Welche Aufgaben erfüllt ein Datenschutzbeauftragter?

Knapp formuliert: Der Datenschutzbeauftragte ist der unabhängige Wächter der DSGVO. Denn ganz gleich ob im Unternehmen oder als externe Unterstützung zu den Aufgaben eines Datenschutzbeauftragten gehören insbesondere die Beratung der Geschäftsleitung hinsichtlich der Einhaltung der datenschutzrechtlichen Bestimmungen sowie die Integration dieser Anforderungen in die organisatorischen Strukturen und Prozesse des Unternehmens. 

Datenschutzbeauftragte monitoren die die korrekte Anwendung der Datenschutzgrundsätze, führen Schulungen und Lehrgänge durch, um das Bewusstsein der Belegschaft für Datenschutzfragen zu schärfen und übernehmen die Kommunikation mit den Aufsichtsbehörden. Dabei sind sie jederzeit ansprechbar und insbesondere ist es ratsam, immer eine direkte Linie zur Geschäftsführung im Unternehmen zu haben, denn dieser Personenkreis sind die Verantwortlichen im Sinne der DSGVO.

Datenschutzbeauftragter: Aufgaben und Rolle im Unternehmen

Ein Datenschutzbeauftragter spielt eine zentrale Rolle im Unternehmen, wenn es darum geht, den Schutz personenbezogener Daten zu gewährleisten und die Einhaltung datenschutzrechtlicher Richtlinien sicherzustellen. Seine Aufgaben reichen von der Beratung und Schulung der Mitarbeitenden bis zur Überwachung der Prozesse.

Die wichtigsten Prozesse, die jeder Datenschutzbeauftragte bearbeiten muss

Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten

Erstellen einer Datenschutzrichtlinie

Management und Übersicht über die relevanten Verträge mit Dritt-Dienstleistern, die Auftragsverarbeitung von personenbezogenen Daten übernehmen

Einhaltung von Mindeststandards im Bereich IT-Sicherheit

Schulung der Beschäftigten

Die Bestellung eines Datenschutzbeauftragten ist nicht nur eine gesetzliche Pflicht für viele Unternehmen, sondern auch eine wichtige Maßnahme, um Risiken zu minimieren und Vertrauen bei Kunden sowie Mitarbeitenden zu schaffen. Eine klar definierte Rolle und die Einbindung in die Unternehmensstruktur sind dabei entscheidend für den Erfolg.

Geschäftsleitung muss immer eingebunden sein

Ein paar einfache, aber sehr sinnvolle Maßnahmen haben sich in der Praxis als sehr erfolgreich erwiesen, damit der Datenschutzbeauftragte diese Stellung zur Erfüllung seiner Aufgaben rechtfertigen kann: Ein regelmäßiges Treffen mit der Geschäftsleitung, mindestens einmal im Quartal, wenn es ein sehr datenintensives Geschäftsmodell gibt. 

In diesem Treffen sollte zu aktuellen Themen und Herausforderungen gesprochen werden – und am besten gleich alle relevanten Leitungspositionen mit eingebunden werden unabhängig von der Unternehmensgröße. 

So weiß die Geschäftsführung, die als verantwortliche Stelle für Verstöße haftet, auch gleich um die Wichtigkeit der Einbindung des Datenschutzbeauftragten in jeweils relevante Dinge, wie die Erstellung neuer Produkte, neuer Kommunikationswege und anderer Verarbeitungen von personenbezogenen Daten und kann entsprechend reagieren. 

Datenschutzbeauftragte erfüllen Aufgaben unabhängig und weisungsfrei

Insgesamt ist die ganz zentrale Herausforderung für viele Unternehmen, den Datenschutzbeauftragten mit allen relevanten Informationen zu versorgen. Eine Verantwortung, die dem ganzen Unternehmen bewusst sein sollte.

Der Datenschutzbeauftragte erfüllt seine Aufgaben und Tätigkeiten unabhängig – also nicht gebunden an Weisungen durch die Geschäftsführung, um seine Pflichten frei auszufüllen. Er ist aber auch nicht weisungsbefugt, d.h. für die Umsetzung seiner Empfehlungen bleibt der Verantwortliche zuständig. Die gute Kooperation zwischen der Geschäftsführung und dem Datenschutzbeauftragten ist daher entscheidend für die effiziente Umsetzung der datenschutzrechtlichen Pflichten in einem Unternehmen. Der Datenschutzbeauftragte sollte dabei über die erforderliche fachliche Eignung verfügen, um auch bei komplexeren Datenverarbeitungen kompetent beraten zu können.

Gibt es gesetzliche Anforderungen zur Erfüllung der Arbeit im Datenschutz?

Ein Datenschutzbeauftragter (DSB) hat laut Artikel 39 der DSGVO viele wichtige Aufgaben. Dabei unterstützt er Unternehmen – ob intern oder extern – dabei, personenbezogene Daten rechtssicher zu verarbeiten und die Vorgaben der DSGVO einzuhalten. Hier eine einfache Übersicht:

1. Beratung und Unterrichtung

Der betriebliche Datenschutzbeauftragte berät den Verantwortlichen, wie ein Unternehmen oder die öffentliche Verwaltung, sowie alle Mitarbeitenden, die mit der Verarbeitung personenbezogener Daten befasst sind. Er klärt über ihre Pflichten im Umgang mit diesen Daten auf.

2. Überwachung der Einhaltung von Datenschutzrichtlinien

Er prüft regelmäßig, ob das Unternehmen sich an die DSGVO und andere Datenschutzgesetze hält. Dies schließt auch interne Richtlinien und Maßnahmen ein, wie die Schulung von Mitarbeitern.

3. Unterstützung bei Datenschutz-Folgenabschätzungen

Wenn ein Unternehmen neue Technologien einführt, die potenziell ein Risiko für personenbezogene Daten darstellen, hilft der Datenschutzbeauftragte dabei, Risiken zu bewerten und geeignete Maßnahmen zu entwickeln.

4. Zusammenarbeit mit der Aufsichtsbehörde

Der Datenschutzbeauftragte dient als Ansprechpartner für Datenschutzbehörden und sorgt dafür, dass Anfragen oder Prüfungen reibungslos ablaufen.

5. Ansprechpartner für Fragen zum Datenschutz

Der DSB beantwortet Fragen der Mitarbeitenden und hilft den Verantwortlichen, den Überblick über datenschutzrechtliche Anforderungen zu behalten.

Was heißt das aber konkret? Ein paar Beispiele aus dem Alltag

Stellen wir uns einen Tag im Leben eines Datenschutzbeauftragten (DSB) vor. Der Morgen beginnt mit einer E-Mail von der Rechtsabteilung, die um eine datenschutzrechtliche Prüfung eines neuen Vertrages mit einem Dienstleister bittet. Der Dienstleister soll für das Unternehmen künftig den Newsletter-Versand übernehmen. Der DSB schaut sich den Vertrag im Detail an, vor allem mit Blick auf die Rechtsgrundlagen der Datenverarbeitung und die Einhaltung der datenschutzrechtlichen Anforderungen.

Zunächst prüft der DSB, ob die Rechtsgrundlage für die Speicherung der Empfängerdaten im Newsletter-Prozess korrekt ist. Ist eine Einwilligung der Empfänger erforderlich? Oder reicht ein berechtigtes Interesse des Unternehmens aus, um die E-Mail-Adressen zu speichern und zu nutzen? Der DSB stellt sicher, dass der Prozess zur Abmeldung vom Newsletter klar und transparent gestaltet ist, sodass sich Empfänger jederzeit unkompliziert aus der Liste austragen können, ohne dass ihre Daten weiterverwendet werden. Dabei muss auch beachtet werden, dass alle betroffenen Personen ordnungsgemäß informiert werden, wie ihre Daten verarbeitet werden, und ob diese zu Werbezwecken verwendet werden dürfen.

Interne Datenschutzbeauftragte prüfen nicht nur

Der Datenschutzbeauftragte hat hier nicht nur eine prüfende Funktion, sondern auch eine beratende: Es geht darum, die Mitarbeiter regelmäßig zu sensibilisieren, damit datenschutzrechtliche Anforderungen in allen Prozessen eingehalten werden. Der DSB weiß, dass die Umsetzung von Datenschutzpraktiken nicht nur eine Frage der Rechtssicherheit ist, sondern auch des Vertrauens der Betroffenen (z. B. der Newsletter-Empfänger) in das Unternehmen. Im nächsten Schritt prüft der DSB, ob die technischen und organisatorischen Maßnahmen des Dienstleisters den datenschutzrechtlichen Anforderungen genügen und der Vertrag mit den richtigen Datenschutzklauseln ausgestattet ist.

Nach dieser Prüfung folgt eine Schulung der Personalabteilung, da die Handhabung von Mitarbeiterdaten besonders sensibel ist. Gerade hier ist der Datenschutzbeauftragte gefragt, weil der Umgang mit Beschäftigtendaten häufig Gegenstand von rechtlichen Auseinandersetzungen ist. Beispielsweise kann ein Mitarbeiter nach einer Kündigung die Verwendung seiner Daten infrage stellen oder die Entscheidung in einem Bewerbungsverfahren anfechten. Der DSB erklärt in der Schulung die Rechte der betroffenen Personen, insbesondere das Recht auf Auskunft, Berichtigung und Löschung, und gibt konkrete Hinweise, wie Mitarbeiterdaten datenschutzkonform verarbeitet werden müssen, um rechtliche Konsequenzen zu vermeiden.

Verantwortung über den Umgang mit Betroffenenrechten 

Gerade als interner Datenschutzbeauftragter im öffentlichen Dienst oder in der freien Wirtschaft ist es entscheidend, dass der DSB alle datenschutzrechtlichen Anforderungen erfüllt. Er hat die Pflicht, darauf zu achten, dass sowohl personenbezogene Daten von Kunden als auch von Mitarbeitern in allen Bereichen des Unternehmens mit größter Sorgfalt behandelt werden.

Doch der Tag ist noch nicht vorbei. Kaum ist die Schulung abgeschlossen, erreicht den Datenschutzbeauftragten ein Alarm: Ein Datenleck hat sich ereignet. Ein Mitarbeiter hat versehentlich sensible Kundendaten in einer E-Mail versendet und dabei alle Empfänger im CC-Feld statt im BCC-Feld eingetragen. Nun sind die E-Mail-Adressen der Empfänger für alle sichtbar, was zu einer potenziellen Datenschutzverletzung führen kann.

GESETZLICHE GRUNDLAGE DES DATENSCHUTZBEAUFTRAGTEN: AUFGABEN AUS ART. 39 DSGVO

 

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

a)             Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b)             Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c)             Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

d)             Zusammenarbeit mit der Aufsichtsbehörde;

e)             Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Der Datenschutzbeauftragte muss jetzt schnell und strukturiert handeln, um den Schaden zu begrenzen und die gesetzlichen Vorgaben der DSGVO zu erfüllen. Zunächst prüft der DSB die genauen Umstände: Was ist passiert? In diesem Fall handelt es sich um ein Versehen, durch das personenbezogene Daten – die E-Mail-Adressen der Empfänger – offengelegt wurden. Es stellt sich die Frage: Wer ist betroffen? Alle Empfänger der E-Mail, deren E-Mail-Adressen nun für andere sichtbar sind, könnten betroffen sein.

Starke Nerven bei Fragen zu Datenschutzverstößen

Der Datenschutzbeauftragte ermittelt dann die Risiken: In diesem Fall könnten die betroffenen Personen durch Spam oder Phishing-Mails belästigt werden. Das ist ein Risiko, das schnell adressiert werden muss. Als nächstes prüft der DSB, ob die Meldung an die Aufsichtsbehörde erforderlich ist und ob die betroffenen Personen informiert werden müssen. Nach der DSGVO ist eine Meldung innerhalb von 72 Stunden nach Bekanntwerden einer Datenschutzverletzung erforderlich, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. In diesem Fall handelt es sich um einen Vorfall, der nicht nur das Vertrauen der betroffenen Personen gefährden könnte, sondern auch rechtliche Folgen für das Unternehmen haben kann, wenn es nicht ordnungsgemäß reagiert.

In der Folge sorgt der Datenschutzbeauftragte dafür, dass alle betroffenen Personen über den Vorfall informiert werden und geeignete Maßnahmen getroffen werden, um solche Fehler in Zukunft zu vermeiden. Dazu gehört eine technische und organisatorische Überprüfung der internen Prozesse sowie eine gezielte Schulung der Mitarbeiter, um ähnliche Vorfälle zu verhindern.

Wann muss man die Behörden informieren? Datenschutzbeauftragter übernimmt Aufgabe

Solche Vorfälle gehören zum Alltag eines Datenschutzbeauftragten, der ständig zwischen präventiven Maßnahmen (wie Schulungen und Prozessoptimierungen) und reaktiven Maßnahmen (wie der Reaktion auf Datenschutzverletzungen) jongliert. Auch die Prüfung von Verträgen und die Sensibilisierung der Mitarbeiter für Datenschutzrisiken sind zentrale Aufgaben. Der Datenschutzbeauftragte hat die Pflicht, sowohl die Rechte der betroffenen Personen zu schützen als auch sicherzustellen, dass das Unternehmen den gesetzlichen Anforderungen der DSGVO jederzeit gerecht wird.

Das alles ist Teil der Rolle des Datenschutzbeauftragten, sei es als interner Datenschutzbeauftragter oder als externer Datenschutzbeauftragter, und spiegelt die vielfältigen Aufgaben wider, die mit der Bestellung eines Datenschutzbeauftragten einhergehen. Denn das Ziel ist immer dasselbe: Die Einhaltung der datenschutzrechtlichen Anforderungen zu gewährleisten und gleichzeitig das Vertrauen von Betroffenen und Kunden zu wahren.

FAQ zu den Aufgaben des Datenschutzbeauftragten

Wie kann man Datenschutzbeauftragter werden?

Um Datenschutzbeauftragter (DSB) zu werden, sind keine speziellen formalen Berufsausbildungen vorgeschrieben. Allerdings gibt es einige wichtige Voraussetzungen, die den Einstieg in diese verantwortungsvolle Rolle erleichtern. 

Gibt es Unterschiede in den Tätigkeiten eines externen DSB?

Obwohl die Aufgaben ähnlich sind, gibt es dennoch einige Unterschiede in der Ausführung und im Kontext der Rolle:

  1. Beauftragung: Ein externer Datenschutzbeauftragter wird in der Regel durch einen Dienstleistungsvertrag bestellt und ist somit ein externer Berater. Ein interner Datenschutzbeauftragter hingegen ist ein Mitarbeiter des Unternehmens.
  2. Neutralität und Unabhängigkeit: Ein externer Datenschutzbeauftragter kann oft eine größere Unabhängigkeit und Neutralität bieten, da er nicht Teil der Unternehmensstruktur ist und weniger internen Zwängen unterliegt.
  3. Erfahrung und Expertise: Externe Datenschutzbeauftragte sind oft spezialisiert und betreuen mehrere Unternehmen, wodurch sie breitere Erfahrungen und tiefere Expertise in verschiedenen Branchen haben können. Interne Datenschutzbeauftragte haben dagegen oft ein tieferes Verständnis für die spezifischen internen Abläufe und die Kultur ihres Unternehmens.
  4. Verfügbarkeit: Ein interner Datenschutzbeauftragter ist meist permanent im Unternehmen präsent, während ein externer Datenschutzbeauftragter typischerweise nur zu festgelegten Zeiten oder bei Bedarf zur Verfügung steht.
  5. Kosten: Die Beschäftigung eines externen Datenschutzbeauftragten kann unter Umständen kostengünstiger sein, insbesondere für kleinere Unternehmen, da sie nicht die vollen Personalkosten tragen müssen, sondern nur für die tatsächlich in Anspruch genommenen Dienstleistungen zahlen.

Wie ist die Zusammenarbeit mit einem externen Datenschutzbeauftragten organisiert?

Um seine Arbeit sinnvoll zu erfüllen, müssen externe Datenschutzbeauftragte in die Compliance-Architektur des Unternehmens eingebunden werden. DSB brauchen einen klaren Ansprechpartner im Unternehmen – am besten in allen wichtigen Abteilungen. Das macht einen gewissen Aufwand, ist aber umso wirkungsvoller, um Pannen zu vermeiden.

Ab wann benötige ich einen betrieblichen Datenschutzbeauftragten?

Die Datenschutz-Grundverordnung und das aktuelle Bundesdatenschutzgesetz (BDSG) verpflichten Unternehmen, Behörden und Institutionen zur Bestellung von Datenschutzbeauftragten (DSBs) unter folgenden Voraussetzungen:

  • Wenn die Anzahl der Personen, die regelmäßig und systematisch mit der Verarbeitung von personenbezogenen Daten befasst sind, 20 Mitarbeiter erreicht hat. Dazu zählen übrigens auch Teilzeitkräfte.
  • Wenn das Unternehmen besonders sensible personenbezogene Daten im Sinne von Art. 9 DSGVO (z. B. Gesundheitsdaten, Daten über ethnische Herkunft, politische Meinungen, religiöse Überzeugungen) verarbeitet, muss unabhängig von der Anzahl der Mitarbeiter ein Datenschutzbeauftragter bestellt werden.
  • Wenn das Unternehmen Daten verarbeitet, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordert (z. B. Überwachung von Mitarbeitern, Kunden oder anderen Betroffenen), muss unabhängig von der Anzahl der Mitarbeiter ein Datenschutzbeauftragter bestellt werden.
  • Wenn das Unternehmen Verarbeitungen personenbezogener Daten vornimmt, die eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO vorsehen.
  • In bestimmten Branchen oder bei bestimmten Tätigkeiten kann das Gesetz unabhängig von der Unternehmensgröße oder dem Umfang der Datenverarbeitung die Benennung eines Datenschutzbeauftragten vorschreiben. Dazu können Bereiche wie Gesundheitswesen, Finanzdienstleistungen oder der Telekommunikationssektor gehören.

Welche Kompetenzen muss ein Datenschutzbeauftragter haben?

Laut Gesetz müssen DSB über das notwendige „Fachwissen“ und „Zuverlässigkeit“ zur Ausübung ihrer Tätigkeit verfügen. Leider definiert der Gesetzgeber die zentralen Begriffe „Fachwissen“ und „Zuverlässigkeit“ nur unzureichend. Auch eine genaue Festlegung zu Mindestqualifikationen, wie Berufsausbildung oder Studium, fehlt. Dies erschwert Betrieben die Auswahl von qualifizierten Externen Datenschutzbeauftragten. 

Gibt es unterschiedliche Aufgaben für externe Datenschutzbeauftragte?

Nein, es gibt keine wesentlichen Unterschiede in den Aufgabenstellungen eines externen und eines internen Datenschutzbeauftragten. Beide haben die gleichen grundlegeneden Tätigkeiten, die durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) vorgegeben sind. 

Wie kann ein Datenschutzbeauftragter Datenpannen verhindern?

Ein Datenschutzbeauftragter spielt eine entscheidende Rolle bei der Prävention und Bewältigung von Datenpannen. Er unterstützt das Unternehmen durch:

  • Beratung und Schulung: Der Datenschutzbeauftragte schult die Mitarbeiter regelmäßig zu den Anforderungen der DSGVO und sensibilisiert sie für die Risiken von Datenpannen.
  • Implementierung von Sicherheitsmaßnahmen: Der Datenschutzbeauftragte hilft bei der Implementierung von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten.
  • Überwachung und Auditierung: Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften im Unternehmen und führt regelmäßige Audits durch, um potenzielle Schwachstellen zu identifizieren.
  • Reaktion auf Datenpannen: Im Falle einer Datenpanne koordiniert der Datenschutzbeauftragte die Reaktion, einschließlich der Benachrichtigung der betroffenen Personen und der zuständigen Aufsichtsbehörden, wie es die DSGVO vorschreibt.

Durch diese Maßnahmen trägt der Datenschutzbeauftragte dazu bei, das Risiko von Datenpannen zu minimieren und das Unternehmen im Falle eines Vorfalls effektiv zu schützen.

Dürfen nur Juristen als Datenschutzbeauftragte arbeiten?

Nein. Ein juristisches Studium bildet eine gute Voraussetzung für die Arbeit als Datenschutzbeauftragter. Die Hintergründe sind aber vielfältig und nicht eindeutig geregelt. Aus Unternehmenssicht ist somit eine Bestellung eines externen Datenschutzbeauftragten von Vorteil, weil sich das Unternehmen genau aussuchen kann, welche spezifischen Hintergründe wünschenswert sind – beispielsweise die Kenntnis von den Erfordernissen in der IT oder im Versicherungswesen.

Unterscheiden sich die Aufgaben eines Datenschutzbeauftragten von Branche zu Branche?

Grundsätzlich gelten die datenschutzrechtlichen Regelungen für alle Unternehmen und Organisationen. Selbstverständlich Branchenspezifisches Wissen und bei der konkreten Umsetzung für die individuellen Kundenbedürfnisse unbedingt von Vorteil.