Aufgaben, Haftungsumfang und Bestellung eines externen Datenschutzbeauftragten

Für die Einhaltung des Datenschutzes sind sogenannte Datenschutzbeauftragte (DSB) zuständig. Diese nehmen in Unternehmen und Organisationen oft eine Sonderstellung ein. Unabhängig, weisungsfrei und nur dem Gesetz unterworfen unterstehen sie unmittelbar der Geschäftsleitung.

Sofort-Beratersuche

Diese Funktion nutzt Google Dienste, um Entfernungen zu berechnen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Was ist ein Datenschutzbeauftragter?

Datenschutzbeauftragte beobachten Prozesse und Vorgänge innerhalb des Unternehmens in Hinblick auf Datenschutz und dessen Einhaltung im Unternehmen. Sie können als interner Datenschutzbeauftragter selbst zum Betrieb gehören oder dieser Aufgabe als externer Datenschutzbeauftragter nachkommen.

In beiden Fällen haben sie Einblick in die internen Abläufe und sind qualifiziert, etwaige Risiken oder datenschutzrechtliche Verstöße frühzeitig zu erkennen und entsprechende Maßnahmen anzustoßen. Dies kann, von Betrieb zu Betrieb, ganz unterschiedliche Abteilungen betreffen - sei es den Personalbereich, die Verwaltung von Kundendaten oder Verträge mit externen Dienstleistern.

Ein Datenschutzbeauftragter ist für die umfassende Wahrung des Datenschutzes in Unternehmen oder Organisationen zuständig. Im Zuge dessen muss gewährleistet sein, dass er nicht im Interessenkonflikt steht, sondern seiner Aufgabe unabhängig und weisungsfrei nachkommen kann. Der Datenschutzbeauftragte wird von der Geschäftsleitung berufen und untersteht dieser unmittelbar.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Die Aufgaben eines Datenschutzbeauftragten hängen stets vom jeweiligen Unternehmen, dessen Abläufen und Tätigkeitsfeldern ab. Grundsätzlich aber sind Datenschutzbeauftragte

Ansprechpartner für datenschutzrechtliche Fragen,
sie beobachten Prozesse und erkennen potentielle Verstöße frühzeitig,
stoßen Maßnahmen zur Gewährleistung des Datenschutzes an,
begleiten die Umsetzung und Implementierung datenschutzrechtlicher Maßnahmen,
kommunizieren mit Aufsichtsbehörden und
prüfen Verträge mit externen Dienstleistern.

Ab wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Ob und in welchen Fällen ein Datenschutzbeauftragter bestellt werden muss, leitet sich aus dem Bundesdatenschutzgesetz (BDSG) ab. Dieses formuliert konkrete Voraussetzungen, unter denen ein Datenschutzbeauftragter durch die Geschäftsleitung zu bestellen ist:

Mindestens 10 Mitarbeiter sind mit der (automatisierten) Verarbeitung personenbezogener Daten betraut (gleich, ob in Voll- oder in Teilzeit).
Der Betrieb führt Prozesse durch, die der Datenschutzfolgenabschätzung (DSFA) gemäß DSGVO unterliegen.
Die Kerntätigkeit des Unternehmens beinhaltet die geschäftsmäßige Verarbeitung und/oder Übermittlung personenbezogener Daten (bspw. im Rahmen von Marktforschung u.ä.).

Wer kann Datenschutzbeauftragter werden?

Erfüllt ein Betrieb einen oder gleich mehrere der oben beschriebenen Punkte, muss die Geschäftsleitung einen Datenschutzbeauftragten bestellen. Doch nach welchen Kriterien wird dieser ausgewählt?

Grundsätzlich kann jede natürliche Person die Funktion des Datenschutzbeauftragten übernehmen. Oft bietet es sich an, die Aufgaben einem vorhandenen Mitarbeiter zu übertragen. Allerdings nur, wenn ein Interessenkonflikt ausgeschlossen werden kann. Die Alternative ist ein externer Datenschutzbeauftragter, der mit dem betrieblichen Datenschutz betraut wird und hierfür Einsicht in die internen Abläufe erhält.

In beiden Fällen müssen folgende Voraussetzungen erfüllt werden:

Die berufliche Qualifikation im entsprechenden Wirtschaftsbereich ist vorhanden.
Fachwissen in den Bereichen Datenschutzrecht und Datenschutzpraxis kann durch Fort- und Weiterbildungen nachgewiesen werden.
Die Fähigkeit, die Aufgabe zu erfüllen, ist gegeben (bspw. durch hinreichenden Einblick in innerbetriebliche Prozesse etc.).

Da bislang weder Ausbildung noch Studiengang zum Thema Datenschutz existieren, wird die Qualifikation bzw. der Titel des durch Fort- und Weiterbildungen erlangt und nachgewiesen.

Bestellung eines Datenschutzbeauftragten

Unter einer "Bestellung" ist hier die Ernennung eines Datenschutzbeauftragten zu verstehen. Dieser ist ab der Bestellung offiziell in der Position seine Rechten und Pflichten auszuüben.

Die Bestellung erfolgt stets mit einer eigens angefertigten und von beiden Seiten unterzeichneten Bestellungsurkunde. In ihr werden die konkreten Aufgaben - in Abgrenzung zu etwaigen Leistungen als Mitarbeiter - und die Position des Datenschutzbeauftragten innerhalb des Betriebs erfasst. Die Bestellungsurkunde wird von der Geschäftsleitung unterzeichnet. Nach Unterzeichnung aller Parteien ist der jeweilige Datenschutzbeauftragte zukünftig für den betrieblichen Datenschutz verantwortlich.

Haftung des Datenschutzbeauftragten

Da der schließlich bestellte Datenschutzbeauftragte nicht weisungsbefugt ist, kann er für Verstöße des Unternehmens gegen das Datenschutzrecht grundsätzlich nicht haftbar gemacht werden. Sind allerdings falsche Beratung und die Fahrlässigkeit des Datenschutzbeauftragten Ursache für die Verstöße, kann die Situation anders aussehen.

Der Haftungsumfang ist bei internen und externen Datenschutzbeauftragten unterschiedlich. Der interne Datenschutzbeauftragte ist als Mitarbeiter des Unternehmens bis zu einem gewissen Maße durch den "innerbetrieblichen Schadensausgleich" abgesichert, während der externe Datenschutzbeauftragte schon bei leichter Fahrlässigkeit in voller Höhe haften kann.

Interner vs. externer Datenschutzbeauftragter

Während ein betrieblicher (interner) Datenschutzbeauftragter zwar genaue Kenntnis der betrieblichen Abläufe hat, können hier aufwendige Fortbildungsmaßnahmen und der potentielle Interessenkonflikt (durch seine Zugehörigkeit zum Unternehmen) eine Herausforderung darstellen.

Externe Datenschutzbeauftragte müssen dagegen zwar in Prozesse und interne Abläufe eingearbeitet werden, haben jedoch oft durch die Betreuung unterschiedlicher Kunden fachübergreifende Erfahrungswerte. Zudem hat es den Vorteil, dass der Betrieb nicht für die Kosten von Fort- und Weiterbildung aufkommt. Die Tätigkeit wird schließlich in einem separaten Arbeitsvertrag erfasst, was auch die Haftung einfacher macht.

Datenschutzbeauftragte bei AdvoGarant

Advogarant

Datenschutz im Gesundheitswesen

Datenaustausch und Datensicherheit ziehen sich in unserer vernetzten und digitalisierten Welt durch nahezu alle Bereiche des Alltags. Selten jedoch sind diese Daten so sensibel wie Gesundheits- und Patientendaten. Die persönliche Beziehung zwischen Patient und Arzt wird seit jeher durch die ärztliche Schweigepflicht geschützt. Alles, was darüber hinausgeht, ist jedoch Sache des Datenschutzes.

Weiterlesen
Advogarant

Datenschutz für Webseiten-Besucher

Unsere Daten im Internet - für viele Menschen nach wie vor eine heikle und schwer überschaubare Angelegenheit. Welche Informationen und Spuren wir im Rahmen unseres Surf-Verhaltens tatsächlich hinterlassen, ist oft nicht ohne Weiteres nachvollziehbar, wird durch die sich stetig weiter vernetzende Welt jedoch zu einer immer wichtiger werdenden Frage. Kurz: Inwiefern sind Webseiten-Besucher durch die DSGVO geschützt und wo nicht?

Weiterlesen
RA Andreas Frank

Cumulus-Fonds

Missstände bei Cumulus-Fonds führten zur Gründung der Aktionsgemeinschaft Cumulus.

Weiterlesen
Thomas Bernarsch

GPS Tracking von Firmenwagen - datenschutzkonform oder unerlaubte Datenverarbeitung?

Das Bundesdatenschutzgesetz (BDSG) und die DSGVO untersagen die Erhebung und Verarbeitung von personenbezogenen Daten. Dies greift auch in Fällen des Arbeitsrechts im Hinblick auf Mitarbeiterdaten. Beispielsweise wenn Betriebe ihre Dienstwagen mit GPS Trackern oder ähnlichen Ortungssystemen bestücken und so ihren Mitarbeitern detaillierte Bewegungsprofile zuordnen können.

Weiterlesen

05.10.2023

Krebs als Berufskrankheit auch bei ehemaligen Rauchern

Die Harnblasenkrebserkrankung eines Schweißers kann wegen der beruflichen Einwirkung aromatischer Amine trotz langjährigen Rauchens als Berufskrankheit anerkannt werden, (...).

Weiterlesen
28.09.2023

Bundesgerichtshof zu Aufklärungspflichten des Immobilienverkäufers bei Einrichtung eines Datenraums

Der Verkäufer eines bebauten Grundstücks, der dem Käufer Zugriff auf einen Datenraum mit Unterlagen und Informationen zu der Immobilie gewährt, erfüllt unter Umständen seine Aufklärungspflicht.

Weiterlesen
26.09.2023

Rehabilitierungsinteresse bei abgelehnter "Entfristung" des Beamtenverhältnisses auf Zeit einer Professorin

Ist gesetzlich geregelt, dass ein Beamtenverhältnis auf Zeit u.U. als Beamtenverhältnis auf Lebenszeit "fortgesetzt" werden kann, begründet die Ablehnung eines entsprechenden Entfristungsantrags wegen Nichtbewährung ggf. ein Rehabilitierungsinteresse.

Weiterlesen
21.09.2023

Zur Untervermietung bei einer Einzimmerwohnung

Der Bundesgerichtshof hat am 21.09.2023 über die Frage entschieden, ob ein Anspruch des Mieters auf Gestattung der Gebrauchsüberlassung an einen Dritten gemäß § 553 Abs. 1 BGB auch im Falle einer Einzimmerwohnung gegeben sein kann.

Weiterlesen
19.09.2023

Fahrtenbuchanordnung - Verwertbarkeit einer Geschwindigkeitsmessung mit einem standardisierten Messverfahren

Wendet sich der Adressat einer Fahrtenbuchanordnung gegen die Verwertbarkeit der Geschwindigkeitsmessung mit einem standardisierten Messverfahren, kann er sich nicht mit Erfolg auf die teilweise Verweigerung des Zugangs zu Rohmessdaten berufen

Weiterlesen
14.09.2023

Gesetzliche Verpflichtung der Telekommunikationsanbieter zur Vorratsspeicherung von Telekommunikations-Verkehrsdaten unionsrechtswidrig

Die Verpflichtung der Anbieter öffentlich zugänglicher Telekommunikationsdienste zur Speicherung der dort genannten Telekommunikations-Verkehrsdaten unvereinbar mit der Datenschutzrichtlinie für elektronische Kommunikation und daher nicht anwendbar.

Weiterlesen
12.09.2023

Eltern können Elterngeld Plus auch bei längerer Arbeitsunfähigkeit beanspruchen

Elterngeld Plus kann auch dann beansprucht werden, wenn ein Elternteil während der Partnerschaftsbonusmonate für längere Zeit erkrankt und keine Lohnfortzahlung mehr erhält. Dies hat der das Bundessozialgericht am 07.09.2023 entschieden.

Weiterlesen
07.09.2023

Zur Verwertbarkeit von Alteintragungen für eine Fahrerlaubnisentziehung auf der Grundlage des Fahreignungs-Bewertungssystems

Es besteht ein Verwertungsverbot nicht bereits ab Tilgung bzw. Tilgungsreife der Eintragungen, sondern erst, wenn zusätzlich die Überliegefrist von einem Jahr abgelaufen ist.

Weiterlesen
05.09.2023

Stationäre Notfallbehandlung trotz Verlegung des Patienten nach 60 Minuten

Das Bundessozialgericht hat die Voraussetzungen für die stationäre Aufnahme bei Notfallbehandlungen in einem Schockraum oder auf einer Schlaganfallstation (stroke unit) abgesenkt.

Weiterlesen
31.08.2023

Altersgrenze für Notare ist keine unzulässige Diskriminierung wegen des Alters

Der Bundesgerichtshof hat entschieden, dass die Altersgrenze für Notare mit dem Recht der Europäischen Union vereinbar ist. Das Amt des Notars erlischt mit dem Ende des Monats, in dem er das 70. Lebensjahr vollendet.

Weiterlesen