Datenschutzbeauftragter und DSGVO: Anforderungen und Aufgaben

Die DSGVO wirft die Frage auf, für welche Unternehmen und ab wie vielen Mitarbeitern ein Datenschutzbeauftragter Pflicht ist. Jedoch schreibt nicht nur die EU-Datenschutzgrundverordnung (DSGVO) Regeln hierzu vor, sondern auch das Bundesdatenschutzgesetz (BDSG) konkretisiert die personenbezogene Datenverarbeitung. Erfahren Sie in diesem Artikel außerdem, was eigentlich ein Datenschutzbeauftragter ist, welche Anforderungen er erfüllen muss, was seine datenschutzrechtlichen Aufgaben sind, welches Haftungsrisiko er als Verantwortlicher trägt und was es mit einem externen Datenschutzbeauftragten auf sich hat.

Zuletzt aktualisiert am 16.05.2024
© Sikov - stock.abobe.com

Vorgaben der Datenschutzgrundverordnung für einen Datenschutzbeauftragten

Gemäß den Vorgaben des Art. 37 DSGVO ist für Ihr Unternehmen ein Datenschutzbeauftragter dann verpflichtend, wenn Ihre Kerntätigkeit in einer „umfangreichen regelmäßigen und systematischen Überwachung von Betroffenen“ oder in der Verarbeitung besonders sensibler Daten besteht. „Kerntätigkeit“ betrifft dabei vor allem das Hauptgeschäft, mit dem das Unternehmen am Markt auftritt. Rein interne Verarbeitungsvorgänge, wie z.B. das Führen der Personalakten, gelten nicht als Kerntätigkeit in diesem Sinne.

Die gesetzliche Benennungspflicht für einen Datenschutzbeauftragten würde also z.B. auf ein Detektivbüro, ein Online-Werbenetzwerk, ein Krankenhaus oder einen IT-Dienstleister im Gesundheitssektor zutreffen. Dagegen fällt etwa die sichere Verarbeitung von Mitarbeiterdaten oder auch die Videoüberwachung des eigenen Firmenparkplatzes nicht darunter.

Vorgaben des neuen Bundesdatenschutzgesetzes (BDSG 2018)

Ab wann ein Datenschutzbeauftragter zum Datenschutz im Unternehmen eingesetzt werden muss, hat der deutsche Gesetzgeber in der angepassten Fassung des Bundesdatenschutzgesetzes, die seit 25. Mai 2018 gilt, geregelt. Dabei blieben weitgehend die alten BDSG-Regelungen bestehen. Diese sehen die Pflicht zur Benennung in folgenden Fällen vor:

  • Mindestens 20 Personen befassen sich ständig mit der automatisierten Verarbeitung personenbezogener Daten (§ 38 BDSG). Ursprünglich lag die Zahl bei 10 Personen. Sie wurde im September 2019 angehoben.
  • Für bestimmte Datenverarbeitungsvorgänge besteht eine Pflicht zur Datenschutz-Folgenabschätzung.
  • Es erfolgt eine geschäftsmäßige Übermittlung von Daten.
  • Es wird Markt- bzw. Meinungsforschung betrieben.

Wenn Sie also kein Adresshändler oder Ähnliches sind, keine Markt- oder Meinungsforschung betreiben und auch kein hohes Risiko bei Ihren Verarbeitungsvorgängen haben, dann greift für Sie die Grenze von 20 Mitarbeiter. Hierbei zählt jede beschäftigte Person, unabhängig von Vollzeit- oder Teilzeitvertrag; hier ist die Stelle egal, also auch, ob es sich um einen Auszubildenden, eine leitende oder keine leitende Position handelt. Da heutzutage – von wenigen Ausnahmefällen abgesehen – nahezu alle Mitarbeiter zumindest auch mit der Verarbeitung von personenbezogenen Daten im Sinne der DSGVO befasst sind, zählen Sie zur Sicherheit alle Beschäftigten dazu.

Anforderungen an den Datenschutzbeauftragten

Grundsätzlich kann jeder zum Datenschutzbeauftragtenbenannt werden. Eine amtlich anerkannte Ausbildung zum Datenschutzbeauftragten gibt es nicht. Aber selbstverständlich sollte ein Datenschutzbeauftragter für seine Bestellung Schulungen besuchen sowie bestimmte Voraussetzungen erfüllen. Dazu gehören insbesondere:

  • Fähigkeit zur Erfüllung seiner Aufgaben
  • keine Interessenskollision
  • berufliche Qualifikation
  • Fachwissen in Datenschutzrecht und Datenschutzpraxis

Welchen Umfang das Fachwissen dabei genau haben muss und wie es erlangt wird, ist nicht vorgeschrieben. Möglich sind in diesem Rahmen u.a. die Teilnahme an Fortbildungsveranstaltungen, das Lesen von Fachliteratur, die Nutzung von E-Learning-Angeboten, die Inanspruchnahme einer Datenschutzberatung für weitere Informationen oder auch die Kombination all dieser Angebote.

Außerdem darf keine Interessenskollision vorliegen, d.h. es darf nicht zur Situation kommen, dass sich der interne Datenschutzbeauftragte quasi selbst kontrollieren muss, weil er in einer Person zwei Funktionen ausübt. Dies ist z. B. bei Mitgliedern der Geschäftsführung, Abteilungsleitern, Geldwäschebeauftragten, externen Anwälten oder Wirtschaftsprüfern der Fall. Ob auch bei Betriebsratsmitgliedern eine Interessenskollision vorliegt, ist momentan noch strittig.

Wenn Unternehmen keine geeignete Person im Unternehmen für die Tätigkeit finden können oder in puncto Know-how auf Nummer sicher gehen möchten, besteht auch die Möglichkeit, einen externen Datenschutzbeauftragten zu engagieren.

Stellung des Datenschutzbeauftragten

Folgende Aspekte beschreiben die Tätigkeit bzw. den Status eines Datenschutzbeauftragten, woraus sich auch Rechte ableiten lassen:

  • Er ist weisungsfrei, aber nicht weisungsbefugt (untersteht lediglich der obersten Managementebene).
  • Er berichtet unmittelbar an die höchste Managementebene.
  • Ein Datenschutzbeauftragter unterliegt der Geheimhaltungspflicht.
  • Er darf aufgrund seiner Stellung weder abberufen noch benachteiligt werden.
  • Er dient als Ansprechpartner für die Betroffenen, also z.B. für Ihre Kunden oder Ihre Mitarbeitenden – und für die Datenschutzaufsichtsbehörde.

DSGVO: Aufgaben des Datenschutzbeauftragten

Zu den Aufgaben eines Datenschutzbeauftragten gehören nach Maßgabe der DSGVO unterschiedliche Tätigkeiten: Laut DSGVO ist er zum einen dafür zuständig, die Geschäftsführung und die Beschäftigten im Hinblick auf ihre datenschutzrechtlichen Pflichten zu unterrichten und zu beraten. Zum anderen überwacht er die Einhaltung der Vorschriften bzgl. des Datenschutzrechts und die Strategien des Unternehmens für den Schutz personenbezogener Daten.

Weitere Aufgaben des Datenschutzbeauftragten sind:

  • Zuweisung von Zuständigkeiten
  • Sensibilisierung und Schulung der Mitarbeiter
  • Beratung und ggf. Überwachung in Bezug auf eine Datenschutz-Folgenabschätzung (DSFA)
  • ggf. Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für die Aufsichtsbehörde in Fragen, die mit der Verarbeitung personenbezogener Daten und der DSGVO Einwilligung zusammenhängen

Der Datenschutzbeauftragte wird daher, anders als nach bislang geltender Rechtslage, im Wesentlichen beratend tätig. Insbesondere gehört es gemäß DSGVO nicht mehr zu seinem Aufgabengebiet, Verzeichnisse von Verarbeitungstätigkeiten zu erstellen und zu führen, technische und organisatorische Maßnahmen (TOM) zu prüfen bzw. umzusetzen oder eine Datenschutz-Folgenabschätzung durchzuführen. Allerdings wird es in der Praxis wohl häufiger der Fall sein, dass der Datenschutzbeauftragte von der Unternehmensführung darum gebeten wird, auch diese Tätigkeiten zu erledigen.
Zusätzlich können Sie einen Datenschutzkoordinator zur Unterstützung des eigentlichen Datenschutzbeauftragten einsetzen.

