In diesem Artikel erfahren Sie, wann und warum Sie einen Datenschutzbeauftragten bestellen müssen, welche Rolle er hat und welche Kosten dadurch entstehen.

 

Wir sind nicht nur Rechtsanwälte, die Sie im Datenschutzrecht beraten und unterstützen können. Rechtsanwalt und Fachanwalt für IT-Recht Timo Schutt kann darüber hinaus Ihr neuer betrieblicher Datenschutzbeauftragter sein. Seien Sie auf der rechtssicheren Seite und holen Sie sich jetzt ein Angebot ein.

Wann Sie einen Datenschutzbeauftragten bestellen müssen

Die Rolle als Datenschutzbeauftragter wurde schon nach dem „alten deutschen“ Recht, dem alten Bundesdatenschutzgesetz (BDSG) vorgesehen. Deutschland hat diese Rolle durch Verhandlungen innerhalb der EU dann auch in die seit 2018 geltende EU-Datenschutzgrundverordnung (DSGVO) übernehmen können.

Wenn Sie sich nun fragen, wer einen Datenschutzbeauftragten oder Datenschutzbeauftragter ab wann braucht, dann muss man unterscheiden: Die DSGVO selbst sieht eine Pflicht zur Bestellung zum Datenschutzbeauftragten in drei Fällen vor. Insbesondere muss ein Datenschutzbeauftragter bestellt werden bei öffentlichen Stellen (Behörden) oder dann, wenn die Kerntätigkeit eines Unternehmens eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder dann, wenn die Kerntätigkeit eines Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht.

Doch es gibt auch eine nationale deutsche Ergänzung im neuen Bundesdatenschutzgesetz, die auf der Zahl der Mitarbeiter beruht, die personenbezogene Daten verarbeiten. Ich werde oft gefragt, ob ein „Datenschutzbeauftragter ab 10 oder 20 Mitarbeitern“ bestellt werden muss oder einfach, ob ein „Datenschutzbeauftragter ab wieviel Mitarbeitern“ zu bestellen ist bzw. „Datenschutzbeauftragter: Ab welcher Unternehmensgröße?“.

Kurz gesagt: Die Antwort steht in § 38 Absatz 1 BDSG:

Dort heißt es sinngemäß. Dass Unternehmen einen Datenschutzbeauftragten bestellen müssen, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Wichtig hierbei sind zwei Aspekte:

a) „in der Regel“ heißt, dass es nicht auf einen konkreten Zeitpunkt ankommt, sondern auf die übliche Zahl der Personen. Gibt es also bspw. in einem Saisongeschäft über kurze Zeit mehr als 19 Personen, die mit Verarbeitung personenbezogen Daten zu tun haben, ist das noch ohne Datenschutzbeauftragten möglich. Wird es aber zur Regel, dann greift die Pflicht.
b) Das Gesetz spricht nicht von „Mitarbeitern“, sondern von der „Beschäftigung“ von mindestens 20 „Personen“. Damit ist gemeint, dass es auf die Art des Beschäftigungsverhältnisses nicht ankommt. Es werden also auch Werkstudenten, Ferienarbeiter, Zeitarbeitnehmer, Praktikanten, Auszubildende etc. mitgezählt. Damit kommt ein Unternehmen also schnell auf die 20 Personen.

Zusätzlich gilt. Nehmen Unternehmen Datenverarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Ob es ein externer Datenschutzbeauftragter oder ein interner Datenschutzbeauftragter nach DSGVO ist, das spielt bei dieser Betrachtung keine Rolle. Der externe ist m.E. aber vorzuziehen, da er von außen auf das Unternehmen und die Prozesse schaut und andere Impulse und Ansichten ins Unternehmen bringt.

Und: Ein Datenschutzbeauftragter kann auch dann bestellt werden, wenn das Unternehmen gar keine Pflicht zur Bestellung hat. Eine solche freiwillige Bestellung hat viele Vorteile. Vor allem führt sie dazu, dass das Unternehmen eine Person hat, die das Thema Datenschutz in verantwortungsvoller Art und Weise betreut, als Ansprechpartner für alle Beschäftigten fungiert und dadurch der Datenschutz im Unternehmen auf hohem Niveau möglich ist (was auch nicht zuletzt für ISO-, TISAX- oder sonstige Zertifizierungen wichtig ist).

Wer kann Datenschutzbeauftragter werden?

Ein Beauftragter für den Datenschutz im Unternehmen unterliegt gewissen fachlichen Anforderungen. Es kann also nicht jeder zum Datenschutzbeauftragten bestellt werden. Die früher gängige Praxis eine Person „pro forma“, also auf dem Papier zu bestellen, um der gesetzlichen Pflicht nachzukommen, funktioniert mithin nicht. Denn, was ist denn eigentlich ein Datenschutzbeauftragter? Letztlich handelt es sich um eine weisungsunabhängig agierende beratende Person, die den Datenschutz im Unternehmen überwacht, Hinweise und Empfehlungen gibt und direkt an die Geschäftsleitung berichtet.

Ausgangspunkt ist hier Art. 37 Abs. 5 DSGVO, wo es heißt: „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“

Die Anforderungen als Datenschutzbeauftragter müssen also insbesondere durch berufliche Qualifikation und Fachwissen erfüllt werden. Daraus ist zu schließen, dass die Person sich bereits mit den Themen Datenverarbeitung, Datensicherheit, IT-Sicherheit u.ä. zuvor beschäftigt haben muss. Im besten Fall bestand die Arbeit der Person zuvor schon in diesen Bereichen. So kann bspw. eine Person aus der IT-Abteilung die Datenschutzbeauftragter Voraussetzungen erfüllen, wenn zusätzlich auch rechtliches und spezifisches Fachwissen in Sachen Datenschutzrecht erlernt wird.

