Symbolische Darstellung eines Smartphones mit einem Paragraphensymbol, umgeben von europäischen und deutschen Symbolen.

Benennung Datenschutzbeauftragter: Pflichten für Unternehmen nach DSGVO und BDSG

Die Benennung eines Datenschutzbeauftragten ist für viele Unternehmen gesetzlich vorgeschrieben, doch ab wann genau besteht diese Pflicht und welche Kriterien müssen erfüllt sein? In diesem Beitrag erläutern wir, wann Sie einen Datenschutzbeauftragten benennen müssen, welche Anforderungen dieser erfüllen sollte und wie die Benennung formal korrekt abläuft.

Beratungstermin vereinbaren

Datenschutzbeauftragter Benennung zusammengefasst

  • Qualifikationsanforderungen an Datenschutzbeauftragte
    Nicht Jedermann kann als Datenschutzbeauftrager benannt werden. Die DSGVO fordert bestimmte Eigenschaften wie datenschutzrechtliches Fachwissen und eine allgemeine berufliche Qualifikation.
  • Formale Benennungsverfahren
    Bei den „Formalien“ der Benennung des Datenschutzbeauftragten sollten die Vorgaben der zuständigen Aufsichtsbehörde beachtet werden. Dort werden entsprechende Formulare bereitgestellt.
  • Interne oder externe Benennung
    Zum Datenschutzbeauftragten kann sowohl ein „Interner“, also Mitarbeitende, als auch ein „Externer“ benannt werden.
  • Bußgeldrisiko bei Pflichtverletzungen
    Kommt ein Unternehmen der Pflicht zur Benennung eines Datenschutzbeauftragten nicht nach, kann es schnell teuer werden. Bei Fehlern läuft der Verantwortliche oder Auftragsverarbeiter Gefahr, ein Bußgeld zu „kassieren“.
  • Datenschutzrechtliche Pflicht
    Die Benennung des Datenschutzbeauftragten ist eine wichtige datenschutzrechtliche Pflicht. Entscheidend ist die Wahl einer geeigneten Person und die korrekte Veröffentlichung der Kontaktdaten.

Benennung Datenschutzbeauftragter – wann die Pflicht besteht und welche Anforderungen gelten

Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich sowohl aus der europäischen Datenschutz-Grundverordnung als auch aus dem deutschen Bundesdatenschutzgesetz. Für Geschäftsführer kleiner und mittelständischer Unternehmen ist es entscheidend, beide Rechtsquellen zu kennen, um die eigene Situation korrekt einzuschätzen.

Benennung nach der DSGVO – diese drei Fälle lösen die Pflicht aus

Nach Art. 37 DSGVO müssen Verantwortliche einen Datenschutzbeauftragten benennen, wenn:

  1. Die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird – ausgenommen sind Gerichte bei ihrer justiziellen Tätigkeit.
  2. Die Kerntätigkeit des Unternehmens aus Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von Personen erfordern.
  3. Die Kerntätigkeit des Verantwortlichen / Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO (z. B. Gesundheitsdaten) oder von Daten über strafrechtliche Verurteilungen nach Art. 10 DSGVO.

Benennung nach dem BDSG – die 20-Personen-Schwelle

Das Bundesdatenschutzgesetz erweitert die europäischen Vorgaben für Deutschland. Nach § 38 BDSG ist ein Datenschutzbeauftragter zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Diese Schwelle ist schnell erreicht: Bereits 20 Mitarbeitende an Bildschirmarbeitsplätzen, die auf gespeicherte Daten zugreifen, zählen dazu.

Unabhängig von der Mitarbeiterzahl besteht die Benennungspflicht außerdem in folgenden Situationen:

  • Verarbeitungen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen
  • Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung
  • Verarbeitung für Zwecke der Markt- oder Meinungsforschung

Auch kleinere Unternehmen können daher betroffen sein, wenn sie entsprechende Datenverarbeitungen vornehmen.

Warnsymbol in Form eines Dreiecks mit einem Ausrufezeichen und einem Punkt in der Mitte, in sanften Farben.

Nicht alle Fälle der Benennung eines Datenschutzbeauftragten sind in der DSGVO geregelt. Sollten Sie sich daher die Frage stellen, ob Sie einen Datenschutzbeauftragten benennen müssen, sind neben den Anforderungen aus der DSGVO auch die Bestimmungen des BDSG zu berücksichtigen.

Fachliche Qualifikation für die Benennung als Datenschutzbeauftragter

Ein Datenschutzbeauftragter muss über eine ausreichende berufliche Qualifikation verfügen. Art. 37 Abs. 5 DSGVO fordert insbesondere:

  • Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
  • Die Fähigkeit zur Erfüllung der gesetzlichen Aufgaben nach Art. 39 DSGVO

Zu diesen Aufgaben gehören die Beratung des Unternehmens, die Überwachung der Einhaltung datenschutzrechtlicher Vorgaben sowie die Zusammenarbeit mit den Aufsichtsbehörden. Eine fehlerhafte Benennung kann rechtlich so behandelt werden, als wäre kein DSB vorhanden.

Eine Frau mit langen, braunen Haaren trägt einen schwarzen Pullover und einen blauen Blazer, lächelt und steht mit erhobener Hand.

Dr. Alina Weskamp-Nordmann, LL.M.

Juristin

Ich berate Sie gerne

Rufen Sie uns an oder schreiben Sie uns über das Kontaktformular.

+49 40 790 235 0
sales@intersoft-consulting.de
Termin vereinbaren

Häufige Fragen zur Benennung eines Datenschutzbeauftragten

Die Benennung eines Datenschutzbeauftragten wirft in der Praxis viele Fragen auf. Hier beantworten wir die wichtigsten Punkte für Geschäftsführer kleiner und mittelständischer Unternehmen.

Wie viele Datenschutzbeauftragte können benannt werden?

Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen. Voraussetzung ist, dass der DSB von jeder Niederlassung aus leicht erreichbar ist. Bei internationalen Konzernen kann dies durch Sprachbarrieren erschwert werden, sodass gegebenenfalls mehrere Ansprechpartner sinnvoll sind.

Umgekehrt ist die Benennung mehrerer DSB für eine Organisationseinheit nicht vorgesehen. Die DSGVO spricht ausdrücklich von der Benennung „eines“ Datenschutzbeauftragten. Mehrere DSB würden zu Kompetenzüberschneidungen führen. Wenn die datenschutzrechtlichen Aufgaben zu umfangreich werden, empfiehlt es sich stattdessen, ein Datenschutzteam oder Datenschutzkoordinatoren zur Unterstützung des DSB einzusetzen.

Kann der Geschäftsführer selbst zum Datenschutzbeauftragten benannt werden?

Nein, der Geschäftsführer kann nicht zum Datenschutzbeauftragten benannt werden. Der DSB muss den Verantwortlichen kontrollieren können, bei einer Personalunion mit der Geschäftsleitung käme es zwangsläufig zu einer unzulässigen Selbstkontrolle. Gleiches gilt für Mitarbeitende in Führungspositionen, deren Aufgaben regelmäßig mit datenschutzrechtlichen Entscheidungen kollidieren, etwa der IT-Leiter, der Personalleiter oder der Marketingleiter.

Wird dennoch eine Person mit Interessenkonflikt benannt, kann dies rechtlich so behandelt werden, als wäre kein Datenschutzbeauftragter vorhanden. Unternehmen riskieren damit nicht nur Bußgelder, sondern auch eine mangelnde Datenschutz-Compliance. Im Zweifel bietet die Benennung eines externen Datenschutzbeauftragten eine rechtssichere Alternative.

Wie läuft die Benennung eines Datenschutzbeauftragten konkret ab?

Hat sich der Verantwortliche bzw. der Auftragsverarbeiter für einen Datenschutzbeauftragten entschieden, ist die eigentliche Benennung unkompliziert: Nach Art. 37 Abs. 7 DSGVO veröffentlicht der Verantwortliche die Kontaktdaten des Datenschutzbeauftragten und teilt diese der Aufsichtsbehörde mit.

Spezielle Anforderungen an die Veröffentlichung werden nicht gestellt, allerdings sollte diese in geeigneter Form erfolgen. Intern eignen sich das Intranet, Aushänge oder Informationsblätter bei der Einstellung. Extern erfolgt die Veröffentlichung über eine gut auffindbare Angabe auf der Unternehmenswebsite oder in der Datenschutzerklärung. Die Veröffentlichung muss nicht zwingend den Namen des Datenschutzbeauftragten enthalten, erforderlich sind nur Kontaktdaten wie E-Mail-Adresse und Postanschrift. Die Praxis zeigt jedoch, dass die Nennung des Namens vertrauensstiftend wirkt.

Für die Meldung gegenüber der Aufsichtsbehörde empfiehlt es sich, das Meldeformular auf der Website der zuständigen Behörde zu nutzen. Es ist zu empfehlen, sich an dem entsprechenden Meldeformular auf der Webseite der zuständigen Aufsichtsbehörde zu orientieren, z.B. des Beauftragten für Datenschutz in Hamburg: datenschutz-hamburg.de/service-information/dsb-an-/abmelden

 Auf dem Meldeformular sollten in der Regel folgende Angaben gemacht werden: 

  • Name des Datenschutzbeauftragten,
  • Anschrift,
  • Telefonnummer und
  • E-Mail-Adresse abgefragt.

Als Pflichtfelder sind aber nur gekennzeichnet:

  • Datum der Benennung
  • Name des Verantwortlichen

Die Meldung ist auch per Post oder E-Mail möglich, hier sollten Unternehmen prüfen, welche Meldemöglichkeiten die zuständige Aufsichtsbehörde eröffnet hat.

Was gilt für alte Bestellurkunden?

Bestellurkunden, die nach dem früheren Recht erstellt wurden, dokumentieren weiterhin die Benennung eines Datenschutzbeauftragten. Es empfiehlt sich jedoch, den Inhalt zu überprüfen und sicherzustellen, dass er den Anforderungen der DSGVO entspricht. Insbesondere sollten zusätzliche Vereinbarungen und die Einhaltung des aktuellen Pflichtenkatalogs geprüft werden.

Führt die fehlende/fehlerhafte Benennung zu einem Bußgeld?

Verstöße gegen die Benennungspflicht können empfindliche Konsequenzen haben. Die DSGVO sieht Bußgelder von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Auch eine fehlerhafte Benennung, etwa einer Person mit Interessenkonflikt, kann rechtlich so behandelt werden, als wäre kein DSB vorhanden. Unternehmen, die unsicher sind, ob sie einen Datenschutzbeauftragten benennen müssen, sollten die Voraussetzungen sorgfältig prüfen und im Zweifel fachlichen Rat einholen.

Eine Frau in einem dunkelblauen Blazer steht vor einem modernen Bürogebäude mit großen Fenstern.

Über Dr. Alina Weskamp-Nordmann

  • Dipl. Juristin
  • Master of Laws in Transnational Law
  • Datenschutzbeauftragte (TÜV‑zertifiziert)
  • Promotion im Bereich Softwarepatente
Weitere Beiträge vom Author

Wissenswertes zum Datenschutzbeauftragten

Erfahren Sie mehr über die Rolle des Datenschutzbeauftragten und seine Bedeutung für Ihr Unternehmen.

Mehr Beiträge