Top Themen im Datenschutz:
Ein Datenschutzbeauftragter überwacht die DSGVO-Konformität im Unternehmen, berät zu Datenschutzfragen und arbeitet mit Aufsichtsbehörden zusammen. Die Aufgaben umfassen Beratung, Überwachung, Schulung und die Unterstützung bei DSFAs.
Ein Datenschutzbeauftragter (DSB) ist eine unabhängige Person oder Stelle im Unternehmen, die die Einhaltung der Datenschutz-Grundverordnung (DSGVO) überwacht und sicherstellt. Der DSB berät das Unternehmen zu allen datenschutzrechtlichen Fragen und fungiert als Ansprechpartner für Mitarbeiter, Kunden und Aufsichtsbehörden. Die gesetzlichen Grundlagen finden sich in Art. 37 bis 39 DSGVO, die sowohl die Benennungspflicht als auch die Aufgaben und die Stellung des Datenschutzbeauftragten regeln.
Unternehmen können zwischen zwei Varianten wählen: Ein interner DSB ist ein Mitarbeiter des Unternehmens, der diese Funktion zusätzlich oder hauptberuflich ausübt. Ein externer DSB ist ein spezialisierter Dienstleister, der mehrere Unternehmen betreut. Beide Varianten sind nach DSGVO zulässig – die Wahl hängt von Unternehmensgröße, Budget und Komplexität der Datenverarbeitung ab. Die Vor- und Nachteile externer vs. interner DSB sollten sorgfältig abgewogen werden.
Der DSB muss unabhängig agieren und darf keine Weisungen bezüglich seiner Datenschutzaufgaben erhalten. Diese Unabhängigkeit ist essenziell, um objektive Überwachung und Beratung zu gewährleisten. Zudem genießt der DSB Kündigungsschutz nach Art. 38 Abs. 3 DSGVO – eine Kündigung darf nur aus wichtigem Grund erfolgen, nicht wegen der Ausübung seiner Tätigkeit.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDie Benennung eines Datenschutzbeauftragten ist nach DSGVO Art. 37 in folgenden Fällen verpflichtend:
Zusätzlich besteht eine Benennungspflicht unabhängig von der Mitarbeiterzahl, wenn das Unternehmen Datenschutz-Folgenabschätzungen durchführen muss oder geschäftsmäßige Datenverarbeitung zum Zweck der Übermittlung, anonymisierten Übermittlung oder Markt-/Meinungsforschung betreibt.
Die Benennungspflicht gilt auch für Unternehmen außerhalb der EU, die personenbezogene Daten von EU-Bürgern verarbeiten. Die Aufsichtsbehörden prüfen die Einhaltung dieser Pflichten und können bei Verstößen Bußgelder verhängen.
Die Hauptaufgaben des Datenschutzbeauftragten sind in DSGVO Art. 39 definiert und lassen sich in drei zentrale Bereiche gliedern: Beratung, Überwachung und Sensibilisierung. Diese Kernaufgaben bilden das Fundament der DSB-Tätigkeit und werden durch zahlreiche konkrete Tätigkeiten im Tagesgeschäft ergänzt. Eine DSB-Checkliste hilft, alle Aufgaben systematisch zu erfüllen.
Der Datenschutzbeauftragte berät die Geschäftsführung und alle Mitarbeiter zu sämtlichen Fragen des Datenschutzes. Diese Beratungsfunktion umfasst die Unterstützung bei der Interpretation der DSGVO, die Bewertung geplanter Projekte auf Datenschutzkonformität und die Entwicklung von Lösungsansätzen für datenschutzrechtliche Herausforderungen. Der DSB ist dabei unabhängig und darf keine Weisungen zur Ausübung seiner Aufgaben erhalten. Ein Datenschutzkoordinator kann den DSB in größeren Organisationen unterstützen.
Typische Beratungsthemen sind die Einführung neuer IT-Systeme, die Gestaltung von Datenschutzerklärungen, die Bewertung von Drittlandtransfers oder die rechtskonforme Implementierung von Marketing-Maßnahmen. Der DSB prüft Verträge auf Datenschutzkonformität, bewertet geplante Verarbeitungstätigkeiten und entwickelt Lösungsansätze für datenschutzrechtliche Herausforderungen. Wichtig: Der DSB berät, entscheidet aber nicht – die Verantwortung für die Umsetzung liegt beim Unternehmen.
Der DSB überwacht die Einhaltung der DSGVO, anderer Datenschutzvorschriften und der internen Datenschutzrichtlinien. Diese Überwachungsfunktion ist eine der zentralen Pflichten und beinhaltet:
Zur Überwachung gehört auch die Kontrolle des Verzeichnisses von Verarbeitungstätigkeiten (VVT), die Überprüfung von Löschkonzepten und die Sicherstellung der Datenschutzkonformität bei neuen Projekten.
Der Datenschutzbeauftragte sensibilisiert die Mitarbeiter für Datenschutzthemen und führt regelmäßige Schulungen durch. Ziel ist es, ein Bewusstsein für datenschutzrelevante Situationen zu schaffen und die Mitarbeiter zu befähigen, personenbezogene Daten rechtskonform zu verarbeiten. Die Schulungen werden auf die jeweiligen Abteilungen und Tätigkeitsbereiche zugeschnitten – IT-Mitarbeiter erhalten andere Inhalte als Vertrieb oder HR.
Typische Schulungsthemen sind Grundlagen der DSGVO, Betroffenenrechte, sichere Passwörter, Umgang mit Datenpannen, E-Mail-Sicherheit und Social Engineering. Der DSB entwickelt Schulungskonzepte, erstellt Schulungsmaterialien und dokumentiert die Teilnahme. Neben regelmäßigen Schulungen organisiert der DSB auch Ad-hoc-Schulungen bei neuen Prozessen oder nach Datenschutzvorfällen. Die Sensibilisierung erfolgt zusätzlich durch Intranet-Artikel, Newsletter und Awareness-Kampagnen.
Bei geplanten Verarbeitungstätigkeiten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen darstellen, muss gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Der DSB berät hierbei und überwacht die ordnungsgemäße Durchführung.
Eine DSFA ist beispielsweise erforderlich bei:
Der Datenschutzbeauftragte arbeitet mit der zuständigen Aufsichtsbehörde zusammen und fungiert als zentrale Anlaufstelle für alle datenschutzrechtlichen Anfragen der Behörde. Er beantwortet behördliche Auskunftsersuchen, koordiniert Prüfungen und stellt die erforderlichen Unterlagen bereit. Bei Datenschutzverstößen oder Beschwerden Betroffener kommuniziert der DSB mit der Aufsichtsbehörde und vermittelt zwischen Unternehmen und Behörde.
Die Zusammenarbeit umfasst auch die Meldung von Datenschutzverletzungen nach Art. 33 DSGVO, die Beantwortung von Auskunftsersuchen und die Teilnahme an Anhörungen. Der DSB vertritt das Unternehmen gegenüber der Aufsichtsbehörde, klärt Sachverhalte auf und erläutert getroffene Maßnahmen. Durch eine konstruktive Zusammenarbeit mit der Behörde können Bußgelder oft reduziert oder vermieden werden, da kooperatives Verhalten als mildernder Faktor gilt.
Der Datenschutzbeauftragte ist gemäß Art. 38 Abs. 4 DSGVO der Ansprechpartner für betroffene Personen in allen Fragen zum Datenschutz. Betroffene können sich mit Anfragen zu ihren Rechten (Auskunft, Löschung, Berichtigung, Widerspruch, Datenübertragbarkeit) an den DSB wenden. Er prüft die Anfragen auf Zulässigkeit, koordiniert die Bearbeitung im Unternehmen und stellt sicher, dass die gesetzlichen Fristen eingehalten werden. Der DSB beantwortet Fragen zur Datenverarbeitung, klärt über Betroffenenrechte auf und vermittelt bei Beschwerden. Seine Kontaktdaten müssen öffentlich zugänglich sein – üblicherweise in der Datenschutzerklärung und im Impressum der Website.
