Für viele Unternehmen ist ein Datenschutzbeauftragter gemäß der DSGVO Pflicht. Doch auch nicht verpflichtete Unternehmen profitieren von der Benennung eines Datenschutzbeauftragten. Die Verarbeitung personenbezogener Daten bringt Haftungsrisiken mit sich – bei Missachtung der Datenschutzverordnung drohen empfindliche Strafen. Außerdem sind die Regelungen der DSGVO und des BDSG oft komplex und aufwendig umzusetzen. Ein Datenschutzbeauftragter nimmt Ihnen die administrativen Aufgaben ab und sorgt dafür, dass Sie rechtlich auf der sicheren Seite stehen!
Das Wichtigste in Kürze
- Der Datenschutzbeauftragte kümmert sich um die Einhaltung gesetzlicher Vorgaben im Bereich Datenschutz.
- Die Datenschutzberatung kann Sicherheitslücken in der IT aufdecken, Datenpannen verhindern und so Bußgelder vermeiden.
- Unternehmen können einen betrieblichen Datenschutzbeauftragten bestimmen oder einen externen DSB benennen.
In diesem Beitrag
- Welche Unternehmen müssen einen Datenschutzbeauftragten benennen?
- Welche Voraussetzungen müssen Datenschutzbeauftragte erfüllen?
- Was sind die Unterschiede zwischen externen und internen Datenschutzbeauftragten?
- Benennung eines Datenschutzbeauftragten
- Wie wird der Datenschutzbeauftragte abberufen?
Was ist ein Datenschutzbeauftragter?
Ein Datenschutzbeauftragter ist ein Experte im Bereich Datenschutz für Unternehmen. Er kümmert sich um den DSGVO-konformen Umgang mit personenbezogenen Daten, wie Adressdaten, Kontodaten oder Gesundheitsinformationen. Dazu gehören die sichere Erhebung, Verarbeitung und Überwachung der Informationen. Zudem steht er in Kontakt mit der zuständigen Aufsichtsbehörde und arbeitet eng mit ihr zusammen.
Ebenfalls ist er im Unternehmen für die Datenschutzberatung zuständig. Er gilt somit als Vertrauensperson in allen Fragen zum Thema Datenschutz und ist direkter Berater der Geschäftsleitung. Er schult die im Datenschutzbereich relevanten Mitarbeiter hinsichtlich des regelkonformen Umgangs mit personenbezogenen Daten gemäß der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Zudem informiert der DSB über Handlungsoptionen im Fall einer Verletzung des Datenschutzes.
Mehr zur Rolle und zu den Aufgaben, die ein DSB übernimmt, und was ein Konzerndatenschutzbeauftragter macht finden Sie in diesen Artikel:
- Die Rolle eines Datenschutzbeauftragten
- Aufgaben eines Datenschutzbeauftragten
- Aufgaben und Anforderungen an einen Konzerndatenschutzbeauftragten nach DSGVO
Ein Datenschutzbeauftragter in Deutschland darf laut gesetzlicher Regelung sowohl extern angefordert als auch intern im Unternehmen benannt werden. Der externe DSB sollte eine gewisse Expertise aufweisen und möglichst mit einem erfahrenen Team zusammenarbeiten, sodass jederzeit ein Ansprechpartner für Ihre Mitarbeiter vorhanden ist. Ein betrieblicher Datenschutzbeauftragter sollte hingegen Grundkenntnisse in den Bereichen Recht, IT und Betriebswissenschaft aufweisen und muss sich regelmäßig weiterbilden, um die gesetzlichen Anforderungen fortlaufend zu erfüllen. Auch darf nicht jeder Mitarbeiter zum betrieblichen Datenschutzbeauftragten ernannt werden.
Seit wann benötigen Unternehmen einen Datenschutzbeauftragten?
