Grafik zur Bestellung des Datenschutzbeauftragten

Bestellung des Datenschutzbeauftragter: Ablauf, Voraussetzungen & Muster + Checkliste

Die Bestellung des Datenschutzbeauftragten birgt für Unternehmen leider einige Fallstricke, die es zu vermeiden gilt. Ansonsten besteht die Gefahr, dass die Benennung des Datenschutzbeauftragten als nicht betrachtet wird. Unternehmen haben in diesem Fall mit Konsequenzen zu kämpfen. Aus diesem Grund sollten Unternehmen wissen, wann und wie ein Datenschutzbeauftragter richtig bestellt wird. Ich zeige Ihnen in diesem Ratgeber, wie das geht.
Inhaltsverzeichnis

Ist die Bestellung eines Datenschutzbeauftragten für Unternehmen Pflicht?

Die Bestellung eines Datenschutzbeauftragten für Unternehmen ist in Deutschland gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) in bestimmten Fällen verpflichtend. Diese Pflicht zur Bestellung eines Datenschutzbeauftragten gilt insbesondere dann, wenn ein Unternehmen personenbezogene Daten in größerem Umfang verarbeitet.

Wann die Bestellung des Datenschutzbeauftragten verpflichtend ist

Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn sie in einen der unten genannten Bereiche fallen:

  • Die Kerntätigkeit des Unternehmens in der umfangreichen, systematischen Verarbeitung von personenbezogenen Daten besteht.
  • Die Verarbeitung personenbezogener Daten in einem Unternehmen erfolgt, das regelmäßig und in großem Umfang Daten von Betroffenen überwacht.
  • Die Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang erfolgt.

Ab wann genau ein Datenschutzbeauftragter in einem Unternehmen bestellt werden muss, erfahren Sie in diesem Ratgeber: Datenschutzbeauftragter – ab wann besteht Bestellpflicht?

Welche Folgen drohen bei Nicht-Erfüllung der Bestellpflicht?

Die Nichterfüllung der Bestell-Pflicht eines Datenschutzbeauftragten kann mit empfindlichen Geldstrafen geahndet werden. Daher ist es entscheidend, dass Unternehmen ihre Datenschutzverpflichtungen ernst nehmen und die erforderlichen Maßnahmen ergreifen, um die Einhaltung der Datenschutzvorschriften sicherzustellen.

Wie wird ein Datenschutzbeauftragter bestellt?

Die Bestellung eines Datenschutzbeauftragten erfolgt in Unternehmen gemäß den gesetzlichen Vorgaben, die in der Datenschutz-Grundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) festgelegt sind. Dabei sind einige Schritte zu befolgen:

  1. Identifizierung der Pflicht zur Bestellung: Unternehmen müssen zuerst prüfen, ob sie gemäß der DSGVO und des BDSG dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Dies geschieht anhand der Kriterien, die wir zuvor erläutert haben, insbesondere in Bezug auf die Art und den Umfang der Datenverarbeitung.
  2. Auswahl der geeigneten Person: Nach Feststellung der Bestellpflicht muss das Unternehmen eine geeignete Person auswählen, die die Aufgaben des Datenschutzbeauftragten wahrnehmen kann. Dies kann entweder ein interner Mitarbeiter sein oder eine externe Person oder Organisation, die auf Datenschutz spezialisiert ist.
  3. Ernennung des Datenschutzbeauftragten: Die ausgewählte Person oder Organisation wird offiziell zum Datenschutzbeauftragten ernannt. Es ist wichtig, sicherzustellen, dass diese Person über die notwendige Qualifikation und Fachkenntnisse im Bereich Datenschutz verfügt.
  4. Meldung an die Aufsichtsbehörde: In Deutschland ist es erforderlich, die Bestellung des Datenschutzbeauftragten der zuständigen Datenschutzaufsichtsbehörde zu melden. Dies dient der Transparenz und Dokumentation der Bestellung.
  5. Kommunikation innerhalb des Unternehmens: Mitarbeiter sollten über die Bestellung des Datenschutzbeauftragten informiert werden, da dieser eine wichtige Rolle bei der Sicherstellung der Datenschutzkonformität spielt. Die Mitarbeiter sollten wissen, an wen sie sich bei Fragen oder Bedenken zum Datenschutz wenden können.

Die Bestellung eines Datenschutzbeauftragten ist ein wichtiger Schritt zur Gewährleistung der Einhaltung der Datenschutzvorschriften und zur Sicherung der Privatsphäre der betroffenen Personen. Es ist entscheidend, dass dieser Prozess sorgfältig und gemäß den gesetzlichen Vorschriften durchgeführt wird.

Besteht bei der Bestellung des Datenschutzbeauftragten eine Meldepflicht?

Ja, der bestellte Datenschutzbeauftragte muss der zuständigen Aufsichtsbehörde gemeldet werden. Diese Meldepflicht ist von deutschen Unternehmen einzuhalten. In der Regel muss die Meldepflicht innerhalb eines Monats nach Bestellung des Datenschutzbeauftragten erfüllt werden.

Wer bestellt den Datenschutzbeauftragten?

Die Bestellung eines Datenschutzbeauftragten erfolgt durch den Verantwortlichen des Unternehmens, der für die Datenverarbeitung verantwortlich ist. Dies kann beispielsweise der Geschäftsführer oder der Vorstand sein.

Was sind die Voraussetzungen für die erfolgreiche Bestellung des Datenschutzbeauftragten?

Zu den wesentlichen Voraussetzungen für die erfolgreiche Bestellung und Ernennung des Datenschutzbeauftragten gehören:

  • Schriftliche Bestellung: Eine korrekte Bestellung muss nach § 4f BDSG immer schriftlich auf Papier vorliegen. Möglich sind auch Benennungen zum Datenschutzbeauftragten per Fax und E-Mail. Davon ist allerdings eher abzuraten, da hier schnell Fehler wie digitale Signaturmängel oder verblassendes Thermopapier auftreten können.
  • Korrekte Namensunterschrift: Damit die Bestellung Gültigkeit hat, ist die korrekte Namensunterschrift wichtig. Dabei genügt die Unterschrift mit dem vollständigen Nachnamen. Die Unterschrift muss außerdem eigenhändig, also handschriftlich, erfolgen. Es muss sich um eine Unterzeichnung handeln. Das bedeutet, die Unterschrift muss sich unter dem Ernennungstext im Bestellungsformular befinden.
  • Gegenzeichnung nur durch eine leitende Person: Als Datenschutzbeauftragter ist dringend darauf zu achten, dass nur die Person die Benennung eigenhändig unterzeichnet, die das Unternehmen auch in leitender Position nach außen vertritt. Das bedeutet, in einer GmbH der Geschäftsführer, in einer AG der Vorstand.
  • Mehrere Urkunden bei Unternehmensgruppen: Das BDSG kennt weder Unternehmensgruppen noch Konzerne. Jedes Unternehmen oder jede Firma innerhalb der Gruppe werden deshalb datenschutzrechtlich so betrachtet, als würden die Dienstleistungen durch externe Firmen erbracht. Im Idealfall wird für alle Unternehmen innerhalb der Gruppe ein Datenschutzbeauftragter bestellt. Das bedeutet, dass auch mehrere getrennte Bestellungsurkunden notwendig sind – und zwar für jedes Unternehmen in der Gruppe eine eigene. Diese Urkunde muss dann jeweils von der zuständigen Unternehmensleitung unterschrieben werden.

Nicht zwingend vorgeschrieben, aber empfehlenswert:

  • Gegenzeichnung der Bestellungsurkunde: Lassen Sie den Datenschutzbeauftragten die Bestellung gegenzeichnen und händigen Sie diesem ein gegengezeichnetes Exemplar aus.
  • Detaillierte Beschreibung der Aufgaben: Um Streitereien und Unklarheiten rechtzeitig vorzubeugen, sollte in der Bestellung zum Datenschutzbeauftragten stets der genaue Umfang der Tätigkeit beschrieben werden (mehr zu den Aufgaben des Datenschutzbeauftragen hier)

Anschließend muss der Datenschutzbeauftragte der Aufsichtsbehörde gemeldet werden.

Muster für die Benennung eines Datenschutzbeauftragten

Damit die Benennung zum Datenschutzbeauftragten reibungslos funktioniert, finden Sie hier ein Muster:

– Anschrift –

Bestellung zum Datenschutzbeauftragten

– Anrede –

Hiermit bestellen wir Sie mit Wirkung vom _____________ zum Datenschutzbeauftragten

gemäß § 4f BDSG. Wir kommen damit unserer gesetzlichen Verpflichtung aus dem BDSG nach.

In Ihrer Funktion als Datenschutzbeauftragte/r sind Sie der Geschäftsleitung unmittelbar

unterstellt. Zuständiges Mitglied der Geschäftsleitung ist Herr/Frau ___________________

oder dessen/deren Vertreter(in).

Ihre Aufgaben als Datenschutzbeauftragte/r ergeben sich aus dem Bundesdatenschutzgesetz.

Zusätzlich haben Sie als Datenschutzbeauftragter folgende Aufgaben wahrzunehmen:

– Erstellung und Pflege des Verfahrensverzeichnisses

– Durchführung von Datenschutzschulungen in folgendem Umfang:

_________________ (z. B. zwei dreistündige Datenschutzschulungen pro Quartal)

Außerdem haben Sie folgende Aufgaben: __________________________________________________________________________

In der Erfüllung der Aufgaben sind Sie weisungsfrei. Über Ihre Tätigkeit werden Sie der

zuständigen Geschäftsleitung bei Bedarf Bericht erstatten, mindestens jedoch einmal pro Jahr zum 31.3.

Mit freundlichen Grüßen

_______________________

(Unterzeichnung durch den Leiter des Unternehmens, also zum Beispiel den Geschäftsführer

oder den Vorstand)

Gegenzeichnung durch den Datenschutzbeauftragten:

_________________________________

Ort/Datum

________________________

Unterschrift

Checkliste für die erfolgreiche Bestellung des Datenschutzbeauftragten

Checkliste: Wurde an alles gedacht und hat Ihre Bestellung zum Datenschutzbeauftragten Gültigkeit?

FrageJa Nein
Wurde die Bestellung schriftlich auf Papier erstellt?  
Enthält die Bestellung den genauen detaillierten Umfang der Tätigkeit?  
Ist das Dokument eigenhändig von der Geschäftsleitung unterschrieben worden?  
Wurde die Bestellungsurkunde von einer Person unterschrieben, die das Unternehmen nach außen hin vertreten darf wie zum Beispiel vom Geschäftsführer einer GmbH oder dem Vorstand bei einer AG?  
Hat der Datenschutzbeauftragte die Bestellungsurkunde ebenfalls unterzeichnet und ein unterschriebenes Exemplar zurückerhalten?  
Hat der Datenschutzbeauftragte mit seinem vollständigen Nachnamen unterschrieben?  
Befindet sich die Unterzeichnung unter dem Ernennungstext?  
Sind bei mehreren rechtlich selbständigen Unternehmen auch mehrere Bestellungsurkunden erstellt worden?  

Wer kann überhaupt zum Datenschutzbeauftragten bestellt werden?

Gemäß dem Bundesdatenschutzgesetz ist ein Datenschutzbeauftragter zu bestellen, der über die erforderlichen Fachkenntnisse verfügt. Bei der Auswahl des Datenschutzbeauftragten sollte daher darauf geachtet werden, dass die Person über ausreichende Fachkenntnisse im Bereich betrieblichen Datenschutz verfügt und unabhängig und neutral agiert. Der Datenschutzbeauftragte sollte auch über die notwendige Autorität verfügen, um seine Aufgaben effektiv erfüllen zu können.

Hinweis: Um den Datenschutzbeauftragten erfolgreich einzusetzen, sollte der Zeitaufwand, der für die Tätigkeit als Datenschutzbeauftragter erforderlich ist, berechnet werden.

Kann ein Datenschutzbeauftragter intern oder nur extern bestellt werden?

Ein Datenschutzbeauftragter kann sowohl intern als auch extern bestellt werden, abhängig von den individuellen Bedürfnissen und den Gegebenheiten eines Unternehmens. In beiden Fällen ist es von entscheidender Bedeutung, dass die bestellte Person oder Organisation die Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfüllt und die notwendige Fachkenntnis besitzt, um die Datenschutzvorschriften effektiv umzusetzen.

Intern bestellter Datenschutzbeauftragter

Ein interner Datenschutzbeauftragter ist ein Mitarbeiter des Unternehmens, der die Aufgaben des Datenschutzbeauftragten übernimmt.

Dieser Mitarbeiter muss über das notwendige Fachwissen im Bereich Datenschutz verfügen und unabhängig agieren, um Interessenkonflikte zu vermeiden.

Ein interner Datenschutzbeauftragter kann eine gute Wahl sein, wenn das Unternehmen über ausreichende Ressourcen und Expertise verfügt, um die Datenschutzanforderungen zu erfüllen.

Extern bestellter Datenschutzbeauftragter

Ein externer Datenschutzbeauftragter ist eine unabhängige Person oder Organisation, die von außerhalb des Unternehmens bestellt wird, um die Datenschutzbelange zu betreuen.

Externe Datenschutzbeauftragte werden oft von spezialisierten Datenschutzberatungsfirmen oder Anwaltskanzleien gestellt.

Externe Datenschutzbeauftragte sind eine geeignete Wahl, wenn das Unternehmen selbst nicht über ausreichende Ressourcen oder Datenschutzkompetenz verfügt oder um Interessenkonflikte zu vermeiden.