Externer Datenschutzbeauftragter Aufgaben

Datenschutz-Folgenabschätzung (DSFA) erstellen, Mitarbeiter sensibilisieren und schulen, Datenschutzerklärungen überprüfen – drei typische Aufgaben des DSB.

Erfahren Sie hier, welche Aufgaben zum täglichen Geschäft des Datenschutzbeauftragten gehören. 

Cortina Consult als externer Datenschutzbeauftragter
Inhalt dieser Seite

Allgemeine Aufgaben des Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten sind vielfältig. Daher sind neben datenschutzrechtlicher Kompetenz auch soziale, technische und organisatorische Fähigkeiten gefragt.

Aber der Reihe nach.

Beginnen wir formal mit der Herleitung der Rechtsgrundlage. Die Aufgaben des Datenschutzbeauftragten sind in Art. 38 und Art. 39 DSGVO geregelt:

Unterrichtung und Beratung der Verantwortlichen, Auftragsverarbeiter und Beschäftigten
Überwachung der Einhaltung der DSGVO, des BDSG und anderer Datenschutzvorschriften
Sensibilisierung und Schulung der Mitarbeiter
Beratung und Überwachung der Datenschutz-Folgeabschätzung
Zusammenarbeit mit der Aufsichtsbehörde
Ansprechpartner für Betroffene

Seine Aufgabe ist es, durch Beratung und Kontrolle einen wirksamen Schutz personenbezogener Daten zu gewährleisten. Bei der Erfüllung seiner Aufgaben ist er weisungsfrei, aber nicht weisungsbefugt. Das heißt, er trifft keine eigenständigen Entscheidungen zur Umsetzung des Datenschutzes.

Verantwortlich für die Einhaltung der datenschutzrechtlichen Pflichten bleibt die verantwortliche Stelle, also das jeweilige Unternehmen, der Verein, die Behörde etc. Der Datenschutzbeauftragte ist von der Leitung rechtzeitig in alle Fragen des Schutzes personenbezogener Daten einzubinden.

In Kürze: Ein Datenschutzbeauftragter ist ein Experte auf dem Gebiet des Datenschutzes. Er hat insbesondere die Aufgabe, die Umsetzung der Vorgaben der DSGVO und anderer datenschutzrechtlicher Regelungen im Unternehmen sicherzustellen und Datenschutzverstöße zu verhindern.

Unterrichtung und Beratung

Unter Unterrichtung ist die Pflicht zu verstehen, allgemein über die datenschutzrechtlichen Pflichten zu informieren. Unter Beratung ist die Unterstützung bei der Lösung konkreter Probleme zu verstehen. Diese Verpflichtung besteht gegenüber dem Verantwortlichen selbst und seinen Mitarbeitern. Der Versand eines regelmäßigen Rundschreibens oder eines Newsletters kann sinnvoll sein, um die Mitarbeiter regelmäßig zu informieren.

Überwachung der Datenschutzprozesse

Der Datenschutzbeauftragte ist gewissermaßen die Außenstelle der Aufsichtsbehörde, die „ein Auge“ darauf hat, dass die datenschutzrechtlichen Vorgaben in der Organisation/ im Unternehmen eingehalten werden. 

Dazu greift er auf spezielle Überwachungsmaßnahmen zurück. Diese umfassen u.a.:  

Der Umfang der Aufsichtspflicht lässt sich aus der Vielzahl der Verarbeitungen personenbezogener Daten eines Arbeitnehmers erahnen. Beispielsweise werden personenbezogene Daten erstmals bei der Bewerbung verarbeitet. Im Laufe des Arbeitsverhältnisses werden dann zahlreiche weitere Datenverarbeitungsvorgänge mit dem Mitarbeiter durchgeführt, seien es Krankmeldungen, ggf. Leistungskontrollen oder Arbeitszeiterfassungen etc. 

Darüber hinaus sind Verarbeitungstätigkeiten gegenüber Kunden, Lieferanten, Geschäftspartnern etc. vorgesehen. Es müssen alle Verarbeitungsinstrumente überwacht werden (z. B. verschiedene Datenbanken, Videoüberwachung, Website-Tracking, Apps). Die Überwachung der rechtmäßigen Erhebung, der sicheren Verarbeitung und der fristgerechten Löschung ist bei diesen Verarbeitungstätigkeiten erforderlich. Insgesamt sind die zu überwachenden Verarbeitungstätigkeiten sehr umfangreich. Um eine effektive Überwachung zu gewährleisten, sollten darüber hinaus regelmäßig Kontrollen vor Ort bei den Mitarbeitern hinsichtlich der Einhaltung der datenschutzrechtlichen Vorgaben durchgeführt werden. Zum Nachweis, dass der Datenschutzbeauftragte seine Überwachungsaufgabe ordnungsgemäß erfüllt hat, sollte dies dokumentiert werden. 

Die konkreten Aufgaben des Datenschutzbeauftragten

Der Aufgabenbereich des Datenschutzbeauftragten hat sich durch die DSGVO erweitert. Früher hatte er lediglich auf die Einhaltung der datenschutzrechtlichen Vorschriften hinzuwirken. Nach der neuen Rechtslage hat er über die Einhaltung des Datenschutzrechts zu beraten, zu informieren und diese zu überwachen

Der Gesetzeswortlaut sieht vor, dass der Datenschutzbeauftragte bereits bei seiner Bestellung über das erforderliche Fachwissen verfügen muss, um seine Aufgaben erfüllen zu können. Die Forderung nach einem umfassenden Fachwissen des Datenschutzbeauftragten von Anfang an ist jedoch in der Praxis häufig nicht umsetzbar, da sich viele Fragen im laufenden Betrieb zum ersten Mal stellen. Dass sich der Datenschutzbeauftragte das erforderliche Fachwissen während einer Einarbeitungszeit aneignet, ist daher vertretbar. Um seine Aufgaben erfüllen zu können, muss der Datenschutzbeauftragte vom Verantwortlichen die notwendigen Ressourcen zur Verfügung gestellt bekommen. 

Grundsätzlich gilt: Die Ressourcen und das Fachwissen des Datenschutzbeauftragten sollten umso umfangreicher sein, je umfangreicher und komplexer die Verarbeitungsvorgänge eines Unternehmens sind. Wer diesen „Aufwand“ scheut, kann auch einen externen Datenschutzbeauftragten bestellen, der durch entsprechende Ausbildung bereits umfassende Fachkenntnisse besitzt. 

Externen DSB bestellen

Aufgrund des umfangreichen Aufgabengebiets des Datenschutzbeauftragten kann es vorteilhaft sein, die Position extern zu besetzen. Der externe Datenschutzbeauftragte übernimmt dabei jegliche Aufgaben des DSB und unterstützt Ihr Unternehmen mit umfangreichem Fachwissen. Unsere Datenschutz-Experten verfügen über jahrelange Erfahrung in dem Bereich und unterstützen Sie gerne bei der Umsetzung.

Richtlinien erstellen

Bei der Gestaltung von Rechtsdokumenten mit datenschutzrechtlichem Bezug steht der Datenschutzbeauftragte beratend zur Seite. Konkret kann es sich dabei beispielsweise um Betriebsvereinbarungen, Richtlinien/Direktiven für den privaten Gebrauch von Internet und E-Mail, den Umgang mit Auskunftsersuchen von Betroffenen oder um eine allgemeine Datenschutzrichtlinie handeln. 

Wichtig ist auch die Beratung bei der Erstellung von Datenschutzerklärungen zur Erfüllung von Informationspflichten, z.B. für die Website oder für Antragsteller. Um die datenschutzrechtlichen Nachweis- und Rechenschaftspflichten zu erfüllen, ist ein wesentlicher Baustein, eine Datenschutzdokumentation zu erstellen. Der Nachweis, dass Datenschutz in einem Unternehmen „gelebt“ wird, kann in der Regel nur so erbracht werden. 

Datenschutz-Folgenabschätzung

Der Verantwortliche ist verpflichtet, bei bestimmten Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen. Bei der Durchführung einer solchen DSFA hat der Verantwortliche den Datenschutzbeauftragten um Rat zu fragen, beispielsweise im Hinblick auf die Notwendigkeit einer DSFA, das Vorgehen bei Rückfragen und die vorherige Konsultation der Aufsichtsbehörden. Nach dem Wortlaut des Gesetzes muss der Datenschutzbeauftragte also in allen Fragen, die mit dem Schutz personenbezogener Daten in Zusammenhang stehen, frühzeitig und angemessen beteiligt werden

Verzeichnis der Verarbeitungstätigkeiten

Sowohl die für die Verarbeitung Verantwortlichen als auch die Auftragsverarbeiter müssen ein Verarbeitungsverzeichnis erstellen. Dieses kann je nach Unternehmensgröße sehr umfangreich sein. Der Datenschutzbeauftragte berät bei der Erstellung des Registers und kann die Kohärenz des Registers prüfen. Nicht in den Aufgabenbereich des Datenschutzbeauftragten fällt jedoch die eigentliche Erstellung

Datenschutzvorfälle und Betroffenenanfragen prüfen

Auch bei der Einrichtung wichtiger Prozesse und Berichtslinien ist häufig die Unterstützung des Datenschutzbeauftragten erforderlich. Die kurze Frist von nur 72 Stunden für die Meldung von Datenschutzverstößen macht es fast unumgänglich, effiziente Prozesse zu etablieren, so dass jeder Mitarbeiter sofort weiß, wann es sich um einen Datenschutzvorfall handelt und wie der DSB in diesem Fall zu involvieren ist. Auch die relativ kurze Frist von einem Monat für die Bearbeitung von Anfragen von betroffenen Personen erfordert einen Prozess, in dem die Zuständigkeiten und die mögliche Einbeziehung des DSB bereits im Vorfeld genau festgelegt sind. 

Mitarbeiterschulungen überwachen

Der Datenschutzbeauftragte hat auch die Aufgabe, die Mitarbeiter zu informieren und zu beraten. Davon zu unterscheiden ist die Schulung der Mitarbeiter. Es ist Aufgabe des Verantwortlichen, die Mitarbeiter zu schulen. Aufgabe des Datenschutzbeauftragten ist lediglich die Überwachung der ordnungsgemäßen Durchführung der Schulung. Da die Grenzen zwischen Unterrichtung und Schulung jedoch fließend sind, sollte der Datenschutzbeauftragte zumindest in die Konzeption der Schulungen einbezogen werden. 

Häufig übernimmt der Datenschutzbeauftragte auch selbst die Schulung der Mitarbeiter. Auf Fragen, die sich aus der täglichen Arbeit ergeben, kann er gut eingehen. Darüber hinaus haben Schulungen eine vertrauensbildende Wirkung, so dass die Hemmschwelle der Mitarbeiterinnen und Mitarbeiter zur Kontaktaufnahme mit dem Datenschutzbeauftragten geringer wird. Die Schulungen können allgemein oder bei Bedarf auch bereichsbezogen durchgeführt werden, z. B. Datenschutz im Gesundheitswesen, im Marketing oder beim internationalen Datenaustausch. 

Hilfreich kann es auch sein, wenn der Datenschutzbeauftragte konkrete Hilfestellung am Arbeitsplatz leistet, indem er dort erklärt, worauf konkret zu achten ist. 

Mitarbeiterkontrolle unterstützen

Kontrollen durch den Arbeitgeber sind z. B. erforderlich, wenn die private Nutzung von Internet und E-Mail verboten ist oder Missbrauch befürchtet wird. In diese Kontrollen ist der Datenschutzbeauftragte einzubeziehen, damit alle Rechte der Arbeitnehmer gewahrt bleiben. 

Onboarding und neue Mitarbeitende

Der Datenschutzbeauftragte ist verantwortlich für die Unterrichtung neuer Mitarbeiter über die Datenschutzpolitik des Unternehmens und die Art und Weise, in der diese Politik im Onboarding-Prozess berücksichtigt wird. Während des Onboarding-Prozesses hat der Datenschutzbeauftragte die Aufsicht darüber, dass nur die erforderlichen personenbezogenen Daten erhoben werden und dass den neuen Mitarbeitern angemessene Zugriffsrechte gewährt werden. 

Website und Cookie-Banner

Sofern das Unternehmen einen Internet-Auftritt pflegt, ist es dazu verpflichtet, die Betroffenen über die Nutzung von Cookies zu informieren. Dazu muss ein sogenanntes “Cookie-Banner” integriert werden, das es Websitebesuchern ermöglicht, der Verwendung von Cookies zuzustimmen respektive diese abzulehnen.  

Der Datenschutzbeauftragte ist für die korrekte Implementierung und den Betrieb dessen verantwortlich. Dabei ist es vorteilhaft, einen Service in Anspruch zu nehmen, der die Einrichtung eines Cookie-Banners vereinfacht.  

Datenschutzprozesse identifizieren und optimieren

Die Verarbeitung personenbezogener Daten beginnt bereits bei der Bewerbung. Im Laufe der Anstellung kommt es zu zahlreichen weiteren Datenverarbeitungsvorgängen, zum Beispiel Krankschreibungen, Leistungskontrollen oder die Erfassung der Arbeitszeiten. Alle Mittel der Verarbeitung müssen überwacht werden, beispielsweise verschiedene Datenbanken, Videoüberwachungen, Website-Tracking und Apps. Hinsichtlich dieser Verarbeitungstätigkeiten muss u. a. die rechtmäßige Erhebung, die sichere Verarbeitung und die fristgerechte Löschung überwacht werden. Die zu überwachenden Verarbeitungstätigkeiten sind sehr umfassend – es besteht erhebliches Potenzial zur Verbesserung der innerbetrieblichen Prozessoptimierung. 

Zusammenarbeit mit dem Betriebsrat

Zu den Aufgaben des Datenschutzbeauftragten gehört auch die Beratung des Betriebsrats. Hier kann der Datenschutzbeauftragte mitunter neben seiner technischen Beratung auch seine mediatorischen Fähigkeiten unter Beweis stellen. 

Der Datenschutzbeauftragte - Ansprechpartner nach innen und außen

Der Datenschutzbeauftragte gilt als Anlaufstelle für jegliche Datenschutzbelange. Dabei ist diese Aufgabe unabhängig davon, ob es sich dabei um die interne oder externe Kommunikation handelt. Er ist verantwortlich für den reibungslosen Ablauf aller Datenschutz-Prozesse und verfügt über umfangreiche Kenntnis aller Datenschutz-Themen innerhalb des Unternehmens. Damit bildet er die qualifizierteste Funktion in Bezug auf die datenschutzspezifische Kommunikation.  

Anlaufstelle für interne und externe Adressaten

In Fragen des Datenschutzes ist der Datenschutzbeauftragte erster Ansprechpartner. Intern steht er dem Arbeitgeber, den Arbeitnehmern und dem Betriebsrat mit Rat und Tat zur Seite. Er muss aber auch „extern“ für Kunden, Lieferanten und andere Betroffene erreichbar sein, z.B. für Auskünfte zu Datenschutzfragen. 

Eine einfache Auffindbarkeit der Kontaktdaten des Datenschutzbeauftragten sollte daher gewährleistet sein. Hierfür bietet es sich an, die Kontaktdaten auf der Website, im Intranet oder auf Beiblättern zu den Verträgen dauerhaft zur Verfügung zu stellen. Bestandteil der Kontaktdaten sollten die Postanschrift und die E-Mail-Adresse sein, die Angabe der Telefonnummer kann optional sein. 

Ansprechpartner der Aufsichtsbehörde

Der Datenschutzbeauftragte soll die Einhaltung der datenschutzrechtlichen Vorschriften in Unternehmen oder anderen Organisationen gewissermaßen als „Außenstelle der zuständigen Aufsichtsbehörde“ sicherstellen. Er soll den Aufsichtsbehörden als kompetenter Ansprechpartner für Anfragen und Kontrollen zur Verfügung stehen und bei besonders risikobehafteten Verarbeitungen im Vorfeld mit der Aufsichtsbehörde Rücksprache halten. Eine Meldepflicht der Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde besteht daher ebenfalls. 

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Externen DSB bestellen

Als externer Datenschutzbeauftragter unterstützen wir Sie bei der Umsetzung der Aufgaben des DSB in Ihrem Unternehmen.

Ihre Vorteile mit Cortina Consult als externer Datenschutzbeauftragter

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

Cortina Consult als externer Datenschutzbeauftragter
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo