Externer Datenschutz­beauftragter
nach DSGVO deutschlandweit

Jedes Unternehmen darf einen Datenschutzbeauftragten bestellen. Dies kann sinnvoll sein, um teure Fehler zu vermeiden und das Vertrauen potenzieller Kunden zu gewinnen. Es ist jedoch nicht jedes Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet. Welche Unternehmen einen Datenschutzbeauftragten brauchen, ergibt sich aus Art. 37 DSGVO.

• Behörden und öffentliche Stellen haben immer einen Datenschutzbeauftragten.
• Unternehmen, deren Kerntätigkeit "in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen" (Art. 37 Absatz 1 b DSGVO) sind zur Bestellung eines Datenschutzbeauftragten verpflichtet. Mit diesem etwas sperrigen Satz sind alle Unternehmen gemeint, deren Kernbereich die Verarbeitung von Daten ist. Das Gesetz enthält keine genaue Abgrenzung, weshalb allgemeingültige Aussagen schwierig sind. Ein Marktforschungsunternehmen braucht sicherlich einen Datenschutzbeauftragten. Ein Unternehmen, das lediglich Personaldaten verwaltet, dagegen nicht. Bei den meisten Unternehmen muss im Einzelfall abgewogen werden, inwieweit die Voraussetzung erfüllt ist.
• Unternehmen, die mit Daten besonderer Kategorien arbeiten, brauchen ebenfalls einen Datenschutzbeauftragten. Die besonderen Kategorien ergeben sich aus Art. 9 DSGVO. Dazu gehören beispielsweise Daten über die ethnische Herkunft, die Gewerkschaftszugehörigkeit und die sexuellen Orientierung.

Artikel 38 Absatz 1 BDSG ergänzt die DSGVO. Hiernach sind weitere Unternehmen zur Benennung eines Datenschutzbeauftragten verpflichtet.

• Unternehmen, in denen "in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen", brauchen einen Datenschutzbeauftragten. Hierbei kommt es auf die Haupttätigkeit der jeweiligen Personen an. Wenn ein Mitarbeiter nur ausnahmsweise in einem relevanten Bereich unterstützend tätig ist, zählt er nicht zu den 20 Personen. Es ist auch irrelevant, ob die Zahl kurzzeitig überschritten wird, weil beispielsweise ein neuer Mitarbeiter eingearbeitet wird. Sollte sich die Anzahl der mit der Verarbeitung von Daten beschäftigten Personen jedoch über einen längeren Zeitraum im Grenzbereich befinden, ist die Bestellung eine Datenschutzbeauftragten auf jeden Fall empfehlenswert.
• Auch wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO notwendig ist, muss ein Datenschutzbeauftragter bestellt werden. Dies ist immer dann der Fall, wenn die Form der Verarbeitung mit einem besonderen Risiko behaftet ist. Ein Beispiel dafür ist die Verwendung einer neuen Technologie.

Wenn Sie als Privatperson oder Kleinunternehmer eine Website betreiben, brauchen Sie in der Regel keinen Datenschutzbeauftragten. Anders ist dies, wenn Sie beispielsweise einen großen Online-Handel oder ein Unternehmen betreiben, bei dem mehr als 20 Mitarbeiter personenbezogene Daten verarbeiten. In seltenen Fällen ist eine Datenschutz-Folgenabwägung und damit ein Datenschutzbeauftragter notwendig.

Für Vereine gelten die gleichen Voraussetzungen wie für Unternehmen. Wenn das Kerngeschäft des Vereins, die Verarbeitung personenbezogener Daten ist oder mehr als 20 Personen ständig personenbezogene Daten verarbeiten, braucht er einen Datenschutzbeauftragten.

Der Datenschutzbeauftragte muss gem. Art. 37 DSGVO vom Unternehmen benannt werden. Es kann eine interne Person mit der Aufgabe betraut werden. Alternativ ist auch ein Vertragsschluss mit einem externen Datenschutzbeauftragten möglich. In jedem Fall muss der Datenschutzbeauftragte in der Datenschutzerklärung genannt und der Aufsichtsbehörde mitgeteilt werden.

Es gibt keine spezielle Berufsausbildung zum Datenschutzbeauftragten. Die benannte Person muss jedoch die in Art. 37 Absatz 5 DSGVO genannten Voraussetzungen erfüllen.

• Berufliche Qualifikation
• Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
• Fähigkeit zur Erfüllung seiner Aufgaben

Die Wahl des Datenschutzbeauftragten muss gegebenenfalls den Datenschutzbehörden erklärt werden. Dies ist leichter, wenn der Datenschutzbeauftragte seine Kenntnisse beispielsweise durch ein Zertifikat vom TÜV oder der IHK nachweisen kann. Wichtig ist darüber hinaus, dass die Benennung zu keinem Interessenkonflikt führt. Ein Geschäftsführer ist deshalb als Datenschutzbeauftragter ungeeignet.

Die Wahl des Datenschutzbeauftragten hängt von den Bedürfnissen und den Möglichkeiten des Unternehmens ab. Ein interner Datenschutzbeauftragter muss durch die neue Aufgabe eventuell einen Teil seiner bisherigen Arbeit abgeben und das Unternehmen muss in der Regel zudem eine Schulung finanzieren. Vorteilhaft ist, dass eine interne Person das Unternehmen kennt und meist leicht mit den betroffenen Kollegen ins Gespräch kommt.

