Datenschutzbeauftragter: Aufgaben, Rechte, Bestellung – ab wann?

Datenschutzbeauftragter: Aufgaben, Rechte, Bestellung – ab wann?

Der Datenschutz im Unternehmen ist ein zunehmend wichtiger Aspekt, der in der heutigen Welt eine immer größere Rolle spielt. Unternehmen müssen sich an zahlreiche Vorschriften halten, um sicherzustellen, dass personenbezogene Daten sicher und vertraulich behandelt werden. Ein Datenschutzbeauftragter ist eine Person, die für die Einhaltung dieser Vorschriften verantwortlich ist. Was die Aufgaben des Datenschutzbeauftragten sind, wie die Ausbildung und Bestellung erfolgt und ob ein Datenschutzbeauftragter für Unternehmen verpflichtend ist, zeigt dieser Artikel.
Inhaltsverzeichnis

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter ist eine Person, die von Unternehmen oder Organisationen ernannt wird, um sicherzustellen, dass sie alle Datenschutzvorschriften (unter anderem der DSGVO) einhalten.

Die Ernennung eines Datenschutzbeauftragten ist in Deutschland gesetzlich vorgeschrieben, wenn ein Unternehmen personenbezogene Daten verarbeitet oder speichert. Der Datenschutzbeauftragte ist in diesem Fall die zentrale Anlaufstelle für alle Fragen und Probleme im Zusammenhang mit Datenschutz und der Grundverordnung.

Ist ein Datenschutzbeauftragter für Unternehmen Pflicht?

Ob die Bestellung eines Datenschutzbeauftragten für ein Unternehmen Pflicht ist, hängt jedoch stets von drei Faktoren ab:

  1. Größe des Unternehmens: Wenn ein Unternehmen mehr als 20 Mitarbeiter hat, die ständig an der automatisierten Erhebung und Nutzung personenbezogener Daten beteiligt sind, muss es einen Datenschutzbeauftragten bestellen. Diese Verpflichtung gilt auch für freie Mitarbeiter, Auszubildende, Praktikanten oder Zeitarbeiter, die im Unternehmen beschäftigt sind.
  2. Verarbeitung bestimmter Daten in großem Umfang: Sobald ein Unternehmen personenbezogene Daten in einem großen Umfang und hinsichtlich spezieller Kategorien verarbeitet, ist die Bestellung eines Datenschutzbeauftragten ebenfalls verpflichtend. Zu diesen speziellen Datenbereichen gehören unter anderem Informationen zur Rasse, Gesundheit, zu politischen Interessen, religiösen Überzeugungen und zur ethnischen Herkunft.
  3. Pflicht zur Datenschutz-Folgenabschätzung: Ist ein Unternehmen dazu verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, ist auch die Benennung eines Datenschutzbeauftragten zwingend notwendig.

Ab wie vielen Mitarbeitern muss ein Datenschutzbeauftragter bestellt werden?

Grundsätzlich muss ein Unternehmen einen Datenschutzbeauftragten bestellen, wenn dieses mehr als 20 Beschäftigte hat, die regelmäßig persönliche Daten verarbeiten. Die Mitarbeiteranzahl ist jedoch nicht das alleinige Kriterium für die Pflicht zur Bestellung eines Datenschutzbeauftragten. Sollte das Unternehmen eine Datenschutz-Folgenabschätzung durchführen müssen oder spezielle Daten in großem Umfang erhebt, ist ebenfalls unter diesen 20 Mitarbeitern ein Datenschutzbeauftragter erforderlich.

Warum ist ein Datenschutzbeauftragter im Unternehmen wichtig?

Ein Datenschutzbeauftragter ist für Unternehmen wichtig, da er dafür sorgt, dass das Unternehmen die Datenschutzbestimmungen einhält und somit das Recht auf informationelle Selbstbestimmung seiner Kunden und Mitarbeiter gewährleistet wird.

Durch die Bestellung eines Datenschutzbeauftragten signalisiert ein Unternehmen auch nach außen hin, dass ihm der betriebliche Datenschutz und der Schutz personenbezogener Daten ein wichtiges Anliegen ist. Dies kann dazu beitragen, das Vertrauen der Kunden und Mitarbeiter in das Unternehmen zu stärken und somit das Image des Unternehmens zu verbessern.

Darüber hinaus kann die Bestellung eines Datenschutzbeauftragten auch dazu beitragen, dass das Unternehmen mögliche Bußgelder oder Strafen wegen Verstößen gegen die Datenschutzbestimmungen vermeidet.

Was sind die Aufgaben eines Datenschutzbeauftragten?

Als Datenschutzbeauftragter trägt man eine große Verantwortung, wenn es um den Schutz personenbezogener Daten geht. Die Aufgaben eines Datenschutzbeauftragten sind vielfältig und umfassen verschiedene Bereiche (Art. 39 DSGVO).

  1. Überwachung der Einhaltung von Datenschutzvorschriften: Der Datenschutzbeauftragte ist dafür verantwortlich, dass alle Mitarbeiter des Unternehmens die geltenden Datenschutzvorschriften einhalten. Er sorgt mit der Überwachung dafür, dass die Datenverarbeitung rechtmäßig und transparent erfolgt.
  2. Beratung von Mitarbeitern: Der Datenschutzbeauftragte berät die Mitarbeiter des Unternehmens in allen Fragen zum Datenschutz. Er klärt sie über die Bedeutung des Datenschutzes auf und gibt Hilfestellung bei der Umsetzung von Datenschutzmaßnahmen.
  3. Zusammenarbeit mit anderen Abteilungen im Unternehmen: Der Datenschutzbeauftragte arbeitet eng mit anderen Abteilungen im Unternehmen zusammen, wie zum Beispiel der IT-Abteilung oder der Personalabteilung. Er stellt sicher, dass bei der Datenverarbeitung personenbezogener Informationen alle relevanten Abteilungen involviert sind und datenschutzkonform agieren.
  4. Durchführung von Datenschutz-Schulungen: Der Datenschutzbeauftragte ist dafür verantwortlich, Schulungen zum Datenschutz durchzuführen. Er klärt die Mitarbeiter über die Bedeutung des Datenschutzes auf und gibt praktische Tipps zur Umsetzung von Datenschutzmaßnahmen.
  5. Kontrolle von Auftragsverarbeitern: Der Datenschutzbeauftragte überwacht die Einhaltung der Datenschutzvorschriften bei Auftragsverarbeitern. Er prüft, ob diese datenschutzkonform arbeiten und sorgt dafür, dass Verträge mit Auftragsverarbeitern die geltenden Datenschutzvorschriften berücksichtigen.
  6. Umsetzung von Datenschutzmaßnahmen: Der Datenschutzbeauftragte ist dafür verantwortlich, dass alle notwendigen Datenschutzmaßnahmen im Unternehmen umgesetzt werden. Er entwickelt Datenschutzkonzepte und prüft, ob diese den geltenden Datenschutzvorschriften entsprechen.
  7. Dokumentation von Datenschutzprozessen: Der Datenschutzbeauftragte dokumentiert alle Datenschutzprozesse im Unternehmen. Er erstellt Datenschutzrichtlinien und -konzepte und sorgt dafür, dass diese regelmäßig aktualisiert werden.
  8. Ansprechpartner für Datenschutzanfragen: Der Datenschutzbeauftragte ist der Ansprechpartner für alle Fragen rund um den Datenschutz im Unternehmen. Er klärt Mitarbeiter und Kunden über ihre Datenschutzrechte auf und gibt Auskunft über die Verarbeitung personenbezogener Daten im Unternehmen.

Insgesamt ist der Datenschutzbeauftragte eine wichtige Person im Unternehmen, die dafür sorgt, dass personenbezogene Daten datenschutzkonform verarbeitet werden. Er ist Ansprechpartner für alle Fragen zum Datenschutz und überwacht die Einhaltung der geltenden Datenschutzvorschriften.

Welche Rechte hat der Datenschutzbeauftragte?

Der Datenschutzbeauftragte im Unternehmen übernimmt gemäß Art. 38 DSGVO (Datenschutzgrundverordnung) eine besondere Stellung im Betrieb ein und hat daher auch besondere Rechte. Dazu gehören unter anderem:

  • Bereitstellung der erforderlichen Ausstattung und zeitlichen Ressourcen: Dem Datenschutzbeauftragten sind in jedem Fall die zeitlichen Ressourcen zu stellen, die er für die Erledigung seiner Aufgaben benötigt. Darüber hinaus hat der Datenschutzbeauftragte das Recht auf eine geeignete materielle und personelle Ausstattung sowie auf nötige Fort- und Weiterbildungen (Art. 38 (2) DSGVO).
  • Zugang zu den erforderlichen Daten: Dem Datenschutzbeauftragen ist stets der Zugang zu den erhobenen persönlichen Daten und dem Prozess der Verarbeitung zu gewähren.
  • Kündigungsschutz: Der Datenschutzbeauftragte unterliegt einem besonderen Kündigungsschutz. Der Datenschutzbeauftragte darf während seiner Stellung nicht gekündigt werden. Doch auch danach hat er noch einen besonderen Kündigungsschutz – und zwar bis zu einem Jahr später. Eine Kündigung ist lediglich aus wichtigen und triftigen Gründen zulässig.

Es ist wichtig zu beachten, dass der Datenschutzbeauftragte unabhängig agiert und nicht angewiesen werden darf, wie er seine Aufgaben auszuführen hat. Der Datenschutzbeauftragte ist auch nicht weisungsgebunden und unterliegt keinerlei Abhängigkeit gegenüber dem Unternehmen. Dennoch darf der Datenschutzbeauftragte nicht benachteiligt werden (Art. 38 (3) DSGVO)

Welche Pflichten hat der Datenschutzbeauftragte?

Der Datenschutzbeauftragte hat die Pflicht zur Geheimhaltung und Vertraulichkeit. Das bedeutet, personenbezogene Daten – unabhängig ihrer Art – müssen vom Datenschutzbeauftragten stets vertraulich behandelt werden und dürfen nicht weitergegeben werden.

Ist der Datenschutzbeauftragte haftbar?

Der Datenschutzbeauftragte ist nicht haftbar, wenn es im Unternehmen zu Verstößen gegen die Datenschutzgrundverordnung (DSGVO) kommt. Die Haftung betrifft allein den Verantwortlichen.

Wie wird ein Datenschutzbeauftragter bestellt?

Die Bestellung eines Datenschutzbeauftragten erfolgt durch den Verantwortlichen des Unternehmens, der für die Datenverarbeitung verantwortlich ist. Dies kann beispielsweise der Geschäftsführer oder der Vorstand sein.

Im Unternehmen muss der Datenschutzbeauftragte entsprechend benannt und der zuständigen Aufsichtsbehörde gemeldet werden. In der Regel muss die Meldepflicht innerhalb eines Monats nach Bestellung des Datenschutzbeauftragten erfüllt werden.

Was sind die Voraussetzungen für die erfolgreiche Bestellung des Datenschutzbeauftragten?

Zu den wesentlichen Voraussetzungen für die erfolgreiche Bestellung und Ernennung des Datenschutzbeauftragten gehören:

  • Schriftliche Bestellung: Eine korrekte Bestellung muss nach § 4f BDSG immer schriftlich auf Papier vorliegen. Möglich sind auch Benennungen zum Datenschutzbeauftragten per Fax und E-Mail. Davon ist allerdings eher abzuraten, da hier schnell Fehler wie digitale Signaturmängel oder verblassendes Thermopapier auftreten können.
  • Korrekte Namensunterschrift: Damit die Bestellung Gültigkeit hat, ist die korrekte Namensunterschrift wichtig. Dabei genügt die Unterschrift mit dem vollständigen Nachnamen. Die Unterschrift muss außerdem eigenhändig, also handschriftlich, erfolgen. Es muss sich um eine Unterzeichnung handeln. Das bedeutet, die Unterschrift muss sich unter dem Ernennungstext im Bestellungsformular befinden.
  • Gegenzeichnung nur durch eine leitende Person: Als Datenschutzbeauftragter ist dringend darauf zu achten, dass nur die Person die Benennung eigenhändig unterzeichnet, die das Unternehmen auch in leitender Position nach außen vertritt. Das bedeutet, in einer GmbH der Geschäftsführer, in einer AG der Vorstand.
  • Mehrere Urkunden bei Unternehmensgruppen: Das BDSG kennt weder Unternehmensgruppen noch Konzerne. Jedes Unternehmen oder jede Firma innerhalb der Gruppe werden deshalb datenschutzrechtlich so betrachtet, als würden die Dienstleistungen durch externe Firmen erbracht. Im Idealfall wird für alle Unternehmen innerhalb der Gruppe ein Datenschutzbeauftragter bestellt. Das bedeutet, dass auch mehrere getrennte Bestellungsurkunden notwendig sind – und zwar für jedes Unternehmen in der Gruppe eine eigene. Diese Urkunde muss dann jeweils von der zuständigen Unternehmensleitung unterschrieben werden.

Nicht zwingend vorgeschrieben, aber empfehlenswert:

  • Gegenzeichnung der Bestellungsurkunde: Lassen Sie den Datenschutzbeauftragten die Bestellung gegenzeichnen und händigen Sie diesem ein gegengezeichnetes Exemplar aus.
  • Detaillierte Beschreibung der Aufgaben: Um Streitereien und Unklarheiten rechtzeitig vorzubeugen, sollte in der Bestellung zum Datenschutzbeauftragten stets der genaue Umfang der Tätigkeit beschrieben werden.

Anschließend muss der Datenschutzbeauftragte der Aufsichtsbehörde gemeldet werden.

Muster für die Benennung eines Datenschutzbeauftragten

Damit die Benennung zum Datenschutzbeauftragten reibungslos funktioniert, finden Sie hier ein Muster:

– Anschrift –

Bestellung zum Datenschutzbeauftragten

– Anrede –

Hiermit bestellen wir Sie mit Wirkung vom _____________ zum Datenschutzbeauftragten

gemäß § 4f BDSG. Wir kommen damit unserer gesetzlichen Verpflichtung aus dem BDSG nach.

In Ihrer Funktion als Datenschutzbeauftragte/r sind Sie der Geschäftsleitung unmittelbar

unterstellt. Zuständiges Mitglied der Geschäftsleitung ist Herr/Frau ___________________

oder dessen/deren Vertreter(in).

Ihre Aufgaben als Datenschutzbeauftragte/r ergeben sich aus dem Bundesdatenschutzgesetz.

Zusätzlich haben Sie als Datenschutzbeauftragter folgende Aufgaben wahrzunehmen:

– Erstellung und Pflege des Verfahrensverzeichnisses

– Durchführung von Datenschutzschulungen in folgendem Umfang:

_________________ (z. B. zwei dreistündige Datenschutzschulungen pro Quartal)

Außerdem haben Sie folgende Aufgaben: __________________________________________________________________________

In der Erfüllung der Aufgaben sind Sie weisungsfrei. Über Ihre Tätigkeit werden Sie der

zuständigen Geschäftsleitung bei Bedarf Bericht erstatten, mindestens jedoch einmal pro Jahr zum 31.3.

Mit freundlichen Grüßen

_______________________

(Unterzeichnung durch den Leiter des Unternehmens, also zum Beispiel den Geschäftsführer

oder den Vorstand)

Gegenzeichnung durch den Datenschutzbeauftragten:

_________________________________

Ort/Datum

________________________

Unterschrift

Checkliste für die erfolgreiche Bestellung des Datenschutzbeauftragten

Checkliste: Wurde an alles gedacht und hat Ihre Bestellung zum Datenschutzbeauftragten Gültigkeit?

FrageJa Nein
Wurde die Bestellung schriftlich auf Papier erstellt?  
Enthält die Bestellung den genauen detaillierten Umfang der Tätigkeit?  
Ist das Dokument eigenhändig von der Geschäftsleitung unterschrieben worden?  
Wurde die Bestellungsurkunde von einer Person unterschrieben, die das Unternehmen nach außen hin vertreten darf wie zum Beispiel vom Geschäftsführer einer GmbH oder dem Vorstand bei einer AG?  
Hat der Datenschutzbeauftragte die Bestellungsurkunde ebenfalls unterzeichnet und ein unterschriebenes Exemplar zurückerhalten?  
Hat der Datenschutzbeauftragte mit seinem vollständigen Nachnamen unterschrieben?  
Befindet sich die Unterzeichnung unter dem Ernennungstext?  
Sind bei mehreren rechtlich selbständigen Unternehmen auch mehrere Bestellungsurkunden erstellt worden?  

Wer kann Datenschutzbeauftragter werden?

Gemäß dem Bundesdatenschutzgesetz sollte ein Datenschutzbeauftragter bestellt werden, der über die erforderlichen Fachkenntnisse verfügt. Bei der Auswahl des Datenschutzbeauftragten sollte daher darauf geachtet werden, dass die Person über ausreichende Fachkenntnisse im Bereich betrieblichen Datenschutz verfügt und unabhängig und neutral agiert. Der Datenschutzbeauftragte sollte auch über die notwendige Autorität verfügen, um seine Aufgaben effektiv erfüllen zu können.