Betriebliche Datenschutzbeauftragte

Mit Geltung der Datenschutzgrundverordnung (DSGVO) seit dem 25. Mai 2018 haben sich sowohl die Voraussetzungen, ab denen ein Datenschutzbeauftragter(*) zu bestellen ist, als auch den Umfang seiner/ihrer Aufgaben und Befugnisse geändert. Im Folgenden bieten wir Ihnen eine Übersicht über die neuen Bestimmungen.

Wann muss ein Datenschutzbeauftragter bestellt werden?

Die Voraussetzungen, wann ein Datenschutzbeauftragter in einem Betrieb notwendig sind, ergeben sich aus Art. 37 DSGVO und § 38 BDSG.
Ein Datenschutzbeauftragter muss nach Art. 37 DSGVO auf jeden Fall ernannt werden, wenn
  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit mit umfangreicher oder systematischer Überwachung von Personen verbunden ist oder
  • die Kerntätigkeit mit umfangreicher Verarbeitung besonders sensibler Daten wie z.B. Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 9, 10 DSGVO) zusammenhängt.
Kerntätigkeit ist die prägende Haupttätigkeit eines Unternehmens. Umfangreich ist eine Verarbeitung, wenn sie sie in großer Menge, mit einer großen Anzahl von Betroffenen oder langfristig vorgenommen wird.
Zusätzlich hat der deutsche Gesetzgeber in § 38 BDSG weitere Voraussetzungen festgelegt, nach denen nichtöffentliche Stellen Datenschutzbeauftragte bestellt werden müssen. Das ist der Fall, wenn
  • mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  • unabhängig von der Anzahl der Personen, wenn Verarbeitungen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erfordern oder personenbezogene Daten geschäftmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung erfolgen.
Ein Datenschutzbeauftragter kann auch jederzeit freiwillig bestellt werden.

Wer kann als Datenschutzbeauftragter bestellt werden?

Datenschutzbeauftragter kann nur eine natürliche Person, keine juristische Person sein. Ein Geschäftsführer darf für sein Unternehmen nicht Datenschutzbeauftragter werden, da dies der Beratungs- und Unterstützungsaufgabe, die das Gesetz der Stelle zugedacht hat, widersprechen würde.
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Der Umfang der Kenntnisse ist nicht allgemein festlegbar, sondern ergibt sich jeweils aus dem Handlungskontext des Unternehmens.
Eine Zertifizierung ist nicht zwingend notwendig, erleichtert aber den Nachweis der Fachkunde. Die Datenschutzbehörden werden nach Geltung der DSGVO beginnen, Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen zu genehmigen.
Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern er von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann (Art. 37 Abs. 2 DSGVO)
Anstelle eines Betriebsangehörigen kann auch ein externer Datenschutzbeauftragter per Dienstleistungsvertrag bestellt werden (Art. 37 Abs. 6 DSGVO). Eine Übersicht der nach Verbandskriterien verpflichteten Mitglieder finden Sie auf den Seiten des Berufsverbands der Datenschutzbeauftragten Deutschlands e.V. (BvD). Weitere Berater finden Sie z. B. über die Gesellschaft für Datenschutz und Datensicherung e.V. (GDD).

Was sind die Aufgaben eines Datenschutzbeauftragten?

Die Aufgaben des Datenschutzbeauftragten werden in Art. 39 DSGVO wie folgt definiert:
  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer datenschutzrechtlichen Pflichten
  • Überwachung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde
  • Beratung der Betroffenen zu Fragen der Verarbeitung ihrer personenbezogenen Daten einschließlich Wahrnehmung ihrer Rechte (z.B. Auskunfts- und Löschgesuche)
Der Datenschutzbeauftragte ist in der Ausübung seiner Tätigkeit weisungsfrei. Er ist organisatorisch der Leitung direkt zu unterstellen. Der Datenschutzbeauftragte hat einen besonderen Kündigungsschutz (§ 38 Abs. 2 i.V.m § 6 Abs. 4 BDSG). Dieser Kündigungsschutz bleibt nach der Abberufung der Bestellung als betrieblicher Datenschutzbeauftragter für ein Jahr bestehen. Er gilt nur, wenn die Benennung verpflichtend war.
Der betriebliche Datenschutzbeauftragte kann die Beratungsleistung der zuständigen Datenaufsichtsbehörde in Anspruch nehmen. Diese ist zur Beratung gesetzlich verpflichtet.

(* = Zur Lesbarkeit wird in diesem Artikel der maskuline Begriff des Gesetzeswortlauts verwendet. Gemeint sind selbstverständlich Personen aller Geschlechter und Gender.)