Datenschutzbeauftragter 1

Was macht eigentlich ein (externer) Datenschutzbeauftragter? … und was nicht?

Wenn ein Unternehmen in Deutschland mehr als zwanzig Mitarbeiter hat, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss das Unternehmen einen Datenschutzbeauftragten benennen. Meist genügt es, einfach die Anzahl der E-Mail-Konten im Unternehmen zu zählen. Mehr als 20 persönliche Mitarbeiterkonten = mehr als 20 Mitarbeiter, die automatisiert personenbezogene Daten verarbeiten.

Aber – welche Aufgaben nimmt ein Datenschutzbeauftragter Ihnen ab? Kann man das Thema Datenschutz für sein Unternehmen dann als erledigt abhaken? Und was ist der Unterschied zwischen einem internen und einem externen Datenschutzbeauftragten?


Mehr dazu finden Sie im folgenden Artikel.

Brauche ich einen Datenschutzbeauftragten?

Ob ein Unternehmen einen Datenschutzbeauftragten benennen muss, ist gesetzlich geregelt. Art. 37 DS-GVO regelt die Voraussetzungen, unter denen Unternehmen und Organisationen innerhalb der EU einen Datenschutzbeauftragten benennen müssen. Das Bundesdatenschutzgesetz (BDSG) konkretisiert die Regelungen der DS-GVO für Deutschland. In § 38 BDSG wird die Pflicht zur Benennung eines Datenschutzbeauftragten auf Grundlage der Mitarbeiteranzahl geregelt.

Unabhängig von der Mitarbeiterzahl ist die Benennung eines Datenschutzbeauftragten erforderlich, wenn Verarbeitungen durchgeführt werden, die einer Datenschutz-Folgenabschätzung unterliegen. Hierbei handelt es sich um Datenverarbeitungen, die mit einem voraussichtlich hohen Risiko für die betroffenen Personen verbunden sein können. Auch wenn besonders sensible Daten, etwa Gesundheitsdaten, in großem Umfang oder Daten zum Zweck der Markt- oder Meinungsforschung verarbeitet werden, ist ein Datenschutzbeauftragter zu benennen. Behörden und öffentliche Stellen müssen grundsätzlich einen Datenschutzbeauftragten benennen.

Ob ein interner (int. DSB) oder ein externer (ext. DSB) Datenschutzbeauftragter benannt wird, kann ein Unternehmen selbst bestimmen. Die DS-GVO lässt diese Wahlmöglichkeit explizit zu: “Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.” (Art. 37 Abs. 6 DS-GVO). Wichtig bei der Auswahl der Person ist, dass ein Datenschutzbeauftragter mit geeignetem Fachwissen, beruflicher Qualifikation und Erfahrung im Bereich des Datenschutzrechts benannt wird.

Welche Aufgaben übernimmt ein Datenschutzbeauftragter üblicherweise?

Ein Datenschutzbeauftragter übt das vom Gesetzgeber in Art. 38 DS-GVO beschriebene Amt aus. Dazu gehört insbesondere die Beratung der Geschäftsführung und der Mitarbeiter zu allen Belangen des Datenschutzes. Die folgende Aufzählung gibt Ihnen eine kurze Übersicht zu den typischen Aufgaben eines Datenschutzbeauftragten. (Diese Auflistung ist nicht abschließend.)

Überwachung der Datenschutzvorschriften
Ein DSB kontrolliert, ob das Unternehmen die gesetzlichen Vorgaben zum Datenschutz einhält. Dazu gehört unter anderem die Überprüfung interner Prozesse, in Verbindung mit personenbezogenen Daten verarbeitet werden.

Schulung und Sensibilisierung der Mitarbeiter
Damit die Mitarbeiter über die für sie einschlägigen Datenschutzbestimmungen informiert sind, organisiert oder hält ein DSB entsprechende Schulungen. Er berät außerdem die Geschäftsführung bei der Festlegung der relevanten Inhalte. Die Sensibilisierung von Mitarbeitern und das Angebot von praxisnahen Umsetzungsmöglichkeiten sind wichtige Punkte, um Datenschutzpannen zu vermeiden.

Beratung der Geschäftsführung und Mitarbeiter
Ein DSB berät die Unternehmensleitung und die Mitarbeiter in allen Fragen des Datenschutzes. Dazu gibt er Empfehlungen, wie der Schutz der vom Unternehmen verwendeten Daten verbessert werden kann und hilft ggf. auch bei der Umsetzung entsprechender Maßnahmen.

Durchführung von Datenschutz-Folgenabschätzungen (DSFA)
Bei Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. Der DSB kann diese entweder selbst durchführen, oder die Durchführung beratend begleiten und überwachen.

Dokumentation der Datenschutzmaßnahmen
Ein DSB unterstützt bei der Erstellung und Aktualisierung von wichtigen Datenschutzdokumenten, etwa dem Verarbeitungsverzeichnis oder individuellen Löschkonzepten. Auch die Prüfung und Dokumentation der eingesetzten technischen und organisatorischen Maßnahmen zum Schutz der Daten kann zu den Aufgaben des DSB gehören.

Anlaufstelle für Betroffene und Aufsichtsbehörden
Bei Anfragen der Aufsichtsbehörden oder Anfragen von betroffenen Personen zur Verarbeitung ihrer Daten ist der DSB der erste Ansprechpartner. Auch bei Datenschutzbeschwerden ist der DSB der richtige Ansprechpartner.

Bearbeitung von Datenschutzpannen
Im Fall von Datenschutzvorfällen ist oft der DSB für die Meldung an die Aufsichtsbehörde zuständig. Zudem berät dieser bei der Sachverhaltsklärung, der Risikobewertung sowie der Information der betroffenen Personen.
Ein Datenschutzbeauftragter unterstützt das Unternehmen also insgesamt dabei, Risiken im Datenschutz frühzeitig zu erkennen, diese durch geeignete Maßnahmen zu minimieren und im Falle einer Datenpanne den eingetroffenen Schaden zu begrenzen.

Welche Aufgaben rund um den Datenschutz übernimmt ein Datenschutzbeauftragter NICHT?

Die Gesamtverantwortung für den Datenschutz und die operative Umsetzung der datenschutzrechtlichen Anforderungen liegt in der Verantwortung der Geschäftsführung eines Unternehmens. Der amtierende DSB hat in erster Linie eine beratende und überwachende Funktion.
Um dieser Verantwortung nachzukommen, sollte die Unternehmensleitung sich der Verantwortung für die folgenden Punkte bewusst sein.

Benennung eines Datenschutzbeauftragten
Braucht mein Unternehmen einen DSB? Und wenn ja, wem wird dieses Amt übertragen? Die entsprechende Entscheidung muss die Geschäftsführung eines Unternehmens treffen.

Bereitstellung von Ressourcen
Ein DSB kann noch so gut beraten, auf Missstände hinweisen und konkrete Maßnahmen empfehlen – wenn diese niemand umsetzt, laufen seine Bemühungen ins Leere. Die Unternehmensleitung muss also für ausreichende Ressourcen (personell, zeitlich und monetär) sorgen, damit der DSB seinen Aufgaben ordnungsgemäß nachkommen kann.

Umsetzung von Datenschutzmaßnahmen
Während der DSB Empfehlungen ausspricht, liegt die konkrete Umsetzung der Maßnahmen im operativen Geschäft in der Verantwortung der Unternehmensführung. Dazu gehört unter anderem die Umsetzung von empfohlenen technischen und organisatorischen Maßnahmen, die Einführung und Umsetzung interner Datenschutzrichtlinien oder die Sicherstellung von bedarfsgerechten Mitarbeiterschulungen.

Entscheidung über den Umgang mit Datenschutzpannen
Auch wenn der DSB im Fall einer Datenpanne als Datenschutz-Experte berät, liegt die Entscheidung, welche Maßnahmen im Unternehmen ergriffen werden, bei der Geschäftsführung. Auch die Entscheidung über die Abgabe einer Meldung oder einer Information der betroffenen Personen liegt beim Unternehmen.

