Transparente digitale Urkunde mit Paragraphenzeichen, schwebend über einem Netz aus Linien und Punkten.

Datenschutzbeauftragter DSGVO: Pflicht, Aufgaben und Bestellung

Die Datenschutz-Grundverordnung stellt Unternehmen vor die Frage: Benötigen wir einen Datenschutzbeauftragten? Für viele Organisationen ist die Benennung nach Art. 37 DSGVO und § 38 BDSG verpflichtend, doch auch ohne gesetzliche Pflicht kann ein Datenschutzbeauftragter entscheidend zur DSGVO-Compliance beitragen. Wann die Benennungspflicht greift, welche Aufgaben der Datenschutzbeauftragte nach DSGVO übernimmt und ob ein interner oder externer DSB die bessere Wahl ist, erklären wir in diesem Beitragen.

Beratungstermin vereinbaren

Die wichtigsten Punkte zum Datenschutzbeauftragten

  • Was ist die gemeinsame Kernaufgabe aller Datenschutzbeauftragten?
    Der Begriff des Datenschutzbeauftragten zeigt sich in verschiedenen Ausprägungen. Allen gemein ist, dass sie über die Umsetzung und Einhaltung datenschutzrechtlicher Vorschriften wachen.
  • In welchen Arten von Organisationen gibt es Datenschutzbeauftragte?
    Es gibt Datenschutzbeauftragte in Organisationen, wie z.B. in Unternehmen, Vereinen, Kirchen oder Behörden.
  • Welche Funktion übernehmen die Datenschutzbeauftragten des Bundes und der Länder?
    Datenschutzbeauftragte des Bundes und der Länder, nehmen die Funktion als Aufsichtsbehörden wahr und kontrollieren den öffentlichen und nichtöffentlichen Bereich.
  • Für welche Stellen besteht immer die Pflicht, einen Datenschutzbeauftragten zu benennen?
    Für viele Unternehmen, Vereine, Kirchen und sonstige Stellen besteht die gesetzliche Pflicht, einen Datenschutzbeauftragten zu benennen. Öffentliche Stellen beispielsweise Behörden müssen immer einen Datenschutzbeauftragten benennen.
  • Ab wann ist ein Datenschutzbeauftragter Pflicht?
    Die meisten Unternehmen müssen ab 20 Mitarbeitenden einen eigenen Datenschutzbeauftragten benennen.

Qualifikation und Auswahl eines Datenschutzbeauftragten

Die Benennung eines geeigneten Datenschutzbeauftragten (DSB) bereitet in der Praxis oft Schwierigkeiten. Ein DSB soll in einer Organisation auf die Einhaltung des Datenschutzes hinwirken, indem er einerseits bei der Umsetzung des Datenschutzes berät und andererseits dessen Einhaltung überwacht.

Hierfür braucht der Datenschutzbeauftragte:

  1. die erforderliche berufliche Qualifikation
  2. das notwendige Fachwissen
  3. Unabhängigkeit ohne Interessenkonflikt

Vergleich Datenschutzbeauftragter: Intern oder extern?

Interner Datenschutzbeauftragter

Der Datenschutzbeauftragte kann Mitarbeiternder der Organisation sein oder extern benannt werden. Die Anforderungen an die Eignung eines DSB steigen mit der Größe und Komplexität der Organisation. Um als Datenschutzbeauftragter den häufig komplexen Aufgaben in der Praxis gewachsen zu sein, sind fortlaufende Schulungen und Aktualisierungen des Fachwissens notwendig.

Wichtig: Der Verantwortliche ist ausdrücklich verpflichtet, dem betrieblichen Datenschutzbeauftragten für die Erhaltung seines Fachwissens die notwendigen Ressourcen zur Verfügung zu stellen.z.B. indem er Fort- und Weiterbildungsveranstaltungen ermöglicht und deren Kosten übernimmt.

Externer Datenschutzbeauftragter

Die Benennung eines externen Datenschutzbeauftragten ist daher oft die praktikablere Lösung, da ein externer DSB in der Regel bereits über das notwendige Fachwissen verfügt, Interessenkonflikte ausgeschlossen werden können und kein besonderer Kündigungsschutz entsteht.

  • Bereits vorhandenes Fachwissen
  • Ausschluss von Interessenkonflikten
  • Kein besonderer Kündigungsschutz

Der betriebliche Datenschutzbeauftragte – Benennungspflichten

Die am häufigsten anzutreffende Form ist der Datenschutzbeauftragte für den nichtöffentlichen Bereich. Ein solcher ist zu benennen, wenn:

  1. mindestens 20 Mitarbeitende mit der Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 S. 1 BDSG)
  2. Datenverarbeitungen zur Markt- oder Meinungsforschung vorgenommen werden (§ 38 Abs. 1 S. 2 BDSG)
  3. die Kerntätigkeit eine systematische Überwachung betroffener Personen erfordert (Art. 37 Abs. 1 lit. a DSGVO)
  4. eine umfangreiche Verarbeitung sensibler Daten erfolgt (Art. 37 Abs. 1 lit. b DSGVO)

Praktische Umsetzung

In der Praxis am häufigsten einschlägig ist § 38 Abs. 1 S. 1 BDSG. Diese Regelung ist häufig bereits erfüllt, wenn mindestens 20 Mitarbeitende an Bildschirmarbeitsplätzen arbeiten oder auf gespeicherte Daten zugreifen. Bestehen Zweifel, ob diese Voraussetzung erfüllt ist, z.B. da eine mitarbeitende Person nicht ausschließlich Büroarbeit erledigt, sollte aufgrund des hohen Bußgeldrisikos sicherheitshalber ein Datenschutzbeauftragter benannt werden.

Merke:
Regelmäßig müssen Unternehmen ab 20 Mitarbeitenden einen Datenschutzbeauftragten benennen.

Es steht Unternehmen frei, einen Mitarbeitenden als internen Datenschutzbeauftragten oder einen externen Datenschutzbeauftragten zu benennen.

Wichtig ist in jedem Fall, dass der Datenschutzbeauftragte die nötige Fachkunde auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.

Der Datenschutzbeauftragte in der Behörde – öffentliche Stellen

Der Datenschutzbeauftragte für öffentliche Stellen wacht, wie der Name schon sagt, über die Einhaltung des Datenschutzes in der jeweiligen öffentlichen Stelle. Hierbei wird es sich regelmäßig um Behörden handeln.. Gemäß Art. 37 Abs. 1 lit. a DSGVO und § 5 Abs. 1 BDSG besteht für jede öffentliche Stelle die Pflicht, einen Datenschutzbeauftragten zu benennen – unabhängig von Gefahrträchtigkeit und der Anzahl der Mitarbeitenden.

Wichtiger Unterschied: Im nichtöffentlichen Bereich ist ein Datenschutzbeauftragter regelmäßig erst ab 20 Mitarbeitenden zu benennen. Für Behörden gilt diese Schwelle nicht.

Die Landesdatenschutzgesetze können weitere Regelungen enthalten. Manche Bundesländer verbieten die Benennung eines externen Datenschutzbeauftragten für öffentliche Stellen.

Unterschiedliche Handhabung in jedem Bundesland

Die Landesdatenschutzgesetze können im Einzelnen für jedes Bundesland weitere Regelungen über die Anforderungen an den benannten Datenschutzbeauftragten stellen. So verbieten manche Landesdatenschutzgesetze die Benennung eines externen DSB, andere lassen diese Möglichkeit, wie sie sich auch aus Art. 37 Abs. 6 DSGVO ergibt, unberührt. Der DSB für öffentliche Stellen hat grundsätzlich die gleichen Aufgaben wie der Datenschutzbeauftragte für nichtöffentliche Stellen.

Ein stilisiertes Schild mit einem Häkchen in sanften Blau- und Rosatönen, symbolisiert Sicherheit und Vertrauen.

