Aufgaben eines Datenschutzbeauftragten: Überblick

Dieser Beitrag erklärt kompakt, wie der Datenschutzbeauftragte (DSB) im Unternehmen bzw. der Organisation wirkt: von einem Überblick über die Aufgaben eines Datenschutzbeauftragten (Abgekürzt: DSB) über eine detailliertere Darstellung der Tätigkeit und der Rolle des DSB bis hin zu Informationen über Organisation, Qualifikation und Bestellung des Datenschutzbeauftragten. Sie erfahren außerdem, wie Beratung, Kontrolle und Dokumentation im Datenschutz zusammenwirken, warum eine Zusammenarbeit mit der Aufsichtsbehörde sinnvoll und manchmal auch erforderlich ist und wann eine interne bzw. eine externe Lösung zur Bestellung eines Datenschutzbeauftragten sinnvoll ist.

Rolle des Datenschutzbeauftragten (DSB) und Überblick

Ein Datenschutzbeauftragter ist eine Person, welche für eine Organisation bzw. ein Unternehmen (den Verantwortlichen) tätig ist. Der Datenschutzbeauftragte hat vielfältige Aufgaben. Er berät den Verantwortlichen, bewertet Risiken und prüft die Einhaltung der gesetzlichen Vorgaben in allen Fragen und Aufgabenstellungen des Datenschutzes. Ein Datenschutzbeauftragter kennt die DSGVO und das BDSG und misst die Verarbeitung personenbezogener Daten insbesondere an diesen Gesetzen. Er moderiert dabei – soweit vorhanden – zwischen der Rechtsabteilung, der IT-Abteilung und den einzelnen Fachbereichen und er berichtet direkt an die Geschäftsleitung. Er arbeitet dabei als externer Datenschutzbeauftragter eng mit dem internen Datenschutzkoordinator im Unternehmen zusammen.

Die erforderlichen Maßnahmen sollten dabei vom Datenschutzbeauftragten priorisiert werden. Der DSB sorgt außerdem dafür, dass die Umsetzung seiner Empfehlungen und der notwendigen Maßnahmen tatsächlich erfolgt und auch ausreichend dokumentiert wird.

Die Aufgaben des Datenschutzbeauftragten im Detail

Kurz gesagt bestehen die Aufgaben des Datenschutzbeauftragten in kontinuierlicher Beratung, Kontrolle und Dokumentation.

Beratung: Hauptaufgabe als betrieblicher Datenschutzbeauftragter ist die Einbringung seiner Expertise in Form von Beratungsleistungen, Empfehlungen und Hinweisen. Er hat dabei die Anforderungen des Datenschutzrechts stets im Blick, geht aber bestenfalls mit seinen Vorschlägen zur Sicherung eines hohen Datenschutzniveaus im Unternehmen auch darüber hinaus, indem er bspw. im Hinblick auf künftige Projekte, unternehmerische, aber auch gesetzliche Entwicklungen und mögliche Maßnahmen zur Verbesserung der Sicherheit der Daten und der IT insgesamt berät.

Dazu kommen Projektbegleitung, Durchführung mindestens jährlicher Datenschutz-Schulungen, das Vorfall‑Management und die Unterstützung bei Betroffenenrechten.

Kontrolle: Der Datenschutzbeauftragte hat kontinuierlich die Umsetzung der gesetzlichen Anforderungen und seiner Empfehlungen zu kontrollieren und zu bewerten. Er hat dabei stets ganzheitlich auf die Einhaltung eines hohen Datenschutzniveaus zu achten und insbesondere auf Abweichungen und Neuerungen bei den internen Prozessen zu achten. Die Prüfung und Unterstützung bei der Erstellung von Datenschutz‑Folgenabschätzungen durch den Verantwortlichen gehört hier dazu.

Kontrollen der Mitarbeiter (z. B. Nutzung von E‑Mail, Internet o.ä.) setzen dabei das Bestehen einer Rechtsgrundlage, die Verhältnismäßigkeit der Maßnahme und ggf. die Beteiligung des Betriebsrats voraus.

Dokumentation: Zur Erfüllung der Rechenschaftspflicht aus der DSGVO sind alle Maßnahmen zu dokumentieren und bspw. ein umfängliches Verzeichnis aller Verarbeitungstätigkeiten für personenbezogene Daten zu führen. Dafür wird bestenfalls eine spezielle Datenschutzmanagementsoftware eingesetzt. Diese muss stets aktuell und vollständig sein und auf Verlangen der Datenschutzbehörde vorgelegt werden.

Eine bestimmte Zertifizierung braucht ein Datenschutzbeauftragter nicht, aber die obige Aufzählung der Aufgaben zeigt bereits, dass eine ausreichende Sach- und Fachkunde unweigerlich erforderlich ist, um die Rolle erfüllen zu können. Das schreibt so auch die DSGVO als Mindeststandard vor. Nach unserer Auffassung ist eine mehrtägige Schulung zum Datenschutzbeauftragten, den bspw. die Industrie- und Handelskammern und andere Anbieter im Programm haben, bei weitem nicht ausreichend. Ein Datenschutzbeauftragter benötigt weitere Voraussetzungen, wie bspw. fundierte Kenntnisse im Datenschutzrecht, im Risikomanagement und in der Informationssicherheit.

Pflicht zur Bestellung: Zurzeit ist in Deutschland die Bestellung eines betrieblichen Datenschutzbeauftragten ab 20 Mitarbeiter, die sich mit der Verarbeitung personenbezogener Daten beschäftigten, Pflicht. Bei fehlender Bestellung trotz Pflicht drohen für den Verantwortlichen Bußgelder.

Zeitbedarf: Abhängig von Unternehmensgröße und Verarbeitungsumfang sollte für die Tätigkeit als Datenschutzbeauftragter realistisch ein Zeitbudget von wenigen Stunden pro Woche bis hin zu einer oder mehreren Teil‑ oder Vollzeitstellen eingeplant werden. Letztlich muss der Datenschutz im Unternehmen von der Geschäftsleitung so organisiert werden, dass er in Anbetracht des Umfangs und der Bedeutung der Verarbeitung personenbezogener Daten beim Verantwortlichen die Erfüllung und Einhaltung aller Anforderungen gewährleisten kann.

Verantwortung: Der externe Datenschutzbeauftragte haftet für eigene Pflichtverletzungen im Rahmen seiner Beratung und Aufgabenerfüllung. Der interne Datenschutzbeauftragte haftet arbeitsrechtlich nur eingeschränkt und kann ausnahmsweise nur bei vorsätzlicher Schädigung des Verantwortlichen im Wege des Regresses voll in Haftung genommen werden.

Die Umsetzung der Maßnahmen bleibt stets Aufgabe des Verantwortlichen.

Vorgehen bei Entdeckung von Verstößen: Entdeckt der Datenschutzbeauftragte bei einer Kontrolle Datenschutzverstöße, dann dokumentiert er zunächst seine Feststellungen. Er setzt sodann den Verantwortlichen, also die Geschäftsleitung, darüber in Kenntnis und empfiehlt Maßnahmen zur Abstellung des Verstoßes. Sodann sollte eine Umsetzungsfrist vereinbart und die Umsetzung sowie die Wirksamkeit der umgesetzten Maßnahmen geprüft und dokumentiert werden.

Arbeitsrechtliche oder sonstige Maßnahmen als Reaktion auf einen Verstoß sind hingegen allein Aufgabe des Verantwortlichen. Der Datenschutzbeauftragte selbst hat diesbezüglich keine Kompetenzen,

Organisation, Eingliederung und Kommunikation des DSB und Zusammenarbeit mit der Datenschutzaufsicht

Der DSB berichtet direkt an die Geschäftsleitung, handelt weisungsfrei und wird frühzeitig in Projekte eingebunden. Der externe DSB hat dabei eine direkte Ansprechperson beim Verantwortlichen (= interne/r Datenschutzkoordinator/in).

Er empfiehlt erforderliche Maßnahmen und prüft deren Einhaltung. Neben der Überwachung der Datenverarbeitungen begleitet er Audits und ist zentrale Ansprechperson für die Aufsichtsbehörde. Denn der Datenschutzbeauftragte ist bei der zuständigen Aufsichtsbehörde bei seiner Bestellung namentlich zu nennen. Die Behörde wendet sich sodann direkt an den DSB. Der Datenschutzbeauftragte hat die Pflicht den Verantwortlichen zu informieren und spricht in Abstimmung mit diesem direkt mit der Datenschutzaufsicht.

Im Rahmen der Auseinandersetzung mit der Aufsicht wiederum gilt es, Fristen zu wahren, vollständig zu antworten und Maßnahmen transparent zu priorisieren.

Wenn die Geschäftsführung die Empfehlungen des DSB ablehnt, dokumentiert er dies, bewertet das Risiko und schlägt Alternativen vor. Eine Haftung des DSB ist in diesem Fall ausgeschlossen, da die Umsetzung ausschließlich beim Verantwortlichen selbst liegt.

Ressourcen, Qualifikation und Rahmenbedingungen

Erforderlich sind eine gute Fachkunde im Datenschutzrecht und zumindest ein Grundverständnis in IT‑Sicherheit und Datensicherheit, sowie angemessene Fähigkeiten in Managementprozessen. Natürlich gehören auch ausreichende Zeitressourcen, der allgemeine Zugang zu Informationen und geeignete Fortbildungen und Schulungen dazu.

Datenschutzbeauftragter: ab wann Pflicht?

Dies richtet sich nach den Vorgaben der DSGVO und des BDSG. Demnach muss in Deutschland jedes Unternehmen ab 20 Mitarbeitern einen DSB bestellten und dies der Datenschutzbehörde melden. Unabhängig davon besteht eine Pflicht zur Bestellung, wenn es sich um die Verarbeitung einer Behörde oder öffentlichen Stelle handelt, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Damit ist klar, dass ein Datenschutzbeauftragter u.U. auch für kleine Unternehmen bestellt werden muss.

Abgrenzung: Datenschutz-Koordinator, interner und externer Datenschutzbeauftragter

Der Datenschutzkoordinator ist stets eine interne, also beim Verantwortlichen beschäftigte Person, die den DSB operativ unterstützt und entlastet.

Der DSB wiederum kann als interner Datenschutzbeauftragter (= beim Verantwortlichen beschäftigte Person) oder als externer Datenschutzbeauftragter (= externer Dienstleister) bestellt werden.

Interne Datenschutzbeauftragte punkten mit der Nähe zum Betrieb. Wir haben jedoch die klare Auffassung, dass ein externer Datenschutzbeauftragter stets die bessere Lösung darstellt. Denn dieser hat keine Betriebsbrille auf, sieht Dinge, die intern beschäftigte nicht (mehr) sehen, stellt Fragen, die für interne Beschäftigte keine mehr sind und haftet vor allem dem Verantwortlichen gegenüber im Rahmen des bestehenden Dienstleistungsvertrages wohingegen der interne Datenschutzbeauftragte nur nach dem Arbeitsrecht und damit eingeschränkt in Anspruch genommen werden kann.

Unternehmen profitieren daher regelmäßig von einem externen Modell. Daher ist ein externer Datenschutzbeauftragter auch für kleine Unternehmen stets die bessere Wahl.

DSB-Bestellung: Wann und warum?

Die Bestellung eines Datenschutzbeauftragten kann nicht früh genug erfolgen. Denn, wer rechtzeitig bestellt, reduziert Bußgeld‑ und Projektrisiken und beschleunigt Audits.

Details und Beispiele finden Sie in unserem Beitrag „Datenschutzbeauftragten bestellen“.

Die Pflicht zur Bestellung selbst wiederum ergibt sich aus Umfang, Art der Verarbeitung und branchenspezifischen Vorgaben oder ganz einfach daraus, dass mindestens 20 Beschäftigte personenbezogene Daten verarbeiten.