Externer Datenschutzbeauftragter

Zahlreiche Unternehmen sind gesetzlich verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen und gegenüber der zuständigen Aufsichtsbehörde zu benennen. Und auch ohne eine solche Verpflichtung kann die Bestellung eines DSB Sinn machen. Hier erfahren Sie einige Einzelheiten zum Thema.

Wann muss ein Datenschutzbeauftragter bestellt werden?

Ob eine gesetzliche Pflicht besteht, einen DSB zu bestellen, hängt einerseits von der Anzahl der Beschäftigten ab, die mit personenbezogenen Daten arbeiten. Zudem ist ganz entscheidend, welche Art von Daten zu welchem Zweck und in welchem Umfang verarbeitet werden. Einzelheiten sind in Art. 37 DSGVO und § 38 BDSG angegeben. Als grober Richtwert gilt: Unternehmen, in denen mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten, sind immer zur Bestellung eines DSB verpflichtet. Bei anderen Unternehmen hängt die Pflicht von Art und Umfang der konkreten Datenverarbeitung ab.

Wann werden Daten "automatisiert" verarbeitet?

Laut § 38 BDSG müssen Unternehmen einen DSB bestellen, die "in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen".
Im aktuell geltenden Datenschutzrecht wird nicht definiert, was "automatisiert" bedeutet. Im "alten" BDSG, das bis 25.05.2018 galt, stellt § 3 BDSG (alt) hierzu klar, dass es um die Verarbeitung "unter Einsatz von Datenverarbeitungsanlagen". geht. Daran kann man sich nach wie vor orientieren. Sobald also ein Computer oder ein sonstiges EDV-Gerät beteiligt ist, liegt eine automatisierte Verarbeitung vor.

Wann werden "ständig" automatisiert Daten verarbeitet?

Laut § 38 BDSG müssen Unternehmen einen DSB bestellen, die "in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen". Ständig beschäftigt ist eine Person, wenn sie regelmäßig personenbezogene Daten verarbeitet. Nicht erforderlich ist, dass dies den Kern der Tätigkeit bildet. Ausreichend ist, wenn bei der üblichen Tätigkeit des Mitarbeiters mit solchen Daten gearbeitet wird. Dies ist bereits der Fall, wenn man ständig Einsicht in Kunden-, Lieferanten- oder Mitarbeiterdaten nimmt.

Was sind die Aufgaben eines Datenschutzbeauftragten?

Die Aufgaben, die ein DSB jedenfalls zu erfüllen hat, sind überwiegend in Art. 39 DSGVO zusammengefasst. Für verschiedene „Kernthemen“ des Datenschutzes (bspw. die Erstellung des Verarbeitungsverzeichnisses, Schulung und Sensibilisierung der Beschäftigten, Ausarbeitung von Verträgen) ist der DSB nach der Grundkonzeption der DSGVO dagegen nicht zuständig. Auch diese Themen können ihm jedoch übertragen werden. Dies stellt Art. 38 Abs. 6 DSGVO ausdrücklich klar. Dabei ist allerdings sicherzustellen, dass durch die Übertragung weiterer Aufgaben und Pflichten kein Interessenkonflikt entsteht.

...Datenschutz

einfach machen

Wer darf als Datenschutzbeauftragter bestellt werden?

Wer zum Datenschutzbeauftragten bestellt werden darf und wer nicht, ist in der DSGVO nicht ausdrücklich angegeben. Art. 37 Abs. 5 DSGVO sieht hierzu lediglich vor, dass ein Datenschutzbeauftragter anhand seines Fachwissens auf den Gebieten des Datenschutzrechts und der Datenschutzpraxis sowie auf Grundlage seiner Fähigkeit zur Erfüllung seiner gesetzlichen Aufgaben auszuwählen ist. Die Datenschutz-Aufsichtsbehörden fordern, dass ein DSB sowohl fachlich geeignet als auch persönlich geeignet sein muss.

Was bedeutet "fachlich geeignet"?

Fachliche Eignung meint ausreichende Kenntnisse insbesondere im rechtlichen und technischen Bereich. Neben umfangreichen Rechtskenntnissen gehören dazu Kenntnisse der Informations- und Telekommunikationstechnik und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.) sowie betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.). Diese müssen auf Nachfrage der Aufsichtsbehörde auch nachweisbar sein.

Wer ist "persönlich geeignet"?

Zur persönlicher Eignung zählen Punkte wie Zuverlässigkeit, Neutralität und (Weisungs-)Unabhängigkeit. Persönlich ungeeignet als Datenschutzbeauftragter sind Personen, bei denen aufgrund ihrer Position im bzw. zum Unternehmen bei der Tätigkeit als Datenschutzbeauftragter ein Interessenkonflikt auftreten kann. Ein solcher Interessenkonflikt gilt laut Rechtsprechung und Aufsichtsbehörden regelmäßig für Inhaber, Vorstände, Geschäftsführer und sonstige Leitungspersonen bzw. -organe sowie für EDV- oder IT-Verantwortliche.

Wie wird ein Datenschutzbeauftragter bestellt?

Verbindliche formelle Vorgaben für die Bestellung bestehen weder für einen internen, noch für einen externen Datenschutzbeauftragten. Theoretisch kann ein Datenschutzbeauftragter daher sogar mündlich bestellt werden. Mit Blick auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) sollte die Bestellung trotzdem unbedingt schriftlich erfolgen. Bei der Gestaltung der entsprechenden Unterlagen bestehen Unterschiede zwischen einem externen und einen internen Datenschutzbeauftragten.

Bestellung eines internen Datenschutzbeauftragten

Die allgemeinen Dienstpflichten eines Mitarbeiters, der zum internen Datenschutzbeauftragten bestellt werden soll, sind – wie seine Arbeitszeiten, die Vergütung etc. – vertraglich bereits durch einen Arbeitsvertrag geregelt. Deshalb müssen lediglich noch die Bestellung an sich und die besonderen Aufgaben als Datenschutzbeauftragter schriftlich fixiert werden. Dies kann in einen relativ übersichtlichen Benennungschreiben erfolgen. Kenntnisnahme und Einverständnis sollte der interne Datenschutzbeauftragte durch Unterschrift quittieren.

Muster: Bestellung interner Datenschutzbeauftragter

Bestellung eines externen Datenschutzbeauftragten

Mit einem externen Datenschutzbeauftragten besteht vor seiner Bestellung in aller Regel kein Vertrag. Deshalb sind neben der Bestellung an sich auch sämtliche Absprachen zu Tätigkeit, Vergütung, Haftung etc. noch schriftlich zu regeln. Hierfür empfiehlt sich eine Zweiteilung: Die Benennung erfolgt mit einem kurzen Schreiben, dass bei Nachfragen auch der Aufsichtsbehörde vorgelegt werden kann.

Muster: Bestellung externer Datenschutzbeauftragter

Alle über die Bestellung hinausgehenden Regelungen und Vereinbarungen zur konkreten Tätigkeit des externen Datenschutzbeauftragten werden separat in einem ausführlichen Dienstleistungsvertrag zwischen dem Verantwortlichen und dem externen Datenschutzbeauftragten festgehalten.

Noch Fragen?

Schreiben Sie uns!

Bewertung
[Stimmen: 1 | ∅: 5]
KDSB Service GmbH
Sie erreichen uns unter folgenden Kontaktdaten:

Wir sind Teilnehmer der Allianz für Cybersicherheit sowie Mitglied des Berufsverbandes der Datenschutzbeauftragten Deutschlands e.V. (BvD) und der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD)