Skip to content

DATENSCHUTZBEAUFTRAGTER

Aufgaben, Pflichten und Qualifikation des DSB: der Leitfaden 2019

Mit der Suche des betrieblichen Datenschutzbeauftragten (DSB) stellt sich eine grundsätzliche Frage: Welcher Mitarbeiter übernimmt diese Aufgabe bzw. welche Eigenschaften qualifizieren den zukünftigen (internen oder externen) Beauftragten für Datenschutz?

Doch was genau macht eigentlich ein Datenschutzbeauftragter? Wie wird er beauftragt? Und wann ist ein DSB erforderlich? Fragen über Fragen. Nachfolgend klären wir, als externer Datenschutzbeauftragter Münster, alle Fragen.

Aufgaben des Beauftragten für Datenschutz

Tätigkeiten gemäß Art. 39 DSGVO und § 7 BDSG

Der Beauftragte für Datenschutz wirkt innerhalb einer Organisation auf die Einhaltung des Datenschutzes hin. Er beschäftigt sich mit den Unternehmensabläufen, die sich mit personenbezogenen Daten befassen respektive in denen Daten mit Bezug zu natürlichen Personen erhoben, verarbeitet und gespeichert werden.

Die Aufgabe eines Datenschutzbeauftragten ist es nicht, Sie bei Ihrer täglichen Arbeit zu überwachen. Vielmehr bezieht sich seine Kontrollfunktion auf die Abläufe bei der Verarbeitung personenbezogener Daten.

Ein (externer) Datenschutzbeauftragter berät Sie zu allen Fragen der datenschutzrechtlichen Zulässigkeit und gibt Handlungsempfehlungen, wie und mit welchen Maßnahmen Sie die Datenschutzvorgaben praktisch umsetzen können. So können Sie ein angemessenes Datenschutzniveau im Unternehmen erreichen und nachweisen.

Die Arbeit des DSB erzeugt Rechtskonformität, reduziert Haftungsrisiken und ist ein Baustein auf dem Weg zur digitalen Transformation im Unternehmen. Wichtig dabei ist, dass der Beauftragte ordnungsgemäß und frühzeitig in alle datenschutzrechtlichen Fragen eingebunden wird.

Das Bundesdatenschutzgesetz (BDSG-neu) und die Datenschutzgrundverordnung (DSGVO) geben bereits bestimmte Aufgaben und Pflichten vor, die ein Datenschutzbeauftragter zu erfüllen hat. Im Vordergrund steht, dass die allgemeinen Datenschutzregelungen im Unternehmen eingehalten bzw. umgesetzt werden.

Auch wenn der Datenschutzbeauftragte keine Entscheidungskompetenz besitzt, hat er eine erhebliche Verantwortung im Unternehmen; mit der zunehmenden Komplexität der gesetzlichen Bestimmungen, nimmt auch der Aufgabenbereich ständig zu.

Der Datenschutzbeauftragte ist zur Verschwiegenheit verpflichtet. Alle Daten und Vorgänge, die ihm im Rahmen seiner Tätigkeit bekannt werden, muss er geheim halten.

Seine wichtigsten Arbeitsgebiete sind

  • Kontrolle von automatisierten Datenverarbeitungsprogrammen und -prozessen, die bei der Verarbeitung personenbezogener Daten eingesetzt werden (oder werden sollen), sowie der Datensicherheit. Von entsprechenden Änderungen in den Arbeitsabläufen muss er rechtzeitig im Voraus informiert werden und dabei beraten und mitwirken. Bei Problemen informiert er umgehend die Geschäftsleitung, Dabei muss der Datenschutzbeauftragte auf die Einhaltung sowohl der Datenschutz-Grundverordnung (DSGVO) als auch des neuen Bundesdatenschutzgesetzes (BDSG-neu) hinwirken;
  • regelmäßige Schulung aller Personen, die mit der Datenverarbeitung beschäftigt sind; hierzu gehören neben der Geschäftsleitung auch Mitarbeiter aus Vertrieb, Marketing, Controlling, IT, Presse- sowie Personalabteilung;
  • neue Mitarbeiter in die Unternehmensvorgaben einweisen;
  • Durchführung eines Datenschutz-Audits;
  • hinwirken auf die ordnungsgemäße Anwendung der DSGVO;
  • IT-Sicherheit / Informationssicherheit: Ansprechpartner und impilsgeber für den IT-Verntwortlichen;
  • Verzeichnis der Verarbeitungstätigkeiten, die IT-Dokumentation und weitere erforderliche Dokumentationen erstellen;
  • eine Datenschutzrichtlinie für das gesamte Unternehmen entwickeln;
  • die Datenschutz-Folgenabschätzung (Art. 35 DSGVO);
  • Verträge mit externen Dienstleistern in Hinblick auf den Datenschutz prüfen;
  • Überwachungssysteme (z.B. Videoüberwachung) auf Datenschutz und Zulässigkeit prüfen;
  • externe Software (Dropbox, Whatsapp, Facebook, Twitter, Cloudanwendungen etc.) auf Datenschutzaspekte hin überprüfen und Verwendungsempfehlungen aussprechen;
  • Firmenwebseite regelmäßig auf Datenschutzaspekte hin überprüfen, auf fehlende oder unaktuelle Datenschutzerklärungen und Cookiehinweise sowie unnötige Datenerfassung im Onlineshop hinweisen;
  • Übermittlungen von Daten in In- und Ausland kontrollieren;
  • Ansprechpartner der Aufsichtsbehörden in Sachen Datenschutz;
  • den ordnungsgemäßen Umgang mit personenbezogenen Daten samt deren Verarbeitung und Löschung kontrollieren sowie Auskunftsanfragen von Kunden, Mitarbeitern, Bewerbern und Dienstleistern beantworten.

Info: Personenbezogene Daten

Zu den personenbezogenen Daten gehören Name, Vorname, Adresse (oder Teile davon), E-Mail-Adresse, Telefonnummer, Geburtsdatum, Kunden- oder Personennummer.

Aber auch sogenannte Metadaten (wie z. B. Standortdaten) sowie alle weiteren Daten, die Rückschluss auf eine identifizierbare Person zulassen – die exakten Definitionen der hier genutzten rechtlichen Begriffe finden Sie in § 46 BDSG-neu.

Jeder, der mit diesen Informationen umgeht, seien es Kunden-, Dienstleister- oder Personaldaten, zählt für die genannten Anzahlen mit.

Schon wer in oder aus dem Unternehmen regelmäßig E-Mails versendet, ist als Nutzer personenbezogener Daten zu betrachten und zählt dadurch bei den hier erwähnten Personenzahlen mit.

Datenschutzbeauftragter. Eine anspruchsvolle und umfassende Aufgabe

Wer braucht einen DSB?

Viele Unternehmer sind mit den zahlreichen Dokumentations-, Auskunfts- und Nachweispflichten der DSGVO überfordert. Hier kann oft nur ein Spezialist helfen um ein Unternehmen DSGVO-konform abzusichern.

Unternehmen die Kundendaten verarbeiten, sollten, wenn das Thema Datenschutz noch nicht in fachlich guten Händen ist, darüber nachdenken, auch ohne gesetzliche Pflicht freiwillig einen Datenschutzbeauftragten DSB zu bestellen.

Jedes Unternehmen, jede Behörde und jeder Verein oder Verband muss selbst feststellen, ob ein Datenschutzbeauftragter benannt werden muss.

Doch wann besteht die Pflicht, einen DSB zu ernennen? Ein Datenschutzbeauftragter muss bestellt werden, sobald in einem Unternehmen oder einer Organisation personenbezogene Daten (z. B. Arbeitnehmerdaten in der Personalabteilung, Kunden- und Interessentendaten) automatisiert verarbeitet werden.

