FAQ Datenschutzbeauftragter

Datenschutzbeauftragter nach der DSGVO

Datenschutzbeauftragter und die EU-Datenschutzgrundverordnung?

Seit Geltung der DSGVO ab dem 25.05.2018 existiert erstmals eine europaweite Pflicht zur Bestellung eines Datenschutzbeauftragten.
Dieser Datenschutzbeauftragte ist ein wichtiger Eckpfeiler der DSGVO. Er kann die Einhaltung der DSGVO erleichtern und aufgrund seiner Expertise einen Wettbewerbsvorteil für das Unternehmen darstellen.
Externe Datenschutzbeauftragte kooperieren sowohl mit Unternehmen als auch Behörden und tragen damit zur Wahrung und Verwirklichung von Grundrechten bei. Qualifizierte Externe Datenschutzbeauftragte helfen Unternehmen dabei, Risiken aus Datenschutzverstößen zu minimieren. Hiervon Umfasst sind exemplarisch ein potentieller Imageverlust und finanzielle Belastungen. Ferner verstärken externe Datenschutzbeauftrage das Vertrauen der Kunden und Beschäftigten in die Datenerhebung und -verarbeitung des jeweiligen Unternehmens.
Dieses Vertrauen legt den Grundstein für das nachhaltige Ausführen der Tätigkeiten und die notwendige Qualifikation des Externen Datenschutzbeauftragten. Hierbei ist ebenfalls relevant, dass die Tätigkeit des Externen Datenschutzbeauftragten ist hierdurch in höchstem Maße transparent und nachvollziehbar ist.

Wann besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten?

Die Pflicht zur Bestellung besteht, sofern ein Unternehmen einer Tätigkeit des Art. 37 Abs. 1 DSGVO nachgeht. Diese Tätigkeiten bedürfen aus datenschutzrechtlicher Sicht einer besonderen Kontrolle.
Unter welchen Bedingungen eine solche datenschutzrechtlich besondere Kontrolle nötig ist, regelt Art. 37 Abs. 1 lit. a)-c) der DSGVO.
Eine Pflicht zur Bestellung besteht,

  • wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird,
  • wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht.

Nach § 38 BDSG-Neu ist ein Datenschutzbeauftragter zu benennen, wenn:

  • in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
  • bei automatisierter Verarbeitung (es ist nicht erforderlich, dass die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Kernbereich der beschäftigten Person ist)
  • Eine Benennungspflicht bei unter 10 Personen besteht zudem, wenn:
    • der Verantwortliche oder der Auftragsverarbeiter einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO unterliegt
    • personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden
Was meint Verarbeitung von einer Behörde oder öffentlichen Stelle?

Welche Behörden und Stellen davon betroffen sind, ist in der DSGVO nicht geregelt. Die DSGVO enthält diesbezüglich eine Öffnungsklausel für die nationalen Gesetzgeber. Im BDSG-Neu wurde die Anwendbarkeit des Gesetzes in § 1 geregelt.
§ 1 Abs. 1:
Das BDSG-Neu gilt für die Verarbeitung personenbezogener Daten durch
1) öffentliche Stellen des Bundes
2) öffentliche Stellen der Länder, sowie der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
a) Bundesrecht ausführen oder
b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt.

Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Was ist die Kerntätigkeit des Verantwortlichen?

Der Begriff der Kerntätigkeit umfasst jede Tätigkeit, die für die Erreichung der Ziele des jeweiligen Unternehmens unverzichtbar sind. Gemeint ist die Haupttätigkeit. Es ist darauf abzustellen, ob die Tätigkeit essentiell für die Erreichung der Ziele des Unternehmens oder untrennbar mit diesen verbunden ist. Die Verarbeitung muss somit primärer Geschäftszweck sein. (Bsp.: die Verarbeitung von besonderen personenbezogenen Daten, wie beispielsweise Gesundheitsdaten im Gesundheitssektor).
Insbesondere gilt dies für Unternehmen, die mit Daten handeln, Auskunfteien oder Adresshändler. Aufgrund von Öffnungsklauseln, die dem nationalen Gesetzgeber Spielraum für Anpassungsgesetze geben. Das BDSG-Neu regelt die Bestellung eines Datenschutzbeauftragten in den §§ 5-7.

Was meint umfangreiche Verarbeitung?

Es gibt mehrere Wertungskriterien für umfangreiche Verarbeitungsvorgänge:

  • Verarbeitung großer Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene,
  • Betroffenheit einer großen Zahl an Personen
  • Hohes Risiko für die Betroffenen
  • Menge der betroffenen Datensätze/ Vielzahl der Verarbeitungsprozesse
  • Dauer und Permanenz der Datenverarbeitung
Welche Privilegien bestehen für den Datenschutzbeauftragten?

Nach Art. 38 Abs. 3 DSGVO hat der Datenschutzbeauftragte einen Abberufungs- und Kündigungsschutz, hat Verschwiegenheit zu wahren und ein Zeugnisverweigerungsrecht.

Kann auch auf freiwilliger Basis ein Datenschutzbeauftragter für den Betrieb benannt werden?

Auch wenn die Nummern a)-c) des Art. 37 Abs. 1 DSGVO nicht eingreifen, kann ein Datenschutzbeauftragter auf freiwilliger Basis bestellt werden. Es gelten auch bei der freiwilligen Bestellung die Vorschriften des vierten Abschnitts der DSGVO.

Kann auch ein Externer Datenschutzbeauftragter für den Betrieb benannt werden?

Die DSGVO lässt in Art. 37 Abs. 6 DSGVO neben der Bestellung eines internen Datenschutzbeauftragten aus den eigenen betrieblichen Reihen auch die Bestellung eines Externen Datenschutzbeauftragten zu. Es bleibt demnach den Unternehmen überlassen, ob sie sich für einen internen oder Externen Datenschutzbeauftragten entscheiden.

Kann ein Datenschutzteam bestellt werden?

Ja. Auch mehrere Personen können gemeinsam die Aufgaben des Datenschutzbeauftragten wahrnehmen. Aus Gründen der Rechtssicherheit sollten die Verantwortlichkeiten der einzelnen Personen dokumentiert werden. Es empfiehlt sich ebenfalls, dass ein Hauptverantwortlicher benannt wird.

Kann ein Konzerndatenschutzbeauftragter bestellt werden?

Ja. In Art. 37 Abs. 2 DSGVO ist die Möglichkeit der Bestellung eines Datenschutzbeauftragten für den gesamten Konzern explizit vorgesehen, sofern der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann.

Was meint leichte Erreichbarkeit des Konzerndatenschutzbeauftragten?

Die leichte Erreichbarkeit soll sicherstellen, dass die persönliche Kommunikation möglich ist. Denkbare Kontaktmöglichkeiten sind:

  • Einrichtung eines Kontaktformulars auf der Webseite
  • Bereitstellung einer Telefonnummer und/oder E-Mailadresse
  • Regelmäßige Sprechstunden für Beschäftigte

Entscheidend ist, dass der Datenschutzbeauftragte aufgrund seiner Eigenschaften sowie seiner Stellung im Unternehmen tatsächlich in der Lage ist, für Betroffene und Aufsichtsbehörden persönlich als Ansprechpartner zur Verfügung zu stehen, d.h. mit ihnen zu kommunizieren und zu kooperieren und die ihm von der DSGVO auferlegten Aufgaben zu erfüllen.

Sind kleine Unternehmen ebenso verpflichtet, einen Datenschutzbeauftragten zu benennen, sei es intern oder extern?

Auch kleinere Unternehmen, die komplexe Datenverarbeitungsvorgänge durchführen und deren Tätigkeit somit datenschutzrechtlich eine besonders hohe Aufmerksamkeit verdient sind je nach Größe des Unternehmens oder der Art der verarbeiteten Daten rechtlich verpflichtet einen Datenschutzbeauftragten zu bestellen.

Zu welchem Zeitpunkt muss ein Datenschutzbeauftragter benannt werden?

Der Zeitpunkt der Benennung ist in der DSGVO nicht geregelt. Der Datenschutzbeauftragte sollte aber spätestens bei Vorliegen der Voraussetzungen für eine Bestellung benannt werden.

Muss der Datenschutzbeauftragte schriftlich bestellt werden?

Art. 37 Abs. 7 DSGVO sieht vor, dass
„der Verantwortliche oder der Auftragsverarbeiter […] die Kontaktdaten des Datenschutzbeauftragten [veröffentlicht] und […] diese Daten der Aufsichtsbehörde mit[teilt]“

Demzufolge ist ausreichend, dass den Betroffenen sowie der Aufsichtsbehörde die Kontaktdaten des Datenschutzbeauftragten mitgeteilt werden, die für eine Kontaktaufnahme erforderlich sind und eine einfache Kommunikation ermöglichen (Anschrift, Tel.-Nr., Mail-Adresse). Eine schriftliche Bestellung, wie bisher nach dem BDSG ist demnach nicht mehr erforderlich. Aus Gründen der Rechtssicherheit und vor dem Hintergrund der Nachweispflichten ist eine schriftliche Bestellung zu empfehlen.
Empfehlenswert ist dabei, dass der Aufsichtsbehörde detaillierte Kontaktdaten mitgeteilt werden.
Den Betroffenen sollte auf der Unternehmens-Website eine Hotline oder die Kontaktdaten des Datenschutzbeauftragten auf der Webseite zur Verfügung gestellt werden.

Welche Personen dürfen zum Datenschutzbeauftragten benannt werden?

Zum Datenschutzbeauftragten darf nur bestellt werden, wer von Anfang an die zur Erfüllung der Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Dies regelt Art. 37 Abs. 5 DSGVO.
Ausgeschlossen sind gemäß Art. 38 Abs. 6 DSGVO allerdings solche Personengruppen, bei deren Tätigkeitwerden als Datenschutzbeauftragter es zu Interessenkonflikten kommen kann. Gemeint sind dabei vor allem die Geschäftsführung, Leiter der IT-Abteilung sowie weitere Personen in ähnlich herausgestellten Positionen, bei denen die Unabhängigkeit nicht gewährleistet werden kann.

Welche Aufgaben und Pflichten hat ein Datenschutzbeauftragter nach der DSGVO?

Art. 39 DSGVO skizziert den Aufgabenbereich und die Pflichten des Datenschutzbeauftragten. Dazu gehören vor allem:

  • die Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten
  • die Überwachung der Einhaltung der DSGVO und nationalen Sonderregelungen
  • die Datenschutz-Sensibilisierung und das Durchführen von Schulungen
  • die Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung
  • die Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde
  • Risikoorientierte Aufgabenerfüllung
  • Erweiterung des Aufgabenkatalogs durch Vereinbarung möglich

Der Datenschutzbeauftragte hat somit einen breit gefächerten Aufgabenbereich. Er übernimmt die Rolle des Vermittlers, ist Kontaktmann für die Aufsichtsbehörde, hat Sorge zu tragen, dass die Aufsichtsbehörde die notwendigen Dokumente und Informationen bekommt um ihren Untersuchungs-, Korrektur-, Genehmigungs- und Beratungsbefugnissen nachzukommen. Außerdem ist der Datenschutzbeauftragte auch Ansprechpartner für die Betroffenen und steht im Unternehmen als Diskussionspartner zur Verfügung.
Zu beachten ist dabei, dass die datenverarbeitende Stelle für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich bleibt, der Datenschutzbeauftragte auf die Einhaltung lediglich hinwirkt und auch ansonsten keine Entscheidungsbefugnisse besitzt. Damit er seinen Aufgaben in vollem Umfang nachkommen kann, ist er gemäß Art. 38 Abs. 1 DSGVO „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden.
Bei seiner Tätigkeit ist der Datenschutzbeauftragte gemäß Art. 38 Abs. 3 S. 3 DSGVO weisungsfrei und unmittelbar der höchsten Geschäftsführungsebene unterstellt.

Welche Stellung hat der Datenschutzbeauftragte?
  • Organisatorisch herausgehobene Stellung
  • Ordnungsgemäße und frühzeitige Einbindung
  • Bereitstellung erforderlicher Ressourcen
  • Weisungsfreiheit und Unabhängigkeit
  • Unmittelbarer Berichtsweg zur höchsten Führungsebene
  • Anrufungsrecht der Betroffenen
  • Geheimhaltung, Vertraulichkeit und Zeugnisverweigerungsrecht
  • Kein Interessenkonflikt
  • Zusammenarbeit mit der Aufsichtsbehörde
Welche persönlichen Voraussetzungen braucht der Datenschutzbeauftragte?
  • Berufliche Qualifikation
  • Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
  • Fähigkeit zur Erfüllung der in der DSGVO bzw. BDSG-Neu genannten Aufgaben
Wie bestimmt sich das Maß der erforderlichen Fachkunde?

