Praxiswissen Datenschutz Basics DSB

3 Min

Die Rolle des DSB: Was macht eigentlich ein Datenschutzbeauftragter?

DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Wenn Unternehmen sich mit der Bestellung eines Datenschutzbeauftragten beschäftigen, lautet eine
der ersten Fragen häufig: „Müssen wir das bei unserer Betriebsgröße überhaupt?“ Diese Frage lässt sich zwar mit einem Blick in die Bestimmungen des Bundesdatenschutzgesetzes beantworten. Doch wie wir sehen werden, ist eine Bestellung auch dann äußerst sinnvoll, wenn sie gesetzlich nicht zwingend notwendig ist. Hierzu ist es wichtig, die Rolle eines Datenschutzbeauftragten zu kennen, denn vor die entsprechenden Aufgaben stellt der Gesetzgeber alle Unternehmen, unabhängig von ihrer Größe.

Das Wichtigste in Kürze

  • Ein Datenschutzbeauftragter ist für fast alle Unternehmen Pflicht – aber für alle sinnvoll.
  • Er berichtet an die Geschäftsleitung und hat jederzeit den Überblick über die einzelnen Datenschutzaktivitäten, auch bei mehreren Tochtergesellschaften.
  • Auch wenn für kleinere Betriebe kein Datenschutzbeauftragter erforderlich ist, bleibt es ohne Unterstützung an der Geschäftsleitung „hängen“, die komplexen Anforderungen des Datenschutzes umzusetzen.
  • Nur ein externer Datenschutzbeauftragter steht, anders als ein interner, finanziell für Beratungsfehler ein und hilft auf diese Weise, die Haftungsbasis des Verantwortlichen zu verbreitern.

In diesem Beitrag

Wer muss einen Datenschutzbeauftragten haben?

Das Bundesdatenschutzgesetz sieht vor, dass Betriebe mit mindestens 20 Mitarbeitern, die mit der Datenverarbeitung beschäftigt sind, über einen Datenschutzbeauftragten verfügen müssen. Unabhängig von dieser Benennungsgrenze müssen auch Unternehmen mit weniger Mitarbeitern einen Datenschutzbeauftragten haben, wenn Art und Umfang ihrer Datenverarbeitung bestimmten Kriterien entsprechen – beispielsweise beim systematischen Scoring von Kunden nach Bonität oder wenn ein Arzt kommerzielle Medikamentenforschung betreibt. Hier ist ein Datenschutzbeauftragter in jedem Fall Pflicht.

Was sind die Aufgaben des Datenschutzbeauftragten?

Was ein Datenschutzbeauftragter zu tun hat, wird detailliert in der europäischen Datenschutzgrundverordnung (DSGVO) geregelt, die auch für Deutschland unmittelbar geltendes Recht darstellt. Im Wesentlichen umfasst seine Tätigkeit mehrere Hauptprojekte, die voneinander unabhängig sind.

Da wäre zunächst die Beratung der Verantwortlichen und der Mitarbeiter im Unternehmen aus datenschutzrechtlicher Sicht. Er auditiert die Prozesse und baut eine Datenschutzdokumentation auf. Eine weitere Aufgabe sind die sogenannten Auftragsverarbeitungsverträge, die vielfach mit externen Dienstleistern abgeschlossen werden müssen und an deren Erstellung der Datenschutzbeauftragte mitwirkt.

Auch die Erstellung und regelmäßige Aktualisierung von Datenschutzerklärungen gehört zu den Kernthemen eines Datenschutzbeauftragten. Ein großer Aufgabenbereich betrifft schließlich die regelmäßige Grundschulung der Belegschaft zur generellen Sensibilisierung in Sachen Datenschutz.

Der Datenschutzbeauftragte hält die Fäden im Datenschutz zusammen. Er berichtet direkt an die Geschäftsleitung und hat jederzeit den Überblick über die einzelnen Datenschschutzaktivitäten, auch bei mehrere Tochtergesellschaften. Zudem ist der Datenschutzbeauftragte auch für sämtliche Dokumentationen im Datenschutz verantwortlich. 

 

Wie berät der Datenschutzbeauftragte sein Unternehmen?

Der Datenschutzbeauftragte berät generell in der gesamten Breite der Unternehmensprozesse an allen Teilen, die personenbezogene Daten (z.B. Kunden-, Lieferanten- oder Mitarbeiterdaten) bekommen, verarbeiten und weiterleiten.   

Art und Umfang der Beratung durch einen Datenschutzbeauftragten richten sich nach den
spezifischen Anforderungen einzelner Branchen. Bei einer Immobilienfirma sehen betriebliche Prozesse beispielsweise anders aus als bei einem Marketing- oder einem Bauunternehmen.

Der Datenschutzbeauftragte muss für die branchenspezifischen Kernprozesse ebenso ein Verständnis mitbringen wie für übergeordnete betriebswirtschaftliche Abläufe in Bezug auf Personal, Finanzen, Vertrieb, Einkauf und IT. Dabei berät der Datenschutzbeauftragte die Abteilungsleiter zum sensiblen und gesetzeskonformen Umgang mit personenbezogenen Daten.

Ein Beispiel aus der Praxis ist der Umgang mit Initiativbewerbungen: Hier informiert der Datenschutzbeauftragte die Personaler, dass solche Unterlagen nach wenigen Monaten gelöscht werden müssen, falls die bisherige Praxis war, diese unbefristet aufzubewahren.

Die Dokumentation, die auf dieser Beratung aufbaut, hält im Folgeschritt fest, wie ein Unternehmen im betrieblichen Alltag datenschutzkonforme Prozesse etabliert hat. Am Ende weiß jeder Abteilungsleiter genau, was nach Umsetzung des Datenschutzes in seiner Abteilung anders zu machen ist.

Wozu dienen Auftragsverarbeitungsverträge mit Lieferanten?

Auftragsverarbeiter ist jeder Lieferant einer Firma, der von ihr personenbezogene Daten übermittelt bekommt, um damit zu arbeiten. Ein Beispiel ist eine Druckerei, die den Auftrag bekommt, fertiggestellte Weihnachtspostkarten an die Kunden des Auftragsgebers zu versenden. Hierfür erhält die Druckerei die Kundenkartei als Beigabe.

Der Auftraggeber ist nun dafür verantwortlich, dass die Kundendaten auch vom Auftragsverarbeiter, also der Druckerei, datenschutzkonform behandelt und nach Beendigung des Auftrags gelöscht werden. Der Datenschutzbeauftragte kümmert sich darum, dass der Auftragsverarbeiter in solchen Fällen einen Auftragsverarbeitungsvertrag abschließt und umsetzt. Er kann auch bei der Erstellung solcher Verträge mit Vertragsvorlagen behilflich sein.

Wie hilft der Datenschutzbeauftragte beim Erstellen der Datenschutzerklärung?

Mit der einmaligen Erstellung einer Datenschutzerklärung ist es für Unternehmen in den meisten Fällen nicht getan. Datenschutzerklärungen werden für praktisch alle Unternehmen gefordert, sei es auf der Website, auf einer Facebook-Fanseite oder in einer App. Diese Datenschutzerklärungen müssen bestimmten gesetzlichen Anforderungen genügen, die Verarbeitung der Daten erläutern und vor allem auf einem aktuellen Stand gehalten werden. Die fortlaufende Erinnerung und die Mitwirkung hieran gehört zu den Kernaufgaben eines Datenschutzbeauftragten.

Wie schult der Datenschutzbeauftragte die Belegschaft?

Das Gesetz sieht vor, dass Mitarbeiter für Datenschutzbelange zu sensibilisieren sind. Dieser Pflicht kommt der Datenschutzbeauftragte für ein Unternehmen nach, indem er dessen Mitarbeiter in regelmäßigen Abständen in Fragen des Datenschutzes schult. Die Wiederholung ist deswegen so wichtig, da eine einmalige Schulung erfahrungsgemäß nicht nachhaltig und dauerhaft die geforderte Sensibilisierung erzeugt. Aus Gründen der Überprüfbarkeit, der Zeitersparnis und auch aus Imagegründen werden Online-Schulungen bevorzugt.

Kann ein Datenschutzbeauftragter bei Datenpannen helfen?

Wenn es im Unternehmen zu einem Datenverlust kommt, ist der Datenschutzbeauftragte der erste Ansprechpartner. Seine erste Aufgabe ist es, die Schwere des Verstoßes einzustufen – eine falsch versendete Mail ist natürlich anders zu bewerten als ein massenhafter Abfluss von Kundendaten im Internet. Wenn der Einzelfall eine Meldung an die Datenschutzbehörde erfordert, beträgt die Frist hierfür 72 Stunden. Es ist dann Aufgabe des Datenschutzbeauftragten, die Einhaltung dieser Frist sicherzustellen. Darüber hinaus berät er das Unternehmen und schlägt Maßnahmen vor, damit sich ähnliche Datenpannen nicht wiederholen.

