Die Aufgaben eines Datenschutzbeauftragten

Das Wichtigste in Kürze

  • Ein Datenschutzbeauftragter ist für fast alle Unternehmen Pflicht – und für alle sinnvoll.
  • Er sorgt dafür, dass die Unternehmensleitung (Geschäftsführer, Vorstand, Einzelunternehmer, Vereinsvorstand) im Datenschutz „safe“ aufgestellt ist.
  • Er berichtet an die Geschäftsleitung und hat jederzeit den Überblick über die einzelnen Datenschutzaktivitäten, auch bei mehreren Tochtergesellschaften.
  • Auch wenn für kleinere Betriebe kein Datenschutzbeauftragter erforderlich ist, bleibt es ohne Unterstützung an der Geschäftsleitung „hängen“, die komplexen Anforderungen des Datenschutzes umzusetzen.
  • Nur ein externer Datenschutzbeauftragter steht, anders als ein interner, finanziell für Beratungsfehler ein und hilft auf diese Weise, die Haftungsbasis des Verantwortlichen zu verbreitern.

In diesem Beitrag

Wenn Unternehmen sich mit der Bestellung eines Datenschutzbeauftragten beschäftigen, lautet eine der ersten Fragen häufig: „Welche Aufgaben hat ein Datenschutzbeauftragter überhaupt?“ Diese Frage lässt sich mit einem Blick in die DS-GVO beantworten. Und wie wir sehen werden, ist eine Bestellung auch dann äußerst sinnvoll, wenn sie gesetzlich nicht zwingend notwendig ist. Hierzu ist es wichtig, die Rolle eines Datenschutzbeauftragten zu kennen, denn vor die entsprechenden Aufgaben stellt der Gesetzgeber alle Unternehmen, unabhängig von ihrer Größe.

Wer muss einen Datenschutzbeauftragten haben?

Das Bundesdatenschutzgesetz sieht vor, dass Betriebe mit mindestens 20 Mitarbeitern, die mit der Datenverarbeitung beschäftigt sind, über einen Datenschutzbeauftragten verfügen müssen. Unabhängig von dieser Benennungsgrenze müssen auch Unternehmen mit weniger Mitarbeitern einen Datenschutzbeauftragten haben, wenn Art und Umfang ihrer Datenverarbeitung bestimmten Kriterien entsprechen – beispielsweise beim systematischen Scoring von Kunden nach Bonität oder wenn ein Arzt kommerzielle Medikamentenforschung betreibt. Hier ist ein Datenschutzbeauftragter in jedem Fall Pflicht.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Die Aufgaben eines Datenschutzbeauftragten werden detailliert in der europäischen Datenschutzgrundverordnung (DSGVO) geregelt, die auch für Deutschland unmittelbar geltendes Recht darstellt. Im Wesentlichen umfasst seine Tätigkeit mehrere Hauptprojekte, die voneinander unabhängig sind.

  • Da wäre zunächst die Beratung der Verantwortlichen und der Mitarbeiter im Unternehmen aus datenschutzrechtlicher Sicht.
  • Er auditiert die Prozesse und baut eine Datenschutzdokumentation auf. Eine weitere Aufgabe sind die sogenannten Auftragsverarbeitungsverträge, die vielfach mit externen Dienstleistern abgeschlossen werden müssen und an deren Erstellung der Datenschutzbeauftragte mitwirkt.
  • Auch die Erstellung und regelmäßige Aktualisierung von Datenschutzerklärungen gehört zu den Kernthemen eines Datenschutzbeauftragten.
  • Ein großer Aufgabenbereich betrifft schließlich die regelmäßige Grundschulung der Belegschaft zur generellen Sensibilisierung in Sachen Datenschutz.

Der Datenschutzbeauftragte hält die Fäden im Datenschutz zusammen. Er berichtet direkt an die Geschäftsleitung und hat jederzeit den Überblick über die einzelnen Datenschschutzaktivitäten, auch bei mehrere Tochtergesellschaften. Einige dieser Tätigkeitsfelder wollen wir uns im Folgenden genauer anschauen.

Wie berät der Datenschutzbeauftragte sein Unternehmen?

Der Datenschutzbeauftragte berät generell in der gesamten Breite der Unternehmensprozesse an allen Teilen, die personenbezogene Daten (z.B. Kunden-, Lieferanten- oder Mitarbeiterdaten) bekommen, verarbeiten und weiterleiten.   