Ein Datenschutzbeauftragter nach der DSGVO ist seit Einführung der Verordnung im Jahr 2018 für bestimmte Unternehmen Pflicht. Dies kann in Artikel 37, Absatz 1, Datenschutz-Grundverordnung, sowie in § 38, Absatz 1, BDSG, nachgelesen werden. Durch die Regelungen soll sichergestellt werden, dass personenbezogene Daten nicht ohne Einwilligung der Betroffenen erhoben, gespeichert, verarbeitet oder an Dritte weitergegeben werden können. Datenschutz spielt seit der neuen Datenschutz-Grundverordnung eine noch größere Rolle im Geschäftsalltag als ohnehin.
Insbesondere betrifft die Pflicht der Benennung eines Datenschutzbeauftragten Unternehmen ab einer bestimmten Anzahl an Mitarbeitern, die sich mit der automatisierten Erfassung und Bearbeitung personenbezogener Daten befassen. Während zunächst Unternehmen ab zehn Mitarbeitern betroffen waren, liegt seit Juni 2019 eine Änderung vor: Seitdem müssen nur noch Unternehmen mit mindestens 20 Personen, die sich regelmäßig mit den persönlichen Informationen beschäftigen, einen Datenschutzbeauftragten benennen.
Sofern Sie gemäß Artikel 37, Absatz 1, DSGVO, bzw. § 38, Absatz 1, BDSG nicht von der Benennungspflicht betroffen sind, sind Sie nicht verpflichtet, einen Datenschutzbeauftragten zu benennen.
Mehr Infos über die Pflicht zur Benennung eines Datenschutzbeauftragten und wie Sie darüber hinaus auch noch einen verlässlichen Partner finden, gibt es in den folgenden Artikeln:
- Pflicht zur Benennung eines Datenschutzbeauftragten
- Bestellung eines Datenschutzbeauftragten: einen kompetenten Partner finden
Bußgelder bei Missachtung der Benennungspflicht
Fallen Sie in die Pflicht der Benennung eines DSB und kommen dieser nicht nach, kann eine Geldstrafe fällig werden. Laut Artikel 83, Absatz 4 der Datenschutz-Grundverordnung sind Bußgelder von bis zu zehn Millionen Euro oder maximal zwei Prozent des jährlichen Geschäftsumsatzes (Vorjahresumsatz) als Strafe möglich.
Welche Unternehmen müssen einen Datenschutzbeauftragten benennen?
Wenn Ihre Firma mindestens 20 Mitarbeiter beschäftigt, die regelmäßig sensible Daten von Personen bearbeiten, müssen Sie einen Datenschutzbeauftragten stellen. Dies ist gesetzlich vorgeschrieben.
Dasselbe gilt ebenso für Unternehmen, deren hauptsächliche Tätigkeit die Erhebung und Verarbeitung personenbezogener Daten darstellt. Betroffen sind etwa Unternehmen in der Gesundheitsbranche, aber auch Firmen, die personenbezogene Daten geschäftsmäßig nutzen. Dazu zählen Markt- und Meinungsforschungsinstitute. Für diese Unternehmen ist die Anzahl der Mitarbeiter, die mit den Daten arbeiten, unerheblich. Daher können auch beispielsweise Start-ups mit nur wenigen Angestellten betroffen sein.
Zudem ist es möglich, dass Unternehmen, die aufgrund ihrer Tätigkeit Personen regelmäßig und systematisch überwachen müssen, von der Benennungspflicht eines DSB betroffen sind.
Muss ich einen externen Datenschutzbeauftragten benennen?
Unterliegt Ihr Unternehmen der Benennungspflicht, so ist unerheblich, ob es sich bei Ihrem DSB um eine externe Kraft oder einen betrieblichen Datenschutzbeauftragten handelt. Allerdings muss jeweils eine entsprechende Eignung vorhanden sein.
Gelangen Sie zu dem Ergebnis, dass Sie laut DSGVO und BDSG keinen Datenschutzbeauftragten benennen müssen, sollten Sie die Gründe dafür ausführlich dokumentieren. Im Zweifelsfall liegt die Beweislast bei Ihnen.