Wie sie im Falle einer Datenpanne vorgehen, erfahren Sie hier.

Bearbeitet der Datenschutzbeauftragte auch externe Anfragen?

Ansprechpartner für Behörden zu sein gehört ebenfalls zu den sogenannten Rahmenaufgaben eines Datenschutzbeauftragten. Es kommt in der Praxis vor, dass Datenschutzbehörden von selbst mit Fragen an Unternehmen herantreten. Dies könnte beispielsweise der Fall sein, wenn die Öffentlichkeit die Datenschutzbehörde aufmerksam macht. Wenn die Behörde nun hierzu Informationen anfordert, ist der Datenschutzbeauftragte der Ansprechpartner.

Ebenso ist er dafür zuständig, Anfragen von Betroffenen entgegenzunehmen und zusammen mit der zuständigen Fachabteilung zu bearbeiten. Zunächst klärt er grundsätzlich die Zulässigkeit einer Anfrage ab – so können Datenschutzrechte etwa nur persönlich wahrgenommen werden und nicht beispielsweise von einer Firma stellvertretend für ihre Angestellten. Ist eine Anfrage zulässig, wechselt der Datenschutzbeauftragte in die Funktion eines Projektleiters: Er muss dafür sorgen, dass etwa ein Löschgesuch für persönliche Daten innerhalb der gesetzlichen Frist von 28 Tagen bearbeitet und eine angeforderte Auskunft in der vorgeschriebenen Weise erteilt wird.

Welche Stellung hat der Datenschutzbeauftragte im Unternehmen?

Der Datenschutzbeauftragte ist der Ansprechpartner der Datenschutzbehörde und berichtet immer an die höchste Management-Ebene im Unternehmen. Er ist bei der Erfüllung dieser Aufgabe an keinerlei Weisungen des Managements gebunden, sondern übt die Aufgabe eigenverantwortlich aus. Um die Unabhängigkeit zu wahren, hat der Datenschutzbeauftragte in zweierlei Hinsicht eine besondere Position. Als angestellter Mitarbeiter genießt er einen höheren Kündigungsschutz, der dem eines Betriebsratsmitglieds vergleichbar ist. Ebenso kann er nur mit hohen Hürden aus der Funktion als Datenschutzbeauftragter entfernt werden.

Wer trägt die Verantwortung, wenn es keinen Datenschutzbeauftragten gibt?

Verantwortlich für den Datenschutz in einem Unternehmen ist die dafür vertretungsberechtigte Person, also etwa der Geschäftsführer oder der Vorstand. Dies gilt ganz unabhängig davon, ob ein Unternehmen über einen Datenschutzbeauftragten verfügt oder nicht.

Und vom Vorstand eines kleinen Vereins mit sieben Mitgliedern bis zum börsennotierten Großkonzern müssen alle die gleichen qualitativen Standards für den Datenschutz erfüllen. Es ist ein Irrglaube, dass die Maßstäbe für kleinere Unternehmen weniger streng seien, nur weil diese von der Verpflichtung befreit sind, einen Datenschutzbeauftragten zu bestellen. Datenschutzverstöße können teuer werden: Neben den empfindlichen Höchststrafen, die von der DSGVO vorgesehen werden (bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens), kann den Verantwortlichen auch die persönliche Haftung als Organ der Gesellschaft treffen. Das ist etwa der Fall, wenn er nicht nachweisen kann, dass er alle Maßnahmen getroffen hat, um einen Verlust von Daten mit dem daraus resultierenden Schaden zu vermeiden.

Lässt sich die Haftung an einen Datenschutzbeauftragten delegieren?

Der Datenschutzverantwortliche in einem Unternehmen, also beispielsweise der Geschäftsführer, kann seine gesetzliche Verantwortung nicht auf einen Datenschutzbeauftragten abwälzen. Nur ein externer Datenschutzbeauftragter steht finanziell für Beratungsfehler ein und hilft auf diese Weise, die Haftungsbasis des Verantwortlichen zu verbreitern.

Für weitere Fragen zur Rolle des DSB und welche Aufgaben er bei Ihnen im Unternehmen übernehmen kann, stehen wir Ihnen in einem kostenlosen Beratungsgespräch zur Verfügung.