Auch dienen Landesdatenschutzbeauftragter sowie Bundesdatenschutzbeauftragter der Beratung, stellen somit eine Unterstützung der betrieblichen Datenschutzbeauftragten dar und kümmern sich darüber hinaus um die Kontrolle des Bereichs Datenschutz. 

Haftung des Datenschutzbeauftragten nach DSGVO

Für den Datenschutzbeauftragten besteht grundsätzlich ein eher geringes Haftungsrisiko. Außer ihm ist ein Pflichtverstoß nachzuweisen, der zu einem entsprechenden Schaden geführt hat (z. B. ein erkannter, aber nicht bemängelter Datenschutzverstoß, fehlerhafte Infos in Mitarbeiterschulungen o.Ä.).

Zudem unterscheidet man zwischen einem internen (auch betrieblicher Datenschutzbeauftragter genannt) und einem externen Datenschutzbeauftragten. Erstgenannter unterliegt als Angestellter des Unternehmens den arbeitsrechtlichen Haftungsregeln wie alle anderen Arbeitnehmer auch. Das bedeutet, für ihn besteht ein vierfach abgestuftes Haftungssystem, das die Haftung des Datenschutzbeauftragten abhängig von dem Grad seines Verschuldens einstuft. Diese sogenannte Haftungsquart reicht von keiner bzw. geringer Fahrlässigkeit über „normale“ und grobe Fahrlässigkeit bis hin zum Vorsatz, sodass der Datenschutzbeauftragte entweder gar nicht, nur anteilig oder – im schlimmsten, aber wohl eher seltenen Fall – voll haftet.

Ein externer Datenschutzbeauftragter haftet dagegen voll umfänglich im Rahmen des mit ihm geschlossenen Dienstvertrages. In diesem können und sollten Sie die Haftungsfrage regeln, damit Sie eine für beide Vertragsparteien akzeptable Lösung erzielen. Welche Kosten für einen externen Datenschutzbeauftragten anfallen, variiert und richtet sich u.a. nach der Größe des Unternehmens, in welcher Branche es ansässig ist und wie viele Anpassungen für die Erfüllung der DSGVO und des BDSG nötig sind. Demnach können für einen externen Datenschutzbeauftragten wenige hundert bis mehrere Tausend Euro pro Monat anfallen.

Info

Wann und warum ist es sinnvoll in Einzelfällen einen externen Datenschutzbeauftragten zu beauftragen?

Es kann sinnvoll sein, einen externen Datenschutzbeauftragten zu engagieren, wenn Sie in Ihrem Unternehmen über begrenzte interne Ressourcen oder Fachkenntnisse im Bereich Datenschutz verfügen. Ein externer Datenschutzbeauftragter bringt spezialisiertes Wissen mit, das sicherstellt, dass alle gesetzlichen Anforderungen der DSGVO erfüllt werden. Dies reduziert das Risiko von Datenschutzverstößen und potenziellen Bußgeldern. Ein weiterer Vorteil eines externen Datenschutzbeauftragten ist die objektive, unabhängige Perspektive, die ein externer Datenschutzbeauftragter mitbringt. Sie können so Ihre internen Prozesse optimieren und Datenschutzrichtlinien effektiver umsetzen, ohne interne Kapazitäten zu binden. 

Externe Datenschutzbeauftragte lassen sich über spezialisierte Beratungsfirmen, Berufsverbände oder Plattformen wie die IHK oder den BvD (Berufsverband der Datenschutzbeauftragten Deutschlands) finden.