Es gibt dabei eine Unterscheidung in öffentliche und nicht-öffentliche Stellen:

  • Öffentliche Stellen wie Behörden müssen in jedem Falle einen Datenschutzbeauftragten benennen (§ 5 BDSG-neu).
  • Nicht-öffentliche Stellen wie Unternehmen oder Vereine müssen nach § 37, 38 Bundesdatenschutzgesetz (BDSG-neu) einen Datenschutzbeauftragten stellen, sobald
  • In der Regel mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (beispielsweise am Computer, hierzu gehört bereits der Abruf einer Kundenadresse oder der Versand eines Newsletters, aber auch der Umgang mit Bewerber-, Personal- oder Kundendaten) oder
  • mehr als 20 Personen ständig mit der nicht automatisierten Verarbeitung personenbezogener Daten (z. B. Karteikarten) beschäftigt sind.
  • unabhängig von der Zahl der in der Datenverarbeitung Beschäftigten
    o eine vollautomatisierte Datenerfassung erfolgt (z. B. Marktforschung),
    o Verfahren zum Einsatz kommen, die einer Datenschutz-Folgenabschätzung unterliegen, oder
  • die Verarbeitung von personenbezogenen Daten geschäftlich zu Übermittlungs- oder Markt- und Meinungsforschungszwecken stattfindet und Daten geschäftsmäßig an Dritte weitergegeben werden (z. B. Adresshandel), selbst wenn dies anonymisiert erfolgt.

Die „Personen“ beziehen sich nicht nur auf Vollzeitkräfte, sondern auch auf Teilzeit- und Aushilfskräfte, Leiharbeitnehmer, Freiberufler, Minijobber und Praktikanten.

Auch wenn Sie nach dem Gesetz keinen Datenschutzbeauftragten bestellen müssen, haben Sie als Geschäftsführung natürlich die Einhaltung aller Datenschutzvorschriften zu gewährleisten. Im Zweifelsfall empfiehlt es sich, freiwillig einen Datenschutzbeauftragten zu bestellen, um Schwierigkeiten vorzubeugen.

Die Möglichkeit, den Datenschutzbeauftragten Ihres Unternehmens jederzeit persönlich ansprechen zu können, schafft zudem Vertrauen bei Ihren Geschäftspartnern und Kunden und ist daher nicht nur eine lästige Pflicht. Bei Unternehmensgruppen kann ein übergreifender Datenschutzbeauftragter bestellt werden. Dieser muss an einem Standort angesiedelt werden, der für Aufsichtsbehörden, Mitarbeiter und Kunden/Dienstleister leicht erreichbar ist.

Bei nicht-öffentlichen Stellen, also Privatunternehmen gilt folgende Frist: Innerhalb von einem Monat nach Aufnahme ihrer Tätigkeit haben Unternehmen einen Datenschutzbeauftragten zu bestellen.
Unternehmen haben die Wahl ob sie einen internen Mitarbeiter zum Datenschutzbeauftragten ausbilden und regelmäßig Schulen oder ob sie sich für einen erfahrenen externen Datenschutzbeauftragten entscheiden.

Fazit: Wenn ein Unternehmen mehr als neun Mitarbeiter beschäftigt, wird nach der DSGVO ein interner oder externer Datenschutzbeauftragter benötigt. Dies kann in Einzelfällen auch früher der Fall sein, wenn besonders sensible Daten wie beispielsweise Gesundheitsdaten verarbeitet werden.

Wer kann betrieblicher Datenschutzbeauftragter werden?

Ein Datenschutzbeauftragter muss laut gesetzlicher Vorgabe fachkundig und zuverlässig sein. Wie weit die Fachkunde sich erstreckt, hängt von Art und Umfang der Datenverarbeitung ab. Grundsätzlich hat jeder das Recht, Datenschutzbeauftragter zu werden.  Voraussetzung: Er erarbeitet sich die erforderlichen technischen, rechtlichen und betriebswirtschaftlichen Fachkenntnisse.

Allerdings darf der Datenschutzbeauftragte nicht am Ertrag des Unternehmens beteiligt sein und es dürfen keine Interessenkonflikte bzw. Selbstkontrollen vorliegen. Damit scheiden Mitglieder der Geschäftsführung, Wirtschaftsprüfer/Steuerberater, die Personalleitung sowie Führungskräfte aus der IT-Abteilung aus.

Auch muss die Auswahl bei Zweifeln seitens der Datenschutzbehörde oder anderen Aufsichtsbehörden gerechtfertigt werden. Achten Sie bei der Bestellung eines (externen) Datenschutzbeauftragten auf die vorzuweisenden Qualifikationen. Ratsam ist daher ein Nachweis der Kenntnisse per Zertifikat oder aufgrund einer (juristischen) Ausbildung.

