Was ist ein Datenschutzbeauftragter und wie arbeitet er?

Von Thomas R.

Letzte Aktualisierung am: 22. August 2024

Geschätzte Lesezeit: 7 Minuten

Was ein Datenschutzbeauftragter für Voraussetzungen erfüllen muss, ist gesetzlich festgelegt
Was ein Datenschutzbeauftragter für Voraussetzungen erfüllen muss, ist gesetzlich festgelegt

Ein modernes Berufsbild von besonderer Wichtigkeit

Geltendes Recht muss umgesetzt werden, das gilt für analoge wie digitale Räume gleichermaßen. Behörden und Unternehmen stoßen dabei jedoch häufig an ihre Grenzen – denn durch die länderübergreifende EU-Datenschutzgrundverordnung, interne Länderrechte und das hiesige Förderalismusprinzip ist es leicht, den Überblick zu verlieren. Es gibt einiges zu wissen, und die Sanktionen für verletzen Datenschutz sind in der Regel alles andere als glimpflich.

Um die Einhaltung der vielfältigen Auflagen rund um den Datenschutz zu gewährleisten, muss hierzulande regelmäßig ein Datenschutzbeauftragter ernannt werden. Anbei finden Sie eine Zusammenfassung zu dieser Profession und ihren gesetzlichen Grundlagen.

FAQ: Datenschutzbeauftragter

Wann braucht man einen Datenschutzbeauftragten?

In Folgenden drei Fällen müssen Unternehmen einen Datenschutzbeauftragten bestellen:
1. Mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (vgl. Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz). Bis Mitte 2019 bestand die Pflicht bereits ab 10 Personen.
2. Kerntätigkeit des Unternehmens ist die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten.
3. Kerntätigkeit des Unternehmens sind Verarbeitungsvorgänge, die eine regelmäßige und systematische Überwachung der Betroffenen erfordern.

Was macht ein Datenschutzbeauftragter?

Einen Überblick über den Tätigkeitsbereich und die Aufgaben, die ein Datenschutzbeauftragter übernimmt, finden Sie hier.

Wer kann Datenschutzbeauftragter werden?

Datenschutzbeauftragter kann zum einen ein Mitglied des Unternehmens werden (intern). Zum anderen können Unternehmen auch externe Datenschutzbeauftragte bestellen.

Datenschutz umsetzen und Einhaltung gewährleisten

Bei dem Beruf des Datenschutzbeauftragten handelt es sich um eine recht unabhängig arbeitende Konsultations- und Kontrollinstanz, welche die Einhaltung des geltenden Datenschutzes laut DSGVO und BDSG gewährleisten soll.
Datenschutzbeauftragter: Das Gesetz sieht ein verpflichtende Einbestellung vor
Datenschutzbeauftragter: Das Gesetz sieht ein verpflichtende Einbestellung vor

Sowohl für öffentliche als auch für nicht-öffentliche Stellen besteht die Verpflichtung, solch eine Kontrollperson zu ernennen. Grundsätzlich ist ein Datenschutzbeauftragter bzw. Datensicherheitsbeauftragter direkt der jeweiligen Führung zu unterstellen.

Ganz gleich ob betrieblicher oder behördlicher Datenschutzbeauftragter: Ein gründliches und unabhängiges Handeln ist unabdinglich. Selbstverständlich unterliegt die Arbeit in solch einer Position der Pflicht zur Geheimhaltung und Vertraulichkeit. Es ist durchaus erlaubt, dass ein offizieller Datenschutzbeauftragter auch andere Aufgaben annimmt – hier gilt es jedoch unbedingt darauf zu achten, dass dadurch kein Interessenkonflikt entsteht.

Datenschutzbeauftragte handeln zudem weisungsfrei – das nimmt auch Vorgesetzte derselben in die Pflicht. Denn diese haben dafür Sorge zu tragen, dass der Datenschutzbeauftragte keine Anweisungen bei der Berufsausübung erhält. Dennoch hat der Datenschutzbeauftragte selbst de facto keine Weisungsbefugnisse – diese können zwar arbeitsvertraglich durchaus eingeräumt werden, sind aber nicht integraler Bestandteile des Berufes. So kann zwar auf bestehende Missverhältnisse hingewiesen werden, Anweisungen sind dennoch nach wie vor – sofern nicht anders festgelegt – von berechtigten Personen zu erlassen.

Eine solche Position gibt es auch auf Landesebene – durch den „Bundesbeauftragten für den Datenschutz und die Informationsfreiheit“, kurz BfDI. Als Datenschutzbeauftragter für den Bund ist diese Behörde mit der Überwachung des Datenschutzes in den öffentlichen Stellen betraut. Dies betrifft in der Regel nicht die Privatwirtschaft; diese wird durch die landeseigenen Aufsichtsbehörden übersehen.

Übrigens: Das Konzernprivileg zählt hier nicht! Jede Gesellschaft eines Konzerns hat separat einen Datenschutzbeauftragten zu ernennen!

Tätigkeitsbereich und Aufgaben

Ein Datenschutzbeauftragter fungiert also auch, vereinfacht gesprochen, als eine Schnittstelle zwischen dem Datenerheber und dem Datenverursacher. Er oder sie ist Ansprechpartner sowohl für die Geschäftsführung als auch für Nutzer.

Laut Artikel 39 der EU-DSGVO soll ein Datenschutzbeauftragter mit folgenden Tätigkeiten betraut sein:

  • Unterrichtung des betrauten Betriebes über deren Pflichten, die sich aus geltendem Datenschutz ergeben
  • mitunter Schulung der Mitarbeiter
  • Überwachung der Einhaltung entsprechender Vorgaben
  • Beratung bei und Überwachung einer Datenschutz-Folgeabschätzung (dies ist eine Vorabkontrolle, welche bei solchen Vorgängen nötig wird, die voraussichtlich ein hohes Risiko für die Freiheiten und Rechte von natürlichen Personen besitzen)
  • Kommunikation und Zusammenarbeit mit der zuständigen Aufsichtsbehörde

Die typischen Aufgaben, welche ein Datenschutzbeauftragter zu erfüllen hat, berühren also sowohl IT-Angelegenheiten, die interne Geschäftsführung als auch das Personalwesen. Da der zuständige Datenschutzbeauftragte im Regelfall öffentlich mitzuteilen ist, ist dieser auch häufig für die Beantwortung von Kundenanfragen hinsichtlich Datenerhebung verantwortlich.

Ein Datenschutzbeauftragter genießt Kündigungsschutz!

Ein Datenschutzbeauftragter genießt Kündigungsschutz - ab wann dieser aufgehoben ist, hängt vom Einzelfall ab
Ein Datenschutzbeauftragter genießt Kündigungsschutz – ab wann dieser aufgehoben ist, hängt vom Einzelfall ab

Für diese Position gilt ein Kündigungsschutz. Ein Datenschutzbeauftragter kann nur dann entlassen werden, wenn ein wichtiger Grund vorliegt respektive es zu einem groben Fehlverhalten kam.

Konkret ist im § 6 Abs. 4 des BDSG festgehalten, dass die Abberufung eines ernannten, öffentlichen Datenschutzbeauftragten lediglich durch eine „Fristlose Kündigung aus wichtigem Grund“ laut § 626 des Bürgerlichen Gesetzbuches erfolgen kann. Zudem bestimmt § 38 Absatz 2 des BDSG, dass die vorher genannte Regelung ebenso auf nicht-öffentliche Stellen anzuwenden ist.

Fehlverhalten eines Datenschutzbeauftragten

In dieser recht unabhängigen Position übernimmt die verantwortliche Person in der Regel auch alleinige Haftung. Ein Datenschutzbeauftragter könnte etwa dann belangt werden, wenn

  • nicht weisungsfrei agiert wurde, sondern eine nachweisliche Einflussnahme stattfand
  • dieser eine weitere Tätigkeit ausübt, welche einen eindeutigen Interessenkonflikt erzeugt
  • Mängel im Datenschutz nicht erkannt oder bewusst verschwiegen werden
  • falsche oder unvollständige Informationen weitergegeben werden, was im schlimmsten Fall zu einer Datenpanne führte

Die Auflistung ist keinesfalls vollständig, sondern stellt nur einige denkbare Szenarien dar. Wie sich dies im Einzelfall verhält und ob andere Mitarbeiter eine Teilschuld trifft, bedarf der Klärung.

Wer darf sich einen Datenschutzbeauftragten nennen?

Nun stellt sich natürlich die Frage: Welche Voraussetzungen muss ein Datenschutzbeauftragter laut BDSG und DSGVO mitbringen? Das Gesetz weist diesbezüglich einigen Deutungsspielraum auf. In Art. 37 Abs. 5 der DSGVO heißt es:

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, […]

Ein behördlicher bzw. betrieblicher Datenschutzbeauftragter muss seine Eignung nachweisen können
Ein behördlicher bzw. betrieblicher Datenschutzbeauftragter muss seine Eignung nachweisen können

Ein allgemein anerkannter Leitfaden für die Privatwirtschaft stammt vom sogenannten Düsseldorfer Kreis – dieser ist ein Zusammenschluss aller Datenschutzaufsichtsbehörden nicht-öffentlicher Stellen. Zu diesen Anforderungen zählt u.a. eine Versiertheit in der Informationstechnik, know-how der juristischen Aspekte und allgemein eine hohe Zuverlässigkeit.

Für die Bekleidung dieser Position ist also eine umfangreiche Fachkunde unabdingbar. Dies geht meist nicht über ein einfachen Wochenendseminar oder eine beliebige Schulung. Wer ein Datenschutzbeauftragter in Deutschland werden möchte, der muss sich dies von einer dazu berechtigten Stelle bescheinigen lassen. Hierzu zählen u.a.:

  • für Bundesbedienstete, die behördlicher Datenschutzbeauftragter werden möchten: Bundesakademie für öffentliche Verwaltung
  • Lehrgänge des Technischen Überwachungsvereines (TÜV)
  • Lehrgänge der datenschutz.com GmbH
  • Lehrgänge der DEKRA

Selbstverständlich gilt bezüglich dieser Zertifizierung, dass ein Datenschutzbeauftragter diese bereits vor Antritt des Postens erworben haben sollte. Neben dieser tatsächlichen Qualifizierung muss zudem darauf geachtet werden, dass es nicht zu Unvereinbarkeiten kommt – denn wie bereits erläutert, darf ein Datenschutzbeauftragter per Gesetz keinem Interessenkonflikt anheimfallen. Eine gleichzeitige Tätigkeit im Personal, der IT oder der Datenverarbeitung etwa sind deshalb grundsätzlich zu vermeiden, da sonst die zusätzliche Kontrolle durch eine weitere Person logischerweise hinfällig wäre.

Interner oder externer Datenschutzbeauftragter – was ist besser?

Dies richtet sich grundsätzlich nach der jeweiligen Stelle und kann nicht pauschal beantwortet werden. Unternehmen, welche eine passende Fachkraft aufweisen, besetzen diesen Posten bevorzugt intern. Aufgrund der Anforderungen wird für viele ein externer Datenschutzbeauftragter nötig. Die Kosten richten sich häufig nach Unternehmensgröße, –art und den notwendigen Maßnahmen und können nur sehr schwer vorhergesagt werden. Zudem müssen auch etwaige nachträgliche Schulungen eingeplant werden.

Im Regelfall hat ein Datenschutzbeauftragter ein Gehalt von etwa 3.000 bis 5.000 Euro brutto.

Die richtige Bestellung: Wie ein Datenschutzbeauftragter berufen wird

Grundsätzlich kann ein Datenschutzbeauftragter also sowohl extern als auch intern sein, sofern die nötigen Qualifikationen vorliegen. Das für eine offizielle Bestellung benötigte Anschreiben wird als Bestellungsurkunde bezeichnet. Trotz des Namens handelt es sich jedoch nicht um einen genormten Antrag, diese Art Anschreiben ist also in der Regel formlos. Dennoch sollen folgende Aspekte beachtet werden:

  • die Bestellung muss eindeutig als solche benannt sein
  • der Antrag sollte gesondert erfolgen
  • Aufzählung der Rechte und Pflichten eines Datenschutzbeauftragten sollte gewährleistet werden
  • sowohl der bestellte Datenschutzbeauftragte als auch der verantwortliche Vorgesetzte müssen das Schreiben unterzeichnen

Darüber hinaus sieht § 37 Abs. 7 der DSGVO vor, dass die Kontaktdaten des ernannten Datenschutzbeauftragten zu veröffentlichen sind (meist findet sich der entsprechende Hinweis in der Datenschutzerklärung) und der verantwortlichen Aufsichtsbehörde mitgeteilt werden müssen! Letzteres sollte unbedingt beachtet werden, um möglichen Sanktionen zu entgehen.

Außerdem gilt bezüglich Datenschutzbeauftragter, dass eine Bestellung nicht mehr zwingend auf schriftlichem Weg erfolgen muss. Denn sowohl die DSGVO als auch das neue BDSG sprechen lediglich von einer „Benennung“, nicht jedoch, auf welchem Wege diese vorzunehmen ist. Der Schriftzwang entfällt zwar fortan, dennoch bedarf es in der Regel einer Bestätigung per beidseitiger Unterschrift.

Ab wann muss ein Datenschutzbeauftragter überhaupt bestellt werden?

