Datenschutzbeauftragter werden - Voraussetzungen, Bestellung und Aufgaben

Wie geht man korrekt mit personenbezogenen Daten um? Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) europaweit und verpflichtet auch Unternehmen noch stärker zur Sorgfalt im Umgang mit personenbezogenen Daten. Ergänzend dazu wurde das Bundesdatenschutzgesetz (BDSG) überarbeitet. Aber wer braucht einen eigenen Datenschutzbeauftragten (DSB), was sind dessen Aufgaben und wie wird man Datenschutzbeauftragter?

Wer ist verpflichtet, einen Datenschutzbeauftragten zu bestellen?

Unternehmen, in denen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen einen Beauftragten für den Datenschutz bestellen (Bundesdatenschutzgesetz, § 38). Bei Tätigkeiten, bei denen sehr umfassende persönliche Daten erhoben und verarbeitet werden, ist ein Beauftragter zur Überwachung des Datenschutzes grundsätzlich erforderlich. Das gilt beispielsweise dort, wo personenbezogene Daten verarbeitet werden, deren Leck ein hohes Risiko für die Betroffenen darstellen würde, bei Meinungsforschungsinstituten oder wo Videoüberwachung im öffentlichen Raum ausgewertet wird. Die ausschlaggebenden Artikel dafür sind Art. 37 und Art. 35 der DSGVO.

Was macht ein Datenschutzbeauftragter? - Aufgaben und Pflichten

Der Datenschutzbeauftragte wirkt sowohl innerhalb des Unternehmens als auch nach außen als Kontaktperson für die Überwachungsbehörde. Im Betrieb soll er auf die Einhaltung der gesetzlichen Regelungen achten, Risiken einschätzen, die Datenschutz-Strategie des Unternehmens umsetzen und an den entsprechenden Entscheidungen beteiligt werden. Bei bestimmten Verstößen ist er verpflichtet, den Vorfall der Aufsichtsbehörde zu melden (Art. 39 der DSGVO).

Die besondere Rolle des Datenschutzbeauftragten

Der interne Datenschutzbeauftragte hat innerhalb des Betriebs eine besondere Stellung. Er berichtet direkt an die Geschäftsführung, ist aber nicht weisungsgebunden. Er muss seine Aufgabe frei und unabhängig ausüben können. Er unterliegt der Schweigepflicht und hat ein Zeugnisverweigerungsrecht. Der Betrieb ist verpflichtet, seine Stelle mit den notwendigen Ressourcen auszustatten und ihm Zugang zu allen notwendigen Informationen zu gewähren, damit der Datenschutzbeauftragte seine Aufgaben auch erfüllen kann. Dazu gehört die Technik, finanzielle Mittel für Fortbildungen und Fachliteratur, eventuell auch Personal. Der angestellte Datenschutzbeauftragte hat einen besonderen Kündigungsschutz, der noch ein Jahr nachwirkt.

Der Betrieb muss natürlich einem externen Datenschutzbeauftragten alle Auskünfte geben, die für die Erfüllung seiner Aufgaben notwendig sind. Er kann diese Zusammenarbeit allerdings einfacher kündigen.

Wer kann Datenschutzbeauftragter werden?

Wer die Aufgabe eines Datenschutzbeauftragten übernehmen will, muss Sachkunde nachweisen können. Dazu werden Schulungen, Basis- und Aufbauseminare von verschiedenen zertifizierten Trägern angeboten. Es besteht auch die Möglichkeit, einen solchen Kurs im Internet und die Ausbildung zum Datenschutzbeauftragter online zu absolvieren.

Den Abschluss bildet eine Prüfung zum Datenschutzbeauftragten. Die Prüfungsfragen beziehen sich zum einen auf die rechtliche Situation. Zum anderen muss der Beauftragte über fortgeschrittenes IT-Wissen verfügen und sollte einen Überblick über die betriebsinternen Abläufe haben. Er darf auch noch andere Aufgaben im Betrieb ausüben, aber keine, die mit seiner Tätigkeit als Datenschutzbeauftragter in Konflikt stehen. Er darf beispielsweise nicht selbst in der Geschäftsführung sitzen oder die Abteilung leiten, in der die Daten verarbeitet werden. Aufgrund der vielfältigen Aufgaben, die Kommunikation mit verschiedenen Ebenen voraussetzen, sollte die Person dazu auch die entsprechenden Soft Skills mitbringen.

Wie muss die Bestellung formell vor sich gehen?

In der DSGVO ist nur noch von Benennung die Rede. Die meisten Stellen empfehlen jedoch, die Bestellung  schriftlich abzufassen, wie es nach dem alten Datenschutzgesetz vorgeschrieben war, also gerne mit einer Bestellungsurkunde. Name und Kontaktdaten müssen den Aufsichtsbehörden gemeldet werden.

Wer haftet für Fehler beim Datenschutz?

Gegenüber den Personen, deren Daten nicht ausreichend geschützt wurden, haftet zunächst immer das Unternehmen. Das Unternehmen kann versuchen, seinen Datenschutzbeauftragten wegen fehlerhafter Beratung in Regress zu nehmen. Handelt es sich hierbei um einen internen Datenschutzbeauftragten, gilt für diesen nur die beschränkte Arbeitnehmerhaftung, das heißt, wenn er absichtlich oder grob fahrlässig gehandelt hat. Dies muss der Betrieb auch beweisen können.

Ein externer Datenschutzbeauftragter haftet für seine Fehler im Rahmen des Vertrages. Er wird dazu eine eigene Versicherung abschließen, damit ist das Unternehmen beim Verstoß gegen den Datenschutz abgesichert.

Grundsätzlich wird den Datenschutzbeauftragten geraten, ihre Arbeit schriftlich zu dokumentieren, um sich im Falle eines Problems rechtfertigen zu können.

Externer oder interner Datenschutzbeauftragter?

Ob ein Unternehmen eigenes Personal für diese Aufgabe einsetzt oder sie an einen externen Dienstleister vergibt, hängt von verschiedenen Faktoren ab. So kennt ein Mitarbeiter die Abläufe im Unternehmen natürlich besser als jemand, der als Externer dazustößt. Die notwendige Kenntnis in Sachen Datenschutz muss er sich allerdings in der Regel erst aneignen. Damit kommen Kosten auf die Firma zu. Externe Sachverständige besitzen diese schon und bringen bereits Erfahrung mit, von der auch das Unternehmen profitiert.

Soll der eigene Mitarbeiter auch noch andere Aufgaben im Unternehmen übernehmen, besteht die Gefahr eines Interessenkonflikts. Diese besteht in der Regel nicht, wenn ein externer Sachverständiger beauftragt wird. Auch familiäre Bindungen müssen bei der Frage des Interessenkonflikts berücksichtigt werden.

Der interne Datenschutzbeauftragte unterliegt auch nach dem Ende seiner Aufgabe noch ein Jahr lang einem besonderen Kündigungsschutz. Die Zusammenarbeit mit einem externen Dienstleister kann nach den üblichen vertraglich festgelegten Fristen beendet werden.

Unterschiede bestehen auch darin, inwieweit das Unternehmen den Datenschutzbeauftragten für Fehler in Regress nehmen kann: Der externe Datenschutzbeauftragte haftet in größerem Maße für seine Fehler als der interne.



Stand: 25.10.2019