Wie ein Datenschutzbeauftragter zum kompetenten Partner wird

Spätestens seit die Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 endgültig wirksam geworden ist, müssen viele Unternehmen einen Datenschutzbeauftragten benennen. Grundsätzlich sieht der Gesetzgeber die Pflicht zur Benennung für alle Unternehmen vor, die eine von den drei folgenden Bedingungen erfüllen: Mindestens 20 Personen sind dauerhaft mit der automatisierten Verarbeitung von Daten beschäftigt, das Unternehmen verarbeitet besonders sensible Daten oder die Verarbeitung von Daten gehört mit zum Kerngeschäft. Dabei dürfen allerdings nur qualifizierte Personen – intern wie extern – zum Datenschutzbeauftragten benannt werden.

Das Wichtigste in Kürze

  • Verarbeiten Unternehmen geschäftsmäßig personenbezogene Daten, müssen sie in der Regel einen Datenschutzbeauftragten benennen.
  • Die Benennung erfolgt immer durch die Geschäftsführung.
  • Benannt werden dürfen nur Personen, die über anerkannte Qualifizierungen hierfür verfügen.
  • Ist trotz Pflicht kein Datenschutzbeauftragter benannt, drohen Bußgelder von bis zu 10 Millionen Euro.

In diesem Beitrag

Das könnte Sie auch interessieren

Wann muss die Benennung eines Datenschutzbeauftragten erfolgen?

Bestellen und Benennen

Lange wurden Datenschutzbeauftragte „bestellt“. Seit Inkrafttreten der DSGVO spricht der Gesetzgeber allerdings von einer Benennung des Datenschutzbeauftragten. Letztlich meinen beide Begriffe aber dasselbe: Unternehmen bestimmen eine natürliche Person, die künftig hauptverantwortlich für den Datenschutz ist.

Wann Sie einen Datenschutzbeauftragten (DSB) benennen müssen, regeln sowohl Artikel 37 der DSGVO als auch Artikel 38 des Bundesdatenschutzgesetzes (BDSG-neu). Es reicht dabei, wenn Ihr Unternehmen eine der folgenden Bedingungen erfüllt:

  1. Im Unternehmen befassen sich mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten.
  2. Die Kerntätigkeit des Unternehmens besteht darin oder macht es notwendig, umfangreich und systematisch mit personenbezogenen Daten zu arbeiten. Das ist beispielsweise bei Auskunfteien oder Versicherungen der Fall, aber oftmals auch bei Werbeagenturen oder Softwareunternehmen im Online-Umfeld.
  3. Die Kerntätigkeit des Unternehmens besteht darin oder macht es notwendig, besonders sensible personenbezogene Daten zu verarbeiten – unabhängig vom Umfang. Hiervon sind insbesondere Ärzte oder Rechtsanwälte betroffen.

Wichtig: Auch wenn Unternehmen nicht zur Benennung eines DSB verpflichtet sind, kann sich die Benennung trotzdem bezahlt machen. Denn so gut wie jedes Unternehmen arbeitet mit personenbezogenen Daten und muss diese entsprechend sorgsam behandeln. Geschieht dies nicht, drohen teils hohe Bußgelder. Ein Datenschutzbeauftragter beugt hier entsprechend vor.

Aufgaben des Datenschutzbeauftragten

Ist der Datenschutzbeauftragte benannt, sorgt er kurz gesagt dafür, dass Ihr Unternehmen alle datenschutzrechtlichen Vorgaben einhält. Dazu gehören im Wesentlichen folgende Aufgaben:

  • Datenschutzschulung Ihrer Mitarbeiter
  • Überwachung der Einhaltung der DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Ansprechpartner bei Fragen zur Verarbeitung personenbezogener Daten

Wer kann Datenschutzbeauftragter werden?

Um einen Datenschutzbeauftragten benennen zu können, brauchen Sie zunächst einmal einen geeigneten Kandidaten. Bei der Vorauswahl achten Sie auf diese Punkte:

  • Nur eine qualifizierte Person kann Datenschutzbeauftragter werden. Dazu muss die Person Schulungen etwa beim TÜV oder der DEKRA absolviert haben.
  • Ihr Datenschutzbeauftragter benötigt Einblick in Ihre Organisation. Er sollte Kommunikationstalent und die Bereitschaft zur Weiterbildung mitbringen. Und nicht schreiend weglaufen, wenn technische oder juristische Themen aufs Tapet kommen.
  • Außerdem müssen Sie Interessenkonflikte verhindern. Wenn Sie zum Beispiel Ihren IT-Administrator oder einen Geschäftsführer Ihres Unternehmens zum Datenschutzbeauftragten benennen, müsste dieser sich selbst kontrollieren. Eine solche Situation hat der Gesetzgeber ausgeschlossen.