In Deutschland gibt es 16 Landesaufsichtsbehörden, die zum Teil unterschiedliche Ansichten zu datenschutzrechtlichen Rechtsfragen vertreten. Um eine gewisse Kohärenz zu gewährleisten, veröffentlicht die aus den unabhängigen Datenschutzbehörden des Bundes und der Länder bestehende Datenschutzkonferenz regelmäßig Stellungnahmen und Orientierungshilfen.

Der kirchliche Datenschutzbeauftragte – Sonderregelungen

Religiöse Vereinigungen dürfen nach Art. 91 DSGVO ihr eigenes Datenschutzrecht beibehalten, sofern es mit den Regelungen der DSGVO in Einklang gebracht wird. Die großen Kirchen in Deutschland haben eigene Regelwerke geschaffen:

  • Katholische Kirche: Gesetz über den Kirchlichen Datenschutz (KDG)
  • Evangelische Kirche: EKD-Datenschutzgesetz

Die DSGVO hat im kirchlichen Bereich zum Teil zu einer Erweiterung der Benennungspflicht eines DSB geführt.

Katholische Kirche und Datenschutzbeauftragter

Für den katholischen Bereich sieht § 36 Abs. 1 S. 1 KDG zwingend die Benennung eines Datenschutzbeauftragten, unabhängig von der Anzahl der Mitarbeitenden vor für folgende Organisationsformen vor:

  • Diözesen
  • Kirchengemeinden
  • Kirchenstiftungen
  • Kirchengemeindeverbände

Für andere kirchliche Stellen wie z.B. Caritasverband ist die Benennung an allgemeinen Vorgaben des § 38 BDSG angelehnt. 

Die Benennung ist daher erst bei Vorliegen weiterer gesetzlicher Voraussetzungen zwingend, etwa wenn die Kerntätigkeit der kirchlichen Stelle in der Verarbeitung besonderer Kategorien personenbezogener Daten liegt, oder wenn über 20 Mitarbeitende ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind (§ 36 Abs. 2 KDG).

Evangelische Kirche und Datenschutzbeauftragter

In der evangelischen Kirche heißt der Datenschutzbeauftragte „Örtlich Beauftragter für den Datenschutz“ (§ 36 EKD-Datenschutzgesetz). Die Benennungspflicht orientiert sich an den allgemeinen gesetzlichen Regelungen.

Hiernach gelten gem. § 36 Abs.1 des EKD‑Datenschutzgesetz für kirchliche Stellen Regelungen, die an die allgemeinen Vorgaben aus § 38 BDSG angelehnt sind: Daher ist ein Örtlich Beauftragter für den Datenschutz zu benennen, wenn in der Regel mindestens zwanzig Personen ständig mit der Verarbeitung personenbezogener Daten involviert sind oder im umfangreichen Maße besondere Kategorien personenbezogener Daten verarbeitet werden.

Gem. § 4 Nr.2a EKD‑Datenschutzgesetz sind Angaben über die Zugehörigkeit zu einer Kirche oder einer Religions- oder Weltanschauungsgemeinschaft entgegen Art. 9 Abs. 1 DSGVO jedoch nicht als besondere Kategorien personenbezogener Daten zu behandeln. Eine vergleichbare Regelung findet sich für katholische Stellen auch in § 4 Nr.2 KDG.

Ein stilisiertes Schild mit einem Häkchen in sanften Blau- und Rosatönen, symbolisiert Sicherheit und Vertrauen.

Für kirchliche Einrichtungen gelten besondere kirchenrechtliche Regelungen zur Benennung eines Datenschutzbeauftragten.
Behörden müssen unabhängig von ihrer Verarbeitungstätigkeit und Anzahl der Mitarbeitenden einen DSB benennen.

Eine Frau mit langen, braunen Haaren trägt einen schwarzen Pullover und einen blauen Blazer, lächelt und steht mit erhobener Hand.

Dr. Alina Weskamp-Nordmann, LL.M.

Juristin

Ich berate Sie gerne

Rufen Sie uns an oder schreiben Sie uns über das Kontaktformular.

+49 40 790 235 0
sales@intersoft-consulting.de
Termin vereinbaren

Datenschutzbeauftragte auf europäischer, Bundes- und Landesebene

Was ist der europäische Datenschutzbeauftragte und welche Aufgaben hat er?

Der europäische Datenschutzbeauftragte ist eine am 17. Januar 2004 ins Leben gerufene unabhängige Kontrollbehörde, die dafür sorgt, dass alle EU-Organe und -Einrichtungen bei der Verarbeitung personenbezogener Daten den Schutz der Privatsphäre gewährleisten. Der jeweilige europäische DSB wird für jeweils 5 Jahre benannt. Als solcher gehören zu seinen Hauptaufgabenfeldern die Aufsicht über die Verarbeitung personenbezogener Daten durch die europäischen Einrichtungen und Organe, die Beratung der Europäischen Kommission, des Europäischen Parlaments und des Rates der Europäischen Union in Fragen des Datenschutzes und Kooperation mit anderen Datenschutzbehörden zur Förderung der Abstimmung politischer und institutioneller Maßnahmen beim Datenschutz in Europa.

Was ist der Bundesdatenschutzbeauftragte und wie unabhängig ist er?

Der sogenannte Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist eine Oberste Bundesbehörde mit Sitz in Bonn. Seit dem 1. Januar 2016 untersteht der Bundesbeauftragte keiner Aufsicht mehr. In seiner Tätigkeit ist er daher völlig unabhängig und nur dem Gesetz unterworfen. Die vorzeitige Entlassung durch den Bundespräsidenten ist daher nur aus Gründen möglich, welche bei einem Richter auf Lebenszeit die Entlassung rechtfertigen könnten. Gem. § 14 BDSG kontrolliert und berät der BfDI Bundesbehörden und andere öffentliche Stellen des Bundes.

Welche Aufgaben haben die Datenschutzbeauftragten der Länder?

In Deutschland gibt es 16 Aufsichtsbehörden für den nichtöffentlichen und öffentlichen Bereich. Bayern ist das einzige Bundesland, das eine spezielle Datenschutzaufsichtsbehörde für den öffentlichen Bereich besitzt.

Gem. § 40 BDSG obliegt den Aufsichtsbehörden der Länder die Überwachung der nichtöffentlichen Stellen, sprich der Privatwirtschaft. Die Befugnis zur Überwachung des öffentlichen Bereichs ergibt sich dann aus den jeweiligen Landesdatenschutzgesetzen (für Schleswig-Holstein beispielsweise aus § 61 Abs.1 i.V.m. § 20 Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Daten). In jedem Landesdatenschutzgesetz finden sich vergleichbare Vorschriften.

Was ist die Datenschutzkonferenz (DSK) und welche Funktion erfüllt sie?

Die Datenschutzkonferenz ist ein Gremium, in dem sich die unabhängigen Datenschutzbehörden des Bundes und der Länder zusammenschließen. Ihre Aufgabe ist es, die Datenschutzgrundrechte zu schützen und eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen.
Da die 16 Landesaufsichtsbehörden zum Teil unterschiedliche Ansichten über datenschutzrechtliche Rechtsfragen vertreten, veröffentlicht die DSK regelmäßig Entschließungen, Beschlüsse, Orientierungshilfen, Stellungnahmen und Festlegungen, um eine gewisse Kohärenz zu gewährleisten.

Eine Frau in einem dunkelblauen Blazer steht vor einem modernen Bürogebäude mit großen Fenstern.

Über Dr. Alina Weskamp-Nordmann

  • Dipl. Juristin
  • Master of Laws in Transnational Law
  • Datenschutzbeauftragte (TÜV‑zertifiziert)
  • Promotion im Bereich Softwarepatente
Weitere Beiträge vom Author

Wissenswertes zum Datenschutzbeauftragten

Erfahren Sie mehr über die Rolle des Datenschutzbeauftragten und seine Bedeutung für Ihr Unternehmen.

Mehr Beiträge