbeauftragten?

Der Verantwortliche oder Auftragsverarbeiter muss die Kontaktdaten des Datenschutzbeauftragten veröffentlichen (bspw. auf der Unternehmenswebseite) und der zuständigen Aufsichtsbehörde mitteilen. Darüber hinaus muss sichergestellt werden, dass der DSB die datenverarbeitenden Prozesse des Unternehmens kennt und „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ (§ 6 BDSG) eingebunden wird.

Ergänzend muss der DSB in der Erfüllung seiner Aufgaben unterstützt werden. Zu diesem Zweck müssen dem DSB alle notwendigen Ressourcen zur Verfügung gestellt werden. Dazu gehört u. a. der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen. Außerdem muss der DSB die Möglichkeit haben, sein Fachwissen erhalten und weiter ausbauen zu können. Eine Abberufung oder Benachteiligung der zum DSB ernannten Person, wegen Tätigkeiten, die zu ihrem gesetzlichen Aufgabenkreis gehören, ist nicht zulässig.

Soll ein DSB von seinen Aufgaben entbunden werden muss zwischen externen und internen Datenschutzbeauftragten unterschieden werden. Wurde ein externer Datenschutzbeauftragter benannt, liegt ein Dienstleistungsvertrag vor, der den Vertragsvereinbarungen entsprechend gekündigt werden kann. Ist der ernannte DSB Mitarbeiter des Unternehmens, ist dieser besonders geschützt. In § 6 Abs. 4 BDSG ist hierzu geregelt, dass eine Abberufung ausschließlich aus wichtigem Grund erfolgen kann. Damit gelten die gleichen Regelungen wie bei einer fristlosen Kündigung nach § 626 BGB.

Was passiert, wenn die Pflicht zur Benennung eines Datenschutzbeauftragten verletzt wird?

Da der Datenschutzbeauftragte nach Art. 37 Abs. 7 DSGVO namhaft gemacht werden muss, können Aufsichtsbehörden leicht überprüfen, ob ein Unternehmen einen Datenschutzbeauftragten benannt hat. Da ein Verstoß gegen die Benennungspflicht bußgeldbewehrt ist, kann eine Fehlbeurteilung zu einem hohen Bußgeld führen (Art. 83 Abs. 4 lit. a) DSGVO).

Auch wenn ein Datenschutzbeauftragter benannt wird, bleibt das Unternehmen selbst dafür verantwortlich, die datenschutzrechtlichen Vorschriften einzuhalten. Und auch in Unternehmen, die nicht zur Benennung eines DSB verpflichtet sind, darf das Thema Datenschutz nicht weniger Beachtung finden. Bei fehlender bzw. unzureichender Expertise, die mit einem DSB gewährleistet wäre, kann es bei Fehlern ebenfalls zu hohen Strafzahlungsforderungen kommen. Prinzipiell steht es Unternehmen offen, auch freiwillig einen internen oder externen Datenschutzbeauftragten zu bestimmen.

Checkliste: Wie sollten Unternehmen bei der Benennung eines Datenschutzbeauftragten vorgehen?

  1. Klären Sie zunächst, ob auf Ihr Unternehmen die Benennungspflicht eines Datenschutzbeauftragten zutrifft.
  2. Sind Sie nicht zu einer Benennung verpflichtet, sollten Sie überlegen, ob Sie einen Datenschutzbeauftragten freiwillig benennen wollen.
  3. Suchen Sie einen fachlich geeigneten internen oder externen Datenschutzbeauftragten und benennen Sie diesen entsprechend.
  4. Im Anschluss an die Benennung sollten Sie möglichst schnell die Kontaktdaten des Datenschutzbeauftragten auf der Unternehmenswebseite veröffentlichen und damit u. a. betroffenen Personen zur Verfügung stellen.
  5. Die Kontaktdaten des Datenschutzbeauftragten müssen Sie anschließend der zuständigen Aufsichtsbehörde mitteilen.

Externe Datenschutzbeauftragte von datenzeit

Wenn Sie zur Benennung eines Datenschutzbeauftragten verpflichtet sind oder diesen freiwillig etablieren wollen und auf der Suche nach einem externen Datenschutzbeauftragten sind, dann kontaktieren Sie uns gerne über unser Kontaktformular und vereinbaren Sie einen Termin für ein Beratungsgespräch. Auch wenn Sie sich nicht ganz sicher sind, ob Sie zur Benennung eines Datenschutzbeauftragten verpflichtet sind, helfen unsere Juristen Ihnen, dies herauszufinden. Als DSB Ihres Unternehmens beraten wir Sie und stehen Ihnen bei allen Belangen rund um den Datenschutz mit Rat und Tat zur Seite. Gemeinsam mit Ihnen treffen wir alle notwendigen Maßnahmen, damit Sie in Sachen Datenschutz allzeit auf der rechtlich sicheren Seite sind. Werfen Sie gerne bereits einen ersten Blick auf unser Dienstleistungsportfolio oder melden Sie sich direkt persönlich bei uns.