Externer Datenschutzbeauftragter Benennung

Benennung des Datenschutzbeauftragten

Die Datenschutz-Grundverordnung (DSGVO) schreibt in vielen Unternehmen die Bestellung eines (externen) Datenschutzbeauftragten vor. Auch wenn die DSGVO keine schriftliche Bestellung des DSB vorschreibt, ist diese aus Gründen der Nachweisbarkeit sinnvoll.

Datenschutz
Inhalt dieser Seite

Die Bestellung eines Datenschutzbeauftragten ist für Unternehmen verpflichtend, sofern bestimmte Voraussetzungen erfüllt sind. Die Anforderungen an die Pflicht zur Benennung eines Datenschutzbeauftragten ergeben sich sowohl aus der Datenschutz-Grundverordnung (DSGVO) als auch aus den Bestimmungen des Bundesdatenschutzgesetzes (BDSG).

Der folgende Artikel beschreibt die formalen Anforderungen an eine solche Bestellung, die Folgen einer fehlerhaften Bestellung und die zu vermeidenden Interessenkonflikte.

Benennung des Datenschutzbeauftragter nach DSGVO und BDSG

Benennungspflicht nach DSGVO

Mit der Frage der Benennungspflicht sind wir bereits mitten in der DSGVO, genauer gesagt in Art. 37 DSGVO, angekommen. Die DSGVO sieht insbesondere in drei Fällen vor, dass Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten benennen müssen:

Die DSGVO regelt nicht alle Fälle der Bestellung eines Datenschutzbeauftragten.

Daher sind bei der Frage, ob ein Datenschutzbeauftragter bestellt werden muss, neben den Anforderungen der DSGVO auch die Bestimmungen des BDSG zu berücksichtigen.

Benennungspflicht nach Bundesdatenschutzgesetz (BDSG)

Das BDSG ist ein deutsches Gesetz, das den Umgang mit personenbezogenen Daten durch öffentliche Stellen und private Unternehmen regelt. Es soll die informationelle Selbstbestimmung der betroffenen Personen gewährleisten und Datenschutzverstöße verhindern. Nach dem BDSG ist ein Datenschutzbeauftragter zu bestellen, wenn

Ein Datenschutzbeauftragter kann auf freiwilliger Basis auch in anderen als den oben genannten Fällen bestellt werden. Die Bestellung eines Datenschutzbeauftragten ist in der Regel ab einer Mitarbeiterzahl von 20 erforderlichEine Bestellung kann aber auch dann erforderlich sein, wenn weniger als 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Welche Qualifikationen muss ein Datenschutzbeauftragter erfüllen?

Wenn Sie sich für die Bestellung eines DSB entschieden haben, sollten Sie sich zunächst über die Kriterien informieren, die dieser erfüllen muss. Die Anforderungen sind hoch. Demnach muss der DSB folgende Kriterien erfüllen:

Zu den Aufgaben gehören unter anderem die Beratung bei Datenschutz-Folgenabschätzungen, die Zusammenarbeit mit der Aufsichtsbehörde oder die Schulung von Mitarbeitern. 

Kann der Geschäftsführer Datenschutzbeauftragter im eigenen Unternehmen sein?

Der Datenschutzbeauftragte hat den Verantwortlichen zu kontrollieren, was nicht möglich ist, wenn er mit der Geschäftsleitung identisch ist oder wenn er von Beschäftigten in leitender Stellung, z.B. dem Leiter der IT-Abteilung, wahrgenommen wird. Hier käme es unweigerlich zu Interessenkonflikten in Form einer unzulässigen Selbstkontrolle. Demnach ist eine Benennung des Geschäftsführers als Datenschutzbeauftragter unzulässig

Dürfen Beschäftigte Datenschutzbeauftragte werden?

Bei dem Datenschutzbeauftragten kann es sich sowohl um einen Mitarbeiter des Verantwortlichen / Auftragsverarbeiters als auch um einen externen Berater handeln. Im Hinblick auf die umfangreichen Nachweis- und Rechenschaftspflichten im Datenschutzrecht (Stichwort: Beweislastumkehr) sollte der Datenschutzbeauftragte sehr sorgfältig ausgewählt werden. Bei der Erstellung einer ausreichenden Datenschutzdokumentation spielt er eine entscheidende Rolle. Für ein reibungsloses und datenschutzkonformes Arbeiten im Unternehmen ist ein fachlich kompetenter Datenschutzbeauftragter daher ein entscheidender Baustein.

Ein Angestellter hat den Vorteil, dass er oft sehr gut mit den internen Verarbeitungsprozessen vertraut ist, was aber auch zu einer „Betriebsblindheit“, zu Interessenkonflikten und zu Befangenheit führen kann.

Beratung durch externe Datenschutzbeauftragte wird von Dienstleistern angeboten. Diese verfügen über eine entsprechende fachliche Qualifikation und Erfahrung und sind in der Lage, eine neutrale Position einzunehmen.

Datenschutzbeauftragter – mehrfache Benennung möglich?

Die Bestellung eines gemeinsamen Datenschutzbeauftragten ist für einen Konzern möglich.

Voraussetzung dafür ist jedoch, dass der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreichbar ist. Bei international tätigen Konzernen kann dies auf Grund von Sprachbarrieren oft nicht gewährleistet werden.

Mehrere Datenschutzbeauftragte dürfen nicht für ein und dasselbe Unternehmen bestellt werden. Dies würde zu einer Überschneidung der Zuständigkeiten der Datenschutzbeauftragten führen.

Welche Formalia sind bei der Benennung zu beachten?

Wenn Sie sich darüber im Klaren sein sollten, ob Sie einen Datenschutzbeauftragten bestellen müssen oder nicht, müssen Sie „nur“ noch die formelle Bestellung vornehmen. 

Form der Benennung

Hinsichtlich der Form der Benennung ist zu beachten: Von Gesetzes wegen muss die Benennung nicht mehr zwingend schriftlich erfolgen. Eine Dokumentation der Benennung wird jedoch aus Beweisgründen empfohlen.

Konkreter Ablauf der Benennung des DSB

Ist die Entscheidung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über den zu bestellenden Datenschutzbeauftragten gefallen, ist die Bestellung selbst sehr einfach:

Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

An die Veröffentlichung werden keine besonderen Anforderungen gestellt, sie sollte jedoch in geeigneter Form erfolgen, so dass die Öffentlichkeit davon Kenntnis nehmen kann. Intern kann das z.B. über ein schwarzes Brett, Intranet oder Merkblätter bei der Personalrekrutierung geschehen. Extern wird die Veröffentlichung z.B. durch einen leicht auffindbaren Hinweis auf der Website des Unternehmens, in der Datenschutzerklärung, in Informationsblättern oder an anderen leicht auffindbaren Stellen vorgenommen.

Bei der Veröffentlichung der Kontaktdaten muss nicht unbedingt der Name des Datenschutzbeauftragten angegeben werden, sondern es sind lediglich Angaben darüber erforderlich, wie der Datenschutzbeauftragte kontaktiert werden kann, d. h. E-Mail-Adresse, Postanschrift usw. Die Nennung des Namens des Datenschutzbeauftragten hat jedoch erfahrungsgemäß eine vertrauensbildende Wirkung.

Die Meldung bei der Aufsichtsbehörde

Grundsätzlich sind auch hier der zuständigen Aufsichtsbehörde Daten mitzuteilen, die eine Kontaktaufnahme ermöglichen. Empfehlenswert ist die Verwendung des entsprechenden Meldeformulars auf der Website der zuständigen Aufsichtsbehörde, z.B. des Hamburgischen Beauftragten für den Datenschutz:

Folgende Informationen sollten Sie dabei auf dem Meldeformular angeben: 

Innerhalb des Meldeformulars sind allerdings lediglich die Felder „Name des Verantwortlichen und „Datum der Benennung“ als Pflichtfelder markiert.

Auf den Postweg und den E-Mail-Weg wird als alternative Meldewege hingewiesen. Bei der Wahl der Kontaktmöglichkeiten ist immer darauf zu achten, welche Möglichkeiten der Meldung von der zuständigen Aufsichtsbehörde eröffnet werden. Das Formular ermöglicht neben den Angaben zur Erstanmeldung auch Angaben zur Änderung und Löschung des Datenschutzbeauftragten.

Wichtig: Unmittelbar nach der Bestellung des Datenschutzbeauftragten sollte die Meldung an die Aufsichtsbehörde erfolgen.

Auf der Website kann nachgelesen werden, wie die Meldung an die zuständige Aufsichtsbehörde genau aussehen muss. Entsprechende Meldeformulare werden dort in der Regel zur Verfügung gestellt.

Was ist außerdem bei der Benennung zu beachten?

Umgang mit veralteten Meldeurkunden

Bestellungsurkunden von Datenschutzbeauftragten, die noch nach „altem“ Recht erstellt wurden, sind auch nach neuem Recht „wirksam“, soweit sie die Bestellung eines Datenschutzbeauftragten dokumentieren, dass für den Verantwortlichen ein Datenschutzbeauftragter bestellt ist. Es empfiehlt sich jedoch, noch einmal einen Blick in die Bestellungsurkunde zu werfen und zu prüfen, ob der Inhalt DSGVO-konform ausgestaltet ist. Hierbei ist darauf zu achten, welche zusätzlichen Vereinbarungen getroffen wurden und ob diese mit dem Pflichtenkatalog der DSGVO übereinstimmen.

Mit welchen Konsequenzen ist bei Nicht-Beachten zu rechnen?

Die DSGVO sieht bei fahrlässig oder absichtlich unterlassener Bestellung eines Datenschutzbeauftragten eine Geldbuße von bis zu 10.000.000€ oder im Falle eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr vor, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 DSGVO).

Bestehen in einem Unternehmen Zweifel, ob ein Datenschutzbeauftragter bestellt werden muss, sollten die Voraussetzungen aufgrund des hohen Bußgeldrisikos sehr sorgfältig geprüft und ggf. fachlicher Rat eingeholt werden.

Inhalt dieser Seite
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Weitere Informationen zum DSB erhalten?

Umfassende Informationen zu Vorteilen und Aufgaben erhalten Sie mit einem Klick.

Ihre Vorteile mit Cortina Consult

Cortina Consult hilft Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen.

Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der gesetzlichen Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

ISMS
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
Unsere Lösungen
Cortina Consult Logo