Betrieblicher, interner und externer Datenschutzbeauftragter

screening 02
Fachbeitrag

Die meisten Unternehmen wissen, dass Sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Doch welche konkreten Pflichten und Aufgaben mit dieser Stellung verbunden sind, ist vielen Unternehmen und selbst den betroffenen Datenschutzbeauftragten oft unklar.

Welche Aufgaben hat der Datenschutzbeauftragte?

§ 4g I 1 BDSG bestimmt, dass der Datenschutzbeauftragte auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hinwirkt.

Hinwirken deshalb, weil der Datenschutzbeauftragte die Umsetzung der datenschutzrechtlichen Vorschriften nicht selbst vornehmen kann. Im Idealfall analysiert und kontrolliert er den Stand des Datenschutzniveaus im Unternehmen und macht der Geschäftsführung und den einzelnen Abteilungen Vorschläge zur Verbesserung oder Implementierung einer Datenschutzorganisation im Unternehmen. Der Datenschutzbeauftragte selbst hat also keine Entscheidungsgewalt sondern ist organisatorisch gemäß § 4f III 1 BDSG der Geschäftsleitung unterstellt.

Der Schwerpunkt der Tätigkeit des Datenschutzbeauftragten liegt in der Überwachung der Datenverarbeitungsprogramme und dem Einsatz präventiver Maßnahmen (wie z.B. Schulungen und Vorabkontrollen). Ziel ist es, Datenschutzverstöße dadurch bereits im Vorfeld zu vermeiden.

Wann ist ein Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet?

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht in der Regel wenn

  • bei einem automatisierten Verfahren mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind oder
  • bei einer nicht automatisierten Datenverarbeitung mindestens 20 Personen mit der Erhebung, Verarbeitung oder Nutzung beschäftigt sind.

Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen sieht das BDSG noch eine Reihe weiterer Fälle vor, in denen ein Datenschutzbeauftragter zu bestellen ist. Dies betrifft u.a. Auskunfteien, Adressverlage und Markt- und Meinungsforschungsinstitute sowie Unternehmen, die besonders sensitive Daten verarbeiten (z.B. Gesundheitsdaten).

Wie erfolgt die Bestellung zum Datenschutzbeauftragten?

Die Bestellung des Datenschutzbeauftragten muss gemäß § 4f Abs. 1 S. 1 BDSG schriftlich erfolgen. Bei einem Unternehmenskonzern mit verschiedenen Tochtergesellschaften ist erforderlich, dass für jedes einzelne Unternehmen ein Datenschutzbeauftragter bestellt wird, denn ein Konzernprivileg besteht im Datenschutzrecht nicht!

Welche Voraussetzungen muss der Datenschutzbeauftragte mitbringen?

Der Datenschutzbeauftragte muss gewisse Voraussetzungen erfüllen. Insbesondere muss er die erforderliche Fachkunde und Zuverlässigkeit besitzen. Diese Begriffe werden im Gesetz nicht näher beschrieben, umfassen aber im Hinblick auf die Fachkunde rechtliche, organisatorische und technische Kenntnisse. Das Erfordernis der Zuverlässigkeit beschreibt eine klare Trennung zwischen der verantwortlichen Stelle und dem Beauftragten. Denn wo die Trennung fehlt, können Interessenkonflikte entstehen, wenn sich etwa der Kontrolleur selbst kontrollieren muss. Daher kann grundsätzlich weder der IT-Leiter noch die Geschäftsführung selbst die Aufgaben des Datenschutzbeauftragten übernehmen.

Interner oder externer Datenschutzbeauftragter?

Grundsätzlich ist es gleichgültig, ob ein interner oder externer Datenschutzbeauftragter bestellt wird. Der Vorteil eines internen Datenschutzbeauftragten ist, dass dieser das Unternehmen sowie Geschäftsabläufe und verantwortliche Personen kennt.  Demgegenüber bietet die Bestellung eines externen Datenschutzbeauftragten den Vorteil, dass dieser von außen objektiv auf das Unternehmen blicken und so unbefangen den Datenschutz einbringen kann. Außerdem gilt für den externen Datenschutzbeauftragten nicht der besondere Kündigungsschutz wie beim internen Datenschutzbeauftragten.