Ein externer Datenschutzexperte braucht dagegen zu Beginn seiner Tätigkeit meist etwas mehr Zeit für jede Aufgabe, da er häufig nicht so tief in den Arbeitsabläufen drin steckt, wie ein interner DSB. Auch fallen mit der Beauftragung eines externen Datenschutzbeauftragten zusätzliche wiederkehrende Kosten an. Hier sollte aber berücksichtigt werden, dass ein interner Datenschutzbeauftragter in der Zeit seiner datenschutzrechtlichen Tätigkeit auch nicht seine sonstigen Aufgaben wahrnehmen kann. Hier muss jedes Unternehmen für sich selbst entscheiden, welche Variante "günstiger" ist. Der besondere Vorteil eines externen Datenschutzbeauftragten ist vor allem, dass sich das Unternehmen eine sehr gut ausgebildete und erfahrene Person wählen kann, wodurch der Datenschutzbeauftragte nicht nur der gesetzlichen Pflicht genüge tut, sondern tatsächlich einen echten Mehrwert für das Unternehmen darstellt.

Die Aufgaben und Pflichten des Datenschutzbeauftragten sind in Artikel 39 DSGVO festgelegt.

• Der Datenschutzbeauftragte muss den Auftragsverarbeiter und alle Beschäftigten, die personenbezogene Daten verarbeiten, über ihre Pflichten bezüglich des Datenschutzes unterrichten und beraten. "Unterrichten" meint das zur Verfügung stellen von Informationen und gegebenenfalls die Klärung offener Fragen. "Beraten" bezeichnet die Hilfestellung bei der Lösung konkreter Probleme.
• Er hat die Einhaltung der Datenschutzvorschriften zu überwachen. Der Wortlaut der DSGVO schließt neben der DSGVO selbst ausdrücklich alle anderen Datenschutzvorschriften der Europäischen Union und der Mitgliedstaaten ein. Diese Aufgabe ist sehr umfangreich. Selbst in einem kleinen Unternehmen werden regelmäßig von verschiedenen Personen und Abteilungen zahlreiche Daten verarbeitet. Es ist empfehlenswert die Überwachungstätigkeit zu dokumentieren. So können sowohl das Unternehmen selbst als auch die Aufsichtsbehörde überprüfen, ob der Datenschutzbeauftragte seiner Arbeit nachkommt.
• Zu seinen Aufgaben gehört auch die Bekanntmachungen neuer gesetzlicher Vorgaben und interner Richtlinien zur Arbeit mit personenbezogenen Daten. Die Organisation von Schulungen fällt dagegen in den Aufgabenbereich des Unternehmens. Da diese beiden Bereiche eng miteinander verknüpft sind, ist im Rahmen von Datenschutz-Schulungen eine enge Zusammenarbeit zwischen Unternehmen und Datenschutzbeauftragten empfehlenswert. Im Rahmen unseres DSGVO Pakets übernimmt dies auch Ihr externer Datenschutzbeauftragter vom Händlerbund.
• Der Datenschutzbeauftragte ist der Ansprechpartner für Fragen zum Datenschutz. Alle internen Personen sollten beispielsweise auf einem Beiblatt zum Vertrag seine Kontaktdaten erhalten und über sein Aufgabenfeld informiert werden. Er ist auch für die Fragen externer Personen zuständig, weshalb seine Kontaktdaten ebenfalls in der Datenschutzerklärung genannt werden müssen. Nicht zuletzt hält er auch den Kontakt zur Aufsichtsbehörde.

Der Sinn all dieser Aufgaben und Pflichten ist es, dass der Datenschutzbeauftragte seinen Zweck erfüllt: Er soll dem Unternehmen bei der Selbstkontrolle bezüglich der Einhaltung der Datenschutzvorschriften helfen. Um diese Aufgabe vollumfänglich erfüllen zu können, dürfen ihm diesbezüglich keine Weisungen erteilt werden. Alle Befugnisse dienen jedoch nur der Kontrolle. Er hat nicht das Recht, eigenständig Veränderungen einzuleiten oder den Mitarbeitern oder gar der Geschäftsführung Weisungen zu erteilen. Wenn er Missstände aufdeckt, muss er diese der Geschäftsführung melden. Diese ist für die Verbesserung der Situation zuständig. Die Maßnahmen werden jedoch wiederum vom Datenschutzbeauftragten kontrolliert.

Die DSGVO lässt die Haftung des Datenschutzbeauftragten größtenteils offen. Viele Fragen werden derzeit diskutiert und müssen noch von der Rechtsprechung oder dem Gesetzgeber entschieden werden. Feststeht, dass im Außenverhältnis regelmäßig das Unternehmen und seine Geschäftsführer haften. Im Innenverhältnis können Unternehmen Regressansprüche gegen ihre Datenschutzbeauftragten haben. Ein solcher Anspruch kommt beispielsweise bei einer fehlerhaften Beratung in betracht.

Gemäß Artikel 83 Absatz 4 Nr. 1 DSGVO können die Aufsichtsbehörden bei Missachtung der Vorschriften zum Datenschutzbeauftragten Bußgelder in Höhe von bis zu 10.000.000 Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes verhängen.