Betrieblicher Datenschutzbeauftragter – Welche Aufgaben hat er?

Fachbeitrag

Viele Unternehmen haben einen betrieblichen Datenschutzbeauftragten (DSB) zu bestellen. Im nunmehr folgenden Beitrag werden die Aufgaben und Pflichten eines betrieblichen Datenschutzbeauftragten seit dem Anwendungsbeginn der DSGVO beleuchtet.

Allgemeine Aufgabenbeschreibung in der DSGVO

Die Aufgaben des betrieblichen Datenschutzbeauftragten sind in Art. 39 DSGVO normiert. Er analysiert und kontrolliert im Idealfall den Stand des Datenschutzniveaus im Unternehmen und macht in diesem Rahmen der Geschäftsleitung Vorschläge zur Verbesserung. Der Datenschutzbeauftragte hat demnach keine eigene Entscheidungsgewalt und untersteht lediglich der höchsten Managementebene des Unternehmens. In der Ausübung seiner Tätigkeit ist der Datenschutzbeauftragte nicht an Weisungen gebunden.

Konkrete Aufgabenbereiche

Auch ohne formale Entscheidungskompetenz kommt ihm im Unternehmen eine erhebliche Bedeutung zu. Seit Jahren lässt sich eine immer schnellere technische Entwicklung beobachten. Damit ist auch ein immer komplexer werdender Tätigkeitsbereich eines Datenschutzbeauftragten verbunden. Dies gilt insbesondere seit der Anwendbarkeit der DSGVO. Bei Verstößen gegen datenschutzrechtliche Bestimmungen drohen zum Teil drastische Bußgelder gemäß Art. 83 Abs. 4 und 5 DSGVO); ganz zu schweigen von einem potentiellen Imageschaden für das betroffene Unternehmen. Daher ist es entscheidend, dass der Datenschutzbeauftragte zur Erfüllung seiner Aufgaben über ausreichendes Fachwissen verfügt (Art. 37 Abs. 5 DSGVO). Je umfangreicher und komplexer die Datenverarbeitungsvorgänge in einem Unternehmen sind, desto umfangreicher sollte auch das Fachwissen des betrieblichen Datenschutzbeauftragen sein.

Überwachung der Datenschutzregelungen

Auch nach Anwendbarkeit der DSGVO ist die Überwachung der datenschutzrechtlichen Regelungen eine zentrale Aufgabe. Diese Pflicht ist normiert in Art. 39 Abs. 1 lit. b DSGVO. Der interne Datenschutzbeauftragte sollte somit sämtliche Datenschutzregelungen sowie deren Auslegung bspw. durch aktuelle Gerichtsentscheidungen kennen. Dies bezieht sich ausdrücklich nicht nur auf die DSGVO selbst, sondern zudem auf andere Datenschutzvorschriften der Union sowie der Mitgliedstaaten wie die nationalen Umsetzungsgesetze, sofern tatsächlich ein grenzüberschreitender Datentransfer erfolgt.

Aufgabenspektrum

Die Kontrollkompetenz erstreckt sich grundsätzlich auf das gesamte Unternehmen. Davon sind alle Bereiche und Abteilungen erfasst, in welchen personenbezogene Daten verarbeitet werden. Das Aufgabenspektrum ist dabei vielfältig. So kann der Datenschutzbeauftragte beispielsweise Rechtsgutachten erstellen, Verträge mit Dienstleistern prüfen, Betriebsvereinbarungen und Unternehmensrichtlinien entwerfen, Auskünfte erteilen oder mit Behörden kommunizieren. Der konkrete Umfang hängt dabei stark von den tatsächlichen Gegebenheiten im jeweiligen Unternehmen ab.

Die Aufgabenbereiche sind im Wesentlichen in Art. 39 Abs. 1 DSGVO normiert:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten
  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Zu beachten ist hierbei, dass es sich dabei nicht um eine abschließende Aufzählung, sondern ausdrücklich um die „Mindestanforderungen“ an den betrieblichen Datenschutzbeauftragten handelt. Zudem bestimmt Art. 38 Abs. 6 DSGVO, dass der interne DSB andere Aufgaben und Pflichten wahrnehmen kann, solange und soweit dies nicht zu einem Interessenkonflikt führt.

Überwachung der Datenverarbeitungsvorgänge

Schwerpunkt der Tätigkeit ist auch seit Anwendbarkeit der DSGVO die Überwachung der Datenverarbeitungsvorgänge. Ziel hierbei ist es vor allem, Datenschutzvorfälle schon im Vorfeld zu vermeiden.

Aus diesem Grund ist der Datenschutzbeauftragte bereits vor Beginn einer neuen Verarbeitung zu informieren, beispielsweise bei Einführung einer neuen Software oder bei einer geplanten Videoüberwachung, damit hierzu eine Stellungnahme erfolgen und ggf. auf potentielle Gefahren bei der Verarbeitung hingewiesen werden kann. Die entsprechende Regelung hierzu befindet sich in Art. 38 Abs. 1 DSGVO. Es ist daher unbedingt erforderlich, dass einen Einblick in die technische Umsetzung erhält.

Damit einher geht die Durchführung einer Datenschutz-Folgenabschätzung. Der betriebliche Datenschutzbeauftragte ist insbesondere dann von der Unternehmensleitung einzubeziehen, wenn diese nicht sicher ist, ob die beabsichtigte Datenverarbeitung rechtmäßig durchgeführt werden kann. Der DSB hat dann selbst ggf. weitere rechtliche Informationen einzuholen sowie die zuständige Aufsichtsbehörde zu kontaktieren, um potentielle Datenschutzverstöße schon im Vorfeld zu vermeiden.

Damit die Datenverarbeitung rechtmäßig erfolgt, hat das Unternehmen geeignete technische und organisatorische Maßnahmen (TOM) zu treffen. Die Voraussetzungen hierzu sind in Art. 32 DSGVO geregelt. Dabei sind insbesondere die Art, der Umfang und der Zweck der Verarbeitung einerseits sowie die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen andererseits umfassend zu berücksichtigen. Hier ist also eine Interessenabwägung zu treffen. Der Datenschutzbeauftragte hat die Aufgabe, die Implementierung der im Einzelfall erforderlichen Maßnahmen zu überwachen und ggf. seine fachliche Stellungnahme abzugeben. Somit benötigt der DSB neben seinen fachlichen Kenntnissen im Datenschutz auch ein Mindestmaß an technischem Verständnis.

Schulungen der Mitarbeiter

Damit im jeweiligen Unternehmen ein effektiver Datenschutz gewährleistet werden kann, sind die Mitarbeiter zu schulen und zu sensibilisieren. Hier sind zumindest sämtliche Mitarbeiter einzubeziehen, welche mit personenbezogenen Daten zu tun haben. Diese Aufgabe ist nach der DSGVO zwar nicht ausdrücklich dem Datenschutzbeauftragten, sondern dem Verantwortlichen zugewiesen (vgl. Art. 39 Abs. 1 lit. b DSGVO). In der Praxis wird der betriebliche Datenschutzbeauftragte aber oftmals die Person sein, welche die Schulungen durchführt, da er über das größte Datenschutzfachwissen im Unternehmen verfügt.

Erstellung des Verzeichnisses der Verarbeitungstätigkeiten

Verantwortliche und Auftragsverarbeiter i. S. d. Art. 4 DSGVO haben ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu erstellen und zu führen. Hierbei wird der Datenschutzbeauftragte unterstützend tätig, indem er bei der Erstellung des Verzeichnisses berät und dieses ggf. auf Schlüssigkeit überprüft. Insofern wird das Unternehmen oftmals auf die Expertise des internen Datenschutzbeauftragten angewiesen sein. Die Erstellung selbst obliegt dem Verantwortlichen und fällt daher nicht in den originären Aufgabenbereich des DSB.

Datenschutzvorfälle und Betroffenenanfragen

Die DSGVO sieht vor, dass die Verletzung des Schutzes personenbezogener Daten innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden muss, wenn auf Grund der Verletzung ein Risiko für die Rechte und Freiheiten der betroffenen Person(en) besteht (Art. 33 Abs. 1 DSGVO). Auf Grund dieser relativ kurzen Frist sollte unbedingt ein effektives internes Konzept erarbeitet werden, damit die Mitarbeiter einen Datenschutzvorfall erkennen und diesen unverzüglich dem Datenschutzbeauftragten melden können. Dieser prüft den Vorfall und wird dem Verantwortlichen eine Rückmeldung dahingehend geben, ob seiner Ansicht nach eine Meldung an die Datenschutzbehörde erfolgen sollte.

Gemäß Art. 12 Abs. 3 S. 1 DSGVO sind Anfragen von Betroffenen grundsätzlich unverzüglich, spätestens jedoch innerhalb eines Monats zu beantworten. Diese Anfragen können ganz unterschiedlicher Natur sein und dabei von der bloßen Auskunft nach Art. 15 DSGVO zu den im Unternehmen gespeicherten personenbezogenen Daten eines Kunden bis hin zur Geltendmachung des Rechts auf Datenübertragbarkeit (Art. 20 DSGVO) reichen.

Wenden sich Betroffene an das Unternehmen, weil sie einen Datenschutzverstoß vermuten, kann dies ein datenschutzrechtlich nicht ausreichend vorbereitetes Unternehmen in Aufruhr versetzen und den Betriebsablauf empfindlich stören. Daher ist es auch hier unerlässlich, dass die Unternehmensleitung gemeinsam mit dem Datenschutzbeauftragten ein Konzept entwickelt, damit eine gut organisierte und professionelle Prüfung der Anfrage erfolgen kann und nicht etwa vorschnell Informationen herausgegeben werden.

Der Datenschutzbeauftragte und der Betriebsrat

Auch die Beratung des Betriebsrates kann zum Aufgabenbereich des Datenschutzbeauftragten gehören. Dieser bewegt sich hier in einem Spannungsverhältnis zwischen der Unternehmensleitung sowie dem Betriebsrat, so dass dem Datenschutzbeauftragten im Regelfall eine vermittelnde Tätigkeit zukommen dürfte.

Ob der Betriebsrat als verantwortliche Stelle i. S. d. Art. 4 Nr. 7 DSGVO einzustufen und damit selbst Adressat datenschutzrechtlicher Pflichten wie der Bestellung eines eigenen DSB ist, ist weiterhin nicht abschließend geklärt. Das BAG hat diese Frage in einer kürzlich ergangenen Entscheidung bewusst offen gelassen.

Haftung bei Datenschutzverstößen

Der Datenschutzbeauftragte haftet nach außen grundsätzlich nicht gegenüber Dritten im Falle von Datenschutzverstößen. Hier ergeben sich gegenüber der „alten“ Rechtslage keine großen Veränderungen. Gemäß Art. 82 Abs. 1 DSGVO haftet lediglich der Verantwortliche oder der Auftragsverarbeiter gegenüber dem Geschädigten. Je nach Schwere des Verstoßes sind Bußgelder in Höhe von 10 Mio. EUR bzw. 2 % des erzielten Umsatzes des Vorjahres oder Bußgelder in Höhe von 20 Mio. EUR bzw. 4 % des erzielten Umsatzes des Vorjahres möglich. Unternehmen können sich im Falle von Datenschutzverstößen auch nicht dadurch freizeichnen, dass der Datenschutzbeauftragte falsch oder ungenügend beraten hat.

Zu beachten ist ebenfalls, dass die Geschäftsleitung im Innenverhältnis gegenüber dem Unternehmen selbst haften kann, beispielsweise gemäß § 93 Abs. 1 AktG oder gemäß § 43 Abs. 1 GmbHG, wenn nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt wird. Daher sollte keinesfalls ein „schwacher“ Datenschutzbeauftragter“ eingesetzt werden, welcher erkennbar nicht die erforderliche Qualifikation besitzt. Das Haftungsrisiko wird für die Geschäftsleitung sonst unüberschaubar, da hier eine persönliche Haftung des Geschäftsleiters droht. Die Geschäftsleitung sollte sich daher vor Auswahl des betrieblichen Datenschutzbeauftragten versichern und dokumentieren, dass der Kandidat die geforderten Spezialkenntnisse hat, um ihrer Sorgfaltspflicht gegenüber dem Unternehmen nachkommen zu können.

Dennoch ist mit der Bestellung zum betrieblichen Datenschutzbeauftragten kein Freifahrtschein verbunden. Im Falle einer Falschberatung oder eines sonstigen Fehlverhaltens, welches zu einem Datenschutzvorfall führt, kann der Datenschutzbeauftragte nach den üblichen Regelungen zur Arbeitnehmerhaftung in Anspruch genommen werden.

Alles beim Alten – oder wichtiger Baustein für die Zukunft?

Der Aufgabenbereich des betrieblichen Datenschutzbeauftragten hat sich seit Anwendungsbeginn der DSGVO im Wesentlichen nicht verändert. Bereits nach den Regelungen des BDSG a. F. kam dem DSB eine überragende Stellung im Unternehmen zu, da bei ihm sämtliche Fäden in datenschutzrechtlichen Fragestellungen zusammengelaufen sind.

Seit Anwendungsbeginn der DSGVO ist festzustellen, dass der Beratungsbedarf in Unternehmen deutlich gestiegen ist, da allgemein ein stärkerer Fokus auf den Datenschutz gelegt wird; auch in der breiten Öffentlichkeit. Unternehmen sind vermehrt darauf bedacht, Datenschutzverstöße zu vermeiden, um Bußgelder, welche erheblich höher ausfallen können als früher sowie negative Publicity zu vermeiden.

Genau an diesen Stellschrauben kann der Datenschutzbeauftragte drehen. Er muss die Kompetenz und das Fachwissen haben, um das Unternehmen gemeinsam mit der Geschäftsleitung datenschutzrechtlich aufzustellen. Es ist daher zu erwarten, dass der betriebliche Datenschutzbeauftragte in Zukunft eine immer gewichtigere Rolle einnehmen wird.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

9 Kommentare zu diesem Beitrag

  1. Dass Geschäftsführer gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu bestellen und für dessen Aus- und Weiterbildung zu sorgen, halte ich für unerlässlich und hilfreich.
    Diesem allein wird es m.E. jedoch nicht gelingen, sensible Nutzerdaten erfolgreich zu schützen. Die technisch-organisatorische Seite des Datenschutzes muss m.E. an Geschwindigkeit zulegen, um die Zahl der Datenschutz-Vorfälle 2011 nicht noch weiter zu erhöhen.

  2. Fragen zum Thema:
    1. Wie kann ein Unternehmen jemals noch einen internen DSB bestimmen, wenn die Anforderungen an Qualifikation und Kenntnisse derart hoch sind, dass kein eingesetzter DSB ohne Vorkenntnisse diese zu Beginn der Tätigkeit vorweisen und in absehbarer Zeit erlangen kann. Gibt es Regelungen zw. AG und AN in der Einarbeitungszeit des AN?

    2. Ist es relevant, ob der interne DSB am Stammsitz oder einer Zweigstelle des Unternehmens angestellt ist? Hat der DSB bei Anstellung am Stammsitz des Unternehmens automatisch auch die Zweigwerke zu betreuen? Und wie ist die Situation umgekehrt?

    • 1. Die Anforderungen sind tatsächlich sowohl im rechtlichen als auch im technischen Bereich gestiegen. Gleichwohl sind selbstverständlich DSB oft eine gute Wahl. Es sollte aber durch den Arbeitgeber gewährleistet sein, dass regelmäßige Fortbildungen besucht und Fachliteratur angeschafft werden kann. Die ersten Maßnahmen, wie z.B. ein TÜV Lehrgang, sollten vor Beginn der Tätigkeit stattfinden. Dies kann sicherlich auch mit dem Arbeitgeber so vereinbart werden.

      2. Wo der Konzern-DSB seinen Sitz hat, ist bei Unternehmensgruppen nicht relevant. Es muss aber gewährleistet sein, dass er von allen Standorten im Bedarfsfalle schnell auch persönlich erreichbar ist. Eine automatische Ausweitung der Betreuung auf alle Standorte gibt es nicht. Grundsätzlich muss jede Gesellschaft eines Konzerns einen eigenen DSB benenn. Alternativ kann ein Konzern-DSB eingesetzt werden, der für alle Gesellschaften zuständig ist.

  3. Kann der Konzern DSB auch in den verschiedenen Standorten Datenschutzkoordinatoren (ich nenn sie jetzt mal so) festlegen und selber ausbilden um damit um Unterstützung zubitten? Wie haften diese Koordinatoren dann?

    • Der Einsatz von Datenschutzkoordinatorennist ein üblicher und bewährter Weg zur Implementierung eines konzernweiten Datenschutzniveaus. Die Koordinatoren arbeiten dabei nur zu und sind selbst keine Datenschutzbeauftragten und bedürfen daher auch keiner formellen Ausbildung. Daher kann der Konzern-DSB diese auch anleiten und entsprechend instruieren. Die Aufgaben sind z.B. Koordination, Informationsbeschaffung und -weiterleitung, Planung von Schulungen, Aufnahme von Verfahren. Auch kann der Koordinator allgemeine Schulungen durchführen. Die Letztentscheidung und mithin auch Verantwortung und Haftung – liegt dann weiterhin beim Datenschutzbeauftragten – nur er hat formell die Rolle des Datenschutzbeauftragten inne.
      Alternativ – aber nicht notwendigerweise – kann auch jede Konzerneinheit als verantwortliche Stelle einen eigenen DSB formell bestellen.

  4. Dr. Datenschutz, stellt es nicht einen Interessenskonflikt mit der gesetzlich definierten Aufgabe der Überwachung dar, wenn der betriebliche Datenschutzbeauftragte selbst Unternehmensrichtlinien entwirft, geeignete TOMs verbindlich vorgibt, Datenschutz-Koordinatoren Aufgaben zuweist und damit das Datenschutzmanagementsystem entscheidend gestaltet und prägt? Nach meinem bisherigen Verständnis kann nicht ein und dieselbe „Stelle“ sowohl das „Doing“ übernehmen, als auch die Überwachung. Dann müsste der DSB doch seine eigenen Maßnahmen kontrollieren?

    • Vielen Dank für Ihre Anmerkung. Der betriebliche Datenschutzbeauftragte hat, wie bereits im Artikel dargestellt, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Er kann und soll bezüglich der konkreten Maßnahmen, beispielsweise bei der Implementierung der technischen und organisatorischen Maßnahmen, seine fachliche Einschätzung geben. Der Datenschutzbeauftragte hat allerdings keine Entscheidungsbefugnis, sondern kann lediglich Empfehlungen aussprechen. Verantwortlicher i. S. d. Art. 4 Nr. 7 DSGVO ist ausschließlich das Unternehmen selbst. Ein Interessenkonflikt dürfte daher nicht zu befürchten sein. Anders wurde es auch im Beitrag nicht dargestellt. Uns erschließt sich daher nicht, woher Sie bspw. die Aussage nehmen, dass der Datenschutzbeauftragte die TOMs verbindlich vorgebe.

  5. Dr. Datenschutz, meine Aussage bzgl. der verbindlichen Vorgabe von TOMs resultierte nicht aus Ihrem Artikel, insofern entschuldige ich mich für das Missverständnis. Vielmehr ging es mir darum, die Frage die sich mir stellt, zu schärfen. Ihrer Antwort entnehme ich jedenfalls, dass auch aus Ihrer Sicht ein betrieblicher Datenschutzbeauftragter ein Datenschutzmanagementsystem nicht „betreiben“ und steuern kann, sondern „lediglich“ beratend und überwachend das DMS und die von der verantwortlichen Stelle zu treffenden TOMs begleitet. Auch eine Steuerung von Datenschutz-Koordinatoren durch den bDSB dürfte dann ja auch nur im Zusammenhang mit der Überwachung und Beratung erfolgen und dürfte sich nicht auf das „Doing“ beziehen.

    • Das ist richtig. Es bleibt dabei, dass der betriebliche Datenschutzbeauftragte die Unternehmensleitung berät und die getroffenen Maßnahmen überwachen kann. Das „Doing“ selbst obliegt ausschließlich der Unternehmensleitung.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.