 
Veröffentlicht am Aktualisiert am
Alle Dokumente aus der DSGVO im Überblick Alle Dokumente aus der DSGVO im Überblick

Alle Dokumente aus der DSGVO

Diese Dokumente fordert die DSGVO von Ihnen. Verschaffen Sie sich einen Überblick anhand unserer Checkliste und behalten Sie so alles im Griff.

Jetzt kostenlos herunterladen
Tags Praxiswissen Datenschutz Basics DSB

Über den Autor

DataGuard Datenschutz-Experten DataGuard Datenschutz-Experten
DataGuard Datenschutz-Experten

Tauchen Sie ein in die Welt der Datensicherheit und DSGVO – mit Tipps und Meinungen unserer zertifizierten Datenschutzbeauftragten in Deutschland, UK und Österreich. Unsere Experten kommen aus den unterschiedlichsten Bereichen wie Wirtschaft, Recht, Technik oder Marketing und teilen mit Ihnen die neuesten Nachrichten sowie Lösungen zu aktuellen Herausforderungen, Urteilen und Rechtsentscheidungen. Ihr Ziel? Ihnen das Wissen und die Werkzeuge an die Hand zu geben, damit Sie die richtigen Entscheidungen treffen, Ihr Unternehmen absichern, Vertrauen aufbauen und Ihren Umsatz steigern können – in Einklang mit geltenden Datenschutzgesetzen. Diese Qualifizierungen unserer Datenschutzberater stehen für Qualität und Vertrauen: Zertifizierter Datenschutzbeauftragter (TÜV), Certified Information Privacy Professional/Europe (IAPP), Certified Information Privacy Manager (IAPP) Information Security, Certified Information Privacy Technologist (IAPP), Certified Practitioner in Data Protection (BCS), Fellow of Information Privacy (IAPP), Certified EU General Data Protection Regulation Practitioner (IBITGQ), Data Protection Officer & Europrivacy Auditor, Practitionier Certificate in Data Protection, PC.dp. (GDPR)

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

IT-Sicherheit: Grundlagen
Informationssicherheit

6 Min

IT-Sicherheit: Grundlagen

Schützen Sie Ihre Daten vor Cyberbedrohungen mit den Grundprinzipien der IT-Sicherheit. Bleiben Sie informiert und verteidigen Sie Ihre IT-Sicherheit.

Weiterlesen
Was ist IT-Grundschutz?
Informationssicherheit

5 Min

Was ist IT-Grundschutz?

Schützen Sie Ihre IT-Systeme mit IT-Grundschutz: Ein Rahmen für effektive Sicherheitskontrollen und Schutz kritischer Daten.

Weiterlesen
Was sind die häufigsten Compliance-Verstöße?
Informationssicherheit

6 Min

Was sind die häufigsten Compliance-Verstöße?

Entdecken Sie mit uns die Bedeutung der Compliance für Unternehmen. Von häufigen Verstößen bis hin zu Präventionsmaßnahmen.

Weiterlesen
Was ist Compliance im Unternehmen?
Informationssicherheit

5 Min

Was ist Compliance im Unternehmen?

Erfahren Sie alles über Compliance: Definition, Bedeutung, Arten, Herausforderungen und Vorteile. Wir decken die Welt der Einhaltung von Vorschriften ab.

Weiterlesen
Welche Cybersicherheitsmaßnahmen sollten Sie als Dienstleistungsunternehmen ergreifen?
Informationssicherheit

10 Min

Welche Cybersicherheitsmaßnahmen sollten Sie als Dienstleistungsunternehmen ergreifen?

Jedes Dienstleistungsunternehmen ist einzigartig. Erfahren Sie, wie Sie Ihre Cybersicherheitsstrategie optimal an die spezifischen Bedrohungen Ihres Unternehmens anpassen können.

Weiterlesen
Welche Auswirkungen hat ein Hackerangriff auf ein Unternehmen?
Informationssicherheit

6 Min

Welche Auswirkungen hat ein Hackerangriff auf ein Unternehmen?

Ein Hackerangriff bedroht die Sicherheit eines Systems. Phishing, Malware & mehr: Wie schützen Sie sich? Wichtige Tipps zur Vorbereitung & Reaktion.

Weiterlesen
Externer Datenschutzbeauftragter

Auf der Suche nach einem Datenschutzbeauftragten?

Sprechen Sie uns an

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren