Begriff und rechtliche Grundlagen des Datenschutzbeauftragten
Der Datenschutzbeauftragte (DSB) ist eine nach europäischem und nationalem Datenschutzrecht vorgesehene Person, die innerhalb einer Organisation die Einhaltung der Vorschriften zum Datenschutz überwacht und als Ansprechperson fungiert. Vor allem in der Datenschutz-Grundverordnung (DSGVO) sowie im Bundesdatenschutzgesetz (BDSG) sind die Aufgaben, Pflichten und die Stellung des Datenschutzbeauftragten ausführlich geregelt.
Funktion und Zweck des Datenschutzbeauftragten
Aufgabenbereich und Zielsetzung
Der Datenschutzbeauftragte trägt innerhalb einer Organisation Verantwortung für die Überwachung der korrekten Anwendung von Datenschutzbestimmungen. Zu seinen zentralen Aufgaben gehören insbesondere:
- Information und Beratung der verantwortlichen Personen und der Beschäftigten über die Einhaltung der Datenschutzvorschriften
- Überwachung der Einhaltung der DSGVO, des BDSG und anderer Datenschutzvorschriften
- Schulung der Mitarbeitenden im Bereich Datenschutz
- Zusammenarbeit mit der Aufsichtsbehörde
- Unterstützung und Beratung bei Datenschutz-Folgenabschätzungen
Rolle innerhalb der Organisation
Ein Datenschutzbeauftragter agiert unabhängig. Er berichtet direkt an die höchste Managementebene. Arbeitgeber und Verantwortliche dürfen den Datenschutzbeauftragten aufgrund der Erfüllung seiner Aufgaben nicht benachteiligen oder abberufen.
Gesetzliche Anforderungen an die Benennung
Verpflichtung zur Bestellung
Nach DSGVO
Die DSGVO (Art. 37 Abs. 1) verlangt die Bestellung eines Datenschutzbeauftragten, wenn:
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht,
- die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung betroffener Personen erforderlich machen, oder
- die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO liegt.
Nach BDSG
Das BDSG (§ 38) konkretisiert die Bestellpflicht für Deutschland. So muss nach deutschem Recht in der Regel bereits dann ein Datenschutzbeauftragter bestellt werden, wenn in der Organisation mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Interne und externe Datenschutzbeauftragte
Der Datenschutzbeauftragte kann sowohl interner Mitarbeiter als auch ein externer Beauftragter sein. Die Auswahl bleibt dem Verantwortlichen überlassen, solange die rechtlichen Anforderungen an die Sachkunde und Zuverlässigkeit erfüllt sind. Bei internen Beauftragten ist auf einen ausreichenden Schutz vor Interessenkonflikten zu achten.
Qualifikation und Stellung des Datenschutzbeauftragten
Fachkunde und Zuverlässigkeit
Der Datenschutzbeauftragte muss über die für die Ausübung seiner Tätigkeiten erforderliche Fachkunde und die notwendige Zuverlässigkeit verfügen. Dazu zählt Wissen im Datenschutzrecht und bei Datenschutztechnologien. Die Sicherstellung kontinuierlicher Fortbildung ist ebenso erforderlich.
Weisungsfreiheit und Unabhängigkeit
Die DSGVO schreibt vor, dass der Datenschutzbeauftragte im Rahmen seiner Tätigkeit keiner Weisung unterliegt. Er muss in der Lage sein, seine Aufgaben unabhängig und ohne Interessenkonflikt wahrzunehmen.
Benachteiligungs- und Kündigungsschutz
Dem Datenschutzbeauftragten wird ein besonderer Kündigungsschutz gewährt. Eine ordentliche Kündigung ist während der Amtszeit und für ein Jahr danach grundsätzlich ausgeschlossen (§ 38 Abs. 2, § 6 Abs. 4 BDSG). Eine außerordentliche Kündigung aus wichtigem Grund bleibt möglich.
Aufgaben und Pflichten im Detail
Überwachung der Einhaltung von Datenschutzvorschriften
Der Datenschutzbeauftragte überwacht die Prozesse der Datenerhebung, -verarbeitung und -nutzung innerhalb der Organisation und stellt sicher, dass diese im Einklang mit den gesetzlichen Vorgaben stehen.
Beratung und Information
Er berät die Führungskräfte und Mitarbeitenden hinsichtlich der zu beachtenden Vorschriften. Dies umfasst die Prüfung der Zulässigkeit geplanter Datenverarbeitungen, die Unterstützung bei der Erstellung von Verzeichnissen von Verarbeitungstätigkeiten sowie die Beratung bei der Durchführung von Datenschutz-Folgenabschätzungen.
Zusammenarbeit mit Aufsichtsbehörden
Der Datenschutzbeauftragte fungiert als Anlaufstelle für die Datenschutzaufsichtsbehörden und arbeitet mit diesen zusammen, insbesondere bei Datenschutzvorfällen oder Anfragen zur Datenverarbeitung.
Schulung und Sensibilisierung
Zu den Aufgaben zählen auch die Sensibilisierung und regelmäßige Schulung der Mitarbeitenden im Datenschutz.
Rechte des Datenschutzbeauftragten
Auskunfts- und Einsichtsrecht
Der Datenschutzbeauftragte verfügt innerhalb der Organisation über umfassende Auskunfts- und Einsichtsrechte. Dadurch kann er sich ein vollständiges Bild über die Datenverarbeitungsprozesse verschaffen.
Recht auf Weiterbildung
Dem Datenschutzbeauftragten ist die Teilnahme an Fort- und Weiterbildungen zu ermöglichen, um den gesetzlichen Anforderungen dauerhaft gerecht zu werden.
Verschwiegenheitspflicht und Haftung
Verschwiegenheitspflicht
Der Datenschutzbeauftragte unterliegt einer gesetzlichen Verschwiegenheitspflicht hinsichtlich der Identität von betroffenen Personen sowie der Umstände, die Rückschlüsse auf diese zulassen. Dies dient dem Schutz sensibler Daten und der Wahrung des Vertrauensverhältnisses.
Haftung
Der Datenschutzbeauftragte haftet grundsätzlich nicht persönlich für Verstöße gegen Datenschutzvorgaben. Die Verantwortung trägt der Verantwortliche oder der Auftragsverarbeiter. Eine zivilrechtliche Haftung kann jedoch bei grober Fahrlässigkeit oder vorsätzlicher Verletzung der Aufgaben gegeben sein.
Stellung im internationalen Kontext
Europäische Datenschutz-Grundverordnung (DSGVO)
Die Einführung der DSGVO hat die Rolle des Datenschutzbeauftragten europaweit vereinheitlicht und dessen Aufgabenbereich deutlich hervorgehoben. Die Vorschriften sind unmittelbar in allen EU-Mitgliedstaaten anwendbar.
Besonderheiten in Deutschland
Deutschland nimmt innerhalb der Europäischen Union eine Vorreiterrolle bei der Bestellung von Datenschutzbeauftragten ein und regelt bereits seit vielen Jahren entsprechende Pflichten. Das BDSG enthält weitergehende Anforderungen, etwa die bereits bei geringerer Mitarbeiterzahl einsetzende Bestellpflicht.
Bekanntgabe und Kommunikation
Bekanntmachung an die Aufsichtsbehörde
Die Kontaktdaten des Datenschutzbeauftragten sind der zuständigen Aufsichtsbehörde zu melden und öffentlich verfügbar zu machen, etwa auf der Internetseite der Organisation (Art. 37 Abs. 7 DSGVO).
Ansprechperson für Betroffene
Der Datenschutzbeauftragte ist zentrale Ansprechperson für betroffene Personen, die Auskunft über die Verarbeitung ihrer Daten wünschen oder ihre Rechte nach der DSGVO wahrnehmen möchten.
Aufhebung und Abberufung
Gründe und Verfahren
Eine Abberufung des Datenschutzbeauftragten ist nur unter bestimmten Voraussetzungen möglich, etwa bei nachhaltiger Pflichtverletzung oder grober Vernachlässigung der Aufgaben. Dabei sind die gesetzlichen Kündigungs- und Benachteiligungsverbote zu beachten.
Zusammenfassung
Der Datenschutzbeauftragte ist ein zentrales Organ zur Umsetzung des Datenschutzrechts innerhalb einer Organisation. Die Aufgabe umfasst die Beratung, Überwachung und das Berichtswesen zu sämtlichen datenschutzrechtlichen Vorgängen. Durch rechtliche Vorgaben in der DSGVO und im BDSG genießt der Datenschutzbeauftragte eine starke, gesetzlich geschützte Stellung. Dies dient dazu, sowohl die Betroffenenrechte zu wahren, als auch die Organisation bei der Einhaltung datenschutzrechtlicher Standards zu unterstützen.
Häufig gestellte Fragen
Wann ist die Benennung eines Datenschutzbeauftragten nach der DSGVO verpflichtend?
Die Benennung eines Datenschutzbeauftragten (DSB) ist nach Art. 37 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) dann verpflichtend, wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder wenn es sich um eine Behörde bzw. öffentliche Stelle handelt. Außerdem besteht eine Benennungspflicht, wenn im Unternehmen besonders sensible personenbezogene Daten gemäß Art. 9 oder 10 DSGVO umfangreich verarbeitet werden, etwa Gesundheitsdaten oder Daten über strafrechtliche Verurteilungen. In Deutschland ergeben sich durch § 38 Bundesdatenschutzgesetz (BDSG-neu) darüber hinaus nationale Besonderheiten: Hier ist eine Benennung bereits erforderlich, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, unabhängig von der risikobezogenen Betrachtung der DSGVO. Wird gegen die Benennungspflicht verstoßen, drohen empfindliche Bußgelder.
Welche Qualifikationen und Fachkenntnisse muss ein Datenschutzbeauftragter besitzen?
Gemäß Art. 37 Abs. 5 DSGVO muss der Datenschutzbeauftragte „aufgrund seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ benannt werden. Diese Qualifikation umfasst sowohl juristische als auch technische Kenntnisse. Juristisch sollte ein DSB ein umfassendes Verständnis der DSGVO, des BDSG sowie weiterer maßgeblicher Datenschutzvorschriften besitzen. Dazu kommen Kenntnisse im Bereich der Informationssicherheit, IT-Infrastrukturen sowie praktische Erfahrungen im Umgang mit technischen und organisatorischen Maßnahmen im Datenschutz. Die Fachkunde lässt sich durch einschlägige berufliche Qualifikationen, Fortbildungen, Zertifizierungen (z.B. TÜV, IAPP) sowie Berufserfahrung im Datenschutz nachweisen. Unzureichend qualifizierte Datenschutzbeauftragte können von den Aufsichtsbehörden beanstandet werden.
Welche Aufgaben hat ein Datenschutzbeauftragter gemäß der DSGVO?
Die Aufgaben eines Datenschutzbeauftragten sind in Art. 39 DSGVO detailliert geregelt. Zentrale Aufgaben sind die Unterrichtung und Beratung des Verantwortlichen, der Auftragsverarbeiter sowie der Beschäftigten, die mit der Verarbeitung personenbezogener Daten befasst sind, in Bezug auf ihre Pflichten aus der DSGVO und anderen Datenschutzvorschriften. Der DSB überwacht die Einhaltung der Datenschutzvorgaben, einschließlich der Sensibilisierung und Schulung der Mitarbeiter sowie der Durchführung interner Audits. Er berät bei Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO, steht als Anlaufstelle sowohl für Betroffene als auch für die Aufsichtsbehörde zur Verfügung und arbeitet mit dieser zusammen. Zudem muss er die datenschutzrechtlichen Prozesse und Verfahren regelmäßig evaluieren und ggf. Optimierungsmaßnahmen anstoßen.
Ist der Datenschutzbeauftragte gegenüber dem Arbeitgeber weisungsgebunden?
Nach Art. 38 Abs. 3 DSGVO ist der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keinen Weisungen bezüglich der Art und Weise seiner Aufgabenerfüllung unterworfen. Dies gewährleistet die notwendige Unabhängigkeit. Gleichwohl bleibt der DSB dem Unternehmen organisatorisch zugeordnet und muss mit erforderlichen Ressourcen, etwa Zeit, Unterstützung und Zugang zu Informationen, ausgestattet werden. Seine Unabhängigkeit bezieht sich speziell auf inhaltliche Entscheidungen und Bewertungen zum Datenschutz. Weisungen zu anderen Aufgabenbereichen im Unternehmen bleiben hiervon unberührt, sofern sie keine Interessenkonflikte mit der Rolle als DSB hervorrufen.
Welche Haftung droht bei Verstößen im Zusammenhang mit dem Datenschutzbeauftragten?
Die Haftung für Datenschutzverstöße liegt grundsätzlich beim Verantwortlichen bzw. dem Unternehmen, das die Datenverarbeitung durchführt. Fehler des Datenschutzbeauftragten, wie etwa unvollständige oder fehlerhafte Beratung, führen nicht automatisch zu einer persönlichen Haftung des DSB nach außen. Anders kann es jedoch werden, falls der DSB vorsätzlich oder grob fahrlässig falsche Aussagen trifft oder seine Pflichten erheblich verletzt – etwa durch die Nichteinhaltung von Verschwiegenheitspflichten oder die Offenlegung vertraulicher Informationen. Interne Regressnahmen durch den Arbeitgeber können in schweren Fällen denkbar sein. Von der Aufsichtsbehörde werden jedoch regelmäßig vorrangig die Verantwortlichen belangt.
Wie ist die Stellung des Datenschutzbeauftragten im Unternehmen geregelt?
Die Stellung des Datenschutzbeauftragten ist durch verschiedene gesetzliche Schutzvorschriften gesichert. Nach Art. 38 DSGVO und § 6 Abs. 4 BDSG-neu genießt der betriebliche DSB einen besonderen Kündigungsschutz, vergleichbar mit dem eines Betriebsratsmitglieds. Seine Rolle ist unabhängig; er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt oder abberufen werden, außer es liegt ein wichtiger Grund vor. Der DSB unterliegt einer gesetzlichen Verschwiegenheitspflicht hinsichtlich der Identität von betroffenen Personen und Umstände, aus denen sich Rückschlüsse auf sie ziehen lassen. Darüber hinaus muss der Verantwortliche sicherstellen, dass der Datenschutzbeauftragte alle zur Aufgabenerfüllung notwendigen Ressourcen erhält.
Kann ein Datenschutzbeauftragter auch externe Dienstleister sein?
Ja, die Benennung eines externen Datenschutzbeauftragten ist sowohl nach der DSGVO als auch nach dem BDSG zulässig (Art. 37 Abs. 6 DSGVO). Unternehmen können somit spezialisierte Dienstleister beauftragen, die als externer DSB fungieren. Der externe DSB übernimmt die gleichen gesetzlichen Aufgaben wie ein interner Beauftragter und muss insbesondere Fachkunde und Zuverlässigkeit nachweisen. Die Bestellung erfolgt durch einen schriftlichen Dienstleistungsvertrag. Vorteile der externen Lösung sind häufig eine größere Neutralität, breiteres Fachwissen und weniger Interessenkonflikte – jedoch müssen auch hier alle gesetzlichen Anforderungen an Verfügbarkeit, Verschwiegenheit und unabhängige Aufgabenwahrnehmung streng eingehalten werden.