Nicht ganz zu unterschätzen sind auch die erforderlichen Eigenschaften, die ein Datenschutzbeauftragter haben sollte. Neben der Fähigkeit komplexe Sachverhalte schnell zu erfassen und anderen zu erklären wäre es meines Erachtens wichtig, dass die Person des Datenschutzbeauftragten kommunikativ ist, Kontakte in die einzelnen Abteilungen pflegt, aber auch fähig und in der Lage ist rechtliche und juristische Fragen und Problemstellungen klären und lösen zu können, sowie rechtliche Anforderungen (bspw. von den Datenschutzbehörden) umsetzen zu können.

Datenschutzbeauftragter – Wer darf nicht?

Es gibt aber auch einige Personen, die ihrer Rolle gemäß nicht tauglicher Datenschutzbeauftragter sein können. Deren Bestellung wäre also unzulässig und das Unternehmen wird so angesehen, als habe es keinen Datenschutzbeauftragten bestellt. Dazu gehören alle Personen, die einen Interessenkonflikt zwischen ihrer sonstigen Rolle und der Tätigkeit als Datenschutzbeauftragter haben können. Daher kann der Geschäftsführer genauso wenig Datenschutzbeauftragter sein, wie eine Person aus der Managementebene, ein IT-Administrator, der IT-Sicherheitsbeauftragte, ein Prokurist, der Justiziar des Unternehmens usw.

Was darf und macht der Datenschutzbeauftragte?

Der Datenschutzbeauftragte hat eine ganz besondere Rolle im Unternehmen. Er darf selbst keine Weisungen erteilen, ist umgekehrt aber auch weisungsunabhängig. Der Gesetzgeber will, dass die Rolle ohne Einfluss ausgeübt werden kann. Damit kann auch der interne Datenschutzbeauftragte nicht von der Geschäftsleitung hinsichtlich seiner Tätigkeit angewiesen werden. Er steht unter besonderem Schutz, so dass ihm auch nicht wegen seiner Tätigkeit als Datenschutzbeauftragter gekündigt werden kann.

Der Datenschutzbeauftragte muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden (Art. 38 Abs. 1 DSGVO) und er berichtet unmittelbar der höchsten Managementebene (Art. 38 Abs. 3 S. 3 DSGVO).

Natürlich hat der Datenschutzbeauftragte auch Pflichten. Die Aufgaben eines Datenschutzbeauftragten sind in Art. 39 Abs. 1 DSGVO aufgeführt:

  1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der EU bzw. der Mitgliedstaaten;
  2. Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der EU bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO;
  4. Zusammenarbeit mit der Aufsichtsbehörde;
  5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Art. 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Diese Pflichten muss der Datenschutzbeauftragte mithin von Gesetzes wegen erfüllen. Weitere Aufgaben können ihm absprachegemäß zugeordnet werden. So kann auch der Datenschutzbeauftragte die Website des Unternehmens auf Datenschutzthemen prüfen oder auch eine aktivere Rolle in der Beratung einnehmen.

Ein betrieblicher Datenschutzbeauftragter kann also Aufgaben über die gesetzliche Rolle hinaus übernehmen, solange damit nicht eine Interessenkollision entstehen kann. Betriebliche Besonderheiten können dabei berücksichtigt werden.

Welche Kosten entstehen durch die Bestellung eines Datenschutzbeauftragten?

Selbstverständlich entstehen durch die Bestellung des externen Datenschutzbeauftragten Kosten. In Abwägung zu den Risiken und Gefahren was Haftung, Schadensersatz, Schmerzensgeld und Bußgelder angeht, ist es aber gut investiertes Geld für jedes Unternehmen.

Ein Datenschutzbeauftragter für Unternehmen ist jedenfalls auch dann, wenn keine Pflicht zur Bestellung besteht, eine gute und sinnvolle Investition. Damit ist auch ein Datenschutzbeauftragter für Kleinunternehmen empfehlenswert.

Wie hoch die Kosten tatsächlich sind, lässt sich jedoch nicht pauschal beantworten. Die Gebührenmodelle sind sehr unterschiedlich und der Markt der Datenschutzbeauftragten unübersichtlich. Es empfiehlt sich aber ausdrücklich nicht in erster Linie auf das Geld zu achten, sondern das Hauptaugenmerk auf die Befähigung der jeweiligen Person zu legen. Denn der Begriff des „Datenschutzbeauftragten“ ist nicht geschützt. Jedermann kann sich zum Datenschutzbeauftragten bestellen lassen. Die von der DSGVO geforderte fachliche Kompetenz wird sich teilweise in kurzen Intensivseminaren angeeignet. Das kann unserer Erfahrung nach nicht ausreichend sein.

Wir sind der festen Überzeugung, dass ohne umfassende rechtliche und juristische Kompetenz die Rolle des Datenschutzbeauftragten nicht zur Zufriedenheit des Unternehmens erfüllt werden kann. Ein Datenschutzbeauftragter mit juristischer Ausbildung ist natürlich teurer. Aber die Rechtssicherheit, die das Unternehmen dafür erhält, wiegt dies allemal wieder auf.