Datenschutzbeauftragter und DSGVO: Anforderungen und Aufgaben

Die DSGVO wirft die Frage auf, für welche Unternehmen und ab wie vielen Mitarbeitern ein Datenschutzbeauftragter Pflicht ist. Jedoch schreibt nicht nur die EU-Datenschutzgrundverordnung (DSGVO) Regeln hierzu vor, sondern auch das Bundesdatenschutzgesetz (BDSG) konkretisiert die personenbezogene Datenverarbeitung. Erfahren Sie in diesem Artikel außerdem, was eigentlich ein Datenschutzbeauftragter ist, welche Anforderungen er erfüllen muss, was seine datenschutzrechtlichen Aufgaben sind und welches Haftungsrisiko er als Verantwortlicher trägt.

Hinweis: Gendergerechte Sprache ist uns wichtig. Daher verwenden wir auf diesem Portal, wann immer möglich, genderneutrale Bezeichnungen. Daneben weichen wir auf das generische Maskulinum aus. Hiermit sind ausdrücklich alle Geschlechter (m/w/d) mitgemeint. Diese Vorgehensweise hat lediglich redaktionelle Gründe und beinhaltet keinerlei Wertung.

Mann im Anzug drückt auf ein künstliches Datenschutzzeichen
Sikov/stock.abobe.com

Vorgaben der Datenschutzgrundverordnung (DSGVO)

Gemäß den Vorgaben der DSGVO ist für Ihr Unternehmen ein Datenschutzbeauftragter dann verpflichtend, wenn Ihre Kerntätigkeit in einer „umfangreichen regelmäßigen und systematischen Überwachung von Betroffenen“ oder in der Verarbeitung besonders sensibler Daten besteht. „Kerntätigkeit“ betrifft dabei vor allem das Hauptgeschäft, mit dem das Unternehmen am Markt auftritt. Rein interne Verarbeitungsvorgänge, wie z.B. das Führen der Personalakten, gelten nicht als Kerntätigkeit in diesem Sinne.

Die Benennungspflicht würde also z.B. auf ein Detektivbüro, ein Online-Werbenetzwerk, ein Krankenhaus oder einen IT-Dienstleister im Gesundheitssektor zutreffen. Dagegen fällt etwa die Verarbeitung von Mitarbeiterdaten oder auch die Videoüberwachung des eigenen Firmenparkplatzes nicht darunter.

Vorgaben des neuen Bundesdatenschutzgesetzes (BDSG 2018)

Ab wann ein Datenschutzbeauftragter zum Datenschutz im Unternehmen eingesetzt werden muss, hat der deutsche Gesetzgeber in der angepassten Fassung des Bundesdatenschutzgesetzes, die seit 25. Mai 2018 gilt, geregelt. Dabei blieben weitgehend die alten BDSG-Regelungen bestehen. Diese sehen die Pflicht zur Benennung in folgenden Fällen vor:

  • Mindestens 20 Personen befassen sich ständig mit der automatisierten Verarbeitung personenbezogener Daten. Ursprünglich lag die Zahl bei 10 Personen. Sie wurde im September 2019 angehoben.
  • Für bestimmte Datenverarbeitungsvorgänge besteht eine Pflicht zur Datenschutz-Folgenabschätzung.
  • Es erfolgt eine geschäftsmäßige Übermittlung von Daten.
  • Es wird Markt- bzw. Meinungsforschung betrieben.

Wenn Sie also kein Adresshändler oder Ähnliches sind, keine Markt- oder Meinungsforschung betreiben und auch kein hohes Risiko bei Ihren Verarbeitungsvorgängen haben, dann greift für Sie die Grenze von 20 Mitarbeiter:innen. Hierbei zählt jede beschäftigte Person, unabhängig von Vollzeit- oder Teilzeitvertrag; hier ist es egal, ob es sich um einen Azubi, eine leitende oder keine leitende Position handelt. Da heutzutage – von wenigen Ausnahmefällen abgesehen – nahezu alle Mitarbeiter:innen zumindest auch mit der Verarbeitung von personenbezogenen Daten im Sinne der DSGVO befasst sind, zählen Sie zur Sicherheit alle Beschäftigten dazu.

Anforderungen an den Datenschutzbeauftragten

Grundsätzlich kann jeder zum Datenschutzbeauftragtenbenannt werden. Eine amtlich anerkannte Ausbildung gibt es hierfür nicht. Aber selbstverständlich sollte ein Datenschutzbeauftragter für seine Bestellung bestimmte Voraussetzungen erfüllen. Dazu gehören insbesondere:

  • Fähigkeit zur Erfüllung seiner Aufgaben
  • keine Interessenskollision
  • berufliche Qualifikation
  • Fachwissen in Datenschutzrecht und Datenschutzpraxis

Welchen Umfang das Fachwissen dabei genau haben muss und wie es erlangt wird, ist nicht vorgeschrieben. Möglich sind in diesem Rahmen u.a. die Teilnahme an Fortbildungsveranstaltungen, das Lesen von Fachliteratur, die Nutzung von E-Learning-Angeboten oder auch die Kombination all dieser Angebote.