Aber: Ein Datenschutzbeauftragter gemäß der DSGVO lohnt sich auch dann, wenn Sie von Gesetzeswegen keinen benötigen. Die größten Vorteile einer Benennung sind der gesetzeskonforme Umgang mit den personenbezogenen Daten von Kunden, Mitarbeitern und Partnern und die Vermeidung von Datenpannen und somit Bußgeldern. Die vermeintlich hohe Investition in einen DSB rentiert sich schnell, wenn Sie so dauerhaft die empfindlichen Strafen bei Verstößen umgehen können.
Was umfasst das Thema Datenschutzberatung?
In der Datenschutzberatung geht es darum, Ihr Unternehmen und sämtliche Mitarbeiter, die sich mit personenbezogenen Daten befassen, für den rechtmäßigen Umgang mit diesen Daten zu sensibilisieren. Der Datenschutzberater fungiert dabei als Vertrauensperson und Ansprechpartner. Zudem kann ein Datenschutzbeauftragter nach der DSGVO für die Einhaltung der Regelungen rund um den Datenschutz im Unternehmen sorgen.
Der DSB kümmert sich beispielsweise um die Speicherung und Verarbeitung der personenbezogenen Daten von Kunden, Beschäftigten und Partnern. Er setzt technische Maßnahmen um, die zur Sicherheit der erhobenen Daten beitragen und schult die Mitarbeiter im Umgang mit datenschutzrechtlichen Programmen und Prozessen.
Meist übernimmt ein Datenschutzbeauftragter auch weitere Aufgaben, unterstützt zum Beispiel bei der Erstellung von Dokumentationen über die Verarbeitung der Daten und fungiert als Bindeglied zwischen Unternehmen und Aufsichtsbehörde. Ebenso kann er vorhandene Schutzmaßnahmen im Datenschutzbereich bewerten und gegebenenfalls angleichen. Tritt eine Datenpanne auf, ist der Datenschutzbeauftragte ein direkter Ansprechpartner für das weitere Vorgehen und prüft, welche Gegenmaßnahmen erforderlich und sinnvoll sind. Auch kann er Workshops und Schulungen für die Belegschaft anbieten, die über datenschutzrechtliche Angelegenheiten aufklären.
DataGuard setzt auf zusätzliche Leistungen
Zusätzliche Aufgaben, von denen Sie als Unternehmen profitieren, sind bei DataGuard kein Fremdwort. Wir kümmern uns auf unserer Plattform, die den DSGVO-Anforderungen perfekt angeglichen wurde, zum Beispiel um eine schnelle und automatische Digitalisierung Ihrer Daten. So erhalten alle relevanten Ansprechpartner im Unternehmen einen einfachen Zugriff. Umgekehrt steht Ihnen durch unser vielseitiges Team jederzeit ein passender Ansprechpartner in Datenschutzfragen zur Verfügung.
Welche Voraussetzungen müssen Datenschutzbeauftragte erfüllen?
Für eine Tätigkeit in der Datenschutzberatung gibt es laut DSGVO keine gesetzlichen Voraussetzungen oder Vorgaben. Das bedeutet nicht automatisch, dass sich jeder Mitarbeiter im Unternehmen oder vermeintliche Rechtsexperte als Datenschutzberater eignet. In der DSGVO Artikel 37, Absatz 5 heißt es:
"Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt[...]".
Somit sollte ein gewisses Fachwissen und/oder eine Weiterbildung im datenschutzrechtlichen Bereich nachweislich vorhanden sein.
Kriterien für einen externen Datenschutzbeauftragten
Der externe Datenschutzbeauftragte sollte eine entsprechende Weiterbildung absolviert haben. Doch die Entscheidung allein davon abhängig zu machen, ist der falsche Weg. Weitere Merkmale, auf die Sie bei Ihrer Auswahl eines DSB achten sollten, sind:
- Spezialisierung: Kein Mensch kann alles gleichermaßen gut, daher sollte der externe Datenschutzbeauftragte Ihrer Wahl auf seinem Gebiet Experte sein. Achten Sie dabei auch auf vorhandene Zertifikate.
- Kompetentes Team: Bestenfalls arbeitet der DSB mit einem vielfältigen Team zusammen, sodass er sich beispielsweise mit einem IT-Experten oder einem Experten in Sachen Recht beraten kann. Dadurch haben Sie jederzeit einen erfahrenen Ansprechpartner.
- Referenzen: Erkundigen Sie sich, wie zufrieden bisherige Firmen mit dem Datenschutzbeauftragten sind und holen Sie entsprechend Referenzen ein.
- Eigene Programme oder Tools: Nicht immer lohnt sich eine Einarbeitung des DSB in firmeninterne IT-Systeme. Wenn der externe Datenschutzberater eigene Programme oder hilfreiche Tools mitbringt, kann er sofort starten und wertvolle Tipps für den Praxisalltag mitbringen.
Kriterien für einen betrieblichen Datenschutzbeauftragten
Entscheiden Sie sich hingegen für die Benennung eines internen DSB, der bereits eine Stelle in Ihrem Betrieb hat, dürfen Sie aufgrund von möglichen Interessenskonflikten keine Personen in Führungspositionen oder gar aus der Geschäftsleitung wählen. Ebenfalls tabu sind Anwälte der Firma.
Sie sollten eine Person benennen, die zuverlässig ist und gewissenhaft arbeitet. Weiterhin spielt das Vertrauensverhältnis eine grundlegende Rolle. Entscheiden Sie sich daher am besten für einen Mitarbeiter, der schon lange in der Firma tätig ist und Ihr uneingeschränktes Vertrauen genießt. Zudem sollten Kenntnisse im Bereich der Datenverarbeitung, Technik und Betriebswirtschaft ebenso wie in den Bereichen Recht und Datenschutz vorhanden sein. Gegebenenfalls müssen Wissenslücken durch Fortbildungen geschlossen werden.
Was sind die Unterschiede zwischen externen und internen Datenschutzbeauftragten?
Ein Datenschutzbeauftragter in Deutschland darf sowohl eine externe, unternehmensfremde Person als auch ein betrieblicher Datenschutzbeauftragter sein. Ersteren finden Sie beispielsweise bequem bei Experten wie DataGuard. Den internen DSB suchen Sie hingegen in den eigenen Reihen, denn es handelt sich dabei um einen angestellten Mitarbeiter Ihres Unternehmens.
Jede Variante bringt ihre Vor- und Nachteile mit sich. Wir zeigen Ihnen in unserer Tabelle, welche Art der Bestimmung eines Datenschutzbeauftragten in den unterschiedlichen Bereichen Benennung, Einarbeitungszeit, Vertrauensverhältnis, Kompetenzen, Neutralität, Haftung, Kosten und Kündigung/Abberufung punktet.