Neben den drei Kernaufgaben übernimmt der Datenschutzbeauftragte zahlreiche konkrete Tätigkeiten im Unternehmen. Diese operativen Aufgaben ergeben sich aus den gesetzlichen Pflichten nach DSGVO und BDSG sowie aus den individuellen Anforderungen des Unternehmens. Die folgende Übersicht zeigt die wichtigsten konkreten Aufgaben, die ein DSB im Tagesgeschäft wahrnimmt.
Der Datenschutzbeauftragte entwickelt interne Datenschutzrichtlinien, die als verbindliche Vorgaben für alle Mitarbeiter gelten. Typische Richtlinien umfassen:
Die Richtlinien werden gemeinsam mit den Fachabteilungen entwickelt, um praxisnahe und umsetzbare Regelungen zu schaffen. Der DSB überprüft die Richtlinien regelmäßig und passt sie bei Rechtsänderungen oder organisatorischen Veränderungen an.
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist gemäß Art. 30 DSGVO eine zentrale Dokumentationspflicht für alle Unternehmen. Der Datenschutzbeauftragte erstellt und pflegt dieses Verzeichnis, in dem alle Datenverarbeitungsvorgänge des Unternehmens systematisch erfasst werden. Für jede Verarbeitungstätigkeit dokumentiert der DSB Zweck, Rechtsgrundlage, Kategorien betroffener Personen, verarbeitete Datenkategorien, Empfänger der Daten, Löschfristen und technische sowie organisatorische Maßnahmen.
Der DSB arbeitet dabei eng mit allen Fachabteilungen zusammen, um alle Verarbeitungsprozesse zu identifizieren. Er führt Interviews mit Prozessverantwortlichen, analysiert IT-Systeme und dokumentiert Datenflüsse. Das VVT wird regelmäßig aktualisiert – insbesondere bei neuen Verarbeitungstätigkeiten, bei Änderungen bestehender Prozesse oder bei neuen IT-Systemen. Das VVT muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können und dient als Grundlage für Datenschutz-Folgenabschätzungen und Audits.
Bei Datenschutzvorfällen – sogenannten Data Breaches – übernimmt der DSB die zentrale Koordinationsrolle. Der typische Ablauf bei einem Datenschutzvorfall:
Die Meldung an die Aufsichtsbehörde muss innerhalb von 72 Stunden nach Kenntnisnahme erfolgen, wenn ein Risiko für die Rechte und Freiheiten betroffener Personen besteht. Der DSB unterstützt die Geschäftsführung bei der Einschätzung der Meldepflicht und erstellt die erforderliche Dokumentation.
Wenn ein Unternehmen externe Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt (z.B. Cloud-Anbieter, Hosting-Provider, Marketing-Agenturen), ist nach Art. 28 DSGVO ein schriftlicher Auftragsverarbeitungsvertrag (AVV) erforderlich. Der Datenschutzbeauftragte prüft diese Verträge auf Vollständigkeit und DSGVO-Konformität. Er stellt sicher, dass alle Pflichtinhalte enthalten sind: Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der Daten, Kategorien betroffener Personen sowie Pflichten und Rechte des Verantwortlichen.
Der DSB prüft zudem, ob der Auftragsverarbeiter ausreichende technische und organisatorische Maßnahmen (TOM) gewährleistet, ob Unterauftragsverarbeiter eingesetzt werden und ob diese ausreichend überprüft wurden. Bei internationalen Dienstleistern kontrolliert der DSB die Rechtmäßigkeit von Drittlandtransfers und die Einhaltung von Standardvertragsklauseln oder anderen Übermittlungsinstrumenten. Der DSB führt eine Liste aller Auftragsverarbeiter und überwacht regelmäßig deren Compliance.