Außerdem darf keine Interessenskollision vorliegen, d.h. es darf nicht zu der Situation kommen, dass sich der interne Datenschutzbeauftragte quasi selbst kontrollieren muss, weil er in einer Person zwei Funktionen ausübt. Dies ist z. B. bei Mitgliedern der Geschäftsführung, Abteilungsleitern, Geldwäschebeauftragten, externen Anwälten oder Wirtschaftsprüfern der Fall. Ob auch bei Betriebsratsmitgliedern eine Interessenskollision vorliegt, ist momentan noch strittig.

Stellung des Datenschutzbeauftragten

Folgende Aspekte beschreiben die Tätigkeit bzw. den Status eines Datenschutzbeauftragten:

  • Er ist weisungsfrei, aber nicht weisungsbefugt.
  • Er berichtet unmittelbar an die höchste Managementebene.
  • Er unterliegt der Geheimhaltungspflicht.
  • Er darf aufgrund seiner Stellung weder abberufen noch benachteiligt werden.
  • Er dient als Ansprechpartner für die Betroffenen, also z.B. für Ihre Kund:innen oder Ihre Mitarbeiter:innen – und für die Datenschutzaufsichtsbehörde.

DSGVO: Aufgaben des Datenschutzbeauftragten

Zu den Aufgaben eines Datenschutzbeauftragten gehören nach Maßgabe der DSGVO unterschiedliche Tätigkeiten: Laut DSGVO ist er zum einen dafür zuständig, die Geschäftsführung und die Beschäftigten im Hinblick auf ihre datenschutzrechtlichen Pflichten zu unterrichten und zu beraten. Zum anderen überwacht er die Einhaltung des Datenschutzrechts und die Strategien des Unternehmens für den Schutz personenbezogener Daten.

Weitere Aufgaben des Datenschutzbeauftragten sind:

  • Zuweisung von Zuständigkeiten
  • Sensibilisierung und Schulung der Mitarbeiter:innen
  • Beratung und ggf. Überwachung in Bezug auf eine Datenschutz-Folgenabschätzung (DSFA)
  • ggf. Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für die Aufsichtsbehörde in Fragen, die mit der Verarbeitung personenbezogener Daten und der DSGVO Einwilligung zusammenhängen

Der Datenschutzbeauftragte wird daher, anders als nach bislang geltender Rechtslage, im Wesentlichen beratend tätig. Insbesondere gehört es gemäß DSGVO nicht mehr zu seinem Aufgabengebiet, Verzeichnisse von Verarbeitungstätigkeiten zu erstellen und zu führen, technische und organisatorische Maßnahmen (TOM) zu prüfen bzw. umzusetzen oder eine Datenschutz-Folgenabschätzung durchzuführen. Allerdings wird es in der Praxis wohl häufiger der Fall sein, dass der Datenschutzbeauftragte von der Unternehmensführung darum gebeten wird, auch diese Tätigkeiten zu erledigen.
Zusätzlich können Sie einen Datenschutzkoordinator zur Unterstützung des eigentlichen Datenschutzbeauftragten einsetzen.

Haftung des Datenschutzbeauftragten nach DSGVO

Für den Datenschutzbeauftragten besteht grundsätzlich ein eher geringes Haftungsrisiko. Außer ihm ist ein Pflichtverstoß nachzuweisen, der zu einem entsprechenden Schaden geführt hat (z.B. ein erkannter, aber nicht bemängelter Datenschutzverstoß, fehlerhafte Infos in Mitarbeiterschulungen o.Ä.).

Zudem unterscheidet man zwischen einem internen (auch betrieblicher Datenschutzbeauftragter genannt) und einem externen Datenschutzbeauftragten. Erstgenannter unterliegt als Angestellter des Unternehmens den arbeitsrechtlichen Haftungsregeln wie alle anderen Arbeitnehmer:innen auch. Das bedeutet, für ihn besteht ein vierfach abgestuftes Haftungssystem, das die Haftung des Datenschutzbeauftragten abhängig von dem Grad seines Verschuldens einstuft. Diese sogenannte Haftungsquart reicht von keiner bzw. geringer Fahrlässigkeit über „normale“ und grobe Fahrlässigkeit bis hin zum Vorsatz, sodass der Datenschutzbeauftragte entweder gar nicht, nur anteilig oder – im schlimmsten, aber wohl eher seltenen Fall – voll haftet.

Ein externer Datenschutzbeauftragter haftet dagegen voll umfänglich im Rahmen des mit ihm geschlossenen Dienstvertrages. In diesem können und sollten Sie die Haftungsfrage regeln, damit Sie eine für beide Vertragsparteien akzeptable Lösung erzielen. Welche Kosten für einen externen Datenschutzbeauftragten anfallen, variiert und richtet sich u.a. nach der Größe des Unternehmens, in welcher Branche es ansässig ist und wie viele Anpassungen für die Erfüllung der DSGVO und des BDSG nötig sind.