Wann muss ein Datenschutzbeauftragter benannt werden?

Datenschutzbeauftragte (DSB) garantieren in Behörden, Verbänden und Unternehmen die Grundrechte von Kunden, Nutzern, Verbrauchern und Bürgern. Zudem sorgen sie in den Organisationen für Datensicherheit und entwickeln Konzepte u. a. zum Schutz vor Datenverlust. Damit sind sie wichtiger Garant für Vertrauen in die Datenverarbeitung der Wirtschaft und Verwaltung.

Mit der seit 25. Mai 2018 geltenden Datenschutz-Grundverordnung (DSGVO) und deren Umsetzung in deutsches Recht im Rahmen der Neufassung des Bundesdatenschutzgesetzes (BDSG) wurde der Geltungsbereich für die Ernennung von DSB erweitert. Betroffen sind Unternehmen, Behörden, aber auch Selbständige, Medien, Verbände und Vereine, sofern sie personenbezogene Daten verarbeiten.

Die Ernennung eines DSB regelt die DSGVO in Artikel 37. Danach müssen gemäß Abs. 1 regelmäßig einen DSB ernennen, wenn:

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10

Die DSGVO räumt Unternehmensgruppen ein, einen gemeinsamen DSB zu ernennen, sofern er von jeder Niederlassung aus leicht erreichbar ist. Auch Behörden und öffentliche Stellen können danach für mehrere Ämter einen gemeinsamen DSB benennen.

Das Bundesdatenschutzgesetz (BDSG) präzisiert die Benennung eines Datenschutzbeauftragten für nichtöffentliche Stellen in § 38 Abs. 1: „Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c DSGVO benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“

Die Stellung des Datenschutzbeauftragten wird in Art. 38 DSGVO beschrieben. So hat gemäß Abs. 1 der Verantwortliche und der Auftragsverarbeiter sicher zu stellen, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Der DSB ist wie bisher auch weisungsfrei und berichtet unmittelbar an die höchste Managementebene. Er kann Beschäftigter des Unternehmens, Kanzlei, Arztpraxis etc. sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37 Abs. 6 DSGVO).

Fachkunde und Zuverlässigkeit

Als Datenschutzbeauftragter darf nur benannt werden, wer über die notwendige berufliche Qualifikation und das Fachwissen verfügt – dieses muss bereits vor der Benennung vorliegen -, seine Fachkunde aufrecht erhält sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgaben geeignet ist. Der DSB hat daher vor allem über die erforderliche Expertise zu verfügen, um bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung tragen zu können,

Leider werden beide Begriffe, Qualifikation und Fachwissen, weder in der DSGVO noch im BDSG definiert. Der BvD hat deshalb ein berufliches Leitbild Datenschutzbeauftragter entwickelt. Hier finden Sie Qualitätskriterien für die berufliche Mindestanforderung und notwendige Fortbildungen von Datenschutzbeauftragten. Das Berufsbild wird regelmäßig aktualisiert.

Weitere Informationen zum Datenschutzbeauftragten