Der Datenschutzbeauftragte dokumentiert alle datenschutzrelevanten Vorgänge im Unternehmen systematisch. Dies umfasst die Führung des Verarbeitungsverzeichnisses, die Dokumentation von Datenschutzvorfällen, die Protokollierung von Schulungen, die Aufbewahrung von AVV-Verträgen und die Nachweisführung durchgeführter Audits. Die Dokumentation dient der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können. Zudem erstellt der DSB einen jährlichen Tätigkeitsbericht für die Geschäftsführung. Dieser Bericht fasst die Datenschutzaktivitäten des vergangenen Jahres zusammen, bewertet den Compliance-Status, benennt festgestellte Mängel und gibt Empfehlungen für das kommende Jahr. Der Tätigkeitsbericht informiert die Geschäftsführung über Datenschutzrisiken, Fortschritte bei laufenden Projekten und notwendige Ressourcen.
So treffen Sie die richtige Wahl: mit klaren Auswahlkriterien und den wichtigsten Fragen für das Gespräch mit Ihrem zukünftigen Datenschutzbeauftragten.
Ein Datenschutzbeauftragter muss bestimmte fachliche und persönliche Voraussetzungen erfüllen. Art. 37 Abs. 5 DSGVO fordert die Benennung auf Grundlage der beruflichen Qualifikation und des Fachwissens. Konkret bedeutet dies:
Das erforderliche Fachwissen hängt von der Komplexität der Datenverarbeitung ab. Bei einem kleinen Handwerksbetrieb sind die Anforderungen geringer als bei einem international tätigen Konzern mit umfangreichen Datenverarbeitungen. Der DSB muss seine Qualifikation durch regelmäßige Fortbildungen aktuell halten.
Bei der Auswahl zwischen internem und externem Datenschutzbeauftragten spielen neben den fachlichen Anforderungen auch Faktoren wie Verfügbarkeit, Haftungsrisiko und Kosten eine Rolle. Ein externer DSB bringt oft breitere Erfahrung und höhere Rechtssicherheit mit, während ein interner DSB tiefere Kenntnis der betrieblichen Abläufe hat.
Nein, die Benennungspflicht hängt von bestimmten Kriterien ab. Nach § 38 BDSG sind Unternehmen verpflichtet, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zudem besteht eine Pflicht, wenn die Kerntätigkeit in umfangreicher Verarbeitung besonderer Datenkategorien oder in Datenverarbeitungen besteht, die einer DSFA unterliegen (z.B. umfangreiche Videoüberwachung). Öffentliche Stellen müssen grundsätzlich immer einen DSB benennen. Kleinere Unternehmen ohne diese Merkmale können freiwillig einen DSB benennen, sind aber nicht dazu verpflichtet.
Ja, ein interner DSB kann auch andere betriebliche Aufgaben wahrnehmen, solange keine Interessenkonflikte entstehen. Nach Art. 38 Abs. 6 DSGVO darf der DSB nicht in eine Position gebracht werden, in der er sich selbst überwachen müsste. Daher sind Positionen wie Geschäftsführung, IT-Leitung, HR-Leitung oder Marketing-Leitung problematisch, da diese Funktionen maßgeblich über Datenverarbeitungen entscheiden. Zulässig sind hingegen Tätigkeiten ohne Entscheidungsbefugnis über Datenverarbeitungen, z.B. in der Buchhaltung, im Einkauf oder als Fachreferent. Externe Datenschutzbeauftragte haben dieses Problem nicht, da sie außerhalb der Unternehmensorganisation stehen.
