Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
MTR Legal Rechtsanwälte Logo
Kontakt

Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart | Paris | London | Amsterdam

Header-Anwalt-Rechtsanwalt-Kanzlei-MTR Legal Rechtsanwälte
Kontakt
Berlin | Düsseldorf | Frankfurt  | Hamburg | Köln | München | Stuttgart
Kontakt

Legal Wiki

Datenschutzbeauftragter

Begriff und rechtliche Einordnung

Der Datenschutzbeauftragte ist eine benannte Person, die innerhalb einer Organisation die Einhaltung des Datenschutzrechts überwacht und fördert. Diese Funktion ist in Europa fest verankert und wird durch nationales Recht ergänzt. Ziel ist es, einen unabhängigen innerbetrieblichen Ansprechpartner zu schaffen, der sowohl die verantwortliche Stelle als auch die Beschäftigten berät, mit Aufsichtsbehörden kooperiert und die Rechte betroffener Personen stärkt.

Die Benennung kann verpflichtend oder freiwillig erfolgen. Verpflichtungen entstehen vor allem für öffentliche Stellen sowie für private Organisationen, deren Kerntätigkeit in der systematischen Beobachtung von Personen oder in der umfangreichen Verarbeitung sensibler Daten liegt. Nationales Recht kann darüber hinaus zusätzliche Benennungspflichten vorsehen, zum Beispiel bei einer bestimmten Anzahl regelmäßig mit Datenverarbeitung betrauter Personen.

Aufgaben und Verantwortungsbereich

Kernaufgaben

  • Unterrichtung und Beratung der Organisation und ihrer Beschäftigten zu datenschutzrechtlichen Pflichten.
  • Überwachung der Einhaltung gesetzlicher Vorgaben und interner Datenschutzregelungen, einschließlich Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulungen.
  • Begleitung von Bewertungen der Datenschutzrisiken, insbesondere bei Verarbeitungsvorgängen mit erhöhtem Risiko.
  • Beratung bei der Gestaltung von Prozessen, Produkten und Diensten nach Grundsätzen des Datenschutzes.
  • Zusammenarbeit mit der zuständigen Aufsichtsbehörde und Tätigkeit als Anlaufstelle für diese.
  • Anlaufstelle für betroffene Personen bei Fragen zur Verarbeitung ihrer Daten und zur Ausübung ihrer Rechte.

Abgrenzung der Verantwortung

Der Datenschutzbeauftragte unterstützt, berät und überwacht. Die Verantwortung für die rechtmäßige Verarbeitung von personenbezogenen Daten liegt weiterhin bei der Organisation, die über Zwecke und Mittel der Verarbeitung entscheidet, oder bei einem Auftragsverarbeiter, der Verarbeitung im Auftrag durchführt.

Stellung im Unternehmen oder in der Behörde

Unabhängigkeit und Weisungsfreiheit

Der Datenschutzbeauftragte arbeitet unabhängig. Er erhält keine Anweisungen zu Art und Weise der Aufgabenerfüllung. Eine Benachteiligung wegen der Aufgabenerfüllung ist unzulässig.

Ressourcen, Zugang und Einbindung

Die Organisation stellt ausreichende Ressourcen bereit, einschließlich Zeit, Informationen, Zugang zu Verarbeitungsvorgängen und Unterstützung der Leitungsebene. Der Datenschutzbeauftragte ist frühzeitig in alle Fragen des Datenschutzes einzubeziehen und berichtet unmittelbar an die oberste Leitung.

Konflikte und Unvereinbarkeiten

Die Funktion darf nicht mit Tätigkeiten verbunden sein, die über Zwecke und Mittel der Verarbeitung entscheiden. Leitende Rollen mit Entscheidungsbefugnissen zur Datenverarbeitung sind typischerweise konfliktträchtig und daher mit der Unabhängigkeit schwer vereinbar.

Vertraulichkeit

Der Datenschutzbeauftragte ist zur Vertraulichkeit verpflichtet, insbesondere im Umgang mit Hinweisen, Anfragen betroffener Personen und internen Informationen.

Benennungspflichten und Freiwilligkeit

Wann eine Benennung vorgeschrieben ist

Eine Benennung ist typischerweise vorgeschrieben für öffentliche Stellen. Private Organisationen benennen einen Datenschutzbeauftragten insbesondere dann, wenn ihre Kerntätigkeit in der regelmäßigen, systematischen Beobachtung von Personen liegt oder wenn sie sensible Daten in größerem Umfang verarbeiten. Nationales Recht kann weitere Fälle festlegen, etwa ab einer bestimmten Anzahl von Beschäftigten, die regelmäßig mit Datenverarbeitung betraut sind.

Freiwillige Benennung

Organisationen können freiwillig einen Datenschutzbeauftragten benennen, um klare Zuständigkeiten zu schaffen und die Zusammenarbeit mit Aufsichtsbehörden sowie betroffenen Personen zu strukturieren.

Form der Benennung und Bekanntmachung

Die Benennung erfolgt schriftlich oder in nachvollziehbarer Form. Die Kontaktdaten des Datenschutzbeauftragten werden veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt. Er muss leicht erreichbar sein, etwa über eine E-Mail-Adresse und Postanschrift.

Interne und externe Datenschutzbeauftragte

Interne Benennung

Bei einer internen Lösung übernimmt eine beschäftigte Person die Funktion zusätzlich zu vereinbaren Aufgaben, soweit keine Interessenkonflikte bestehen. Die Unabhängigkeit und ausreichende Ressourcenausstattung sind sicherzustellen.

