DSGVO Datenschutzbeauftragter: Aufgaben und Pflichten

Tätigkeiten gemäß Art. 39 DSGVO und § 7 BDSG

Der Beauftragte für Datenschutz wirkt innerhalb einer Organisation auf die Einhaltung des Datenschutzes hin. Er beschäftigt sich mit den Unternehmensabläufen, die sich mit personenbezogenen Daten befassen respektive in denen Daten mit Bezug zu natürlichen Personen erhoben, verarbeitet und gespeichert werden.

Die Aufgabe eines Datenschutzbeauftragten ist es nicht, Sie bei Ihrer täglichen Arbeit zu überwachen. Vielmehr bezieht sich seine Kontrollfunktion auf die Abläufe bei der Verarbeitung personenbezogener Daten.

Ein (externer) Datenschutzbeauftragter berät Sie zu allen Fragen der datenschutzrechtlichen Zulässigkeit und gibt Handlungsempfehlungen, wie und mit welchen Maßnahmen Sie die Datenschutzvorgaben praktisch umsetzen können. So können Sie ein angemessenes Datenschutzniveau im Unternehmen erreichen und nachweisen.

Die Arbeit des DSB erzeugt Rechtskonformität, reduziert Haftungsrisiken und ist ein Baustein auf dem Weg zur digitalen Transformation im Unternehmen. Wichtig dabei ist, dass der Beauftragte ordnungsgemäß und frühzeitig in alle datenschutzrechtlichen Fragen eingebunden wird.

Das Bundesdatenschutzgesetz (BDSG-neu) und die Datenschutzgrundverordnung (DSGVO) geben bereits bestimmte Aufgaben und Pflichten vor, die ein Datenschutzbeauftragter zu erfüllen hat. Im Vordergrund steht, dass die allgemeinen Datenschutzregelungen im Unternehmen eingehalten bzw. umgesetzt werden.

Auch wenn der Datenschutzbeauftragte keine Entscheidungskompetenz besitzt, hat er eine erhebliche Verantwortung im Unternehmen; mit der zunehmenden Komplexität der gesetzlichen Bestimmungen, nimmt auch der Aufgabenbereich ständig zu.

Der Datenschutzbeauftragte ist zur Verschwiegenheit verpflichtet. Alle Daten und Vorgänge, die ihm im Rahmen seiner Tätigkeit bekannt werden, muss er geheim halten.

Ihr Ansprechpartner: Jörg ter Beek

Privatsphäre aus Prinzip

Weitere Informationen zu Jörg ter Beek finden Sie auf seinem XING-Profil oder LinkedIn-Profil.

Seine wichtigsten Arbeitsgebiete sind

  • Kontrolle von automatisierten Datenverarbeitungsprogrammen und -prozessen, die bei der Verarbeitung personenbezogener Daten eingesetzt werden (oder werden sollen), sowie der Datensicherheit. Von entsprechenden Änderungen in den Arbeitsabläufen muss er rechtzeitig im Voraus informiert werden und dabei beraten und mitwirken. Bei Problemen informiert er umgehend die Geschäftsleitung, Dabei muss der Datenschutzbeauftragte auf die Einhaltung sowohl der Datenschutz-Grundverordnung (DSGVO) als auch des neuen Bundesdatenschutzgesetzes (BDSG-neu) hinwirken;
  • regelmäßige Schulung aller Personen, die mit der Datenverarbeitung beschäftigt sind; hierzu gehören neben der Geschäftsleitung auch Mitarbeiter aus Vertrieb, Marketing, Controlling, IT, Presse- sowie Personalabteilung;
  • neue Mitarbeiter in die Unternehmensvorgaben einweisen;
  • Durchführung eines Datenschutz-Audits;
  • hinwirken auf die ordnungsgemäße Anwendung der DSGVO;
  • IT-Sicherheit / Informationssicherheit: Ansprechpartner und Impulsgeber für den IT-Verntwortlichen;
  • Verzeichnis der Verarbeitungstätigkeiten, die IT-Dokumentation und weitere erforderliche Dokumentationen erstellen;
  • eine Datenschutzrichtlinie für das gesamte Unternehmen entwickeln;
  • die Datenschutz-Folgenabschätzung (Art. 35 DSGVO);
  • Verträge mit externen Dienstleistern in Hinblick auf den Datenschutz prüfen;
  • Überwachungssysteme (z.B. Videoüberwachung) auf Datenschutz und Zulässigkeit prüfen;
  • externe Software (Dropbox, Whatsapp, Facebook, Twitter, Cloudanwendungen etc.) auf Datenschutzaspekte hin überprüfen und Verwendungsempfehlungen aussprechen;
  • Firmenwebseite regelmäßig auf Datenschutzaspekte hin überprüfen, auf fehlende oder unaktuelle Datenschutzerklärungen und Cookiehinweise sowie unnötige Datenerfassung im Onlineshop hinweisen;
  • Übermittlungen von Daten in In- und Ausland kontrollieren;
  • Ansprechpartner der Aufsichtsbehörden in Sachen Datenschutz;
  • den ordnungsgemäßen Umgang mit personenbezogenen Daten samt deren Verarbeitung und Löschung kontrollieren sowie Auskunftsanfragen von Kunden, Mitarbeitern, Bewerbern und Dienstleistern beantworten.
  • Beratung zu allen datenschutzrechtlichen Fragen 

INFO: Personenbezogene Daten

Zu den personenbezogenen Daten gehören Name, Vorname, Adresse (oder Teile davon), E-Mail-Adresse, Telefonnummer, Geburtsdatum, Kunden- oder Personennummer.

Aber auch sogenannte Metadaten (wie z. B. Standortdaten) sowie alle weiteren Daten, die Rückschluss auf eine identifizierbare Person zulassen – die exakten Definitionen der hier genutzten rechtlichen Begriffe finden Sie in § 46 BDSG-neu.

Jeder, der mit diesen Informationen umgeht, seien es Kunden-, Dienstleister- oder Personaldaten, zählt für die genannten Anzahlen mit.

Schon wer in oder aus dem Unternehmen regelmäßig E-Mails versendet, ist als Nutzer personenbezogener Daten zu betrachten und zählt dadurch bei den hier erwähnten Personenzahlen mit.

Datenschutzbeauftragter. Eine anspruchsvolle und umfassende Aufgabe

Wer kann betrieblicher Datenschutzbeauftragter werden?

Ein Datenschutzbeauftragter muss laut gesetzlicher Vorgabe fachkundig und zuverlässig sein. Wie weit die Fachkunde sich erstreckt, hängt von Art und Umfang der Datenverarbeitung ab. Grundsätzlich hat jeder das Recht, Datenschutzbeauftragter zu werden. Voraussetzung: Er erarbeitet sich die erforderlichen technischen, rechtlichen und betriebswirtschaftlichen Fachkenntnisse.

Allerdings darf der Datenschutzbeauftragte nicht am Ertrag des Unternehmens beteiligt sein und es dürfen keine Interessenkonflikte bzw. Selbstkontrollen vorliegen. Damit scheiden Mitglieder der Geschäftsführung, Wirtschaftsprüfer/Steuerberater, die Personalleitung sowie Führungskräfte aus der IT-Abteilung aus.

Auch muss die Auswahl bei Zweifeln seitens der Datenschutzbehörde oder anderen Aufsichtsbehörden gerechtfertigt werden. Achten Sie bei der Bestellung eines (externen) Datenschutzbeauftragten auf die vorzuweisenden Qualifikationen. Ratsam ist daher ein Nachweis der Kenntnisse per Zertifikat oder aufgrund einer (juristischen) Ausbildung.

Haben Sie Fragen zur Bestellung eines Datenschutzbeauftragten? Rufen Sie uns gerne an oder schauen Sie in unserer 10 Punkte Checkliste zur Bestellung eines Datenschutzbeauftragten vorbei!

Rechte und Pflichten des internen DSB

Der Datenschutzbeauftragte untersteht als Stabsstelle direkt der Geschäftsführung bzw. Amtsleitung, handelt aber von dieser unabhängig. Er darf und muss in alle Daten und Prozesse Einblick erhalten, die schützenswerte Inhalte betreffen könnten.

Dazu zählen auch personenbezogene Daten, die einem Berufsgeheimnis oder einem Amtsgeheimnis unterliegen. Dazu zählen beispielsweise Steuerdaten sowie Personalakten. Als Arbeitgeber sind Sie in der Pflicht, die Arbeit des Datenschutzbeauftragten zu unterstützen. Dies können Sie durch Zugang zu allen erforderlichen Strukturen, die Vergabe entsprechender Zugriffsrechte, wenn erforderlich auch durch die Bereitstellung von Hilfspersonal, Räumen, Einrichtungen, Geräten und Mitteln erfüllen.

Der Datenschutzbeauftragte ist nicht an Weisungen gebunden und in der Ausübung seines Amtes völlig frei. Er kann allein entscheiden, in welche Daten und Prozesse er Einblick nehmen möchte, und darf daran nicht gehindert werden. Außerdem dürfen ihm aus seiner Tätigkeit als Datenschutzbeauftragter keine beruflichen Nachteile entstehen.

Der Arbeitgeber muss dem Datenschutzbeauftragten eine Liste aller Personen zur Verfügung stellen, die mit der Datenverarbeitung befasst sind. Zum Erhalt der erforderlichen Fachkunde des Datenschutzbeauftragten hat dieser regelmäßig an Schulungen teilzunehmen.

Die Kosten für diese Schulungen (ca. 3.500 Euro im Jahr plus fünf Tage Freistellung) trägt ausschließlich der Arbeitgeber.

Außerdem ist der Datenschutzbeauftragte für die Dauer seiner Amtszeit sowie ein Jahr darüber hinaus (Nachwirkung) gegen Kündigung geschützt (§ 6 BDSG-neu gilt durch die DSGVO und verschiedene Gerichtsurteile auch für nicht öffentliche Stellen wie Unternehmen).

Der Datenschutzbeauftragte hat unter Umständen ein besonderes Zeugnisverweigerungsrecht. Er kann nur in Ausnahmefällen für Datenschutzverstöße des Unternehmens haftbar gemacht werden, da der Datenschutz eine Hoheitsaufgabe der Unternehmensführung ist.

Welche Qualifikation sollte der (interne oder externe) Datenschutzbeauftragte haben?

Ein guter Datenschutzbeauftragter verfügt über Fachwissen und Qualifikationen in Bereichen wie Recht, IT-Sicherheit, IT-Dokumentation und Prozessorganisation und ist zertifiziert.

Er erfüllt die gesetzlichen Anforderungen an Unternehmen und Einrichtungen im Bereich der Kirchen, ebenso wie die speziellen Anforderungen im Gesundheitswesen in Bezug auf den Umgang mit Patientendaten.

Der Datenschutzbeauftragte muss

  • Ausreichende datenschutzrechtliche Fachkunde mitbringen, sei es durch seine Ausbildung (z. B. Jurist) oder eine entsprechende Fortbildung. Die Fachkunde muss in regelmäßigen Schulungen aktualisiert und erneut bestätigt werden.
  • Einblick in alle relevanten Unternehmensbereiche haben und auch dort über ein solides Wissen verfügen, um die Prozesse nachvollziehen, einschätzen und eventuell sogar verbessern zu können.
  • Gute kommunikative Fähigkeiten haben, um gezielte Nachfragen stellen, Änderungsvorschläge vorstellen und auch Beratungen und Mitarbeiterschulungen durchführen zu können.
  • Ein gewisses persönliches Standing des Datenschutzbeauftragten hilft dabei, Änderungsprozesse konsequent zu begleiten und auch gegen Kritiker zu verteidigen.

Wie berufe ich den Datenschutzbeauftragten ab?

Ein Datenschutzbeauftragter darf nicht abberufen werden, weil der Geschäftsleitung beispielsweise seine Vorgehensweise nicht gefällt oder er Einblick in Bereiche verlangt, die als geheim eingestuft werden.

  • Bei internen Datenschutzbeauftragten ist zwischen der Beendigung der Tätigkeit als Datenschutzbeauftragter und der Kündigung des Arbeitsverhältnisses zu unterscheiden. Die Abberufung als Datenschutzbeauftragter ist am ehesten einvernehmlich möglich, indem die Benennung widerrufen wird. Die einseitige Abberufung seitens des Arbeitgebers ist nur nach den strengen Regeln zur fristlosen Kündigung möglich, hierbei sollten Sie anwaltliche Hilfe in Anspruch nehmen.
  • Nach seiner Abberufung hat der Datenschutzbeauftragte mindestens ein Jahr Kündigungsschutz, eine Kopplung der Aufgabe „Datenschutzbeauftragter“ an das Fortbestehen des Beschäftigungsverhältnisses besteht also nicht. Der Mitarbeiter genießt sowohl im Tätigkeits- als auch im Beschäftigungsverhältnis besonderen Schutz.
  • Bei externen Datenschutzbeauftragten kann die Trennung durch fristgerechte Aufkündigung des Dienstleistungsvertrages mit dem Anbieter und die Aufhebung der Benennung zum Datenschutzbeauftragten erfolgen.

Ausblick: Zusätzliche Aufgaben für den Datenschutzbeauftragten

Der Datenschutz in Unternehmen wird immer wichtiger, und die Anforderungen an die Dokumentation und den Datenschutzbeauftragten steigen. Aktuell sind folgende Entwicklungen in der politischen Beratung und werden daher voraussichtlich in den nächsten Jahren auf den Datenschutzbeauftragten zukommen:

  • Zur DSGVO wird sich in den kommenden Jahren voraussichtlich eine ePrivacy-Verordnung (ePVO) gesellen, die eigentlich schon zeitgleich mit der DSGVO in Kraft treten sollte. Sie verpflichtet Betriebe zu noch weiteren Offenlegungen beim Schutz persönlicher Daten als die DSGVO. Wenn diese Regelung verabschiedet wird, tritt sie sofort in Kraft. Die Verordnung betrifft vor allem Händler, Betreiber von Online-Shops sowie Unternehmen, die tracking- oder direktwerbebasiert arbeiten – vor allem Anbieter von Internetzugängen, sozialen Netzwerken, Instant-Messengern und Internet-Telefonie.
  • Ein weiterer Bereich, in dem sich Entwicklungen abzeichnen, ist, dass die DSGVO allmählich bereits bei der Entwicklung von Prozessen beachtet wird und zu einem neuen Denken führt.
    Für den Datenschutzbeauftragten bedeutet das: Er muss sich ständig über neue Datenschutzprozesse, Datenschutz-Software sowie eLearning auf dem Laufenden halten. Der Schulungsaufwand für den Datenschutzbeauftragten wird eher größer als kleiner.