Vertragsgestaltung und rechtliche Verantwortung
Die Ausgestaltung und Überwachung von datenschutzkonformen (Dienstleister-)Verträgen, (ggf. auch der Vertrag mit dem externen DSB) liegen in der Verantwortung der Geschäftsführung.

Berichterstattung an Aufsichtsbehörden
Auch wenn der DSB als Kontaktperson für die Aufsichtsbehörden fungiert, liegt die rechtliche Verantwortung für die Kommunikation und Zusammenarbeit mit den Behörden letztlich bei der Geschäftsführung. Dies gilt insbesondere bei Datenschutzpannen und aufsichtsbehördlichen Prüfungen.

Was ist besser – ein externer oder ein interner Datenschutzbeauftragter?

Wie so oft im Leben lautet die Antwort hier ganz klar: es kommt drauf an. Ein erfahrener und gut ausgebildeter Datenschutzbeauftragter wird ihr Unternehmen weiterbringen – egal, ob dieser einen Arbeitsvertrag oder einen Dienstvertrag mit Ihnen abschließt.

Ein interner DSB kennt Ihr Unternehmen und damit auch die Datenverarbeitung der einzelnen Geschäftsbereiche in der Regel gut. Durch die Nähe zum operativen Geschäft und die Vernetzung innerhalb des Unternehmens ist ein interner DSB meist schnell erreichbar und hat tiefgreifendes Unternehmenswissen (oder baut sich dieses mit der Zeit auf). Die direkte Anbindung ans Unternehmen bringt allerdings auch Nachteile. So kann der Erfahrungsschatz und das Wissen im Bereich des Datenschutzes ausschließlich auf das aktuelle Unternehmen begrenzt sein, zumal interne DSB besonders in kleineren Unternehmen ihre Tätigkeit oft nur als “Nebenjob” betreiben. Auch die weitgehende Haftungsbefreiung für Beschäftigte kann im Ernstfall zu einem echten Problem für das betroffene Unternehmen werden.

Ein externer DSB muss Ihr Unternehmen und die internen Strukturen erst kennenlernen. Dies kann, je nach Größe des Unternehmens, einige Wochen bis Monate dauern und bindet entsprechende Ressourcen auf beiden Seiten. Ferner fallen Kosten für die Leistungen des externen DSB an, denn dieser schließt einen Dienstleistungsvertrag mit Ihrem Unternehmen ab und rechnet seine Leistungen dementsprechend ab. Da er nicht ausschließlich für ein Unternehmen tätig ist, teilen Sie sich seine Aufmerksamkeit außerdem mit anderen Unternehmen. Ein großer Vorteil in der Benennung eines externen DSB liegt dafür in dessen Expertise: er übt sein Amt als Haupttätigkeit aus und kann, mit entsprechender Berufspraxis, auf die Erfahrungen und Lösungen aus vielen unterschiedlichen Unternehmen zurückgreifen. Durch die externe Vernetzung mit anderen Experten und Datenschutzakteuren lassen sich Herausforderungen oft schneller “auf dem kurzen Dienstweg” klären und im Ernstfall haftet ein externer DSB für die von ihm erbrachte Beratungsleistung durch eine Berufshaftpflichtversicherung.

Ich kann mich noch nicht entscheiden, ob ich einen DSB brauche und wenn ja, welchen. Und nun?

Mehr Pro- und Kontra Argumente für die Abwägung zwischen einem internen oder einem externen Datenschutzbeauftragten finden Sie hier: https://thomasrosin.de/ihr-externer-datenschutzbeauftragter/

Noch nicht alles klar? Häufig gestellte Fragen rund um das Thema externer Datenschutzbeauftragter beantworte ich Ihnen hier: https://thomasrosin.de/eine-faq-zum-externen-datenschutzbeauftragten/

Und wenn Sie sich noch unsicher sind, ob Sie einen Datenschutzbeauftragten brauchen – mit Hilfe von meinem Datenschutz-QuickCHECK finden wir gemeinsam schnellstmöglich heraus, wo bei Ihrem Unternehmen der Datenschutzschuh drückt: https://thomasrosin.de/datenschutz-quickcheck-schon-gecheckt/

Newsletter

Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

Abonnieren Sie jetzt gleich unseren Newsletter.