Grundsätzlich haftet das Unternehmen als Verantwortlicher nach Art. 82 DSGVO für Datenschutzverstöße, nicht der DSB. Die Verantwortung für die Einhaltung der DSGVO liegt beim Unternehmen bzw. der Geschäftsführung. Der DSB hat nur eine beratende und überwachende Funktion – er entscheidet nicht über Datenverarbeitungen. Eine persönliche Haftung des DSB ist nur in Ausnahmefällen denkbar, etwa bei vorsätzlichen Rechtsverstößen, grober Fahrlässigkeit oder wenn er seine Pflichten schwerwiegend vernachlässigt. Interne DSB profitieren zudem vom arbeitsrechtlichen Haftungsprivileg nach § 619a BGB. Externe DSB sollten über eine Berufshaftpflichtversicherung verfügen.
Der Zeitaufwand hängt stark von Unternehmensgröße, Komplexität der Datenverarbeitung und Branche ab. In kleinen Unternehmen (20-50 Mitarbeiter) mit einfachen Prozessen können 1-2 Stunden pro Woche ausreichen. Mittelständische Unternehmen (50-250 Mitarbeiter) benötigen oft 10-20% einer Vollzeitstelle, also ca. 4-8 Stunden pro Woche. In großen Organisationen oder bei komplexen Verarbeitungen (z.B. im Gesundheitswesen, bei Banken) kann eine Vollzeitstelle oder sogar ein Team erforderlich sein. Projektphasen wie die Einführung neuer IT-Systeme, Audits oder Umstrukturierungen erhöhen den Zeitbedarf temporär. Das Unternehmen muss dem DSB ausreichend Zeit zur Verfügung stellen, um seine Aufgaben ordnungsgemäß zu erfüllen.
Ja, ein Wechsel des Datenschutzbeauftragten ist möglich, unterliegt aber besonderen Anforderungen. Der DSB genießt Kündigungsschutz nach Art. 38 Abs. 3 DSGVO – eine Abberufung oder Kündigung darf nicht wegen der Erfüllung seiner Aufgaben erfolgen. Ein Wechsel ist nur aus wichtigem Grund zulässig, etwa bei mangelnder Fachkunde, Pflichtverletzungen oder bei strukturellen Änderungen im Unternehmen. Bei externen DSB kann der Dienstleistungsvertrag meist ordentlich gekündigt werden, sofern vertraglich keine abweichenden Regelungen getroffen wurden. Der Wechsel muss der Aufsichtsbehörde gemeldet werden. Eine sorgfältige Übergabe mit Dokumentation aller laufenden Prozesse ist wichtig, um Compliance-Lücken zu vermeiden.
Der Datenschutzbeauftragte ist eine zentrale Figur für die DSGVO-Konformität im Unternehmen. Seine drei Kernaufgaben – Beratung, Überwachung und Sensibilisierung – bilden das Fundament seiner Tätigkeit. Darüber hinaus übernimmt der DSB zahlreiche operative Aufgaben: Er erstellt Datenschutzrichtlinien, pflegt das Verarbeitungsverzeichnis, prüft Auftragsverarbeitungsverträge, koordiniert Datenschutzvorfälle, führt Audits durch und begleitet Datenschutz-Folgenabschätzungen. Er arbeitet mit der Aufsichtsbehörde zusammen und dient als Ansprechpartner für Betroffene.
Die Anforderungen an einen DSB sind hoch: Er benötigt umfassende Fachkenntnisse im Datenschutzrecht, technisches Verständnis und Soft Skills wie Kommunikationsfähigkeit und Durchsetzungsvermögen. Die Benennungspflicht besteht ab 20 Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind, sowie bei besonders riskanten Verarbeitungen. Unternehmen können zwischen internem und externem DSB wählen – beide Varianten haben Vor- und Nachteile. Der DSB genießt Unabhängigkeit und Kündigungsschutz, um seine Aufgaben objektiv wahrnehmen zu können. Weitere Informationen zum Leitfaden der Aufsichtsbehörden finden Sie bei der Bundesbeauftragten für Datenschutz.
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen