Datenschutz-Grundverordnung: Aufgaben des Datenschutzbeauftragten

smartphone 08
Fachbeitrag

Wie bereits ausführlich von uns berichtet, wird sich mit der Geltung der Datenschutz-Grundverordnung vieles ändern. Dazu gehört auch die Stellung des Datenschutzbeauftragten im Unternehmen, dessen Aufgabenkreis künftig erweitert wird. Damit steigt der Stellenwert des Themas Datenschutz im Unternehmen. Dieser Artikel ist Teil unserer Reihe zur EU-Datenschutz-Grundverordnung.

Aktuelle Stellung des Datenschutzbeauftragten

Derzeit sind die Aufgaben des Datenschutzbeauftragten in § 4g BDSG geregelt. Danach hat der Datenschutzbeauftragte die Aufgabe, auf die Einhaltung der datenschutzrechtlichen Vorgaben im Unternehmen hinzuwirken. Ihm kommt damit eine lediglich unterstützende und beratende Funktion zu. Mit der Anwendbarkeit der Datenschutz-Grundverordnung wird sich diese Rolle ändern.

Erweiterter Aufgabenkreis nach Datenschutz-Grundverordnung

Gemäß Artikel 39 Abs. 1 lit. b DSGVO obliegen dem Datenschutzbeauftragten zumindest folgende Aufgaben:

  • Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten
  • Überwachung der Einhaltung der DSGVO und nationalen Sonderregelungen
  • Sensibilisierung und Schulung
  • Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde

Damit verbunden ist eine Aufwertung der Position des Datenschutzbeauftragten, denn bislang war seine Stellung im Unternehmen eine andere. Ist der Datenschutzbeauftragte auch für die Überwachung der Einhaltung der datenschutzrechtlichen Regelungen im Unternehmen verantwortlich, kommt ihm nicht mehr nur eine allein beratende und unterstützende Funktion zu. Vielmehr wird er zukünftig in stärkerem Maße auch für die Umsetzung der von ihm vorgeschlagenen Maßnahmen verantwortlich sein.

Gesteigerter Haftungsumfang für Datenschutzbeauftragte

Das ist einerseits positiv zu bewerten, zeigt es doch den höheren Stellenwert, der dem Datenschutz zukünftig im Unternehmen beigemessen wird. Andererseits geht damit jedoch unter Umständen auch eine höhere Haftung des Datenschutzbeauftragten einher. Ist der Datenschutzbeauftragte für die Einhaltung der datenschutzrechtlichen Vorgaben im Unternehmen verantwortlich, kann er auch in stärkerem Maße als bisher für datenschutzrechtliche Verstöße haftbar gemacht werden. Es wird Aufgabe der Aufsichtsbehörden und Gerichte sein, den künftigen Umfang der Haftung des Datenschutzbeauftragten, für begangene Datenschutzverstöße in von ihm betreuten Unternehmen, zu bewerten.

Vorbereitung dringend erforderlich

Mit dem Inkrafttreten der Datenschutz-Grundverordnung werden auch die Bußgelder, die für Datenschutzverstöße verhängt werden können, erheblich steigen. Bußgelder die, je nach Umfang der Haftung des Datenschutzbeauftragten, auch ihm auferlegt werden können. Dessen sollten sich Datenschutzbeauftragte bewusst sein, damit Sie ihre Arbeitsabläufe spätestens bis zur Anwendbarkeit der Datenschutz-Grundverordnung an die neuen Vorgaben angepasst haben. Unternehmen sollten die noch verbleibende Zeit dringend dazu nutzen, ihre Mitarbeiter und ggf. auch ihre Datenschutzbeauftragten hinsichtlich der gesteigerten Bedeutung des Themas Datenschutz für das Unternehmen zu sensibilisieren.

Hier finden Sie weitere ausgewählte Artikel zur EU-Datenschutz-Grundverordnung.

Sie haben Fragen?

Die Bestellung eines externen Datenschutzbeauftragten bietet Ihrem Unternehmen zahlreiche Vorteile. Bei der Zusammenarbeit mit unseren Beratern können Sie folgendes erwarten:

  • Praxisnahe und wirtschaftsorientierte Datenschutzorganisation für Ihr Unternehmen
  • Hochqualifizierte Berater mit interdisziplinären Kompetenzen in Recht und IT
  • Klar kalkulierbare Kosten und hohe Flexibilität

Informieren Sie sich hier über unser Leistungsspektrum: Externer Datenschutzbeauftragter

13 Kommentare zu diesem Beitrag

  1. Hallo Frau Ackermann, wie muss man sich das in der Praxis vorstellen. Die Geschäftsleitung wird sich wohl kaum kontrollieren lassen. Ich stelle mir das insbesondere in Unternehmen schwer vor, in denen das Thema sehr stiefmütterlich behandelt wurde und man eher froh sein kann, wenn bspw Verpflichtungserklärungen vorliegen; als Beispiel ist hier schon die fehlenden internen verfahrensverzeichnisse etc zu nennen. Grundsätzlich muss sich sicherlich etwas in den Köpfen der Geschäftsführer ändern. Ich stelle mir das insbesondere im internationalen Kontext schwer vor. Können Sie hier vielleicht ein paar Tipps geben? Vielen Dank vorab und vielen Dank für den guten Artikel!

    • In Unternehmen, in denen der Datenschutz stiefmütterlich behandelt wird, haben es die Datenschutzbeauftragten schon bei der aktuellen Rechtslage schwer. In diesen Unternehmen wird die Arbeit auch nach Inkrafttreten der DSGVO nicht leichter.

      Der Datenschutzbeauftragte sollte hier zukünftig vor allem darauf achten, seine Handlungsempfehlungen zu dokumentieren. Dann kann er im Streitfall zumindest nachweisen, dass er alles für ihn Mögliche getan hat, um dem Datenschutz Rechnung zu tragen.

      Was die DSGVO an Neuerungen im internationalen Kontext bringt, finden Sie hier:
      Internationale Datentransfers ins Ausland

    • Wichtig ist es vor allem, die Neuerungen, die sich aus der DSGVO ergeben, möglichst frühzeitig mit der Geschäftsleitung zu besprechen. Dann kann die noch verbleibende Zeit bis zum Inkrafttreten der Regelungen genutzt werden, um die Änderungen im Unternehmen umsetzen zu können.

  2. Es wäre interessant zu wissen, inwieweit der Datenschutzbeauftragte haftbar gemacht werden kann. Ist hier auch das Privatvermögen des Datenschutzbeauftragten betroffen? Wenn ja, wird wohl kaum jemand mehr diese Position übernehmen wollen. Es stellt sich auch die Frage wie es mit der Haftung für den Fall aussieht, dass vom Datenschutzbeauftragten Regelungen/Vorschriften vom UN übergangen / nicht umgesetzt wurden. Im Streitfall kann das UN die Schuld auf den Datenschutzbeauftragten abwälzen, um das Bußgeld für sich abzuwenden. Hier geht es um die Nachweispflicht.

    Einerseits wird aufgrund der erweiterten Aufgaben und Haftung des Datenschutzbeauftragten der/die “Druck/Last” für den Beauftragten größerer, andererseits habe ich gelesen, dass wohl der besondere Kündigungsschutz für den Beauftragten nach der neuen EU-Datenschutz-Grundverordnung nicht mehr greift. Ist das richtig?

    • Die Frage, ob der Datenschutzbeauftragte mit seinem Privatvermögen haftet, ist in der DSGVO nicht ausdrücklich geregelt. In letzter Konsequenz werden auch darüber die Aufsichtsbehörden und Gerichte entscheiden müssen.

      Mit dem Inkrafttreten der DSGVO entfällt der Ausschluss des ordentlichen Kündigungsrechts, der Datenschutzbeauftragte kann zukünftig auch durch ordentliche Kündigung entlassen werden. Allerdings darf die ordentliche Kündigung nicht auf Gründe gestützt werden, die mit der Ausübung seines Amtes verbunden sind.

      • Das mit der evtl. privaten Haftung ist hart und kann denjenigen, der das Amt innehat, finanziell ruinieren! Ich persönlich finde das total unverhältnismäßig, zumal man sich meist nicht aussuchen kann, ob man das Amt übernehmen möchte (im Falle eines internen Beauftragten), sondern es festgelegt wird und im gleichen Atemzug nicht mal Anspruch auf entsprechend mehr Gehalt hat, aber dafür bei Verstößen evtl. mit allem was man hat haften soll? Sehr unverhältnismäßig!

        • Ich stimme Ihnen zu. es gibt durch die neue Regelung aktuell mehr Anlass die Funktion des DSB abzulehnen als sie anzunehmen. ein Datenschutzbeauftragter sollte im Unternehmen eine gewisse Sicherheit haben, denn oft genug wird versucht die Fehler anderer an das Bein des DSB zu heften der “das ja hätte wissen müssen”. Bereits jetzt ist der DSB oft der letzte der überhaupt etwas von Problemen oder z.B. neuen Verfahren mitbekommt… was schon extrem frustrierend ist. Wenn hier nun noch der Kündigungsschutz wegfällt und ein erhöhtes Haftungsrisiko hinzukommt, sehe ich mich persönlich schon fast dazu gezwungen das Amt niederzulegen. Für mich persönlich entsteht durch das Fehlverhalten anderer ein zu hohes Risiko.

        • Ich stimme Ihnen ganz zu. Und danke Frau Ackermann für die ausführlichen Informationen. Diese sind sehr wichtig, um nicht unbedarft in eine finanzielle sehr schwierige Situation zu geraten. Somit bleibt einem normalen Arbeitnehmer nur die Möglichkeit das Amt des Datenschutzbeauftragten abzulehnen. Solange für den Datenschutzbeauftragten nur die Haftung, aber keinerlei Recht erhöht werden. Ist dieses, jetzt schon, äußerst schwierige Amt nicht mehr zu bewältigen. Gibt es denn irgendeine Kontaktmöglichkeit die Gesetzesgeber auf ihre völlig unrealistischen Vorstellungen hinzuweisen? Es bedeutet mehr Arbeit, aber nicht das Recht einen Teil der Arbeitszeit für den Datenschutz verwenden zu können. Ab 2018 müsste dann eine spezielle Versicherung von jedem Datenschutzbeauftragten abgeschlossen werden, aber es gibt keine Cent mehr Gehalt für die Position. Dieser Passus des DSGVO ist leider sehr unüberlegt.
          beste Grüße

  3. Tut mir leid – ich finde den Artikel nicht gut. Allen Orten hört man jetzt, was sich angeblich mit DSGVO alles ändert. Vielfach ist das nur Panikmache. Meist von Beratern und Anwälten, die daran gut verdienen wollen. Ich plädiere zur Ruhe. Wer jetzt schon regelkonform nach BDSG arbeitet, der bleibt auch weiterhin regelkonform. Ein paar Dinge muss man umbenennen – geschenkt.

    • Das ist so nicht richtig, mit der DSGVO sind zum Teil erhebliche Änderungen verbunden.

      Um sich darauf einstellen zu können, ist es wichtig, sich rechtzeitig zu informieren. Deshalb haben wir die wichtigsten Änderungen in unseren Artikeln dargestellt (abrufbar hier: EU–Datenschutz-Grundverordnung).

      Mit dem Inkrafttreten der DSGVO ändern sich z.B. die Informationsplichten des Anbieters, Einwilligungen müssen in geänderter Form erklärt, auch die Rechtsstellung des Datenschutzbeauftragten ändert sich.

    • In diesem ersten Beitrag zum Thema ging es zunächst nur darum, die Neuerungen aufzuzeigen. Im Moment können wir Ihnen leider noch keine konkreten Handlungsempfehlungen geben, weil in diesem Bereich viele Punkte noch ungeklärt sind.

      So wird z.B. noch von den Aufsichtsbehörden und Gerichten zu klären sein, für welche Art von Verstößen der Datenschutzbeauftragte verantwortlich gemacht werden kann und in welchem Umfang er für diese Verstöße haftet.

      Wir behalten die Entwicklung für Sie im Blick.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.