Art und Umfang der Beratung durch einen Datenschutzbeauftragten richten sich nach den spezifischen Anforderungen einzelner Branchen. Bei einer Immobilienfirma sehen betriebliche Prozesse beispielsweise anders aus als bei einem Marketing- oder einem Bauunternehmen. Der Datenschutzbeauftragte muss für die branchenspezifischen Kernprozesse ebenso ein Verständnis mitbringen wie für übergeordnete betriebswirtschaftliche Abläufe in Bezug auf Personal, Finanzen, Vertrieb, Einkauf und IT. Dabei berät der Datenschutzbeauftragte die Abteilungsleiter zum sensiblen und gesetzeskonformen Umgang mit personenbezogenen Daten.

Ein Beispiel aus der Praxis ist der Umgang mit Initiativbewerbungen: Hier informiert der Datenschutzbeauftragte die Personaler, dass solche Unterlagen nach wenigen Monaten gelöscht werden müssen. Wenn die bisherige Praxis war, diese unbefristet aufzubewahren, muss das geändert werden. Die Dokumentation, die auf dieser Beratung aufbaut, hält im Folgeschritt fest, wie ein Unternehmen im betrieblichen Alltag datenschutzkonforme Prozesse etabliert hat. Am Ende weiß jeder Abteilungsleiter genau, was nach Umsetzung des Datenschutzes in seiner Abteilung anders zu machen ist.

Warum gehören Auftragsverarbeitungsverträge mit Lieferanten zum Aufgabenbereich?

Auftragsverarbeiter ist jeder Lieferant einer Firma, der von ihr personenbezogene Daten übermittelt bekommt, um damit zu arbeiten. Ein Beispiel ist eine Druckerei, die den Auftrag bekommt, fertiggestellte Weihnachtspostkarten an die Kunden des Auftragsgebers zu versenden. Hierfür erhält die Druckerei die Kundenkartei als Beigabe. Der Auftraggeber ist nun dafür verantwortlich, dass die Kundendaten auch vom Auftragsverarbeiter, also der Druckerei, datenschutzkonform behandelt und nach Beendigung des Auftrags gelöscht werden.

Der Datenschutzbeauftragte kümmert sich darum, dass der Auftragsverarbeiter in solchen Fällen einen Auftragsverarbeitungsvertrag abschließt und umsetzt. Er kann auch bei der Erstellung solcher Verträge mit Vertragsvorlagen behilflich sein.

Wie hilft der Datenschutzbeauftragte beim Erstellen der Datenschutzerklärung?

Mit der einmaligen Erstellung einer Datenschutzerklärung ist es für Unternehmen in den meisten Fällen nicht getan. Datenschutzerklärungen werden für praktisch alle Unternehmen gefordert, sei es auf der Website, auf einer Facebook-Fanseite oder in einer App. Diese Datenschutzerklärungen müssen bestimmten gesetzlichen Anforderungen genügen, die Verarbeitung der Daten erläutern und vor allem auf einem aktuellen Stand gehalten werden. Die fortlaufende Erinnerung und die Mitwirkung hieran gehört zu den Kernaufgaben eines Datenschutzbeauftragten.

Wie kommt der Datenschutzbeauftragte seiner Schulungsaufgabe nach?

Das Gesetz sieht vor, dass Mitarbeiter für Datenschutzbelange zu sensibilisieren sind. Dieser Pflicht kommt der Datenschutzbeauftragte für ein Unternehmen nach, indem er dessen Mitarbeiter in regelmäßigen Abständen in Fragen des Datenschutzes schult. Die Wiederholung ist deswegen so wichtig, da eine einmalige Schulung erfahrungsgemäß nicht nachhaltig und dauerhaft die geforderte Sensibilisierung erzeugt. Aus Gründen der Überprüfbarkeit, der Zeitersparnis und auch aus Imagegründen werden Online-Schulungen bevorzugt.

Kann ein Datenschutzbeauftragter bei Pannen helfen?

Wenn es im Unternehmen zu einem Datenverlust kommt, ist der Datenschutzbeauftragte der erste Ansprechpartner. Seine erste Aufgabe ist es, die Schwere des Verstoßes einzustufen – eine falsch versendete Mail ist natürlich anders zu bewerten als ein massenhafter Abfluss von Kundendaten im Internet. Wenn der Einzelfall eine Meldung an die Datenschutzbehörde erfordert, beträgt die Frist hierfür 72 Stunden. Es ist dann Aufgabe des Datenschutzbeauftragten, die Einhaltung dieser Frist sicherzustellen. Darüber hinaus berät er das Unternehmen und schlägt Maßnahmen vor, damit sich ähnliche Datenpannen nicht wiederholen.

Sind auch externe Anfragen Aufgabe des Datenschutzbeauftragten?