Art. 37 Abs. 5 DSGVO bestimmt, dass das Maß der erforderlichen Fachkunde ich hierbei insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet, bestimmt. Der Datenschutzbeauftragte muss ausreichend Fachwissen im Bereich des Datenschutzrechts und berufliche Qualität vorweisen. Ausreichend meint, dass die Empfindlichkeit der Daten, die Komplexität und die Menge der Daten mit einbezogen werden müssen. Eine höhere Komplexität erfordert ein größeres Fachwissen.

Welche Vorgaben muss ein Datenschutzbeauftragter erfüllen?

Gerichte und die Fachliteratur füllen diese Vorgaben u. a. mit folgenden Attributen aus:

  • hohe rechtliche Kompetenz,
  • ausgeprägte IT-Kenntnisse,
  • didaktische Fähigkeiten und psychologisches Einfühlungsvermögen,
  • Organisationstalent,
  • Pflicht zur ständigen Weiterbildung,
  • Verschwiegenheitspflicht,
  • Unabhängigkeit des Datenschutzbeauftragten.

Diese vielfältigen Anforderungen und Aufgaben erfüllen wir aufgrund unserer langjährigen Expertise als Externe Datenschutzbeauftragte überdurchschnittlich. Bitte kontaktieren Sie uns für weitere Details – gerne unterbreiten wir Ihnen ein auf Ihre Bedürfnisse angepasstes Angebot.

Welche Qualifikationen muss ein Datenschutzbeauftragter erfüllen?

Die Anforderungen an den Externen Datenschutzbeauftragten reichen von den speziell erlangten persönlichen und fachlichen Voraussetzungen über die umfassende Kenntnis der von den Unternehmen erfüllten Aufgaben und Leistungen bis hin zu weiteren darüber hinausgehenden allgemeinen Anforderungen an die Berufsausübung.
Der Externe Datenschutzbeauftragte muss nicht nur über die notwendigen Qualifikationen verfügen, sondern auch in der Lage sein, diese entsprechend einzusetzen und erkennen können, an welcher Stelle Lösungen implementiert werden müssen, die weitere fachliche Qualifikationen erfordern.

Was kann ein Externer Datenschutzbeauftragter für Ihr Unternehmen leisten?

Die Tätigkeiten des Externen Datenschutzbeauftragten, die helfen können, das Unternehmen weiter zu entwickeln, zu optimieren und insbesondere datenschutzrechtlich compliant zu machen, reichen von der Prüfung, Optimierung und einer Vorabkontrolle von Geschäftsprozessen über die Kontrolle von technischen und organisatorischen Maßnahmen sowie von Verträgen mit Dienstleistern und Subunternehmen bis hin zum Erarbeiten von Stellungnahmen sowie der Mitwirkung an einzelnen Projekten, etwa der Implementierung eines neuen Personalverwaltungssystems.

Sieht die DSGVO Sanktionen für die Nicht-Bestellung eines Datenschutzbeauftragten bei Notwendigkeit eines solchen vor?

Ja. Gemäß Art. 83 Abs. 4 lit. a) DSGVO ist ein Bußgeld in Höhe von 10.000.000,00€ oder 2% des weltweit erzielten Jahresumsatzes vor, je nachdem was höher ist.
Dies ist im Vergleich zu der bisherigen Regelung im Bundesdatenschutzgesetz eine massive Steigerung. Bisher stellte ein solcher Verstoß gemäß § 43 Abs. 1 Nr. 2 BDSG eine Ordnungswidrigkeit dar und wurde mit einem Bußgeld in Höhe von 50.000,00€ sanktioniert.

Wer haftet für Verstöße bei Nichtbeachtung der DSGVO?

Grundsätzlich regelt die DSGVO, dass das Unternehmen für die Einhaltung der DSGVO verantwortlich ist, allerdings schließt das keine Inanspruchnahme im Innenverhältnis zwischen Unternehmen und Datenschutzbeauftragten aus.

Umgang mit personenbezogenen Daten von Kindern nach der DSGVO?

Nach Artikel 8 DSGVO sind in Bezug auf die Einwilligung in Dienste der Informationsgesellschaft besondere Anforderungen im Umgang mit personenbezogenen Daten von Kindern zu stellen.
Die Einwilligung des Kindes ist rechtmäßig, wenn es das 16. Lebensjahr vollendet hat. Sofern das 16. Lebensjahr noch nicht vollendet ist, müssen entweder die Träger der elterlichen Verantwortung einwilligen oder der Einwilligung des Kindes zustimmen.