|
Externer DSB |
Interner DSB |
Benennung |
+ schnell gefunden, z. B. bei DataGuard + gewöhnliches Vertragsverhältnis |
+ Benennung kann innerhalb des Unternehmens erfolgen; keine lange Suche - es greift der bisherige Arbeitsvertrag |
Einarbeitungszeit |
+ wenn eigene Tools und Programme gegeben sind, besonders schnell - mitunter Einarbeitungszeit in firmeninterne Prozesse nötig |
+ Mitarbeiter kennt sich in firmeninternen Prozesse grob aus - je nach Qualifikation zusätzliche Fortbildungen nötig |
Vertrauensverhältnis |
- erst einmal zurückhaltend, da externer DSB noch unbekannt ist (Referenzen anderer Firmen können dies ausgleichen) |
+ positiv, da der Mitarbeiter bereits angestellt ist und eventuell schon das Vertrauen der Geschäftsleitung und Kollegen genießt |
Kompetenzen |
+ externe Datenschutzbeauftragte verfügen über eine spezielle Weiterbildung + durch Zertifikate nachweisbar + Spezialisierungen möglich + Expertenteam im Hintergrund |
- oft nur geringes Fachwissen im datenschutzrechtlichen Bereich vorhanden |
Neutralität |
+ externe Person kann Unternehmen neutral bewerten, keine Interessenskonflikte |
+ Interessenskonflikte werden vermieden, indem keine Personen in Führungspositionen als DSB ausgewählt werden - trotzdem kann der Mitarbeiter nie so neutral agieren wie eine externe Person |
Haftung |
+ der externe DSB haftet im Schadensfall in der Regel vollumfänglich, sowohl bei Vorsatz als auch bei Fahrlässigkeit + Haftungsfreistellung schließt Unternehmen von Haftungsfragen aus |
- der interne DSB haftet nur bei grober Fahrlässigkeit oder Vorsatz, welchen das Unternehmen zudem klar nachweisen muss - bei leichter Fahrlässigkeit haftet das Unternehmen - bei normaler Fahrlässigkeit haften Unternehmen und DSB in der Regel zu gleichen Teilen |
Kosten |
+ übersichtliche Kosten durch klares Vertragsverhältnis + fortlaufend gleichbleibende Kosten |
+ zunächst kaum Investitionskosten - Fortbildungskosten inkl. Kost und Logis müssen durch Unternehmen getragen werden - langfristig höheres Gehalt durch neue/anspruchsvollere Aufgaben angebracht |
Kündigung / Abberufung |
+ Kündigung und Abberufung gemäß der Kündigungsfrist im Vertrag jederzeit möglich + es muss kein bestimmter Grund für die Abberufung vorliegen |
- Kündigung nicht möglich, da der bisherige Arbeitsvertrag greift - Abberufung nur bei zwingenden Gründen möglich |
Ob Sie einen Datenschutzbeauftragten nach DSGVO intern oder extern benennen, obliegt letztlich Ihrer Entscheidung.
Als externer Datenschutzbeauftragter unterstützen wir bei DataGuard bereits mehr als 3.000 Kunden auf Ihrem Weg zur Compliance. Interessiert? Informieren Sie sich hier über unseren Service als externer Datenschutzbeauftragter.
Wie finde ich einen Datenschutzbeauftragten?
Die Suche nach einem internen Datenschutzberater sollte schnell abgeschlossen sein. Es kommt ohnehin nur ein bestimmter Kreis von Mitarbeitern infrage. Dazu gehören Personen, die schon lange in der Firma tätig sind und das Vertrauen der Geschäftsleitung genießen. Ausgeschlossen sind allerdings Kollegen in Führungspositionen oder Mitarbeiter, die am Unternehmensertrag beteiligt sind.
Auch einen externen DSB finden Sie zeitnah, zum Beispiel bei Ihren Experten von DataGuard. Ihr Vorteil besteht darin, dass ein Team aus Spezialisten hinter dem DSB steht, das Ihnen alle relevanten Fragen zum Thema Datenschutz beantwortet. Wenn Sie selbst nach einem DSB suchen, sollten Sie auf Zertifikate und Überprüfungen sowie auf vorhandene Referenzen achten.
Lohnt sich die Ausbildung zum Datenschutzbeauftragten eigentlich? Die Antwort gibt es hier.
Benennung eines Datenschutzbeauftragten
Sobald die Datenschutzberatung beginnen soll, müssen Sie den Datenschutzberater offiziell benennen. Den internen DSB legen Sie schriftlich mit einer sogenannten Benennungsurkunde fest. Es gibt hierbei keine Vorgaben für die Inhalte. Wir empfehlen allerdings, Daten wie den Namen und die aktuelle Position des Mitarbeiters, das Datum der Benennung und seine Aufgabenbereiche als DSB zu listen. Zudem sollten Sie erwähnen, warum Sie sich für diesen Mitarbeiter als DSB entschieden haben und sich dabei auf eine rechtliche Grundlage (z. B. § 38 BDSG) berufen.
