Cortina Consult Logo
Cortina Consult
Externer Datenschutzbeauftragter Benennung

Benennung des Datenschutzbeauftragten

Die Datenschutz-Grundverordnung (DSGVO) schreibt in vielen Unternehmen die Bestellung eines (externen) Datenschutzbeauftragten vor. Auch wenn die DSGVO keine schriftliche Bestellung des DSB vorschreibt, ist diese aus Gründen der Nachweisbarkeit sinnvoll.

Externen DSB bestellen
Datenschutz
Inhalt dieser Seite

Die Bestellung eines Datenschutzbeauftragten ist für Unternehmen verpflichtend, sofern bestimmte Voraussetzungen erfüllt sind. Die Anforderungen an die Pflicht zur Benennung eines Datenschutzbeauftragten ergeben sich sowohl aus der Datenschutz-Grundverordnung (DSGVO) als auch aus den Bestimmungen des Bundesdatenschutzgesetzes (BDSG).

Der folgende Artikel beschreibt die formalen Anforderungen an eine solche Bestellung, die Folgen einer fehlerhaften Bestellung und die zu vermeidenden Interessenkonflikte.

Benennung des Datenschutzbeauftragter nach DSGVO und BDSG

Benennungspflicht nach DSGVO

Mit der Frage der Benennungspflicht sind wir bereits mitten in der DSGVO, genauer gesagt in Art. 37 DSGVO, angekommen. Die DSGVO sieht insbesondere in drei Fällen vor, dass Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten benennen müssen:

  • Die Verarbeitung wird von einer Behörde oder einer öffentlichen Stelle vorgenommen. Gerichte sind jedoch in Ausübung ihrer Rechtsprechungsbefugnisse von dieser Verpflichtung ausgenommen.
  • Der Verantwortliche oder der Auftragsverarbeiter führt im Wesentlichen Verarbeitungen durch, bei denen aufgrund der Art, des Umfangs und/oder der Zwecke der Verarbeitung eine umfangreiche, regelmäßige und systematische Überwachung von Einzelpersonen erforderlich ist.
  • Der Schwerpunkt der Tätigkeit des für das Datenverarbeitungssystem Verantwortlichen liegt auf der umfangreichen Verarbeitung besonderer Kategorien von Daten im Sinne von Artikel 9 DSGVO (z. B. Gesundheitsdaten) oder von personenbezogenen Daten über Verurteilungen und Straftaten im Sinne von Artikel 10 DSGVO.

Die DSGVO regelt nicht alle Fälle der Bestellung eines Datenschutzbeauftragten.

Daher sind bei der Frage, ob ein Datenschutzbeauftragter bestellt werden muss, neben den Anforderungen der DSGVO auch die Bestimmungen des BDSG zu berücksichtigen.

Benennungspflicht nach Bundesdatenschutzgesetz (BDSG)

Das BDSG ist ein deutsches Gesetz, das den Umgang mit personenbezogenen Daten durch öffentliche Stellen und private Unternehmen regelt. Es soll die informationelle Selbstbestimmung der betroffenen Personen gewährleisten und Datenschutzverstöße verhindern. Nach dem BDSG ist ein Datenschutzbeauftragter zu bestellen, wenn

  • Mit der automatisierten Verarbeitung personenbezogener Daten sind in der Regel mindestens 20 Personen ständig beschäftigt.
  • Verarbeitungen durchgeführt werden, die einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterliegen (d.h. die für die betroffenen Personen besonders risikoreich sind, z.B. Videoüberwachung öffentlich zugänglicher Bereiche).
  • Es handelt sich um Verarbeitungen, die geschäftsmäßig zum Zwecke der Übermittlung (auch in anonymisierter Form) oder zum Zwecke der Markt- oder Meinungsforschung erfolgen.

Ein Datenschutzbeauftragter kann auf freiwilliger Basis auch in anderen als den oben genannten Fällen bestellt werden. Die Bestellung eines Datenschutzbeauftragten ist in der Regel ab einer Mitarbeiterzahl von 20 erforderlichEine Bestellung kann aber auch dann erforderlich sein, wenn weniger als 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Welche Qualifikationen muss ein Datenschutzbeauftragter erfüllen?

Wenn Sie sich für die Bestellung eines DSB entschieden haben, sollten Sie sich zunächst über die Kriterien informieren, die dieser erfüllen muss. Die Anforderungen sind hoch. Demnach muss der DSB folgende Kriterien erfüllen:

  • Ausreichende berufliche Qualifikation (insbesondere seines Fachwissens im Datenschutzrecht, sowie der Datenschutzpraxis)
  • Die Fähigkeit, die ihm zugetragenen Aufgaben der Beratung, Überwachung und Zusammenarbeit mit den Aufsichtsbehörden zu erfüllen.

Zu den Aufgaben gehören unter anderem die Beratung bei Datenschutz-Folgenabschätzungen, die Zusammenarbeit mit der Aufsichtsbehörde oder die Schulung von Mitarbeitern. 

Kann der Geschäftsführer Datenschutzbeauftragter im eigenen Unternehmen sein?

Der Datenschutzbeauftragte hat den Verantwortlichen zu kontrollieren, was nicht möglich ist, wenn er mit der Geschäftsleitung identisch ist oder wenn er von Beschäftigten in leitender Stellung, z.B. dem Leiter der IT-Abteilung, wahrgenommen wird. Hier käme es unweigerlich zu Interessenkonflikten in Form einer unzulässigen Selbstkontrolle. Demnach ist eine Benennung des Geschäftsführers als Datenschutzbeauftragter unzulässig

Dürfen Beschäftigte Datenschutzbeauftragte werden?

Bei dem Datenschutzbeauftragten kann es sich sowohl um einen Mitarbeiter des Verantwortlichen / Auftragsverarbeiters als auch um einen externen Berater handeln. Im Hinblick auf die umfangreichen Nachweis- und Rechenschaftspflichten im Datenschutzrecht (Stichwort: Beweislastumkehr) sollte der Datenschutzbeauftragte sehr sorgfältig ausgewählt werden. Bei der Erstellung einer ausreichenden Datenschutzdokumentation spielt er eine entscheidende Rolle. Für ein reibungsloses und datenschutzkonformes Arbeiten im Unternehmen ist ein fachlich kompetenter Datenschutzbeauftragter daher ein entscheidender Baustein.

Ein Angestellter hat den Vorteil, dass er oft sehr gut mit den internen Verarbeitungsprozessen vertraut ist, was aber auch zu einer „Betriebsblindheit“, zu Interessenkonflikten und zu Befangenheit führen kann.

Beratung durch externe Datenschutzbeauftragte wird von Dienstleistern angeboten. Diese verfügen über eine entsprechende fachliche Qualifikation und Erfahrung und sind in der Lage, eine neutrale Position einzunehmen.

Datenschutzbeauftragter – mehrfache Benennung möglich?

  • Kann ein Datenschutzbeauftragter für mehrere Unternehmen benannt werden? Die Bestellung eines gemeinsamen Datenschutzbeauftragten für eine Unternehmensgruppe ist möglich. Voraussetzung dafür ist jedoch, dass der Datenschutzbeauftragte von jeder Niederlassung aus ohne weiteres erreicht werden kann.
  • Kann ein Datenschutzbeauftragter für mehrere Behörden/ öffentliche Stellen ernannt werden? Handelt es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder eine öffentliche Stelle, so kann ein Datenschutzbeauftragter für mehrere dieser Behörden oder öffentlichen Stellen bestellt werden. In diesem Fall sind jedoch die Größe der Behörde und ihre Organisationsstruktur zu berücksichtigen.
  • Können mehrere Datenschutzbeauftragte für ein Unternehmen benannt werden? Die DSGVO spricht von der Benennung „eines“ Datenschutzbeauftragten. Ein Verbot, weitere Datenschutzbeauftragte zu benennen, ist zwar nicht ausdrücklich normiert, aber eine solche Auslegung dürfte den Begriff „einen“ zu weit gehen lassen. Darüber hinaus dürfte es auch schwierig werden, innerhalb einer Organisationseinheit mehrere DSB zu haben, da dies zu Kompetenzüberschneidungen führen würde. Es empfiehlt sich daher, wenn die in einem Unternehmen anfallenden datenschutzrechtlichen Fragen und Aufgaben für einen Datenschutzbeauftragten allein zu umfangreich werden, zur Unterstützung des Datenschutzbeauftragten ein Datenschutzteam oder Datenschutzkoordinatoren einzusetzen.

Die Bestellung eines gemeinsamen Datenschutzbeauftragten ist für einen Konzern möglich.

Voraussetzung dafür ist jedoch, dass der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreichbar ist. Bei international tätigen Konzernen kann dies auf Grund von Sprachbarrieren oft nicht gewährleistet werden.

Mehrere Datenschutzbeauftragte dürfen nicht für ein und dasselbe Unternehmen bestellt werden. Dies würde zu einer Überschneidung der Zuständigkeiten der Datenschutzbeauftragten führen.

Welche Formalia sind bei der Benennung zu beachten?

Wenn Sie sich darüber im Klaren sein sollten, ob Sie einen Datenschutzbeauftragten bestellen müssen oder nicht, müssen Sie „nur“ noch die formelle Bestellung vornehmen. 

Form der Benennung

Hinsichtlich der Form der Benennung ist zu beachten: Von Gesetzes wegen muss die Benennung nicht mehr zwingend schriftlich erfolgen. Eine Dokumentation der Benennung wird jedoch aus Beweisgründen empfohlen.

Konkreter Ablauf der Benennung des DSB

Ist die Entscheidung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über den zu bestellenden Datenschutzbeauftragten gefallen, ist die Bestellung selbst sehr einfach:

Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

(Art. 37 Abs. 7 DSGVO)

An die Veröffentlichung werden keine besonderen Anforderungen gestellt, sie sollte jedoch in geeigneter Form erfolgen, so dass die Öffentlichkeit davon Kenntnis nehmen kann. Intern kann das z.B. über ein schwarzes Brett, Intranet oder Merkblätter bei der Personalrekrutierung geschehen. Extern wird die Veröffentlichung z.B. durch einen leicht auffindbaren Hinweis auf der Website des Unternehmens, in der Datenschutzerklärung, in Informationsblättern oder an anderen leicht auffindbaren Stellen vorgenommen.

Bei der Veröffentlichung der Kontaktdaten muss nicht unbedingt der Name des Datenschutzbeauftragten angegeben werden, sondern es sind lediglich Angaben darüber erforderlich, wie der Datenschutzbeauftragte kontaktiert werden kann, d. h. E-Mail-Adresse, Postanschrift usw. Die Nennung des Namens des Datenschutzbeauftragten hat jedoch erfahrungsgemäß eine vertrauensbildende Wirkung.

Die Meldung bei der Aufsichtsbehörde

Grundsätzlich sind auch hier der zuständigen Aufsichtsbehörde Daten mitzuteilen, die eine Kontaktaufnahme ermöglichen. Empfehlenswert ist die Verwendung des entsprechenden Meldeformulars auf der Website der zuständigen Aufsichtsbehörde, z.B. des Hamburgischen Beauftragten für den Datenschutz:

Folgende Informationen sollten Sie dabei auf dem Meldeformular angeben: 

  • Name
  • Anschrift
  • Telefonnummer
  • E-Mail-Adresse, etc.

Innerhalb des Meldeformulars sind allerdings lediglich die Felder „Name des Verantwortlichen und „Datum der Benennung“ als Pflichtfelder markiert.

Auf den Postweg und den E-Mail-Weg wird als alternative Meldewege hingewiesen. Bei der Wahl der Kontaktmöglichkeiten ist immer darauf zu achten, welche Möglichkeiten der Meldung von der zuständigen Aufsichtsbehörde eröffnet werden. Das Formular ermöglicht neben den Angaben zur Erstanmeldung auch Angaben zur Änderung und Löschung des Datenschutzbeauftragten.

Wichtig: Unmittelbar nach der Bestellung des Datenschutzbeauftragten sollte die Meldung an die Aufsichtsbehörde erfolgen.

Auf der Website kann nachgelesen werden, wie die Meldung an die zuständige Aufsichtsbehörde genau aussehen muss. Entsprechende Meldeformulare werden dort in der Regel zur Verfügung gestellt.

Was ist außerdem bei der Benennung zu beachten?

Umgang mit veralteten Meldeurkunden

Bestellungsurkunden von Datenschutzbeauftragten, die noch nach „altem“ Recht erstellt wurden, sind auch nach neuem Recht „wirksam“, soweit sie die Bestellung eines Datenschutzbeauftragten dokumentieren, dass für den Verantwortlichen ein Datenschutzbeauftragter bestellt ist. Es empfiehlt sich jedoch, noch einmal einen Blick in die Bestellungsurkunde zu werfen und zu prüfen, ob der Inhalt DSGVO-konform ausgestaltet ist. Hierbei ist darauf zu achten, welche zusätzlichen Vereinbarungen getroffen wurden und ob diese mit dem Pflichtenkatalog der DSGVO übereinstimmen.

Mit welchen Konsequenzen ist bei Nicht-Beachten zu rechnen?

Die DSGVO sieht bei fahrlässig oder absichtlich unterlassener Bestellung eines Datenschutzbeauftragten eine Geldbuße von bis zu 10.000.000€ oder im Falle eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr vor, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 DSGVO).

Bestehen in einem Unternehmen Zweifel, ob ein Datenschutzbeauftragter bestellt werden muss, sollten die Voraussetzungen aufgrund des hohen Bußgeldrisikos sehr sorgfältig geprüft und ggf. fachlicher Rat eingeholt werden.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Weitere Informationen zum DSB erhalten?

Umfassende Informationen zu Vorteilen und Aufgaben erhalten Sie mit einem Klick.

Mehr über Cortina als DSB

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

  • Gebündelte Erfahrung aus 10 Jahren in der Branche und 500 erfolgreichen Datenschutzprojekten
  • Beratung, Software & Schulung aus einer Hand
  • Prozessoptimierung frei nach dem Motto: so viel wie nötig, so wenig wie möglich
Cortina Consult Pauschalpakete
Externer Datenschutzbeauftragter
Kontakt
Cortina Consult
Hafenweg 24
48155 Münster
+49 251 95 20 37 - 40
post@cortina-consult.de
Über uns
Über Cortina
Karriere
Projekte & Referenzen
Impressum
Datenschutzerklärung
Datenschutzeinstellungen
AGB und AVV
Service
Bußgeldrechner
Meldung Datenschutzvorfall
DSGVO-Beschwerde Generator
Datenschutzerklärung Generator
Kostenloser Website-Check
DSGVO Gesetzestext
Newsletter
Unternehmensgruppe
Cookiebox Logo
©2024 Cortina Consult GmbH
Cortina Consult Symbol Weiss
Cortina Datenschutz Siegel
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
+49 251 95 20 37 - 40
jtb@cortina-consult.de
Unsere Lösungen
Cortina Consult Logo

Impressum | Datenschutz