Datenschutz-Grundverordnung: Aufgaben des Datenschutzbeauftragten

smartphone 08
Fachbeitrag

Wie bereits ausführlich von uns berichtet, wird sich mit der Geltung der Datenschutz-Grundverordnung vieles ändern. Dazu gehört auch die Stellung des Datenschutzbeauftragten im Unternehmen, dessen Aufgabenkreis künftig erweitert wird. Damit steigt der Stellenwert des Themas Datenschutz im Unternehmen. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Aktuelle Stellung des Datenschutzbeauftragten

Derzeit sind die Aufgaben des Datenschutzbeauftragten in § 4g BDSG geregelt. Danach hat der Datenschutzbeauftragte die Aufgabe, auf die Einhaltung der datenschutzrechtlichen Vorgaben im Unternehmen hinzuwirken. Ihm kommt damit eine lediglich unterstützende und beratende Funktion zu. Mit der Anwendbarkeit der Datenschutz-Grundverordnung wird sich diese Rolle ändern.

Erweiterter Aufgabenkreis nach Datenschutz-Grundverordnung

Gemäß Artikel 39 Abs. 1 lit. b DSGVO obliegen dem Datenschutzbeauftragten zumindest folgende Aufgaben:

  • Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten
  • Überwachung der Einhaltung der DSGVO und nationalen Sonderregelungen
  • Sensibilisierung und Schulung
  • Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde

Damit verbunden ist eine Aufwertung der Position des Datenschutzbeauftragten, denn bislang war seine Stellung im Unternehmen eine andere. Ist der Datenschutzbeauftragte auch für die Überwachung der Einhaltung der datenschutzrechtlichen Regelungen im Unternehmen verantwortlich, kommt ihm nicht mehr nur eine allein beratende und unterstützende Funktion zu. Vielmehr wird er zukünftig in stärkerem Maße auch für die Umsetzung der von ihm vorgeschlagenen Maßnahmen verantwortlich sein.

Gesteigerter Haftungsumfang für Datenschutzbeauftragte

Das ist einerseits positiv zu bewerten, zeigt es doch den höheren Stellenwert, der dem Datenschutz zukünftig im Unternehmen beigemessen wird. Andererseits geht damit jedoch unter Umständen auch eine höhere Haftung des Datenschutzbeauftragten einher. Ist der Datenschutzbeauftragte für die Einhaltung der datenschutzrechtlichen Vorgaben im Unternehmen verantwortlich, kann er auch in stärkerem Maße als bisher für datenschutzrechtliche Verstöße haftbar gemacht werden. Es wird Aufgabe der Aufsichtsbehörden und Gerichte sein, den künftigen Umfang der Haftung des Datenschutzbeauftragten, für begangene Datenschutzverstöße in von ihm betreuten Unternehmen, zu bewerten.

Vorbereitung dringend erforderlich

Mit dem Inkrafttreten der Datenschutz-Grundverordnung werden auch die Bußgelder, die für Datenschutzverstöße verhängt werden können, erheblich steigen. Bußgelder die, je nach Umfang der Haftung des Datenschutzbeauftragten, auch ihm auferlegt werden können. Dessen sollten sich Datenschutzbeauftragte bewusst sein, damit Sie ihre Arbeitsabläufe spätestens bis zur Anwendbarkeit der Datenschutz-Grundverordnung an die neuen Vorgaben angepasst haben. Unternehmen sollten die noch verbleibende Zeit dringend dazu nutzen, ihre Mitarbeiter und ggf. auch ihre Datenschutzbeauftragten hinsichtlich der gesteigerten Bedeutung des Themas Datenschutz für das Unternehmen zu sensibilisieren.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

18 Kommentare zu diesem Beitrag

  1. Hallo Frau Ackermann, wie muss man sich das in der Praxis vorstellen. Die Geschäftsleitung wird sich wohl kaum kontrollieren lassen. Ich stelle mir das insbesondere in Unternehmen schwer vor, in denen das Thema sehr stiefmütterlich behandelt wurde und man eher froh sein kann, wenn bspw Verpflichtungserklärungen vorliegen; als Beispiel ist hier schon die fehlenden internen verfahrensverzeichnisse etc zu nennen. Grundsätzlich muss sich sicherlich etwas in den Köpfen der Geschäftsführer ändern. Ich stelle mir das insbesondere im internationalen Kontext schwer vor. Können Sie hier vielleicht ein paar Tipps geben? Vielen Dank vorab und vielen Dank für den guten Artikel!

    • In Unternehmen, in denen der Datenschutz stiefmütterlich behandelt wird, haben es die Datenschutzbeauftragten schon bei der aktuellen Rechtslage schwer. In diesen Unternehmen wird die Arbeit auch nach Inkrafttreten der DSGVO nicht leichter.

      Der Datenschutzbeauftragte sollte hier zukünftig vor allem darauf achten, seine Handlungsempfehlungen zu dokumentieren. Dann kann er im Streitfall zumindest nachweisen, dass er alles für ihn Mögliche getan hat, um dem Datenschutz Rechnung zu tragen.

      Was die DSGVO an Neuerungen im internationalen Kontext bringt, finden Sie hier:
      Internationale Datentransfers ins Ausland

    • Wichtig ist es vor allem, die Neuerungen, die sich aus der DSGVO ergeben, möglichst frühzeitig mit der Geschäftsleitung zu besprechen. Dann kann die noch verbleibende Zeit bis zum Inkrafttreten der Regelungen genutzt werden, um die Änderungen im Unternehmen umsetzen zu können.

  2. Es wäre interessant zu wissen, inwieweit der Datenschutzbeauftragte haftbar gemacht werden kann. Ist hier auch das Privatvermögen des Datenschutzbeauftragten betroffen? Wenn ja, wird wohl kaum jemand mehr diese Position übernehmen wollen. Es stellt sich auch die Frage wie es mit der Haftung für den Fall aussieht, dass vom Datenschutzbeauftragten Regelungen/Vorschriften vom UN übergangen / nicht umgesetzt wurden. Im Streitfall kann das UN die Schuld auf den Datenschutzbeauftragten abwälzen, um das Bußgeld für sich abzuwenden. Hier geht es um die Nachweispflicht.

    Einerseits wird aufgrund der erweiterten Aufgaben und Haftung des Datenschutzbeauftragten der/die „Druck/Last“ für den Beauftragten größerer, andererseits habe ich gelesen, dass wohl der besondere Kündigungsschutz für den Beauftragten nach der neuen EU-Datenschutz-Grundverordnung nicht mehr greift. Ist das richtig?

    • Die Frage, ob der Datenschutzbeauftragte mit seinem Privatvermögen haftet, ist in der DSGVO nicht ausdrücklich geregelt. In letzter Konsequenz werden auch darüber die Aufsichtsbehörden und Gerichte entscheiden müssen.

      Mit dem Inkrafttreten der DSGVO entfällt der Ausschluss des ordentlichen Kündigungsrechts, der Datenschutzbeauftragte kann zukünftig auch durch ordentliche Kündigung entlassen werden. Allerdings darf die ordentliche Kündigung nicht auf Gründe gestützt werden, die mit der Ausübung seines Amtes verbunden sind.

      • Das mit der evtl. privaten Haftung ist hart und kann denjenigen, der das Amt innehat, finanziell ruinieren! Ich persönlich finde das total unverhältnismäßig, zumal man sich meist nicht aussuchen kann, ob man das Amt übernehmen möchte (im Falle eines internen Beauftragten), sondern es festgelegt wird und im gleichen Atemzug nicht mal Anspruch auf entsprechend mehr Gehalt hat, aber dafür bei Verstößen evtl. mit allem was man hat haften soll? Sehr unverhältnismäßig!

        • Ich stimme Ihnen zu. es gibt durch die neue Regelung aktuell mehr Anlass die Funktion des DSB abzulehnen als sie anzunehmen. ein Datenschutzbeauftragter sollte im Unternehmen eine gewisse Sicherheit haben, denn oft genug wird versucht die Fehler anderer an das Bein des DSB zu heften der „das ja hätte wissen müssen“. Bereits jetzt ist der DSB oft der letzte der überhaupt etwas von Problemen oder z.B. neuen Verfahren mitbekommt… was schon extrem frustrierend ist. Wenn hier nun noch der Kündigungsschutz wegfällt und ein erhöhtes Haftungsrisiko hinzukommt, sehe ich mich persönlich schon fast dazu gezwungen das Amt niederzulegen. Für mich persönlich entsteht durch das Fehlverhalten anderer ein zu hohes Risiko.

        • Ich stimme Ihnen ganz zu. Und danke Frau Ackermann für die ausführlichen Informationen. Diese sind sehr wichtig, um nicht unbedarft in eine finanzielle sehr schwierige Situation zu geraten. Somit bleibt einem normalen Arbeitnehmer nur die Möglichkeit das Amt des Datenschutzbeauftragten abzulehnen. Solange für den Datenschutzbeauftragten nur die Haftung, aber keinerlei Recht erhöht werden. Ist dieses, jetzt schon, äußerst schwierige Amt nicht mehr zu bewältigen. Gibt es denn irgendeine Kontaktmöglichkeit die Gesetzesgeber auf ihre völlig unrealistischen Vorstellungen hinzuweisen? Es bedeutet mehr Arbeit, aber nicht das Recht einen Teil der Arbeitszeit für den Datenschutz verwenden zu können. Ab 2018 müsste dann eine spezielle Versicherung von jedem Datenschutzbeauftragten abgeschlossen werden, aber es gibt keine Cent mehr Gehalt für die Position. Dieser Passus des DSGVO ist leider sehr unüberlegt.
          beste Grüße

  3. Tut mir leid – ich finde den Artikel nicht gut. Allen Orten hört man jetzt, was sich angeblich mit DSGVO alles ändert. Vielfach ist das nur Panikmache. Meist von Beratern und Anwälten, die daran gut verdienen wollen. Ich plädiere zur Ruhe. Wer jetzt schon regelkonform nach BDSG arbeitet, der bleibt auch weiterhin regelkonform. Ein paar Dinge muss man umbenennen – geschenkt.

    • Das ist so nicht richtig, mit der DSGVO sind zum Teil erhebliche Änderungen verbunden.

      Um sich darauf einstellen zu können, ist es wichtig, sich rechtzeitig zu informieren. Deshalb haben wir die wichtigsten Änderungen in unseren Artikeln dargestellt (abrufbar hier: EU–Datenschutz-Grundverordnung).

      Mit dem Inkrafttreten der DSGVO ändern sich z.B. die Informationsplichten des Anbieters, Einwilligungen müssen in geänderter Form erklärt, auch die Rechtsstellung des Datenschutzbeauftragten ändert sich.

    • In diesem ersten Beitrag zum Thema ging es zunächst nur darum, die Neuerungen aufzuzeigen. Im Moment können wir Ihnen leider noch keine konkreten Handlungsempfehlungen geben, weil in diesem Bereich viele Punkte noch ungeklärt sind.

      So wird z.B. noch von den Aufsichtsbehörden und Gerichten zu klären sein, für welche Art von Verstößen der Datenschutzbeauftragte verantwortlich gemacht werden kann und in welchem Umfang er für diese Verstöße haftet.

      Wir behalten die Entwicklung für Sie im Blick.

  4. Hallo,
    ich stelle mir derzeit auch die Frage, ob ich als AN noch den bDSB machen kann und will. Mir wurde dringend von außen empfohlen eine geeignete Berufshaftpflicht mit ausreichender Deckungshöhe abzuschließen (die der AG zahlen soll). Was alles andere als einfach ist. Ist das überhaupt zielführend? Die Versicherungen bedienen derzeit fast nur externe DSBs. In einschlägigen Foren sagen mir erfahrene DSBs dass sei alles Panikmache, die Verantwortlichkeiten des DSB wären keine anderen nach GVO als nach BDSG. Man möge doch bitte konkret begründen wie sich eine erweiterte Verantwortlichkeit und „Haftbarkeit“ des DSB aus der GVO ableiten lässt. Mich würde das sehr interessieren, ich finde die GVO aber sehr unpräzise und die Stellung des DSB eher geschwächt (nicht mehr per se notwendig, dafür mehr Aufgaben als vorher? usw.) denn gestärkt. Ich schließe mich einfach vorsichtshalber der Meinung der meisten Kommentatoren an und tendiere dazu die Rolle des bDSB aufzugeben, alleine die Möglichkeit dass ich mich mal in einem Rechtsstreit verteidigen lassen muss und selbst bei Erfolg auf erheblichen Anwaltskosten sitzen bleibe, macht das Ganze für mich als AN und Familienvater äußerst unattraktiv. Wie konkret kann man zum derzeitigen Zeitpunkt aus Artikel 39 ableiten, dass ein DSB eine deutlich höhere Verantwortlichkeit erhält (ohne jede Ausweitung seiner Befugnisse). Und ist eine generelle Empfehlung bezüglich einer ausreichenden Zusatzversicherung sinnvoll oder betrifft das wirklich eher die externen DSBs?

  5. Guten Tag, Mich irritiert der Artikel ebenfalls. Es besteht in Verbindung mit der EU-DSGVO hier eine nationale Öffnungsklausel. Aller Vorrausicht nach, so auch im ersten Referentenentwurf für das A-BDSG (Allgemeines BDSG) ist eine Beibehaltung des Status Quo des bDSB, exakt wie zuvor im BDSG, vorgesehen. Eine Haftung kann wohl nur demjenigen auferlegt werden, der auch entsprechende Weisungsbefugnis hat. Diese ist aus der DSGVO nicht ersichtlich. Hätte der bDSB dagegen Weisungsbefugnis, könnte er sein Amt schon aus Gründen der möglichen Interessenskonflikte nicht mehr regelkonform ausführen. Er müßte dann sich selbst auditieren. Selbstverständlich sollte der bDSB auch wie bisher tunlichst dokumentieren, dass er auf den Datenschutz hingewirkt hat. Ich werde das Gefühl nicht los, dass dieser Artikel hier entweder mit der schnellen Feder gefüllt wurde oder tatsächlich, nach Aufmerksamkeit schreiend, dürftig recherchierten Grundlagen entsprang. Das geht auch besser und das habe ich hier auch schon anders erlebt. Schade,- das Lesen unbrauchbarer Informationen kostet heutzutage eine enorme Zeit.

    • Im Artikel steht „Ist der Datenschutzbeauftragte für die Einhaltung der datenschutzrechtlichen Vorgaben im Unternehmen verantwortlich, KANN er auch in stärkerem Maße als bisher für datenschutzrechtliche Verstöße haftbar gemacht werden.“

  6. Wenn das Wort „Überwachung“ eine Verantwortlichkeit für das Überwachte nach sich ziehen würde, müssten alle Auditoren, Wartungsingenieure, Unternehmensberater, Prüfer usw. für Schäden, die danach eintreten, verantwortlich sein. Verantwortung ist gekoppelt mit Weisungsbefugnis und Entscheidungsbefugnis, Verfügbarkeit an Mitteln und Ressourcen, die Prozesse zu gestalten. Dies sehe ich nicht für den DSB innerhalb der DSGVO geregelt.

    Ach ja, ich lese auch nicht aus dem Art 39 Abs 1 b) heraus, dass der DSB die Sensibilisierung und Schulung zur Aufgabe hat, sondern „nur“ die Überwachung der Einhaltung der Verordnung (DSGVO) einschließlich die Überwachung der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter …. Denn der DSB wird wohl auch nicht Zuständigkeiten zuweisen, welches im gleichen Rang in der Aufzählung mit aufgeführt wird.

    • Wie in dem Artikel ausgeführt, ist an dieser Stelle noch vieles unklar. Wichtig ist es im Moment, die Entwicklung im Auge zu behalten. Durch die nationale Gesetzgebung und die Entscheidungen der Aussichtsbehörden und Gerichte können Konkretisierungen bzw. Änderungen eintreten.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.