Ab wann muss ein Datenschutzbeauftragter bestellt werden?

Nach §38 BDSG und Art. 37 DSGVO muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens 20 Personen im Unternehmen regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Darüber hinaus besteht die Pflicht unabhängig von der Mitarbeiterzahl bei risikoreichen Verarbeitungen wie Profiling oder dem Umgang mit besonderen Datenkategorien.

Was sind die Aufgaben eines Datenschutzbeauftragten?

Die Kernaufgaben des DSB sind in Art. 39 DSGVO geregelt: (1) Unterrichtung und Beratung des Verantwortlichen und der Mitarbeiter, (2) Überwachung der Einhaltung der DSGVO, (3) Beratung bei der Datenschutz-Folgenabschätzung (DSFA) nach Art. 35, und (4) Zusammenarbeit mit der Aufsichtsbehörde sowie Anlaufstelle für Betroffene.

Was ist der Unterschied zwischen internem und externem Datenschutzbeauftragten?

Ein interner DSB ist ein Mitarbeiter des Unternehmens, ein externer DSB ist ein selbstständiger Dienstleister oder Anwalt. Der externe DSB bietet mehr Unabhängigkeit und ist oft bei kleineren Unternehmen wirtschaftlicher. Beide müssen die gleichen fachlichen Qualifikationen erfüllen. Der externe DSB haftet zudem selbst für seine Beratungsfehler.

Welche Bußgelder drohen bei fehlendem Datenschutzbeauftragten?

Verstöße gegen die Bestellungspflicht des Datenschutzbeauftragten können nach Art. 83 Abs. 4 DSGVO mit Geldbußen von bis zu 10.000.000 € oder 2 % des weltweiten Jahresumsatzes geahndet werden. Entscheidend ist der jeweils höhere Betrag.

Welche Qualifikationen braucht ein Datenschutzbeauftragter?

Art. 37 Abs. 5 DSGVO verlangt, dass der DSB über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügt. Eine anerkannte Zertifizierung (TÜV, DEKRA, GDD) ist kein gesetzliches Muss, gilt aber als starkes Indiz für ausreichende Qualifikation und wird von Aufsichtsbehörden empfohlen.

Was ist ein Datenschutzbeauftragter? Aufgaben, Pflichten & Bestellung

Der Datenschutzbeauftragte (DSB) ist die zentrale Kontrollinstanz für den Datenschutz im Unternehmen — gesetzlich vorgeschrieben ab 20 Personen nach §38 BDSG und Art. 37 DSGVO.

Jetzt für die DSB-Prüfung üben Zu den Aufgaben ↓

Definition: Was macht ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte (DSB, engl. Data Protection Officer, DPO) ist eine von der DSGVO und dem deutschen BDSG vorgeschriebene Funktion. Er überwacht die Einhaltung des Datenschutzrechts im Unternehmen und ist Ansprechpartner für Betroffene und Aufsichtsbehörden. Der DSB ist kein „Datenschutzpolizist", sondern ein interner Berater — er trägt keine persönliche Verantwortung für Datenschutzverstöße des Unternehmens.

Wichtig für die Prüfung: Der DSB ist nicht der „Verantwortliche" im Sinne der DSGVO. Verantwortlicher bleibt immer die Unternehmensleitung (Art. 4 Nr. 7 DSGVO). Der DSB berät und überwacht — entscheiden muss das Unternehmen selbst.

Bestellungspflicht: Wann muss ein DSB bestellt werden?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus zwei Quellen:

Art. 37 DSGVO — EU-Ebene

Pflicht bei: Behörden und öffentlichen Stellen, Kerntätigkeit mit Hochrisikoverarbeitungen (Profiling, besondere Datenkategorien) oder umfangreicher systematischer Überwachung.

§38 BDSG — Deutschland

Pflicht ab: mindestens 20 Personen, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind — unabhängig von der Gesamtmitarbeiterzahl.

Prüfungsfalle: Es heißt „20 Personen, die regelmäßig mit automatisierter Verarbeitung befasst sind" — nicht 20 Gesamtmitarbeiter. Ein Unternehmen mit 50 Mitarbeitern, von denen nur 15 regelmäßig Daten verarbeiten, unterliegt noch nicht der Pflicht nach §38 BDSG (wohl aber ggf. nach Art. 37 DSGVO).

Die 4 Kernaufgaben nach Art. 39 DSGVO

Art. 39 DSGVO listet die Mindestaufgaben des DSB abschließend auf — in der Prüfung werden diese Aufgaben häufig mit konkreten Szenarien abgefragt:

Unterrichtung und Beratung: Der DSB informiert und berät den Verantwortlichen, den Auftragsverarbeiter sowie alle Mitarbeiter über datenschutzrechtliche Pflichten. Er ist internen Schulungen verpflichtet.
Überwachung der Einhaltung: Der DSB überwacht die Einhaltung der DSGVO, anderer Datenschutzvorschriften sowie interner Datenschutzrichtlinien. Er führt dazu Audits und Kontrollen durch.
Beratung bei der DSFA: Der DSB berät bei der Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und überwacht ihre Durchführung — er erstellt sie aber nicht selbst (das ist Aufgabe des Verantwortlichen).
Zusammenarbeit mit Aufsichtsbehörden: Der DSB ist Anlaufstelle (single point of contact) für die Datenschutz-Aufsichtsbehörden und für betroffene Personen bei allen Fragen zur Verarbeitung ihrer Daten.

Interner vs. externer Datenschutzbeauftragter

Interner DSB

Mitarbeiter des Unternehmens
Kennt interne Prozesse gut
Interessenkonflikte möglich (nicht beim Vorgesetzten einsetzen!)
Kündigungsschutz nach §38 Abs. 2 BDSG i.V.m. §6 BDSG
Bei kleinen Unternehmen oft unwirtschaftlich

Externer DSB

Selbstständiger Dienstleister oder Kanzlei
Höhere Unabhängigkeit
Breites Fachwissen durch mehrere Mandate
Eigene Haftung für Beratungsfehler
Flexible Vertragsgestaltung

Merke: Beide Varianten sind rechtlich gleichwertig. Der externe DSB ist kein Auftragsverarbeiter i.S.d. Art. 28 DSGVO, da er als weisungsunabhängiger Berater tätig ist.

Stellung im Unternehmen — Art. 38 DSGVO

Art. 38 DSGVO regelt die besondere Stellung des DSB. Diese Regelungen sind prüfungsrelevant:

Weisungsfreiheit: Der DSB darf bezüglich seiner Aufgaben keine Weisungen entgegennehmen — er ist unabhängig (Art. 38 Abs. 3 DSGVO)
Kein Interessenkonflikt: Dem DSB dürfen keine Aufgaben übertragen werden, die zu einem Interessenkonflikt führen — er darf nicht gleichzeitig IT-Leiter oder Personalchef sein
Direktes Berichtsrecht: Der DSB berichtet direkt an die höchste Managementebene (Vorstand, Geschäftsführung)
Ressourcen: Der Verantwortliche muss dem DSB Zeit, Ressourcen und Zugang zu Verarbeitungsvorgängen bereitstellen
Abberufungsschutz: Der DSB darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden

Qualifikationsanforderungen

Art. 37 Abs. 5 DSGVO fordert „Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis". Konkret bedeutet das:

Kenntnisse der DSGVO, des BDSG und branchenspezifischer Datenschutzgesetze
Verständnis der Verarbeitungsvorgänge im eigenen Unternehmen
IT-Grundkenntnisse (Datensicherheit, TOMs)
Eine anerkannte Zertifizierung (TÜV Rheinland, TÜV SÜD, DEKRA, GDD) gilt als starkes Indiz für ausreichende Qualifikation
Regelmäßige Fortbildung — das Datenschutzrecht ändert sich laufend

Bußgelder nach Art. 83 DSGVO

Verstöße gegen Pflichten rund um den Datenschutzbeauftragten können empfindlich bestraft werden:

Art. 83 Abs. 4 DSGVO — Bis zu 10 Mio. € oder 2 % Jahresumsatz

Gilt für Verstöße gegen Bestellungspflicht (Art. 37), Aufgaben (Art. 39) und Stellung des DSB (Art. 38). Der höhere Betrag ist maßgeblich. Aufsichtsbehörden haben jedoch bei kleinen Unternehmen Ermessen.

Praxis: In Deutschland hat die DSK (Datenschutzkonferenz) Leitlinien veröffentlicht, wann eine DSB-Bestellungspflicht besteht. Im Zweifel sollte eine Aufsichtsbehörde konsultiert werden.

Weiterführende Seiten

DSGVO

DSGVO Grundlagen →

Die 7 Grundsätze und Rechtsgrundlagen einfach erklärt

Prüfung

Alle 10 Prüfungskapitel →

DSGVO, BDSG, TOMs, Betroffenenrechte und mehr

DSB-Prüfung erfolgreich bestehen

Übe gezielt mit 40 MC-Fragen zur Rolle, Bestellungspflicht und den Aufgaben des Datenschutzbeauftragten — kostenlos, direkt im Browser.

Kostenlos registrieren