Externe Benennung

Die Funktion kann einer externen natürlichen Person oder geeigneten Stelle übertragen werden. Dabei sind Aufgaben, Vertraulichkeit, Unabhängigkeit, Erreichbarkeit und Berichtslinien vertraglich zu regeln.

Erreichbarkeit und Vertretung

Unabhängig von der Ausgestaltung muss die kontinuierliche Erreichbarkeit gewährleistet sein. Vertretungsregelungen sind üblich, um Ausfälle zu überbrücken.

Qualifikation und Kenntnisse

Erforderlich ist ein dem Umfang und der Komplexität der Verarbeitung entsprechendes Fachwissen über Datenschutzrecht und -praxis sowie Verständnis für Organisation, Branche und eingesetzte Technologien. Kommunikationsfähigkeit, Unabhängigkeit und Integrität sind zentrale Voraussetzungen.

Haftung, Schutz und Sanktionen

Verantwortlichkeiten

Die primäre Verantwortung für die Einhaltung des Datenschutzrechts liegt bei der Organisation als Verantwortlichem oder Auftragsverarbeiter. Der Datenschutzbeauftragte ist kein Entscheidungsträger über Zwecke und Mittel, sondern überwacht und berät. Er kann interne Verpflichtungen aus seinem Dienst- oder Werkvertrag haben.

Schutz der Funktion

Eine Abberufung oder Benachteiligung wegen der pflichtgemäßen Aufgabenerfüllung ist unzulässig. Die organisatorische Unabhängigkeit ist zu sichern.

Aufsichtsmaßnahmen und Bußgelder

Bei Verstößen gegen Benennungs- und Ausstattungspflichten, bei Behinderung der Tätigkeit oder bei fehlender Unabhängigkeit können aufsichtsbehördliche Maßnahmen und Geldbußen gegen die Organisation verhängt werden.

Zusammenarbeit mit Aufsichtsbehörden und Betroffenen

Kontaktstelle und Kooperation

Der Datenschutzbeauftragte dient als Anlaufstelle für die Aufsichtsbehörde und arbeitet konstruktiv mit ihr zusammen. Er unterstützt bei Anfragen, Prüfungen und Maßnahmen.

Betroffenenanfragen und Beschwerden

Betroffene Personen können sich an den Datenschutzbeauftragten wenden. Dieser behandelt Anfragen vertraulich und unterstützt die Organisation bei der Bearbeitung und Dokumentation.

Internationale und sektorspezifische Aspekte

Die Rolle des Datenschutzbeauftragten gilt unionsweit. In Konzernen und grenzüberschreitenden Strukturen sind Koordination, Mehrsprachigkeit und Branchenbesonderheiten zu berücksichtigen. Nationales Recht kann zusätzliche Anforderungen vorsehen, etwa im Gesundheits-, Finanz- oder öffentlichen Sektor.

Abgrenzungen und verwandte Funktionen

Der Datenschutzbeauftragte ist von Rollen wie Compliance, IT-Sicherheit oder Informationssicherheitsbeauftragten abzugrenzen. Überschneidungen sind üblich, die Entscheidungshoheit über Zwecke und Mittel der Datenverarbeitung darf jedoch nicht beim Datenschutzbeauftragten liegen.

Häufig gestellte Fragen (FAQ)

Ist die Benennung eines Datenschutzbeauftragten immer verpflichtend?

Nein. Verpflichtend ist die Benennung insbesondere für öffentliche Stellen sowie für private Organisationen mit Kerntätigkeiten, die in systematischer Beobachtung oder umfangreicher Verarbeitung sensibler Daten bestehen. Nationales Recht kann weitere Fälle vorsehen, zum Beispiel bei einer bestimmten Anzahl regelmäßig mit Datenverarbeitung betrauter Personen.

Wer trägt die Verantwortung für die Einhaltung des Datenschutzrechts?

Die Verantwortung liegt bei der Organisation, die über Zwecke und Mittel der Verarbeitung entscheidet, oder beim Auftragsverarbeiter. Der Datenschutzbeauftragte unterstützt durch Beratung und Überwachung, entscheidet aber nicht über die Verarbeitung.

Darf die Funktion mit anderen Rollen kombiniert werden?

Eine Kombination ist möglich, sofern keine Interessenkonflikte entstehen. Funktionen mit Entscheidungsmacht über Zwecke und Mittel der Datenverarbeitung sind damit in der Regel unvereinbar.

Müssen der Name und die Kontaktdaten veröffentlicht werden?

Veröffentlicht werden müssen die Kontaktdaten, damit Betroffene und Aufsichtsbehörden die Anlaufstelle erreichen können. Ob der Name genannt wird, hängt von der gewählten Ausgestaltung ab; entscheidend ist die klare und zuverlässige Erreichbarkeit.

Welche Qualifikation muss ein Datenschutzbeauftragter besitzen?

Erforderlich ist angemessenes Fachwissen über Datenschutzrecht und -praxis sowie ein Verständnis für die eingesetzten Technologien und die Branche. Der Umfang richtet sich nach Art, Umfang und Komplexität der Verarbeitung.

Kann ein externer Datenschutzbeauftragter mehrere Unternehmen betreuen?

Ja, sofern Unabhängigkeit, Vertraulichkeit, Erreichbarkeit und die Vermeidung von Interessenkonflikten gewährleistet sind.

Was passiert, wenn trotz Pflicht kein Datenschutzbeauftragter benannt wird?

Die Aufsichtsbehörde kann Maßnahmen anordnen und Geldbußen gegen die Organisation verhängen. Zudem können Prüfungen und weitere Anordnungen erfolgen, um die gesetzeskonforme Struktur herzustellen.

Auf dieser Seite

Weitere Begriffserklärungen