Betriebliche Datenschutzbeauftragte

Mit Geltung der Datenschutzgrundverordnung (DSGVO) seit dem 25. Mai 2018 haben sich sowohl die Voraussetzungen, ab denen ein Datenschutzbeauftragter bzw. eine Datenschutzbeauftragte zu bestellen ist, als auch den Umfang seiner/ihrer Aufgaben und Befugnisse geändert. Im Folgenden bieten wir Ihnen eine Übersicht über die neuen Bestimmungen.

Wann muss ein Datenschutzbeauftragter/eine Datenschutzbeauftragte bestellt werden?

Die Voraussetzungen, wann ein/e Datenschutzbeauftragte/r in einem Betrieb notwendig sind, ergeben sich aus Art. 37 DSGVO und § 38 BDSG.
Ein/e Datenschutzbeauftragte/r muss nach Art. 37 DSGVO auf jeden Fall ernannt werden, wenn
  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit mit umfangreicher oder systematischer Überwachung von Personen verbunden ist oder
  • die Kerntätigkeit mit umfangreicher Verarbeitung besonders sensibler Daten wie z.B. Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 9, 10 DSGVO) zusammenhängt.
Kerntätigkeit ist die prägende Haupttätigkeit eines Unternehmens. Umfangreich ist eine Verarbeitung, wenn sie sie in großer Menge, mit einer großen Anzahl von Betroffenen oder langfristig vorgenommen wird.
Zusätzlich hat der deutsche Gesetzgeber in § 38 BDSG weitere Voraussetzungen festgelegt, nach denen nichtöffentliche Stellen Datenschutzbeauftragte bestellt werden müssen. Das ist der Fall, wenn
  • mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  • unabhängig von der Anzahl der Personen, wenn Verarbeitungen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erfordern oder personenbezogene Daten geschäftmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung erfolgen.
Ein/e Datenschutzbeauftragte/r kann auch jederzeit freiwillig bestellt werden.

Wer kann als Datenschutzbeauftragte/r bestellt werden?

Datenschutzbeauftragte/r kann nur eine natürliche Person, keine juristische Person sein. Ein/e Geschäftsführer/in darf für sein/ihr Unternehmen nicht Datenschutzbeauftragte/r werden, da dies der Beratungs- und Unterstützungsaufgabe, die das Gesetz der Stelle zugedacht hat, widersprechen würde.
Der/die Datenschutzbeauftragte wird auf der Grundlage seiner/ihrer beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er/sie auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Der Umfang der Kenntnisse ist nicht allgemein festlegbar, sondern ergibt sich jeweils aus dem Handlungskontext des Unternehmens.
Eine Zertifizierung ist nicht zwingend notwendig, erleichtert aber den Nachweis der Fachkunde. Die Datenschutzbehörden können Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen genehmigen.
Eine Unternehmensgruppe darf eine/n gemeinsame/n Datenschutzbeauftragten ernennen, sofern er/sie von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann (Art. 37 Abs. 2 DSGVO)
Anstelle einer/s Betriebsangehörigen kann auch ein/e externe/r Datenschutzbeauftragte/r per Dienstleistungsvertrag bestellt werden (Art. 37 Abs. 6 DSGVO).

Was sind die Aufgaben eines Datenschutzbeauftragten?

Die Aufgaben des Datenschutzbeauftragten werden in Art. 39 DSGVO wie folgt definiert:
  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer datenschutzrechtlichen Pflichten
  • Überwachung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde
  • Beratung der Betroffenen zu Fragen der Verarbeitung ihrer personenbezogenen Daten einschließlich Wahrnehmung ihrer Rechte (z.B. Auskunfts- und Löschgesuche)
Der/die Datenschutzbeauftragte ist in der Ausübung seiner/ihrer Tätigkeit weisungsfrei. Er/sie ist organisatorisch der Leitung direkt zu unterstellen und hat einen besonderen Kündigungsschutz (§ 38 Abs. 2 i.V.m § 6 Abs. 4 BDSG). Dieser Kündigungsschutz bleibt nach der Abberufung der Bestellung als betriebliche/r Datenschutzbeauftragte/r für ein Jahr bestehen. Er gilt nur, wenn die Benennung verpflichtend war.
Der/die betriebliche Datenschutzbeauftragte kann die Beratungsleistung der zuständigen Datenaufsichtsbehörde in Anspruch nehmen. Diese ist zur Beratung gesetzlich verpflichtet.
Weitere Informationen sind abrufbar im DSK-Kurzpapier Nr. 12 über Datenschutzbeauftragte.