Rechte und Pflichten des internen DSB

Der Datenschutzbeauftragte untersteht als Stabsstelle direkt der Geschäftsführung bzw. Amtsleitung, handelt aber von dieser unabhängig. Er darf und muss in alle Daten und Prozesse Einblick erhalten, die schützenswerte Inhalte betreffen könnten.

Dazu zählen auch personenbezogene Daten, die einem Berufsgeheimnis oder einem Amtsgeheimnis unterliegen. Dazu zählen beispielsweise Steuerdaten sowie Personalakten. Als Arbeitgeber sind Sie in der Pflicht, die Arbeit des Datenschutzbeauftragten zu unterstützen. Dies können Sie durch Zugang zu allen erforderlichen Strukturen, die Vergabe entsprechender Zugriffsrechte, wenn erforderlich auch durch die Bereitstellung von Hilfspersonal, Räumen, Einrichtungen, Geräten und Mitteln erfüllen.

Der Datenschutzbeauftragte ist nicht an Weisungen gebunden und in der Ausübung seines Amtes völlig frei. Er kann allein entscheiden, in welche Daten und Prozesse er Einblick nehmen möchte, und darf daran nicht gehindert werden. Außerdem dürfen ihm aus seiner Tätigkeit als Datenschutzbeauftragter keine beruflichen Nachteile entstehen.

Der Arbeitgeber muss dem Datenschutzbeauftragten eine Liste aller Personen zur Verfügung stellen, die mit der Datenverarbeitung befasst sind. Zum Erhalt der erforderlichen Fachkunde des Datenschutzbeauftragten hat dieser regelmäßig an Schulungen teilzunehmen.

Die Kosten für diese Schulungen (ca. 3.500 Euro im Jahr plus fünf Tage Freistellung) trägt ausschließlich der Arbeitgeber.
Außerdem ist der Datenschutzbeauftragte für die Dauer seiner Amtszeit sowie ein Jahr darüber hinaus (Nachwirkung) gegen Kündigung geschützt (§ 6 BDSG-neu gilt durch die DSGVO und verschiedene Gerichtsurteile auch für nicht öffentliche Stellen wie Unternehmen).

Der Datenschutzbeauftragte hat unter Umständen ein besonderes Zeugnisverweigerungsrecht. Er kann nur in Ausnahmefällen für Datenschutzverstöße des Unternehmens haftbar gemacht werden, da der Datenschutz eine Hoheitsaufgabe der Unternehmensführung ist.

Welche Qualifikation sollte der (interne oder externe) Datenschutzbeauftragte haben?

Die Arbeit eines professionellen Datenschutzbeauftragten erzeugt Rechtskonformität, reduziert Haftungsrisiken. Ein guter Datenschutzbeauftragter verfügt über Fachwissen und Qualifikationen in Bereichen wie Recht, IT-Sicherheit, IT-Dokumentation und Prozessorganisation und ist zertifiziert.

Er erfüllt die gesetzlichen Anforderungen an Unternehmen und Einrichtungen im Bereich der Kirchen, ebenso wie die speziellen Anforderungen im Gesundheitswesen in Bezug auf den Umgang mit Patientendaten.

Der Datenschutzbeauftragte muss

  • Ausreichende datenschutzrechtliche Fachkunde mitbringen, sei es durch seine Ausbildung (z. B. Jurist) oder eine entsprechende Fortbildung. Die Fachkunde muss in regelmäßigen Schulungen aktualisiert und erneut bestätigt werden.
  • Einblick in alle relevanten Unternehmensbereiche haben und auch dort über ein solides Wissen verfügen, um die Prozesse nachvollziehen, einschätzen und eventuell sogar verbessern zu können.
  • Gute kommunikative Fähigkeiten haben, um gezielte Nachfragen stellen, Änderungsvorschläge vorstellen und auch Beratungen und Mitarbeiterschulungen durchführen zu können.
  • Ein gewisses persönliches Standing des Datenschutzbeauftragten hilft dabei, Änderungsprozesse konsequent zu begleiten und auch gegen Kritiker zu verteidigen.

Unser Unternehmen hat keinen Datenschutzbeauftragten – was kann passieren?

Wenn Ihr Unternehmen gesetzlich verpflichtet ist, einen Datenschutzbeauftragten zu benennen, Sie aber keinen benannt haben, kann es teuer werden.

Laut DSGVO kann das Fehlen eines notwendigen Datenschutzbeauftragten als Ordnungswidrigkeit mit einer Geldbuße von bis zu 10 Millionen Euro bzw. zwei Prozent des Jahresumsatzes bestraft werden, je nachdem, welcher Betrag höher ist. Hinzu kommen mögliche Abmahnungen.

Wie benenne ich einen internen Beauftragten für Datenschutz?

Die Benennung (im Amtsdeutsch auch: Bestellung) eines Datenschutzbeauftragten erfolgt immer durch die Geschäftsleitung bzw. eine Führungskraft mit Prokura. Am sichersten ist es, die Benennung auf einer offiziellen Bestellungsurkunde schriftlich festzuhalten.

Dieses Dokument muss von beiden Vertragsparteien unterzeichnet werden und ausdrücklich enthalten, welche namentlich benannte Person zum Datenschutzbeauftragten welches Unternehmens oder Konzerns benannt wird.

Wo muss ein Datenschutzbeauftragter angemeldet werden? Die Benennung muss zusätzlich zu einem Dienst- oder Arbeitsvertrag erfolgen, Sie können diese Ernennung also nicht im Arbeitsvertrag von vornherein festlegen. Auch bei einem externen Datenschutzbeauftragten erfolgt die Ernennung, nachdem der Dienstleistungsvertrag mit dem betreuenden Unternehmen abgeschlossen wurde.

Wie wird ein externe DSB bestellt?

Immer mehr Unternehmen gehen dazu über, aufgrund der komplexen Materie, der fachlichen Unabhängigkeit, Haftungsanfragen und den langfristig geringeren Kosten einen externen Datenschutzbeauftragten zu bestellen.

Ob nun interner oder externer Datenschutzbeauftragte, es muss eine formell wirksame Bestellung erfolgen. Denn in der Praxis ist oft verkannt, dass nicht nur bei fehlender, sondern auch bei fehlerhafter Bestellung eines Datenschutzbeauftragten, ein Bußgeld droht!

Folgendes gilt es zu beachten:

  • Die Bestellung muss schriftlich erfolgen.
  • Die Bestellungsurkunde muss von beiden Parteien unterschrieben werden.
  • Die Bestellung muss in einer gesonderten Vereinbarung außerhalb eines beabsichtigten oder bestehenden Vertrags geschlossen werden.
  • Die Bestellung muss eine Aufgabenbeschreibung sowie die Verpflichtungen des Unternehmens, die Arbeit des Datenschutzbeauftragten zu unterstützen.
Bestellung eines externen Datenschutzbeauftragten

Ablauf

1. Vertrag: Die Vertragsgestaltung orientiert sich an den individuellen Bedürfnissen in Ihrem Unternehmen. Der externe Datenschutzbeauftragte kümmert sich dann genau um Ihre Wünsche.

2. Audit: Der Datenschutzbeauftragte prüft und analysiert den aktuellen Stand des Datenschutzes in Ihrem Unternehmen um den Optimierungsbedarf aufzuzeigen und die nächsten Schritte zu planen und kontrollieren.

3. Bericht: Sie erhalten einen Bericht über die Ergebnisse des Audits und dem Datenschutzniveau in Ihrem Unternehmen sowie einer Risikoeinschätzung.

4. Optimierung: Der Datenschutzbeauftragte leitet anhand der Schwachstellen und Sicherheitslücken Handlungsempfehlungen ab und begleitet Sie bei der Umsetzung von Maßnahmen um dauerhaft ein hohes Datenschutzniveau zu erreichen.

Wie berufe ich den Datenschutzbeauftragten ab?

Ein Datenschutzbeauftragter darf nicht abberufen werden, weil der Geschäftsleitung beispielsweise seine Vorgehensweise nicht gefällt oder er Einblick in Bereiche verlangt, die als geheim eingestuft werden.

  • Bei internen Datenschutzbeauftragten ist zwischen der Beendigung der Tätigkeit als Datenschutzbeauftragter und der Kündigung des Arbeitsverhältnisses zu unterscheiden. Die Abberufung als Datenschutzbeauftragter ist am ehesten einvernehmlich möglich, indem die Benennung widerrufen wird. Die einseitige Abberufung seitens des Arbeitgebers ist nur nach den strengen Regeln zur fristlosen Kündigung möglich, hierbei sollten Sie anwaltliche Hilfe in Anspruch nehmen.
  • Nach seiner Abberufung hat der Datenschutzbeauftragte mindestens ein Jahr Kündigungsschutz, eine Kopplung der Aufgabe „Datenschutzbeauftragter“ an das Fortbestehen des Beschäftigungsverhältnisses besteht also nicht. Der Mitarbeiter genießt sowohl im Tätigkeits- als auch im Beschäftigungsverhältnis besonderen Schutz.
  • Bei externen Datenschutzbeauftragten kann die Trennung durch fristgerechte Aufkündigung des Dienstleistungsvertrages mit dem Anbieter und die Aufhebung der Benennung zum Datenschutzbeauftragten erfolgen.

Was kostet ein externer DSB?

Es kommt drauf an.

Datenschutz ist eine individuelle Dienstleistung abgestimmt auf den Bedarf des jeweiligen Unternehmens. Ähnlich wie die Frage, was kostet es, ein Haus zu bauen?, lässt sie sich nicht so einfach beantworten. Die Kosten für einen externen Datenschutzbeauftragten hängen in der Regel vom Umfang und der zu erbringenden Leistungen ab.

Neben der Größe des Unternehmens, hängt der Preis von Faktoren wie Anzahl der Mitarbeiter, Filialen, zur Verfügung stehenden Ressourcen, (nicht-)vorhandene IT-Lösungen, dem Stand des aktuellen Datenschutzniveaus und der Art und Umfang der Verarbeitung von personenbezogenen Daten.

Wenn möglichst viele dieser Punkte bekannt sind, ist es möglich eine seriöse Antwort auf die oben genannte Frage zu geben. Sie können dazu unser Quick-Scan-Formular ausfüllen und ein Angebot anfordern.

Ausblick: Zusätzliche Aufgaben für den Datenschutzbeauftragten

Der Datenschutz in Unternehmen wird immer wichtiger, und die Anforderungen an die Dokumentation und den Datenschutzbeauftragten steigen. Aktuell sind folgende Entwicklungen in der politischen Beratung und werden daher voraussichtlich in den nächsten Jahren auf den Datenschutzbeauftragten zukommen:

  • Zur DSGVO wird sich in den kommenden Jahren voraussichtlich eine ePrivacy-Verordnung (ePVO) gesellen, die eigentlich schon zeitgleich mit der DSGVO in Kraft treten sollte. Sie verpflichtet Betriebe zu noch weiteren Offenlegungen beim Schutz persönlicher Daten als die DSGVO. Wenn diese Regelung verabschiedet wird, tritt sie sofort in Kraft. Die Verordnung betrifft vor allem Händler, Betreiber von Online-Shops sowie Unternehmen, die tracking- oder direktwerbebasiert arbeiten – vor allem Anbieter von Internetzugängen, sozialen Netzwerken, Instant-Messengern und Internet-Telefonie.
  • Ein weiterer Bereich, in dem sich Entwicklungen abzeichnen, ist, dass die DSGVO allmählich bereits bei der Entwicklung von Prozessen beachtet wird und zu einem neuen Denken führt.
    Für den Datenschutzbeauftragten bedeutet das: Er muss sich ständig über neue Datenschutzprozesse, Datenschutz-Software sowie eLearning auf dem Laufenden halten. Der Schulungsaufwand für den Datenschutzbeauftragten wird eher größer als kleiner.

Unsere Services und Leistungen zum Datenschutz

Wir freuen uns auf Ihr Projekt!

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter Osnabrück - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Ihr Ansprechpartner

Portrait Martina Brinkmann

Martina Brinkmann
+49 251 2979474-2
mb@cortina-consult.de

Ihr Ansprechpartner

Portrait Lars Ruether

Lars Rüther
+49 251 2979474-4
l.ruether@cortina-consult.de

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download