Die Kosten variieren - ob externer oder interner Datenschutzbeauftragter
Die Kosten variieren – ob externer oder interner Datenschutzbeauftragter

Bei einem Datenschutzbeauftragten handelt es sich nicht um eine Empfehlung. Die Auflage, einen Beauftragten für den Datenschutz zu bestellen, ist ganz konkret sowohl im Bundesdatenschutzgesetz §§ 5 und 38 also auch in der EU-Datenschutzgrundverordnung Art. 37 Abs. 1 festgehalten. Laut DSGVO und BDSG ist ein Datenschutzbeauftragter dann Pflicht, wenn

  • die Verarbeitung von einer Behörde oder einer anderen öffentlichen Stelle vorgenommen wird (Gerichte sind hiervon jedoch ausgenommenen)
  • in der betroffenen Stelle mindestens zehn Personen ständig automatisiert Daten verarbeiten
  • in der betroffenen Stelle geschäftsmäßig personenbezogene Daten erheben und weiterleiten, die Mitarbeiteranzahl ist hierfür nicht relevant
  • es werden „besondere Kategorien von Daten“ laut Art. 9 Abs. 1 DSGVO verarbeitet, hierzu zählen etwa genetische Daten, biometrische Daten oder gesundheitliche Daten – auch dies ist unabhängig von der Anzahl der verarbeitenden Mitarbeiter

Bei öffentlichen Stellen gilt zudem hinsichtlich der Bestellung, dass ein Datenschutzbeauftragter durchaus für mehrere Stellen gleichzeitig agieren kann. Dies gilt laut Art. 37 Abs. 2 auch für eine Unternehmensgruppe – gesetzt dem Fall, dass für den Datenschutzbeauftragten jede Niederlassung „leicht erreicht werden kann“.

Welche Sanktionen drohen, wenn keine Einbestellung erfolgt?

Wird kein Datenschutzbeauftragter bestellt, gleichwohl die Pflicht hierzu besteht, dann handelt es sich um eine Ordnungswidrigkeit. In § 43 Abs. 1 Nr. 2 BDSG heißt es hierzu:

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
2. […] einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, […]

Laut Absatz 3 desselben Paragraphen kann dies mit einer Geldbuße von bis zu 50.000 Euro belegt werden.

Über den Autor

Male Author Icon
Thomas R.

Thomas hat einen Abschluss in Politikwissenschaften von der Universität Jena. Er gehört seit 2018 zum Team von bussgeldkatalog.org und verfasst News und Ratgeber zu verschiedenen Themen im Verkehrsrecht.

Bildnachweise

Konnten wir Ihnen weiterhelfen? Dann bewerten Sie uns bitte:
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (59 Bewertungen, Durchschnitt: 4,51 von 5)
Loading ratings...Loading...
Diese Themen könnten Sie auch interessieren:

2 Kommentare

Neuen Kommentar verfassen

  1. Marzena Katharina H
    Am 26. Dezember 2021 um 16:44

    Da das Job Center Essen grob gegen den Datenschutz zu meiner Person betreffend verstoßen hat würde ich gern ein Kontaktmöglichkeit zum Datenschutzbeauftragten, der diese Behörde ahnden kann, ersuchen. Über Ihre Mithilfe würde ich mich sehr freuen und diese würde mir sehr entgegenkommen.

  2. Michael S.
    Am 9. September 2019 um 9:31

    Guten Tag lieber Sachbearbeiter,

    ich habe nur eine kurze Frage.
    Ich arbeite in einem Callcenter in Costa Rica (Mittelamerika) für eine amerikanische Firma, und bin zuständig für den support der deutschsprachigen Länder. Nun bekomme ich immer eine schlechte Bewertung (alle Gespräche werden aufgezeichnet und ausgewertet) wenn der Kunde / Anrufer keine e-mail Adresse geben will und ich auch in der Firma mehrfach (seit inkrafttreten des Gesetzes in D vor 1 1/2 Jahr ) darauf hingewiesen habe, das er dies auch nicht – zumindest nicht in Deutschland) zwingend geben muss.

    Beispiel; ” Der Kunde möchte seine E-Mail nicht zur Verfügung stellen und der Agent besteht nicht darauf, sie zu erhalten, indem er erklärt, dass kein Spam ankommt, sondern nur eine Umfrage.”

    Ist das so in Ordnung?
    Natürlich werde ich dafür bezahlt support zu geben und selbstverständlich muss ich auch den Fragekatalog vernünftig abarbeiten. Und hier ist wahrscheinlich auch eine Grauzone (US Recht contra D Recht). Aber ist es nicht dreist von der Fa., darauf zu bestehen, das ein deutscher Anrufer seine personenbezogenen Daten geben muss – sonst wird die Anfrage nicht beantwortet?
    Danke für eine kurze Rückantwort
    Michael S.
    Costa Rica

Verfassen Sie einen neuen Kommentar