Wann muss ein Datenschutzbeauftragter (DSB) bestellt werden?

Das Bundesdatenschutzgesetz (BDSG) unterscheidet hinsichtlich der Bestellung eines DSB zwischen öffentlichen und nicht-öffentlichen Stellen [vgl. § 2 BDSG].

Zudem hängt dei Bestellung eines Datenschutzbeauftragten von verschiedenen Kriterien ab:

• Der Anzahl der Personen, die personenbezogene Daten erheben, speichern oder nutzen,
• der Art der speichernden Stelle,
• sowie dem Geschäftszweck eines Unternehmens
• und der Art der Datenspeicherung und –erhebung.

Bei der nicht automatisierten Verarbeitung von personenbezogenen Daten muss ein Unternehmen einen Datenschutzbeauftragten (DSB) bestellen, wenn mindestens 20 Personen mit der Verarbeitung dieser Daten zu tun haben, d. h. also auch, wenn es keinen einzigen PC im Unternehmen gibt.

Werden die Daten automatisiert verarbeitet, muss ein DSB bestellt werden, wenn mehr als 9 Personen mit dieser Verarbeitung zu tun haben. Dazu zählen auch Praktikanten, Aushilfen und Teilzeitbeschäftigte.

Sobald ein Unternehmen Verfahren einsetzt, die nach §4e Abs. 5 BDSG der Voarabkontrolle unterliegen, muss immer, unabhängig von der Personenanzahl ein DSB bestellt werden.

Dies ist zum Beispiel der Fall, wenn das Unternehmen “besonderer Arten personenbezogener Daten” [§3 Abs. 9 BDSG] verarbeitet.

Dazu gehören unter anderem Angaben zu rassischer und ethnischer Herkunft, politischer Meinung, Gesundheit oder Sexualleben und religiöse, philosophische Überzeugungen von Personen. Ebenso muss immer ein DSB bestellt werden, wenn ein Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung (Adresshandel, Auskunftdateien), der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

 
Es empfiehlt sich also auf jeden Fall immer für jedes Unternehmen eine Bestandsanalyse im Hinblick auf diese Kriterien des BDSG durchzuführen, um festzustellen, ob ein DSB bestellt werden muss.

Die formalen Vorraussetzungen bei der Bestellung eines DSB

Ist ein Unternehmen durch Zutreffen der oben genannten Kriterien zur Bestellung eines DSB verpflichtet, sollten die Verantwortlichen zuerst entscheiden, ob sie einen internen DSB benennen möchten oder auf einen externen Datenschutzbeauftratgen zurückgreifen.

Mittlerweile gibt es verschiedene Dienstleistungsunternehmen, die qualifizierte externe Datenschutz-Beratung für Unternehmen anbieten. Meist beinhaltet dies eine Bestandsaufnahme des Ist-Zustandes der Datensicherheit in einem Unternehmen und daraufhin ausgearbeitete Handlungsanweisungen.

Interner oder externer Datenschutzbeauftragter?

Die Entscheidung für einen internen oder externen DSB hängt von verschiedenen Faktoren ab und sollte individuell auf jeden Betrieb abgestimmt werden. Jede dieser Optionen hat Vor- und Nachteile.

So muss zum Beispiel ein externer Datenschutzbeauftragter erst in die jeweiligen betrieblichen Gegebenheiten eingearbeitet werden, während ein interner Datenschutzbeauftragter diese Kenntnisse womöglich weitestgehend mitbringt.

Andererseits ist die Gefahr einer Interessenkollision bei einem externen Datenschutzbeauftragten geringer. Auch bringt dieser die fachliche Qualifikation bereits mit und muss nicht für Fort- und Weiterbildungen freigestellt werden.

Wir beraten Sie natürlich gerne hinsichtlich dieser Entscheidung, der Art und Weise der Beauftragung sowie einer möglichst kostengünstigen Lösung für Ihr Unternehmen. Nehmen Sie einfach Kontakt mit uns auf und wir vereinbaren ein unverbindliches Beratungsgespräch mit Ihnen.

Die formale Bestellung eines Datenschutzbeauftragten

Egal, ob sich ein Unternehmen nun für eine unternehmensinterne oder unternehmensexterne Bestellung eines DSB entscheidet, die Bestellung muss spätestens einen Monat nach Aufnahme der Tätigkeit mit personenbezogenen Daten schriftlich erfolgen.

Im Falle eines internen DSB finden sich auf den Webseiten der Datenschutzaufsichtsbehörden Muster für die Bestellung. Es empfiehlt sich in diesem Fall in der Bestellungsurkunde auch die Aufgaben und der Ansprechpartner in der Geschäftsleitung aufgeführt werden.

Voraussetzungen eines Datenschutzbeauftragten

Vor der Bestellung eines DSB ist es wichtig, dessen fachlichen und persönlichen Voraussetzungen im Hinblick auf §4f Abs. 2 BDSG zu überprüfen.

§4f Abs. 2 BDSG: „Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen.“

Zuverlässigkeit in diesem Zusammenhang bezeichnet in diesem Zusammenhang eine integere Persönlichkeit, Verschwiegenheit und charakterliche Stärke. Die verlangte Fachkunde lässt sich aus der Aufgabenbeschreibung eines DSB in §4g BDSG ableiten. Demnach soll er auf die Einhaltung der Gesetze hinwirken. Dafür sollte der DSB in der Lage sein, juristische texte zu verstehen und anzuwenden. Des Weiteren sind grundlegende IT-Kenntnisse und Trainerqualitäten wichtige Vorraussetzungen.

Aufgaben und Tätigkeiten eines Datenschutzbeauftragten

Das BDSG regelt in Deutschland in § 4f und § 4g sowie den entsprechenden landesrechtlichen Vorschriften auch die Aufgaben und Tätigkeiten eines Datenschutzbeauftragten. Allerdings liefert das BDSG keine Aufgabenbeschreibung kompakt und nur an einer Stelle. In verschiedenen Paragrafen kann man allerdings mit etwas Interpretation einiges über die Aufgaben eines DSB finden.

Vorrangig hat der DSB das datenverarbeitende Personal mit dem Datenschutz vertraut zu machen und die Datenverarbeitungsprogramme zu kontrollieren. Dazu gehört unter anderem die Überprüfung, ob die Datenverarbeitungsprogramme ordnungsgemäß angewendet werden. Hierfür empfiehlt sich, ein Audit mit § 9 BDSG Anlage entsprechender Checkliste durchzuführen. Auch die Erstellung eines Konzepts zur Einteilung der Aufgaben nach Prioritäten und Umfang ist sicher hilfreich.

Weitere wichtige Tätigkeiten und Aufgaben sind u. a.:

• Erstellung des öffentlichen Verfahrensverzeichnisses
• Prüfung der Zulässigkeit der Datenverarbeitung
• Anforderungen der Verfahrensübersichten bei den Fachabteilungen
• Aufbau einer Datenschutzorganisation
• Beratung der Geschäftsführung in allen Datenschutzbelangen
• Sicherstellung der Rechte der Betroffenen
• Kontaktpflege zu den Datenschutzbehörden.

Für die hierfür benötigte Fachkunde und deren Erhaltung fordert das BDSG von einem DSB u. a. auch die regelmäßige Teilnahme an Fort- und Weiterbildungen. Diese muss das Unternehmen finanziell tragen.

Gerade für kleine und mittelständische Unternehmen ist oft aus diesem Grund die Bestellung eines externen DSB sinnvoll. Der externe Datenschutzberater passt auf den Datenschutz auf. Er nimmt Bestandsaufnahmen vor, weist im Betrieb kundig auf Schwachstellen hin. Wissen, welches er hat, müssen Betriebe selbst nicht erwerben.

Ebenso sind externe Datenschutzbeauftragte keine Angestellten. Sie kosten deutlich weniger und wissen mehr, weil sie klar drei Ziele verfolgen: Entlastung, Kosteneffizienz und Expertise immer auf dem neuesten Stand.

Kontaktieren Sie uns einfach und lassen Sie sich von uns beraten.