Hintergrundgrafik intersoft consulting services AG
Weiter zum Inhalt
Info

Datenschutzbeauftragter nach DSGVO

Hinter dem Begriff „Datenschutzbeauftragter“ verbergen sich verschiedene Berufsfelder. Wir geben einen kurzen Überblick über die Arten von Datenschutzbeauftragten, deren Aufgaben und die notwendigen Qualifikationen.
No anker items found

Inhaltsverzeichnis

Kurz und bündig

  • Der Begriff des Datenschutzbeauftragten zeigt sich in verschiedenen Ausprägungen. Allen gemein ist, dass sie über die Umsetzung und Einhaltung datenschutzrechtlicher Vorschriften wachen.
  • Es gibt Datenschutzbeauftragte in Organisationen, wie z.B. in Unternehmen, Vereinen, Kirchen oder Behörden.
  • Daneben gibt es Datenschutzbeauftragte des Bundes und der Länder, welche die Funktion als Aufsichtsbehörden wahrnehmen und den öffentlichen und nichtöffentlichen Bereich kontrollieren.
  • Häufig besteht für Unternehmen, Vereine, Kirchen und sonstige Stellen die gesetzliche Pflicht, einen Datenschutzbeauftragten zu benennen. Öffentliche Stellen (z.B.) Behörden müssen immer einen Datenschutzbeauftragten benennen.

Datenschutzbeauftragter

Qualifikation und Auswahl eines Datenschutzbeauftragten

Die Benennung eines geeigneten Datenschutzbeauftragten bereitet in der Praxis oft Schwierigkeiten. Ein Datenschutzbeauftragter soll in einer Organisation auf die Einhaltung des Datenschutzes hinwirken, indem er einerseits bei der Umsetzung des Datenschutzes berät und dessen Einhaltung überwacht. Hierfür braucht der Datenschutzbeauftragte die erforderliche berufliche Qualifikation sowie das notwendige Fachwissen und darf bei Erfüllung seiner Funktion nicht in einen Interessenkonflikt geraten.

Der Datenschutzbeauftragte kann Mitarbeiter der Organisation sein oder extern benannt werden. Die Anforderungen an die Eignung eines Datenschutzbeauftragten steigen mit der Größe und Komplexität der Organisation. Um als Datenschutzbeauftragter den häufig komplexen Aufgaben in der Praxis gewachsen zu sein, sind fortlaufende Schulungen und Aktualisierungen des Fachwissens notwendig.

Der Verantwortliche ist dabei ausdrücklich verpflichtet dem betrieblichen Datenschutzbeauftragten für die Erhaltung seines Fachwissens die notwendigen Ressourcen zur Verfügung zu stellen, z.B. indem er Fort- und Weiterbildungsveranstaltungen ermöglicht und deren Kosten übernimmt. Die Benennung eines externen Datenschutzbeauftragten ist daher oft die praktikablere Lösung, da ein externer Datenschutzbeauftragter in der Regel bereits über das notwendige Fachwissen verfügt, Interessenkonflikte ausgeschlossen werden können und kein besonderer Kündigungsschutz entsteht.

Der betriebliche Datenschutzbeauftragte

Die am häufigsten anzutreffende Form des Datenschutzbeauftragten ist der Datenschutzbeauftragte für den nichtöffentlichen Bereich. Ein solcher ist zu benennen, wenn

  • mindestens 20 Mitarbeitern ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 S. 1 BDSG)
  • ein Unternehmen (unabhängig von der Mitarbeiterzahl) Datenverarbeitungen zur Markt- oder Meinungsforschung, zur geschäftsmäßig Übermittlung von personenbezogenen Daten oder Datenverarbeitungen vornimmt, die eine Risiko-Folgenabschätzung erforderlich machen (§ 38 Abs. 1 S. 2 BDSG)
  • die Kerntätigkeit in der Durchführung von Verarbeitungen besteht, die eine systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. a DSGVO)
  • eine umfangreiche Verarbeitung sensibler Daten – sog. besondere Kategorien von Daten – erfolgt (Art. 37 Abs. 1 lit. b DSGVO).

In der Praxis am häufigsten einschlägig ist § 38 Abs. 1 S. 1 BDSG. Diese Regelung wird weit ausgelegt und ist bereits erfüllt, wenn mindestens 20 Mitarbeiter an Bildschirmarbeitsplätzen arbeiten oder auf gespeicherte Daten zugreifen. Bestehen Zweifel, ob diese Voraussetzung erfüllt ist, z.B. da ein Mitarbeiter nicht ausschließlich Büroarbeit erledigt, sollte aufgrund des hohen Bußgeldrisikos dennoch sicherheitshalber ein Datenschutzbeauftragter benannt werden.

Regelmäßig müssen Unternehmen ab 20 Mitarbeitern einen Datenschutzbeauftragten benennen.

Es steht Unternehmen frei, einen Mitarbeiter als internen Datenschutzbeauftragten oder einen externen Datenschutzbeauftragten zu benennen.

Wichtig ist in jedem Fall, dass der Datenschutzbeauftragte die nötige Fachkunde auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.

Der Datenschutzbeauftragte in der Behörde

Der Datenschutzbeauftragte für öffentliche Stellen wacht, wie der Name schon sagt, über die Einhaltung des Datenschutzes in der jeweiligen öffentlichen Stelle. Hierbei wird es sich regelmäßig um Behörden handeln. Gem. Art. 37 Abs.1 lit. a DSGVO und § 5 Abs.1 BDSG besteht für jede öffentliche Stelle die Pflicht einen Datenschutzbeauftragten zu benennen, unabhängig von der Gefahrträchtigkeit der Verarbeitung oder der Anzahl der Mitarbeiter in der Behörde. Dies stellt einen wesentlichen Unterschied zu den Vorgaben für den nichtöffentlichen Datenschutzbeauftragten dar, welcher hier regelmäßig erst ab 20 Mitarbeitern im Unternehmen zu benennen ist.

Die Landesdatenschutzgesetze können im Einzelnen für jedes Bundesland weitere Regelungen über die Anforderungen an den benannten Datenschutzbeauftragten stellen. So verbieten manche Landesdatenschutzgesetze die Benennung eines externen Datenschutzbeauftragten, andere lassen diese Möglichkeit, wie sie sich auch aus Art. 37 Abs. 6 DSGVO ergibt, unberührt. Der Datenschutzbeauftragte für öffentliche Stellen hat grundsätzlich dieselben Aufgaben wie auch der nichtöffentliche Datenschutzbeauftragte.

Der kirchliche Datenschutzbeauftragte

Religiöse Vereinigungen dürfen nach Art. 91 DSGVO ihr eigenes Datenschutzrecht beibehalten, sofern es mit den Regelungen der DSGVO in Einklang gebracht wird. Die katholische und evangelische Kirche in Deutschland haben von dieser Möglichkeit Gebrauch gemacht: Die katholische Kirche mit dem Gesetz über den Kirchlichen Datenschutz (KDG), die evangelische Kirche mit dem EKD-Datenschutzgesetz.
Die DSGVO hat im kirchlichen Bereich zum Teil zu einer Erweiterung der Benennungspflicht eines DSB geführt.

Katholische Kirche

Für den katholischen Bereich sieht § 36 Abs. 1 S.1 KDG zwingend die Benennung eines betrieblichen Datenschutzbeauftragten für Diözesen, Kirchengemeinden, Kirchenstiftungen und Kirchengemeindeverbände vor, unabhängig von der Mitarbeiterzahl. Für andere kirchliche Stellen wie z.B. den Caritasverband, ist die Pflicht zur Benennung an die allgemeinen Vorgaben aus § 38 BDSG angelehnt. Die Benennung ist daher erst bei Vorliegen weiterer gesetzlicher Voraussetzungen zwingend, etwa wenn die Kerntätigkeit der kirchlichen Stelle in der Verarbeitung besonderer Kategorien personenbezogener Daten liegt, oder wenn über 20 Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind (§ 36 Abs. 2 KDG).

Evangelische Kirche

In der evangelischen Kirche heißt der Datenschutzbeauftragte „Örtlich Beauftragter für den Datenschutz“ (§ 36 EKD‑Datenschutzgesetz). Die Pflicht zur Bestellung eines solchen orientiert sich hier auch an den bestehenden allgemeinen gesetzlichen Regelungen. Hiernach gelten gem. § 36 Abs.1 des EKD‑Datenschutzgesetz für kirchliche Stellen Regelungen, die an die allgemeinen Vorgaben aus § 38 BDSG angelehnt sind: Daher ist ein Örtlich Beauftragter für den Datenschutz zu benennen, wenn in der Regel mindestens zwanzig Personen ständig mit der Verarbeitung personenbezogener Daten involviert sind oder im umfangreichen Maße besondere Kategorien personenbezogener Daten verarbeitet werden. Gem. § 4 Nr.2a EKD‑Datenschutzgesetz sind Angaben über die Zugehörigkeit zu einer Kirche oder einer Religions- oder Weltanschauungsgemeinschaft entgegen Art. 9 Abs. 1 DSGVO jedoch nicht als besondere Kategorien personenbezogener Daten zu behandeln. Eine vergleichbare Regelung findet sich für katholische Stellen auch in § 4 Nr.2 KDG.

Für kirchliche Einrichtungen gelten besondere kirchenrechtliche Regelungen zur Benennung eines Datenschutzbeauftragten.

Behörden müssen unabhängig von ihrer Verarbeitungstätigkeit und Mitarbeiterzahl einen Datenschutzbeauftragten benennen.

Der europäische Datenschutzbeauftragte

Der europäische Datenschutzbeauftragte ist eine am 17. Januar 2004 ins Leben gerufene unabhängige Kontrollbehörde, die dafür sorgt, dass alle EU-Organe und -Einrichtungen bei der Verarbeitung personenbezogener Daten den Schutz der Privatsphäre gewährleisten. Der jeweilige europäische Datenschutzbeauftragte wird für jeweils 5 Jahre benannt. Als solcher gehören zu seinen Hauptaufgabenfeldern die Aufsicht über die Verarbeitung personenbezogener Daten durch die europäischen Einrichtungen und Organe, die Beratung der Europäischen Kommission, des Europäischen Parlaments und des Rates der Europäischen Union in Fragen des Datenschutzes und Kooperation mit anderen Datenschutzbehörden zur Förderung der Abstimmung politischer und institutioneller Maßnahmen beim Datenschutz in Europa.

Die Hauptaufgaben des europäischen Datenschutzbeauftragten bestehen in der Aufsicht über den Datenschutz in europäischen Institutionen, der Beratung und der Förderung der Kooperation mit anderen Datenschutzbehörden.

Der Bundesdatenschutzbeauftragte

Der sog. Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist eine Oberste Bundesbehörde mit Sitz in Bonn. Seit dem 1. Januar 2016 untersteht der Bundesbeauftragte keiner Aufsicht mehr. In seiner Tätigkeit ist er daher völlig unabhängig und nur dem Gesetz unterworfen. Die vorzeitige Entlassung durch den Bundespräsidenten ist daher nur aus Gründen möglich, welche bei einem Richter auf Lebenszeit die Entlassung rechtfertigen könnten. Gem. § 14 BDSG kontrolliert und berät der BfDI Bundesbehörden und andere öffentliche Stellen des Bundes.

Die Datenschutzbeauftragten der Länder

In Deutschland gibt es 16 Aufsichtsbehörden für den nichtöffentlichen und öffentlichen Bereich. Bayern ist das einzige Bundesland, das eine spezielle Datenschutzaufsichtsbehörde für den öffentlichen Bereich besitzt.

Gem. § 40 BDSG obliegt den Aufsichtsbehörden der Länder die Überwachung der nichtöffentlichen Stellen, sprich der Privatwirtschaft. Die Befugnis zur Überwachung des öffentlichen Bereichs ergibt sich dann aus den jeweiligen Landesdatenschutzgesetzen (für Schleswig-Holstein beispielsweise aus § 61 Abs.1 i.V.m. § 20 Schleswig-Holsteinisches Gesetz zum Schutz personenbezogener Daten). In jedem Landesdatenschutzgesetz finden sich vergleichbare Vorschriften.

Die Bundes- und Landesaufsichtsbehörden schließen sich zu der Datenschutzkonferenz (DSK) zusammen, einem Gremium, das die Aufgabe hat, die Datenschutzgrundrechte zu schützen und eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und auf eine Fortentwicklung hinzuwirken. Hierfür veröffentlicht die DSK regelmäßig Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen, die den Normadressaten bei der Umsetzung der datenschutzrechtlichen Vorgaben helfen sollen.

Es gibt in Deutschland 16 Landesaufsichtsbehörden. Diese vertreten zum Teil unterschiedliche Ansichten über datenschutzrechtliche Rechtsfragen.

Um eine gewisse Kohärenz zu gewährleisten, veröffentlicht die aus den unabhängigen Datenschutzbehörden des Bundes und der Länder bestehende Datenschutzkonferenz regelmäßig Stellungnahmen und Orientierungshilfen.

Hintergrundgrafik intersoft consulting services AG
Wir übernehmen die Datenschutzorganisation von Unternehmen, kirchlichen Einrichtungen und öffentlichen Stellen. Hier mehr erfahren: Externer Datenschutzbeauftragter
NEWSLETTERInfos zum Unternehmenkostenlose WebinareFachbeiträge