Ansprechpartner für Behörden zu sein gehört ebenfalls zu den sogenannten Rahmenaufgaben eines Datenschutzbeauftragten. Es kommt in der Praxis vor, dass Datenschutzbehörden von selbst mit Fragen an Unternehmen herantreten. Dies könnte beispielsweise der Fall sein, wenn die Öffentlichkeit die Datenschutzbehörde aufmerksam macht. Wenn die Behörde nun hierzu Informationen anfordert, ist der Datenschutzbeauftragte der Ansprechpartner. Ebenso ist er dafür zuständig, Anfragen von Betroffenen entgegenzunehmen und zusammen mit der zuständigen Fachabteilung zu bearbeiten. Zunächst klärt er grundsätzlich die Zulässigkeit einer Anfrage ab – so können Datenschutzrechte etwa nur persönlich wahrgenommen werden und nicht beispielsweise von einer Firma stellvertretend für ihre Angestellten. Ist eine Anfrage zulässig, wechselt der Datenschutzbeauftragte in die Funktion eines Projektleiters: Er muss dafür sorgen, dass etwa ein Löschgesuch für persönliche Daten innerhalb der gesetzlichen Frist von 28 Tagen bearbeitet und eine angeforderte Auskunft in der vorgeschriebenen Weise erteilt wird.

Welche Stellung hat der Datenschutzbeauftragte im Unternehmen?

Der Datenschutzbeauftragte ist der Ansprechpartner der Datenschutzbehörde und berichtet immer an die höchste Management-Ebene im Unternehmen. Er ist bei der Erfüllung dieser Aufgabe an keinerlei Weisungen des Managements gebunden, sondern übt die Aufgabe eigenverantwortlich aus. Um die Unabhängigkeit zu wahren, hat der Datenschutzbeauftragte in zweierlei Hinsicht eine besondere Position. Als angestellter Mitarbeiter genießt er einen höheren Kündigungsschutz, der dem eines Betriebsratsmitglieds vergleichbar ist. Ebenso kann er nur mit hohen Hürden aus der Funktion als Datenschutzbeauftragter entfernt werden.

Wer trägt die Verantwortung, wenn es keinen Datenschutzbeauftragten gibt?

Verantwortlich für den Datenschutz in einem Unternehmen ist die dafür vertretungsberechtigte Person, also etwa der Geschäftsführer oder der Vorstand. Dies gilt ganz unabhängig davon, ob ein Unternehmen über einen Datenschutzbeauftragten verfügt oder nicht. Und vom Vorstand eines kleinen Vereins mit sieben Mitgliedern bis zum börsennotierten Großkonzern müssen alle die gleichen qualitativen Standards für den Datenschutz erfüllen. Es ist ein Irrglaube, dass die Maßstäbe für kleinere Unternehmen weniger streng seien, nur weil diese von der Verpflichtung befreit sind, einen Datenschutzbeauftragten zu bestellen. Datenschutzverstöße können teuer werden: Neben den empfindlichen Höchststrafen, die von der DSGVO vorgesehen werden (bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens), kann den Verantwortlichen auch die persönliche Haftung als Organ der Gesellschaft treffen. Das ist etwa der Fall, wenn er nicht nachweisen kann, dass er alle Maßnahmen getroffen hat, um einen Verlust von Daten mit dem daraus resultierenden Schaden zu vermeiden.

Lässt sich die Haftung an einen Datenschutzbeauftragten delegieren?

Der Datenschutzverantwortliche in einem Unternehmen, also beispielsweise der Geschäftsführer, kann seine gesetzliche Verantwortung nicht auf einen Datenschutzbeauftragten abwälzen. Nur ein externer Datenschutzbeauftragter steht finanziell für Beratungsfehler ein und hilft auf diese Weise, die Haftungsbasis des Verantwortlichen zu verbreitern.

Über den Autor

Dr. Teẞmar von Bonin

Dr. Teßmar von Bonin, Senior Sales Manager bei DataGuard, kam mit dem Thema Datenschutz das erste Mal als Ländermanager in einem amerikanischen Softwarehaus in Berührung. Damals stellte die amerikanische Muttergesellschaft immer höhere Anforderungen an das Reporting. Nur musste die Datenerfassung auch mit dem europäischen Datenschutz in Einklang gebracht werden. Eine Herausforderung, für die sich der Diplom-Kaufmann noch heute begeistert: „Mich interessiert besonders zu erleben, ob und wie sich auch die großen Player den europäischen Datenschutzprinzipien unterstellen müssen.“ Trotz der unglaublichen technischen Möglichkeiten steht für ihn der Schutz der Persönlichkeitsrechte des Einzelnen an erster Stelle. Eine Aufgabe, der Teßmar sich bei der Betreuung seiner Kunden verschrieben hat. Wenn er mal frei hat, geht‘s raus zum Wandern oder auf Reisen.

Weitere Beiträge von Dr. Teẞmar von Bonin

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
49 (89) 442 55062 - 000 bundesweiter Service