Was ist ein Datenschutzbeauftragter und wie arbeitet er?
Letzte Aktualisierung am: 22. August 2024
Geschätzte Lesezeit: 7 Minuten
Ein modernes Berufsbild von besonderer Wichtigkeit
Geltendes Recht muss umgesetzt werden, das gilt für analoge wie digitale Räume gleichermaßen. Behörden und Unternehmen stoßen dabei jedoch häufig an ihre Grenzen – denn durch die länderübergreifende EU-Datenschutzgrundverordnung, interne Länderrechte und das hiesige Förderalismusprinzip ist es leicht, den Überblick zu verlieren. Es gibt einiges zu wissen, und die Sanktionen für verletzen Datenschutz sind in der Regel alles andere als glimpflich.
Um die Einhaltung der vielfältigen Auflagen rund um den Datenschutz zu gewährleisten, muss hierzulande regelmäßig ein Datenschutzbeauftragter ernannt werden. Anbei finden Sie eine Zusammenfassung zu dieser Profession und ihren gesetzlichen Grundlagen.
Inhaltsverzeichnis:
FAQ: Datenschutzbeauftragter
In Folgenden drei Fällen müssen Unternehmen einen Datenschutzbeauftragten bestellen:
1. Mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (vgl. Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz). Bis Mitte 2019 bestand die Pflicht bereits ab 10 Personen.
2. Kerntätigkeit des Unternehmens ist die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten.
3. Kerntätigkeit des Unternehmens sind Verarbeitungsvorgänge, die eine regelmäßige und systematische Überwachung der Betroffenen erfordern.
Einen Überblick über den Tätigkeitsbereich und die Aufgaben, die ein Datenschutzbeauftragter übernimmt, finden Sie hier.
Datenschutzbeauftragter kann zum einen ein Mitglied des Unternehmens werden (intern). Zum anderen können Unternehmen auch externe Datenschutzbeauftragte bestellen.
Datenschutz umsetzen und Einhaltung gewährleisten
Sowohl für öffentliche als auch für nicht-öffentliche Stellen besteht die Verpflichtung, solch eine Kontrollperson zu ernennen. Grundsätzlich ist ein Datenschutzbeauftragter bzw. Datensicherheitsbeauftragter direkt der jeweiligen Führung zu unterstellen.
Ganz gleich ob betrieblicher oder behördlicher Datenschutzbeauftragter: Ein gründliches und unabhängiges Handeln ist unabdinglich. Selbstverständlich unterliegt die Arbeit in solch einer Position der Pflicht zur Geheimhaltung und Vertraulichkeit. Es ist durchaus erlaubt, dass ein offizieller Datenschutzbeauftragter auch andere Aufgaben annimmt – hier gilt es jedoch unbedingt darauf zu achten, dass dadurch kein Interessenkonflikt entsteht.
Datenschutzbeauftragte handeln zudem weisungsfrei – das nimmt auch Vorgesetzte derselben in die Pflicht. Denn diese haben dafür Sorge zu tragen, dass der Datenschutzbeauftragte keine Anweisungen bei der Berufsausübung erhält. Dennoch hat der Datenschutzbeauftragte selbst de facto keine Weisungsbefugnisse – diese können zwar arbeitsvertraglich durchaus eingeräumt werden, sind aber nicht integraler Bestandteile des Berufes. So kann zwar auf bestehende Missverhältnisse hingewiesen werden, Anweisungen sind dennoch nach wie vor – sofern nicht anders festgelegt – von berechtigten Personen zu erlassen.
Eine solche Position gibt es auch auf Landesebene – durch den „Bundesbeauftragten für den Datenschutz und die Informationsfreiheit“, kurz BfDI. Als Datenschutzbeauftragter für den Bund ist diese Behörde mit der Überwachung des Datenschutzes in den öffentlichen Stellen betraut. Dies betrifft in der Regel nicht die Privatwirtschaft; diese wird durch die landeseigenen Aufsichtsbehörden übersehen.
Tätigkeitsbereich und Aufgaben
Ein Datenschutzbeauftragter fungiert also auch, vereinfacht gesprochen, als eine Schnittstelle zwischen dem Datenerheber und dem Datenverursacher. Er oder sie ist Ansprechpartner sowohl für die Geschäftsführung als auch für Nutzer.
Laut Artikel 39 der EU-DSGVO soll ein Datenschutzbeauftragter mit folgenden Tätigkeiten betraut sein:
- Unterrichtung des betrauten Betriebes über deren Pflichten, die sich aus geltendem Datenschutz ergeben
- mitunter Schulung der Mitarbeiter
- Überwachung der Einhaltung entsprechender Vorgaben
- Beratung bei und Überwachung einer Datenschutz-Folgeabschätzung (dies ist eine Vorabkontrolle, welche bei solchen Vorgängen nötig wird, die voraussichtlich ein hohes Risiko für die Freiheiten und Rechte von natürlichen Personen besitzen)
- Kommunikation und Zusammenarbeit mit der zuständigen Aufsichtsbehörde
Die typischen Aufgaben, welche ein Datenschutzbeauftragter zu erfüllen hat, berühren also sowohl IT-Angelegenheiten, die interne Geschäftsführung als auch das Personalwesen. Da der zuständige Datenschutzbeauftragte im Regelfall öffentlich mitzuteilen ist, ist dieser auch häufig für die Beantwortung von Kundenanfragen hinsichtlich Datenerhebung verantwortlich.
Ein Datenschutzbeauftragter genießt Kündigungsschutz!
Für diese Position gilt ein Kündigungsschutz. Ein Datenschutzbeauftragter kann nur dann entlassen werden, wenn ein wichtiger Grund vorliegt respektive es zu einem groben Fehlverhalten kam.
Konkret ist im § 6 Abs. 4 des BDSG festgehalten, dass die Abberufung eines ernannten, öffentlichen Datenschutzbeauftragten lediglich durch eine „Fristlose Kündigung aus wichtigem Grund“ laut § 626 des Bürgerlichen Gesetzbuches erfolgen kann. Zudem bestimmt § 38 Absatz 2 des BDSG, dass die vorher genannte Regelung ebenso auf nicht-öffentliche Stellen anzuwenden ist.
Fehlverhalten eines Datenschutzbeauftragten
In dieser recht unabhängigen Position übernimmt die verantwortliche Person in der Regel auch alleinige Haftung. Ein Datenschutzbeauftragter könnte etwa dann belangt werden, wenn
- nicht weisungsfrei agiert wurde, sondern eine nachweisliche Einflussnahme stattfand
- dieser eine weitere Tätigkeit ausübt, welche einen eindeutigen Interessenkonflikt erzeugt
- Mängel im Datenschutz nicht erkannt oder bewusst verschwiegen werden
- falsche oder unvollständige Informationen weitergegeben werden, was im schlimmsten Fall zu einer Datenpanne führte
Die Auflistung ist keinesfalls vollständig, sondern stellt nur einige denkbare Szenarien dar. Wie sich dies im Einzelfall verhält und ob andere Mitarbeiter eine Teilschuld trifft, bedarf der Klärung.
Wer darf sich einen Datenschutzbeauftragten nennen?
Nun stellt sich natürlich die Frage: Welche Voraussetzungen muss ein Datenschutzbeauftragter laut BDSG und DSGVO mitbringen? Das Gesetz weist diesbezüglich einigen Deutungsspielraum auf. In Art. 37 Abs. 5 der DSGVO heißt es:
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, […]
Ein allgemein anerkannter Leitfaden für die Privatwirtschaft stammt vom sogenannten Düsseldorfer Kreis – dieser ist ein Zusammenschluss aller Datenschutzaufsichtsbehörden nicht-öffentlicher Stellen. Zu diesen Anforderungen zählt u.a. eine Versiertheit in der Informationstechnik, know-how der juristischen Aspekte und allgemein eine hohe Zuverlässigkeit.
Für die Bekleidung dieser Position ist also eine umfangreiche Fachkunde unabdingbar. Dies geht meist nicht über ein einfachen Wochenendseminar oder eine beliebige Schulung. Wer ein Datenschutzbeauftragter in Deutschland werden möchte, der muss sich dies von einer dazu berechtigten Stelle bescheinigen lassen. Hierzu zählen u.a.:
- für Bundesbedienstete, die behördlicher Datenschutzbeauftragter werden möchten: Bundesakademie für öffentliche Verwaltung
- Lehrgänge des Technischen Überwachungsvereines (TÜV)
- Lehrgänge der datenschutz.com GmbH
- Lehrgänge der DEKRA
Selbstverständlich gilt bezüglich dieser Zertifizierung, dass ein Datenschutzbeauftragter diese bereits vor Antritt des Postens erworben haben sollte. Neben dieser tatsächlichen Qualifizierung muss zudem darauf geachtet werden, dass es nicht zu Unvereinbarkeiten kommt – denn wie bereits erläutert, darf ein Datenschutzbeauftragter per Gesetz keinem Interessenkonflikt anheimfallen. Eine gleichzeitige Tätigkeit im Personal, der IT oder der Datenverarbeitung etwa sind deshalb grundsätzlich zu vermeiden, da sonst die zusätzliche Kontrolle durch eine weitere Person logischerweise hinfällig wäre.
Interner oder externer Datenschutzbeauftragter – was ist besser?
Dies richtet sich grundsätzlich nach der jeweiligen Stelle und kann nicht pauschal beantwortet werden. Unternehmen, welche eine passende Fachkraft aufweisen, besetzen diesen Posten bevorzugt intern. Aufgrund der Anforderungen wird für viele ein externer Datenschutzbeauftragter nötig. Die Kosten richten sich häufig nach Unternehmensgröße, –art und den notwendigen Maßnahmen und können nur sehr schwer vorhergesagt werden. Zudem müssen auch etwaige nachträgliche Schulungen eingeplant werden.
Die richtige Bestellung: Wie ein Datenschutzbeauftragter berufen wird
Grundsätzlich kann ein Datenschutzbeauftragter also sowohl extern als auch intern sein, sofern die nötigen Qualifikationen vorliegen. Das für eine offizielle Bestellung benötigte Anschreiben wird als Bestellungsurkunde bezeichnet. Trotz des Namens handelt es sich jedoch nicht um einen genormten Antrag, diese Art Anschreiben ist also in der Regel formlos. Dennoch sollen folgende Aspekte beachtet werden:
- die Bestellung muss eindeutig als solche benannt sein
- der Antrag sollte gesondert erfolgen
- Aufzählung der Rechte und Pflichten eines Datenschutzbeauftragten sollte gewährleistet werden
- sowohl der bestellte Datenschutzbeauftragte als auch der verantwortliche Vorgesetzte müssen das Schreiben unterzeichnen
Darüber hinaus sieht § 37 Abs. 7 der DSGVO vor, dass die Kontaktdaten des ernannten Datenschutzbeauftragten zu veröffentlichen sind (meist findet sich der entsprechende Hinweis in der Datenschutzerklärung) und der verantwortlichen Aufsichtsbehörde mitgeteilt werden müssen! Letzteres sollte unbedingt beachtet werden, um möglichen Sanktionen zu entgehen.
Ab wann muss ein Datenschutzbeauftragter überhaupt bestellt werden?
Bei einem Datenschutzbeauftragten handelt es sich nicht um eine Empfehlung. Die Auflage, einen Beauftragten für den Datenschutz zu bestellen, ist ganz konkret sowohl im Bundesdatenschutzgesetz §§ 5 und 38 also auch in der EU-Datenschutzgrundverordnung Art. 37 Abs. 1 festgehalten. Laut DSGVO und BDSG ist ein Datenschutzbeauftragter dann Pflicht, wenn
- die Verarbeitung von einer Behörde oder einer anderen öffentlichen Stelle vorgenommen wird (Gerichte sind hiervon jedoch ausgenommenen)
- in der betroffenen Stelle mindestens zehn Personen ständig automatisiert Daten verarbeiten
- in der betroffenen Stelle geschäftsmäßig personenbezogene Daten erheben und weiterleiten, die Mitarbeiteranzahl ist hierfür nicht relevant
- es werden „besondere Kategorien von Daten“ laut Art. 9 Abs. 1 DSGVO verarbeitet, hierzu zählen etwa genetische Daten, biometrische Daten oder gesundheitliche Daten – auch dies ist unabhängig von der Anzahl der verarbeitenden Mitarbeiter
Bei öffentlichen Stellen gilt zudem hinsichtlich der Bestellung, dass ein Datenschutzbeauftragter durchaus für mehrere Stellen gleichzeitig agieren kann. Dies gilt laut Art. 37 Abs. 2 auch für eine Unternehmensgruppe – gesetzt dem Fall, dass für den Datenschutzbeauftragten jede Niederlassung „leicht erreicht werden kann“.
Welche Sanktionen drohen, wenn keine Einbestellung erfolgt?
Wird kein Datenschutzbeauftragter bestellt, gleichwohl die Pflicht hierzu besteht, dann handelt es sich um eine Ordnungswidrigkeit. In § 43 Abs. 1 Nr. 2 BDSG heißt es hierzu:
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
2. […] einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, […]
Da das Job Center Essen grob gegen den Datenschutz zu meiner Person betreffend verstoßen hat würde ich gern ein Kontaktmöglichkeit zum Datenschutzbeauftragten, der diese Behörde ahnden kann, ersuchen. Über Ihre Mithilfe würde ich mich sehr freuen und diese würde mir sehr entgegenkommen.
Guten Tag lieber Sachbearbeiter,
ich habe nur eine kurze Frage.
Ich arbeite in einem Callcenter in Costa Rica (Mittelamerika) für eine amerikanische Firma, und bin zuständig für den support der deutschsprachigen Länder. Nun bekomme ich immer eine schlechte Bewertung (alle Gespräche werden aufgezeichnet und ausgewertet) wenn der Kunde / Anrufer keine e-mail Adresse geben will und ich auch in der Firma mehrfach (seit inkrafttreten des Gesetzes in D vor 1 1/2 Jahr ) darauf hingewiesen habe, das er dies auch nicht – zumindest nicht in Deutschland) zwingend geben muss.
Beispiel; ” Der Kunde möchte seine E-Mail nicht zur Verfügung stellen und der Agent besteht nicht darauf, sie zu erhalten, indem er erklärt, dass kein Spam ankommt, sondern nur eine Umfrage.”
Ist das so in Ordnung?
Natürlich werde ich dafür bezahlt support zu geben und selbstverständlich muss ich auch den Fragekatalog vernünftig abarbeiten. Und hier ist wahrscheinlich auch eine Grauzone (US Recht contra D Recht). Aber ist es nicht dreist von der Fa., darauf zu bestehen, das ein deutscher Anrufer seine personenbezogenen Daten geben muss – sonst wird die Anfrage nicht beantwortet?
Danke für eine kurze Rückantwort
Michael S.
Costa Rica