Was ist ein Datenschutzbeauftragter?

In der heutigen digitalen Welt, die von hoher Komplexität und schnellen Veränderungen auch im Recht geprägt ist, müssen Unternehmensleitungen, Kunden und Mitarbeiter darauf vertrauen können, dass sie von Experten mit umfassendem Fachwissen begleitet und in Bezug auf Sicherheit und Compliance unterstützt werden. Datenschutzbeauftragte (DSB) übernehmen diese Aufgaben seit vielen Jahren. 

Sie unterstützen Unternehmen auf ihrem Weg in die Digitalisierung, wobei sie stets die Rechte der Betroffenen – insbesondere die Persönlichkeitsrechte von Kunden und Mitarbeitern – sowie die Interessen und den Erfolg der Unternehmen im Blick haben. Dabei tragen DSB maßgeblich dazu bei, innovative Lösungen zu ermöglichen und gleichzeitig Unternehmenswerte wie das Image und den Markenwert zu schützen, indem sie das Vertrauen der Kunden aufbauen und bewahren.

Warum braucht es einen Datenschutzbeauftragten?

Dem DSB kommt eine zentrale Stellung im Umgang mit Daten in Unternehmen und Behörden zu. Zwar sieht die Rechtsgrundlagen für die Arbeit des DSB – ob extern oder intern bzw. behördlich oder in Unternehmen und Organisationen – nur auf die personenbezogenen Daten beschränkt.

Aufgrund der vielen EU-Rechtsvorschriften wie dem Data Act oder dem AI Act ist es wichtig, festzustellen, ob personenbezogene Daten verarbeitet werden. Grund genug, einmal systematisch die Grundlagen der Arbeit, die Anforderungen an die Person des Datenschutzbeauftragten und die fachlichen Voraussetzungen bzw. die Anforderungen für die Benennung in einem eigenen Beitrag zu klären.

Datenschutzbeauftragter: Definition

Wer ist also ein oder eine Datenschutzbeauftragte? Formal ist diese Definition schwierig, da weder die DSGVO noch das BDSG eine eindeutige Begriffsbestimmung vorsehen. 

Ebenso gibt es die Herausforderung, dass im Volksmund der Datenschutzbeauftragte in behördlichen Stellen, Unternehmen oder anderen Organisation oftmals wenig trennscharf mit den Landesbeauftragten für Datenschutz und Informationsfreiheit in den Ländern oder der Person des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gleichgesetzt werden. 

Was ist überhaupt ein Personenbezogenes Datum?

Die DSGVO definiert den Begriff wie folgt: „Im Sinne dieser Verordnung bezeichnet der Ausdruck „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Fehlt also eine klare Begriffsbestimmung, sind Aufgaben, Benennungsvorgang und Voraussetzungen für einen DSB beschrieben. Folgt man diesen Spuren in den Gesetzen, sind Datenschutzbeauftragte Personen, die 

  1. zum Datenschutzbeauftragten benannt worden sind (Art. 37 Abs. 1 DSGVO)
  2. die nötige Fachkunde mitbringen (Art. 37 Abs. 1 DSGVO)
  3. weisungsfrei und unabhängig Aufgaben im Zuge der Datenverarbeitung erfüllen und in diese Prozesse möglichst frühzeitig eingebunden ist (Art. 38 DSGVO). In der Erfüllung der Tätigkeit müssen Interessenkonflikte vermieden werden
  4. auch andere Verpflichtungen ausführen können.

In der gelebten Praxis hat sich aus diesen gesetzlichen Rahmenbedingungen und Erfordernissen ein elaboriertes Angebot aus internen und externen Datenschutzbeauftragten mit einer Vielzahl von Skills, aber der immer gleichen Aufgabe herauskristallisiert: DSB sind Personen, die für die Kontrolle der Einhaltung der Datenschutzrichtlinien zuständig sind. Ein Studium oder eine verpflichtende Ausbildung wie für viele andere Berufe gibt es für Berater im Datenschutz nicht.

Datenschutz im Unternehmen: Wer braucht einen Datenschutzbeauftragten?

Die Fragen, wer einen DSB braucht und wer einen benannte Person für den Datenschutz bestellen muss, gehen durchaus auseinander. 

Art. 4 DSGVO – Begriffsbestimmung „Verantwortlicher“

„Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (…)

Als Berufsverband sind wir – kleiner Disclaimer zur eigenen, nachvollziehbaren Befangenheit – natürlich große Fans der Institution des Datenschutzbeauftragten. Wir setzen uns für berufsständische Verbesserungen ein, haben aber dabei vor allem auch immer die praxisnahe Umsetzung der Datenschutzregeln im Blick und sehen uns als Anwaltschaft der Betroffenen. Das Niveau des Datenschutzes muss erhalten und gesteigert werden. Hinter diesem Link auf unsere Website verbergen sich weitere Informationen zur Sinnhaftigkeit der gesetzliche Notwendigkeit Datenschutzbeauftragter für die Arbeit in Unternehmen oder öffentliche Stellen (Ministerium, Justiz oder auch in der Verwaltung von Kommunen.)

Wir empfehlen deshalb allen Unternehmen, die sich auf den Weg in die Digitalisierung machen oder diesen Weg weiter gehen, unbedingt eine datenschutzrechtliche Betreuung. Denn: Bußgelder für den falschen Umgang mit Daten werden immer höher und immer schneller verhängt. Und: Die DSGVO gibt auch wichtige Hinweise zur Etablierung oder Optimierung von Prozessen. Löschfristen oder die Art und Weise, wie Daten überhaupt gesammelt werden (Datenminierung) können wichtige Entscheidungshilfen geben, wie man sein digitales Business richtig aufzieht. 

Externer Datenschutzbeauftragter im Unternehmen: Welche Kosten entstehen?

Die Kosten für betriebliche Datenschutzbeauftragten für Unternehmen können je nach Größe der Organisation und Anforderungen stark variieren. Während ein interner DSB durch Schulungen oder Weiterbildungskosten aufwändig sein kann bzw. Rechtsabteilung, bringt ein externer DSB flexiblere und oft günstigere Konditionen mit.

Und gern würden wir die Frage nach der Notwendigkeit eine DSB einmal umdrehen: Gehen Menschen zu einem Steuerberater oder bei einer Krankheit gar zum Arzt, weil es eine gesetzliche Vorgabe ist? Geht die Krankheit weg, wenn man nicht zum Arzt geht? Wir sind davon überzeugt: Datenschutzbeauftragte sind durch ihre Beratungskompetenz wichtige Lotsen der Digitalisierung und optimieren die Datenflüsse in Unternehmen und Behörden.

Wann muss ein Datenschutzbeauftragter für Unternehmen bestellt werden?

Nicht jedes Unternehmen unterliegt der gesetzlichen Verpflichtung einen DSB zu bestellen, obwohl alle Unternehmen den gleichen rechtlichen Pflichten unterliegen. Betriebliche Datenschutzbeauftragte in Deutschland benennen müssen Unternehmen, die 

  • mindestens 20 Mitarbeiter haben, die dauerhaft mit der automatisierten Datenverarbeitung von personenbezogenen Daten betraut sind (dazu zählen auch Praktikanten, Aushilfen usw.) oder
  • Verarbeitungen vornehmen, die einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO unterliegen oder
  • personenbezogene Daten geschäftsmäßig verarbeiten, also die Datenverarbeitung eine sogenannte Kerntätigkeit des Unternehmens ist (etwa zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Meinungs- oder Marktforschung).
  • besonders sensible Daten (wie Gesundheitsdaten) verarbeiten.

Ebenso gilt die Pflicht zur Benennung (früher im BDSG alt sprach man noch von Bestellung), wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln, ist immer ein DSB zu benennen.

Was ist die Stellung des Datenschutzbeauftragten im Unternehmen?

Ein Datenschutzbeauftragter im Unternehmen ist unabhängig und genießt besonderen Schutz. Er darf wegen seiner Tätigkeit weder benachteiligt noch entlassen werden. Seine Stellung ermöglicht es ihm, objektiv und ohne Interessenkonflikte zu arbeiten.

Rolle des Datenschutzbeauftragten im Unternehmen: Bußgelder zu vermeiden

Wie bereits oben erwähnt, ist die Kernaufgabe von bestellten DSB die Übersicht über das Einhalten der datenschutzrechtlichen Vorgaben und die Beratung zu allen Fragen rund um den Datenschutz. Als Faustregel gilt also: Konsultiere ich den jeweiligen Berater für Datenschutz im Unternehmen oder die extern benannte DSB, ist das oft schon die halbe Miete und auf jeden Fall der beste Weg, effektiv Bußgelder nach DSGVO oder BDSG zu vermeiden.

Selbstverständlich ist es keine Garantie, denn nicht der DSB ist verantwortlich für die Umsetzung, sondern in den meisten Fällen das Unternehmen selbst, dementsprechend die Geschäftsführung. 

Durch die Benennung eines DSB und der entsprechenden Kenntnisse wird das Niveau des Datenschutzes erhöht – ganz zentral durch:

  • Überwachung der Einhaltung von Datenschutzgesetzen: Experten für Datenschutz überwachen, ob ein Unternehmen die relevanten Datenschutzvorschriften einhält, wie die Datenschutz-Grundverordnung (DSGVO). 
  • Beratung und Schulung: Sie beraten die Unternehmensleitung und die Mitarbeiter zu allen Fragen des Datenschutzes. 
  • Risikobewertung und -management: DSB führen Risikobewertungen durch und entwickeln Strategien, um datenschutzbezogene Risiken zu minimieren – um mögliche Konflikte frühzeitig zu erkennen.
  • Erstellung und Implementierung von Datenschutzrichtlinien: Sie entwickeln und implementieren Datenschutzrichtlinien und -prozesse, die auf die spezifischen Bedürfnisse des Unternehmens zugeschnitten sind. 
  • Kontakt zu Aufsichtsbehörden: Beauftragte für Datenschutz sind oft der erste Ansprechpartner für Datenschutzaufsichtsbehörden. Sie sorgen dafür, dass Anfragen von Behörden professionell und zeitnah beantwortet werden.
  • Vorbereitung auf Datenschutzvorfälle: Sie erstellen Notfallpläne für den Fall eines Datenschutzvorfalls und sorgen dafür, dass das Unternehmen vorbereitet ist, um im Falle eines Vorfalls schnell und effektiv zu reagieren. 

Schnelles Handeln, Transparenz in den Prozessen und Bewertungen sowie dokumentierte regelmäßige Schulungen der Mitarbeiter können Bußgelder verhindern oder zumindest deren Höhe reduzieren.

Berufsbild des BvD benennt wichtige Voraussetzungen an den Datenschutzbeauftragten

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. begann bereits 2004 damit, die Anforderungen an die Tätigkeit und das Wissen für alle Berater im Datenschutz zu definieren. 2009 resultierte daraus das erste „Berufliche Leitbild des Datenschutzbeauftragten“ in Europa, dem sich Mitglieder verpflichtend anschließen müssen, um vom BvD als qualifiziert anerkannt zu werden. 

Durch diesen Prozess und die Auszeichnung „Selbstverpflichtung auf das berufliche Leitbild des Datenschutzbeauftragten“ können Unternehmen und Institutionen nachweisen, dass sie qualifizierte DSB benannt haben.

Wenn Sie sich zum beruflichen Leitbild informieren oder daran mitarbeiten möchten, klicken Sie hier: https://www.bvdnet.de/bvd-ausschuesse/ausschuss-berufsbild/

Die notwendige Qualifikation eines DSB ist festgelegt in Art. 37 Abs. 5 DSGVO

„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“

Die Erwägungsgründe bieten wenig Klarheit, weil lediglich festgehalten wird, „dass ein Datenschutzbeauftragter „über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren“ verfügen muss (Erwägungsgrund 97 Satz 2). Wenig trägt auch der nächste Satz zur Frage nach der Eignung bei: „Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.“

Besonderheiten des Datenschutzbeauftragten

Verantwortungsbereich: Ein Beauftragter für Datenschutz hat eine umfassendere Verantwortung und ist in der Regel für das gesamte Unternehmen zuständig, während die anderen Rollen spezifische Bereiche, Abteilungen oder Projekte betreuen.

Unabhängigkeit: Der DSB genießt eine gemäß Gesetz verankerte Unabhängigkeit, die anderen Rollen sind stärker in die Organisationsstrukturen eingebunden und agieren oft unter der Leitung des DSB. Erhält man eine Ernennung zum Datenschutzbeauftragten einer Firma ergeben sich unterschiedliche Aufgaben bei der Prüfung von Verfahren, Haftung für Prozesse.

Pflichten und Rechte: Ein Beauftragter für Datenschutz hat klare gesetzliche Pflichten und Rechte, die in der DSGVO festgelegt sind, während die anderen Rollen eher unterstützende oder koordinierende Funktionen haben, ohne im Gesetz vorgeschriebene Verantwortlichkeiten aus der Stellung des Datenschutzbeauftragten.

Diese Rollen können je nach Unternehmen und dessen Größe, Struktur und spezifischen Anforderungen unterschiedlich ausgestaltet sein.