Betrieblicher Datenschutzbeauftragter – Wie erfolgt die Bestellung?

meeting 03
Fachbeitrag

Das deutsche Datenschutzrecht verfolgt das System der zweistufigen Kontrolle. Während einerseits die Aufsichtsbehörden die Einhaltung der Datenschutzvorschriften überwachen, wirkt der betriebliche Datenschutzbeauftragte ständig auf die Einhaltung dieser Vorschriften hin.

Verpflichtung zur Bestellung

Private Unternehmen, die personenbezogene Daten verarbeiten, sind daher – abhängig von der Art der Datenverarbeitung und der Anzahl der damit betrauten Mitarbeiter – grundsätzlich gemäß §4f I BDSG verpflichtet einen Datenschutzbeauftragten zu bestellen.

Erfolgt keine Bestellung obwohl das Unternehmen dazu verpflichtet wäre, so stellt dies eine Ordnungswidrigkeit dar, die nach §43 I Nr. 2 iVm §43 III BDSG mit Geldbuße bis 50.000,00 EUR geahndet werden kann.

Sofern im Unternehmen eine Person entsprechendes Fachwissen hat, zuverlässig ist und für die Tätigkeit freigestellt werden kann, kann die Person aus dem Unternehmen stammen. Immer mehr Unternehmen gehen allerdings dazu über, wegen der Komplexität der Materie, der fachlichen Unabhängigkeit, etwaigen Haftungsfragen und den langfristig geringeren Kosten externe Experten als Datenschutzbeauftragte zu bestimmen.

Form

Doch egal, ob interner oder externer Datenschutzbeauftragter. Eine Bestellung ist nur konstitutiv, wenn der Datenschutzbeauftragte formell wirksam bestellt worden ist. Dabei gilt:

  • Eine Bestellung hat zwingend schriftlich zu erfolgen.
  • Die Bestellungsurkunde muss von beiden Parteien unterschrieben worden sein.
  • Die Bestellung hat gesondert zu erfolgen, d.h. in einer eigenen Vereinbarung außerhalb eines beabsichtigten oder bestehenden Vertrages.
  • Zudem muss die Bestellung eine Aufgabenbeschreibung enthalten, die Präzisierung der organisatorischen Stellung, sowie die Verpflichtung des Unternehmens, durch personelle und materielle Unterstützung die Arbeit des Datenschutzbeauftragten zu ermöglichen.

Grund des Formzwanges ist, dass allen Beteiligten die Bedeutung des Amts vor Augen geführt werden soll. Denn ein Datenschutzbeauftragter trägt erhebliche Verantwortung für das Unternehmen. Die Aufgaben wachsen in dem Maße in dem die gesetzlichen Anforderungen steigen.

Praxistipps

  • Für nicht-öffentliche Stellen, also Privatunternehmen gilt: Innerhalb von einem Monat nach Aufnahme “ihrer Tätigkeit” haben Unternehmen einen Datenschutzbeauftragten zu bestellen.Wird diese Frist versäumt, droht ein Bußgeld!
  • Wichtig und in der Praxis oft verkannt ist, dass nicht nur die fehlende sondern auch die fehlerhafte Bestellung ein Bußgeld auslösen kann.
  • Bei fehlerhafter Bestellung eines externen Beauftragten, ist jede Datenübertragung an den externen “Datenschutzbeauftragten” eine gesetzlich nicht abgedeckte Übermittlung.
  • interne Datenschutzbeauftragte genießen gemäß §4f III Satz 4, 5 BDSG einen Sonderkündigungsschutz. Um diesen zu umgehen kann man Unternehmen die Bestellung auch zeitlich befristen. Bei externen Datenschutzbeauftragten wird die Vertragsdauer individuell zwischen den Parteien bestimmt, wobei zur Gewährleistung der Unabhängigkeit (=Zuverlässigkeit) ein Mindestzeitraum von 2 bis 3 Jahren für eine wirksame Bestellung erforderlich ist.
  • Für den Betriebsrat besteht bei der Bestellung grundsätzlich kein eigenes Mitbestimmungsrecht. Die Unternehmensleitung ist also grundsätzlich frei, ob sie einen internen oder externen Datenschutzbeauftragten bestellt.

Merke

  • die Bestellung eines Datenschutzbeauftragten ist grundsätzlich zwingend – abhängig von Art und Umfang der Datenverarbeitung im Unternehmen
  • dies kann ein fachkundiger Mitarbeiter aus dem Unternehmen oder ein externer Berater sein
  • die Bestellung hat einen Monat nach Aufnahme der Unternehmenstätigkeit zu erfolgen
  • die Bestellung ist nur wirksam, wenn sie gesondert schriftlich erfolgt und von beiden Seiten unterschrieben wird
  • bei fehlender oder fehlerhafter Belehrung droht ein Bußgeld bis zu 50.000,00 EUR

Muster der Bestellungsurkunde

Verlinkt finden Sie ein typisches Muster einer Bestellungsurkunde für die Bestellung eines externen betrieblichen Datenschutzbeauftragten:

Auf eine mündliche Vereinbarung oder schriftlichen Dienstleistungsvertrag folgt der schriftliche Auftrag zur Bestellung samt Tätigkeitsbeschreibung und Beschreibung der Stellung im Unternehmen. Die Annahme erfolgt mittels Unterschrift durch den Datenschutzbeauftragten und Rücksendung an den Auftraggeber.

Erst danach ist die Bestellung formell wirksam!

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

10 Kommentare zu diesem Beitrag

  1. Hallo, Wir sind ein Betrieb der 10 Mitarbeiter hat die eine in Excel getippte Telefonliste seiner Mitarbeiter nutzt. Sind wir dann auch schon verpflichtet einen Datenschutzbeauftragten zu stellen?

  2. @Marc:
    Ein Datenschutzbeauftragter ist laut §4 f Abs1 BDSG nicht erforderlich für Unternehmen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Zum einen stellt das Gesetz also auf eine Mindestzahl ab, zum anderen auf Art und Umfang des Umgangs mit personenbezogenen Daten.

    In Ihrem Fall dürfte das Merkmal “ständige Beschäftigung” mit personenbezogen Daten nicht erfüllt sein, sofern es sich um die bloße gelegentliche Nutzung von Telefonlisten handelt.

    Zwar ist unerheblich, ob die Mitarbeiter ausschließlich oder nur teilweise mit personenbezogenen Daten arbeiten. Gelegentliche Anlässe reichen aber nicht aus; vielmehr verlangt das Gesetz eine ständige Beschäftigung. (vgl. Simitis, Kommentar zum BDSG, §4f, Rdnr. 19).

  3. Ich habe auf einer anderen Seite den Hinweis gefunden, dass Betriebsratsmitglieder/vorsitzende nicht als Datenschutzbeauftragte zu berufen sind. Angeblich gäbe Interessenkonflikte. Andererseits gibt es ein Urteil genau über dieses Thema, in dem genannt wird, dass ein Betriebsrat nicht benachteiligt werden darf. Dieses BR Mitglied durfte weiterhin Datenschutzbeauftragter bleiben.
    Wie ist Ihre Meinung zu diesem Thema und wo sollten denn Interessenkonflikte vorkommen?
    Danke und Gruß

    • Das ein Betriebsrat generell nicht zum Datenschutzbeauftragten bestellt werden darf, halte ich nicht für begründbar. Es gibt, wie wir in unserem Artikel „Betrieblicher Datenschutzbeauftragter und Betriebsrat – Ein Verhältnis mit Aussicht auf Erfolg?“ dargestellt haben, durchaus viele Schnittstellen, in denen die Interesse des Betriebsrates mit denen des Datenschutzbeauftragten übereinstimmen. Allerdings erfolgen auch beim Betriebsrat Datenverarbeitungen, die ebenfalls dem Datenschutz unterliegen. Als Teil der verantwortlichen Stelle, ist der Arbeitgeber grundsätzlich auch verpflichtet, die Einhaltung der Datenschutzbestimmungen durch den Betriebsrat zu gewährleisten. Allerdings besteht nach einhelliger Meinung aufgrund der Stellung des Betriebsrats als quasi Gegengewicht zum Arbeitgeber kein Prüfrecht für den betrieblichen Datenschutzbeauftragten. Dieses könnte umgangen werden, wenn der Datenschutzbeauftragte ebenfalls Teil des Betriebsrats wäre. Hierin könnte man eine Interessenkollision sehen. Dieses wurde vom BAG nicht weiter erörtert.

  4. Hallo,
    ich bin Mitglied in einem Verein, welcher einen DSB benötigt.
    Ich habe eine Fortbildung zum DSB absolviert und soll die Funktion des DSB ausführen.
    Ist dann eine Bestellung zum internen oder externen DSB erforderlich?

    Danke und Gruß.

  5. Hallo, wir haben jetzt einen externen Datenschutzbeauftragten bestellt und zugleich ist in der Überlegung, ob ich zusätzlich interne Datenschutzbeauftragte sein soll. Halten Sie das für übertrieben oder für eine gute Idee? Generell soll es aber so sein, dass ich mehr koordiniere und die DS-Tätigkeit ca. 10% meiner Tätigkeit im Unternehmen ausmachen wird. Sollte ich dann eher als Ansprechpartner gesehen werden oder müsste ich dann ebenfalls bestellt werden?

    • Grundsätzlich ist es nicht nötig zusätzlich zu einem externen Datenschutzbeauftragten auch noch einen internen Datenschutzbeauftragten zu bestellen. Allerdings ist der Datenschutzbeauftragte nach §4f III BDSG dem Leiter der Stelle unmittelbar zu unterstellen. Der Leiter der Stelle ist in einem Unternehmen in der Regel der Geschäftsführer oder der Vorstand. Dieser darf in seiner Funktion selbstverständlich Aufgaben delegieren. Dies umfasst dann natürlich auch die Funktion des Ansprechpartners des externen Datenschutzbeauftragten. Zur Ausführung dieser Funktion muss der Ansprechpartner allerdings nicht selbst zum Datenschutzbeauftragten bestellt werden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.