Wenn Sie einen externen Datenschutzbeauftragten benennen, erfolgt dies durch einen firmenunabhängigen Vertrag. Eine Vertragslaufzeit von maximal zwei Jahren ist bei der Erstbeauftragung üblich – so können Sie prüfen, ob der DSB Ihren Anforderungen gerecht wird. Danach sind Laufzeiten von vier Jahren gängig. Zudem können Sie auch für den externen DSB eine Benennungsurkunde ausstellen. Diese gestaltet sich ähnlich wie bei einem betrieblichen DSB.
Sobald Sie einen DSB (intern oder extern) benannt haben, müssen Sie der zuständigen Aufsichtsbehörde die Kontaktdaten der benannten Person mitteilen. Ab diesem Moment gilt er als offizieller Ansprechpartner in Sachen Datenschutz.
Auch bei externen und Zeitarbeitskräften benötigen Sie übrigens einen Datenschutzbeauftragten. Jetzt mehr erfahren: Datenschutzbeauftragter bei externen und Zeitarbeitskräften
Haftung eines Datenschutzbeauftragten im Schadensfall
Im Vertrag des externen DSB ist meist eine Haftungsfreistellung für das Unternehmen vermerkt. Achten Sie auf die entsprechende Information im Vertrag. Das bedeutet, dass im Schadensfall – ob aufgrund von Fahrlässigkeit oder Vorsatz – nicht das Unternehmen aufkommen muss. Anders sieht es bei einem betrieblichen Datenschutzberater aus.
Der interne DSB haftet lediglich bei grober Fahrlässigkeit oder Vorsatz. Dieser Umstand muss ihm seitens des Unternehmens nachgewiesen werden. In allen anderen Fällen haftet das Unternehmen allein oder teilt sich den Schaden mit dem internen DSB.
Wie wird der Datenschutzbeauftragte abberufen?
Interne und externe DSB genießen jeweils einen unterschiedlichen Kündigungsschutz. Der interne DSB kann nur abberufen werden, wenn er seine datenschutzrechtlichen Pflichten grob vernachlässigt oder beispielsweise regelmäßig an wichtigen Fortbildungen nicht teilnimmt. Die Abberufung des Datenberaters bedeutet lediglich die Entbindung seiner Pflichten als betrieblicher Datenschutzbeauftragter – gekündigt werden kann ihm deshalb nicht.
Bei einem externen DSB ist die Kündigung/Abberufung im Vertrag geregelt. Ihn können Sie auch ohne zwingende Gründe gemäß der Kündigungsfrist entlassen und einen neuen DSB benennen.
Alles zur Kündigung eines Datenschutzbeauftragten gibt es hier.
Fazit
Seit Einführung der DSGVO ist die Benennung eines Datenschutzbeauftragten für viele Unternehmen verpflichtend. Dieser steht dem Unternehmen beratend zur Seite, prüft die Datensicherheit im Betrieb und gibt Handlungsanweisungen, sollte es zu einer Verletzung der Datenschutzverordnung kommen. Die Benennung eines betrieblichen Datenschutzbeauftragten aus den eigenen Reihen ist möglich, doch in den meisten Fällen zahlt sich die Benennung eines externen Datenberaters aus. Auch profitieren Unternehmen von seinen Vorzügen, die nicht zu einem DSB verpflichtet sind. Bei DataGuard finden Sie ein erfahrenes Expertenteam, das Sie in Datenschutzfragen zuverlässig unterstützt.
Sie haben Fragen zur Einhaltung der DSGVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen.
Typische Fehler im Datenschutz und wie sie vermieden werden
Informieren Sie sich in dieser Checkliste über die Top 6 Fehler im Datenschutz.
Jetzt kostenlos herunterladen