Welche Haftungsrisiken bestehen für das Unternehmen?

Die formal schwache Stellung des Datenschutzbeauftragten verleitet manches Unternehmen, die Position bewusst intern mit einer Person zu besetzen, von der keine Probleme zu erwarten sind und die eher geneigt ist, kritische Verfahren im Zweifel durchzuwinken. Eine solche Haltung kann aber für das Unternehmen und die Geschäftsleitung selbst erhebliche nachteilige Auswirkungen haben. Das Unternehmen ist für Verstöße gegen Datenschutzbestimmungen nach § 43 BDSG nämlich selbst verantwortlich. Hierbei sind Ordnungsgelder bis 300.000,- EUR oder darüber hinaus pro Verstoß möglich.

Die Geschäftsleitung haftet im Innenverhältnis unmittelbar selbst gegenüber dem Unternehmen gemäß § 93 I 1 AktG bzw. § 43 GmbHG, wenn nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt wird. Dies wird insbesondere dann relevant, wenn die Geschäftsleitung bewusst einen schwachen Datenschutzbeauftragten bestimmt, der erkennbar nicht die erforderliche Qualifikation besitzt. Kommt es deswegen zu einem Schaden, ist ein Rückgriff unmittelbar auf die Geschäftsleitung denkbar.

21 Kommentare zu diesem Beitrag

  1. Hallo Dr. Datenschutz,

    was bedeutet im Sinne des § 4f BDSG “ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt” zu sein?

    Ist dies schon der Fall wenn ich zehn Personen ein paar Stunden am Tag damit beschäftige Adressaufkleber auszudrucken und auf einen Briefumschlag zu kleben, da es sich ja hier umstreitig um personenbezogene Daten handelt? Muss ich also in dem Falle bereits einen Datenschutzbeauftragten bestellen? Wo ist die Grenze zu “ständig”?

    Vielen Dank!

    • “ständig” beschäftigt ist die Person, wenn sie für diese Aufgabe, die nicht ihre Hauptaufgabe zu sein braucht, vorgesehen ist und sie entsprechend wahrnimmt. Ständig bedeutet daher, dass der Mitarbeiter immer dann mit der Verarbeitung personenbezogener Daten beschäftigt ist, wenn die Tätigkeit anfällt. Auf den Anteil dieser Arbeit kommt es nicht an. Etwas anderes gilt nur, wenn der Mitarbeiter nur gelegentlich mit der Datenverarbeitung zu tun hat. In dem von Dir geschilderten Fall widmen sich die zehn Personen regelmäßig und bestimmungsgemäß der Datenverarbeitung, so dass ein Datenschutzbeauftragter bestellt werden müsste.

      Diese Information stellt keine rechtliche Beratung dar. Für eine konkrete Beurteilung Deiner Frage solltest Du Dich an einen Rechtsanwalt oder die zuständige Aufsichtsbehörde wenden.

      • Guten Morgen und danke Herr/Frau Dr. Datenschutz. Gott sei Dank geht es “nur” um eine Hausarbeit zum Thema Datenschutz im Unternehmen. Die Antwort ist sehr hilfreich! Vielen Dank!

  2. Hallo, mir stellt sich die Frage wie die Überprüfung über die Bestellung eines Datenschutzbeauftragten aussieht? Gibt es da schon Erfahrungen? Kommen da Leute unangemldet in das Unternehmen und lassen sich Stellenbeschreibungen und den Datenschutzbeauftragten zeigen? Wie und wann ist also damit zu rechnen?
    Vielen DANK!!

    • Das Unternehmen wird zunächst von der zuständigen Aufsichtsbehörde angeschrieben. Daraufhin sind Unterlagen über die Bestellung des Datenschutzbeauftragten vorzulegen. Sollten diese Unterlagen nicht vorgelegt werden, ist die Behörde durchaus berechtigt, eine “Vor-Ort Kontrolle” durchzuführen. Des Weiteren kann die Behörde auch ein Bußgeld verhängen.

      Das ist auch praktisch und tatsächlich so, besonders wenn die Aufsichtsbehörden einem Schwerpunktthema nachgehen und eine Vielzahl von Unternehmen anschreiben..

      Sofern also die Voraussetzungen des §4f BDSG erfüllt werden, sollte auch ein Datenschutzbeauftragter bestellt werden.

  3. In einer gößeren Badeanstalt wird der Kassenraum (Kassierer-innen) zu 100% überwacht.Ihnenen wurde gesagt es diehne ihrer Sicherheit. Die Kollegen- innen sind seit dem sehr angespannt bei der Arbeit , weil Sie durch den/ die Vorgesetzten beobachtet werden.
    Es gibt keinen Betriebsrat. Wie sollen sich verhalten.

  4. Hallo Herr Dr. Datenschutz,

    wieviele Datenschutzbeauftrage müssen in einem Betrieb bestellt werden?
    Beispiel: Eine Firma (GmbH) hat zwei Betriebsstätten.
    In beiden Betriebsstätte arbeiten jeweils mehr als 10 Personen mit personenbezogenen Daten.
    Muss nun für jede Betriebsstätte ein Datenschutzbeauftragter bestellt werden oder reicht einer für die gesamte Firma?

    Gruß
    Datenschutz

    • Datenschutzbeauftragte sind im Allgemeinen durchweg einer verantwortlichen Stelle zugeordnet. Dies ist diejenige natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die mit personenbezogenen Daten umgeht. Bezugspunkt der Verantwortlichkeit ist der Umgang mit Daten. Bei einer GmbH ist daher in der Regel davon auszugehen dass sie selbst bzw. deren Geschäftsleitung die alleinige verantwortliche Stelle ist – unabhängig davon – ob es mehrere Betriebsstätten gibt. Maßgeblich ist nur, dass es sich um das gleiche Unternehmen handelt und für dieses generell eine Pflicht zur Bestellung besteht. Daher sollte die Bestellung eines Datenschutzbeauftragten grundsätzlich ausreichen.

  5. Hallo Herr Dr. Datenschutz,

    eine Frage zum Thema Datenschutz:

    wir sind eine kleine Firma (3 Leute), die im Auftrag einer Kommune einen kostenlosen Kleinanzeigenmarkt betreibt, dabei werden das Inserat und die Email und/oder Telefonnummer der Inserenten erfasst und gespeichert (für 4 Wochen, dann automatisch gelöscht). Die Daten werden nicht an die Kommune übermittelt, sondern sind nur für die Kontatktaufnahme der Nutzer des Kleinanzeigenmarktes untereinander notwendig. Wir sichten die Inserate und prüfen diese vor der Veröffentlichung in Bezug auf problematische Inhalte.

    Ist das eine Aufragsdatenverarbeitung und wenn ja was müssen wir im Hinblick auf den Datenschutz ausser den technischen und organisatorischen Maßnahmen des BDSG beachten?

    Danke und viele Grüße
    Ratsuchender

    • Ob es sich um eine Auftragsdatenverarbeitung handelt oder nicht, hängt davon ab, ob sie weisungsgebunden tätig werden oder nicht. Weiterhin kommt es darauf an, wer der „Herr der Daten“ ist, also wem die Daten gehören. Falls Ihre Firma als Auftragnehmer i.S.d. § 11 BDSG in Betracht kommt, hat sie mit der Kommune eine Vereinbarung zur Auftragsdatenverarbeitung (§ 11 BDSG) abzuschließen.

  6. Wie sieht es denn bei einer inländischen Betriebsstätte eines ausländischen Unternehmens aus? Muss die inländische Betriebsstätte einen DSB bestellen?
    Danke und viele Grüße

    • Die Beantwortung der Frage hängt von verschiedenen Faktoren ab und muss im Einzelfall geprüft werden. Grundsätzlich hängt die Beantwortung von der Frage ab, ob das Bundesdatenschutzgesetz (BDSG) anzuwenden ist und gemäß § 4f BDSG ein DSB bestellt werden muss.

      Das BDSG ist grundsätzlich dann anwendbar, wenn eine Erhebung, Verarbeitung oder Nutzung von Daten auf deutschem Territorium vorgenommen wird (Territorialprinzip). Damit kann eine inländische Betriebsstätte eines ausländischen Unternehmens unter das BDSG fallen. Für den grenzüberschreitenden Datentransfer hebt Art. 4 EU-Datenschutzrichtlinie das Territorialprinzip wieder auf und bestimmt die Geltung des Sitzprinzips. Demnach ist der Sitz der “verantwortlichen Stelle” relevant, sofern sich dieser Sitz in einem Mitgliedsland der EU/EWR befindet. Hat diese Stelle aber wiederum eine Niederlassung im Inland, ist für sie das inländische Recht maßgeblich. Dies gilt aber nicht bei Nicht-EU/EWR-Ländern, wenn die Hauptniederlassung außerhalb des Anwendungsbereichs der EU-Datenschutzrichtlinie liegt. Weitere Informationen können Sie § 1 Abs. 5 BDSG oder unserem Beitrag entnehmen.

  7. Wie ist die rechtliche Beurteilung bei der Bestellung von Datenschutzbeauftragten.

    Es gibt eine Firma (GmbH & Co. KGaA) mit rechtlich selbständigen und unselbständigen Betriebsstätten. Nun sollen in den unselbständigen Betriebsstätten die bestellten DSB durch die Geschäftsführung abberufen werden, da dies juristisch nicht korrekt wäre. Es soll ein Konzerndatenschutzbeauftragter bestellt werden. In den einzelnen Betriebsstätten sollen externe Datenschutzkoordinatoren bestellt werden. Können die derzeit bestellten (bestellt seit 2010 und älter) Datenschutzbeauftragen einfach so abberufen werden und durch externe Koordinatoren ersetzt werden? Der beabsichtige Konzerndatenschutzbeauftragte wurde nach der Bestellung von diversen DSB erst zum DSB (ca. 2012) für die Konzernzentrale ernannt und soll nun den gesamten Konzern übernehmen und die bisherigen DSB ablösen.

    Vielen Dank vorab für die Antwort

    • Ein Datenschutzbeauftragter muss bestellt werden, wenn in Ihrem Unternehmen bei einem automatisierten Verfahren mindestens 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind (ich gehe davon aus, dass bei Ihnen automatisierte Verfahren gegeben sind). Ferner gehe ich davon aus, dass keine Besonderheiten vorliegen (wie Auskunftei, Verarbeitung von Gesundheitsdaten, nur nicht automatisierte Datenverarbeitung). Dann gelten verschärfte Regelungen (siehe Artikel oben unter „Wann ist ein Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet?“).

      Kommentar bearbeitet am 31.03.2015.

      • Vielen Dank für die schnelle Antwort.

        Ein Datenschutzbeauftragter ist in jeder unselbständigen Betriebsstätte bestellt. Diese sollen nun alle durch die Geschäftsführung abberufen werden und durch einen Konzerndatenschutzbeauftragten (welcher bereits DSB in der Konzernzentrale ist) und in den Betriebsstätten durch externe Datenschutzkoordinatoren ersetzt werden. Meine Frage war, ob dies rechtlich so zulässig ist. Meines Wissens nach kann ein DSB nur durch die Aufsichtsbehörde abberufen werden, wenn er entweder nicht über die Sachkunde verfügt oder ein zwingender Grund in der Person vorliegt. Es handelt sich um ein Unternehmen im Gesundheitsbereich.

        Vielen Dank für die Beantwortung.

        • Bei unserer Antwort vom 25.03 hat sich ein kleiner Fehler eingeschlichen: Wir haben auf die Frage von tufanum (Kommentar unten) geantwortet. Das ist uns erst mit Ihrer zweiten Anfrage aufgefallen.

          Deswegen antworten wir auf Ihre Frage wie folgt:

          Nach § 4f Abs. 3 kann der DSB nur auf Verlangen der Aufsichtsbehörde erfolgen oder wenn entsprechend § 626 BGB ein wichtiger Grund vorliegt. In letzterem Fall ist es wichtig, dass sich die Gründe für eine Abberufung ausschließlich auf die Tätigkeit als Datenschutzbeauftragter beziehen. Dazu müssten schon erhebliche Pflichtverstöße gegen den betrieblichen Datenschutzbeauftragten vorliegen. Ein wichtiger Grund ist beispielsweise ein nachträglich festgestellter Mangel der Fachkunde oder Verstöße gegen die Verschwiegenheitspflicht. Die Organisationsentscheidung der Firma allein rechtfertigt grundsätzlich nicht einen Widerruf der Bestellung aus wichtigem Grund.

  8. Hallo Dr. Datenschutz,

    muss ein Webseitenbetreiber, der online Bestellungen oder Reservierungen o.ä. entgegennimmt auch einen Datenschutzbeauftragten beauftragen???

    Dabei gelten folgende Kriterien:
    1. Die Kundendaten werden im Datenbank vom Webhosting-Anbieter gespeichert.
    2. Die Daten werden auf keiner weise auf den Firmeneigenen Rechnern gespeichert.
    3. Zum bearbeiten der Bestellungen oder Reservierungen, müssen die Kundedaten ausgedruckt vorliegen. Diese werden anschließend ordentlich vernichtet.

    Vielen Dank

    • Wie in unserem Artikel ausgeführt, hängt die Verpflichtung einen Datenschutzbeauftragen in der Regel von der Anzahl der Personen eines Unternehmens ab. Darüber hinaus gibt es diverse Ausnahmen. Siehe Artikel.

      Da Sie ein Webseitenbetreiber sind und mit zahlreichen Kundendaten zu tun haben, sollte in Ihre Überlegung einen Datenschutzbeauftragten zu bestellen miteinfließen, dass gerade in Ihrem Bereich die Bestellung eines Datenschutzbeauftragten unabhängig von der bei einem automatisierten Verfahren beschäftigen Personen Signalwirkung hat und der Datenschutzbeauftrage Teil Ihrer „Visitenkarte“ wird.

  9. Hallo Dr. Datenschutz,

    Unsere Firma hat ihr Hauptsitz im Ausland. Könnte die Stelle der DSB von einem Mitarbeiter im Ausland besetzt werden, d.h. von demjenigen, wer nicht der Mitarbeiter der deutschen Filiale ist?
    Vielen Dank.

    • Grundsätzlich muss jede ausländische Stelle deutsches Datenschutzrecht beachten, wenn sie personenbezogene Daten in Deutschland erhebt, verarbeitet oder nutzt. Wenn Ihre Firma in Deutschland eine Niederlassung betreibt, ist sie daher an das deutsche Datenschutzrecht gebunden.

      Sofern von Ihrem Unternehmen ein Datenschutzbeauftragter zu bestellen ist, kann dies auch eine Person sein, die nicht in der deutschen Niederlassung arbeitet. Diese Person muss jedoch die notwendige Fachkunde und Zuverlässigkeit für die Tätigkeit als Datenschutzbeauftragter aufweisen. Daran wird es einem am ausländischen Hauptsitz Ihres Unternehmens beschäftigten Mitarbeiter in der Regel fehlen, ihm fehlt außerdem die ggf. zur Erfüllung seiner Aufgaben erforderliche räumliche Nähe zum von ihm betreuten Unternehmen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.