Oft entscheiden sich Unternehmen für einen externen Datenschutzbeauftragten, weil dieser die erforderliche Qualifikation und Erfahrung bereits mitbringt. Zudem können sie nicht in Interessenskonflikte geraten. Auch die Kosten sind meist geringer, als wenn ein interner Mitarbeiter diese Aufgabe übernimmt.

Bei DataGuard kümmern sich über 100 Mitarbeiter leidenschaftlich um die Themen Datenschutz, Compliance und IT-Sicherheit. Unsere TÜV/DEKRA-qualifizierten Datenschutzbeauftragten beraten Sie individuell und können schon ab 150 Euro pro Monat benannt werden.

Wer muss die Benennung vornehmen?

Der Datenschutzbeauftragte berichtet direkt an die Geschäftsleitung. Damit ist klar, dass die Geschäftsführung auch die Benennung vornimmt. Erst mit der Benennung übt der Datenschutzbeauftragte seine Funktion offiziell aus. Und erst dann ist auch das Unternehmen rechtlich abgesichert.

Bei Nichtbenennung droht Bußgeld

Nicht nur im Falle von Datenschutzpannen oder -verstößen drohen Ihnen Bußgelder, sondern auch, schon wenn Sie keinen Datenschutzbeauftragten benennen, obgleich Sie dies müssten. Die DSGVO hat den Rahmen für Bußgelder auf bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes angehoben.

Wie läuft die Benennung zum Datenschutzbeauftragten ab?

Um einen Datenschutzbeauftragten zu benennen, sollten Sie folgende drei Schritte durchführen:

1. Auswahl

Zuerst wählen Sie eine für die Aufgabe geeignete Person aus. Geeignet heißt letztlich, dass die Person anerkannte Fortbildungen mitgemacht hat und sich sehr gut mit dem Thema auskennt. Die meisten Unternehmen entscheiden sich aus diesem Grund oftmals für einen externen Datenschutzbeauftragten und bilden nicht erst einen internen Mitarbeiter aus.

Auswahl

2. Vorgespräch

Anschließend führen Sie Vorgespräche mit der Person und treffen eine mündliche Vereinbarung über die künftige Zusammenarbeit.

Vorgespräch

3. Vertrag

Danach schließen Sie bzw. die Geschäftsführung mit dem DSB einen schriftlichen Dienstleistungsvertrag oder einen schriftlichen Auftrag zur Benennung.

Vertrag

Die Bestellungsurkunde

Bei der Benennung eines externen Datenschutzbeauftragten wird eine sogenannte Bestellungsurkunde aufgesetzt, die folgenden Anforderungen genügen sollte:

  • Auftraggeber (Ihr Unternehmen) und Auftragnehmer (Datenschutzbeauftragter)
  • Einen Verweis auf Artikel 37-39 DSGVO und § 38 BDSG, denn diese bilden die Rechtsgrundlagen für die Benennung
  • Den Beginn der Tätigkeit, das heißt, ab wann der Auftragnehmer als DSB fungiert
  • Die Aufgaben des DSB nach Artikel 39 DSGVO
  • Die Verschwiegenheitsverpflichtung und die Verpflichtung zur angemessenen Risikoabwägung gemäß Artikel 39 DSGVO

Fazit

Alle Unternehmen, in denen mindestens 20 Personen personenbezogene Daten verarbeiten, die besonders sensible Daten verarbeiten oder die in großem Umfang mit personenbezogenen Daten arbeiten, müssen einen Datenschutzbeauftragten benennen. Insbesondere kleine und mittelständische Unternehmen setzen dabei meist auf einen externen Datenschutzbeauftragten. Dieser ist nicht nur qualifiziert, sondern in der Regel auch günstiger als ein interner Mitarbeiter. Zudem können Interessenskonflikte so vermieden werden. Ist die richtige Person ausgewählt, sollte die Benennung zum Datenschutzbeauftragten dann in jedem Fall schriftlich erfolgen.

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenlose Erstberatung vereinbaren

 

Über den Autor

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren