Gesetzliche Vorschriften


Die Benennungspflicht des Datenschutzbeauftragten wird in § 38 BDSG näher bestimmt.

Dabei besteht bei dem Verantwortlichen oder einem Auftragsverarbeiter die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Dabei ist es unerheblich, ob es sich um Voll- oder Teilzeitbeschäftigte handelt. Ebenso sind auch freie Mitarbeiter, Leiharbeitnehmer, Auszubildende, Volontäre und Praktikanten in die Berechnung einzubeziehen.

Unabhängig von der Mitarbeiteranzahl muss in jedem Fall dann ein Datenschutzbeauftragter bestellt werden, wenn

  • Verarbeitungen vorgenommen werden, die der Datenschutz-Folgenabschätzung unterliegen,
  • die Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine systematische Beobachtung von Personen erforderlich machen,
  • die Kerntätigkeit in umfangreicher Verarbeitung besonderer Kategorien von Daten (z. B. Gesundheitsdaten) oder von Daten über Straftaten besteht.

Grundsätzlich kann die Funktion eines Datenschutzbeauftragten entweder intern durch einen Mitarbeiter oder auch extern durch einen Dienstleister übernommen werden.

Achtung: Nicht jeder kann diese Funktion übernehmen! Geschäftsführer oder leitende Mitarbeiter im Bereich Personal und IT dürfen aufgrund möglicher Interessenskollisionen nicht als Datenschutzbeauftragte bestellt werden. Bei einer Missachtung der Bestellung des Datenschutzbeauftragten können zudem Sanktionen seitens der Aufsichtsbehörde drohen.


Aufgaben und Stellung des Datenschutzbeauftragten


Dem Datenschutzbeauftragten obliegen sowohl beratende und unterrichtende als auch überwachende Aufgaben. Dazu gehören im Allgemeinen:

  • Unterrichtung und Beratung der Geschäftsführung sowie der Beschäftigten
  • Überwachung der Einhaltung des Datenschutzrechts
  • Auf Anfrage Beratung zur Datenschutz-Folgenabschätzung
  • Überwachung der Durchführung der Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde

Der Datenschutzbeauftragte ist ordnungsgemäß und frühzeitig in alle Datenschutzfragen einzubinden.

Für die Erfüllung seiner Aufgaben muss der Datenschutzbeauftragte die erforderlichen Ressourcen sowie Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen erhalten. Der Datenschutzbeauftragte ist in seiner Funktion frei von Weisungen und muss die zur Erhaltung seines Fachwissens erforderlichen Ressourcen erhalten. Sofern ein Mitarbeiter als Datenschutzbeauftragter bestellt wird, genießt dieser besonderen Kündigungsschutz. Er darf wegen seiner Funktion nicht abberufen oder benachteiligt werden.

Diese Stellung wirkt sich insbesondere auf kleinere Unternehmen weitreichend aus, da die interne Bestellung eines Datenschutzbeauftragten mit hohen Kosten verbunden ist.


Wer darf als Datenschutzbeauftragter bestellt werden?


Als Datenschutzbeauftragter darf nur bestellt werden, wer sowohl in datenschutzrechtlicher als auch in informationstechnischer Hinsicht über die erforderlichen Kenntnisse verfügt und nicht Gefahr läuft, kraft seiner Position in dem Unternehmen einer Interessenkollision ausgesetzt zu sein. Vor diesem Hintergrund dürfen weder Führungskräfte mit Personalverantwortung noch solche aus dem IT-Bereich als Datenschutzbeauftragter bestellt werden.


Interner oder externer Datenschutzbeauftragter?


Bei der Entscheidung, die Position des Datenschutzbeauftragten intern oder extern zu besetzen, sind unterschiedliche Faktoren einschlägig. Wichtige Aspekte für die Wahl eines internen oder externen Datenschutzbeauftragten sind unter anderem:

  • Kosten
  • Fachkunde und Kompetenz
  • Haftung
  • Einarbeitung
  • Stellung im Unternehmen
  • Kündigungsschutz

Gerne verschaffen wir Ihnen eine Übersicht über die Vorteile eines externen Datenschutzbeauftragten, um Ihnen bei der Entscheidung zu helfen, ob dies für Ihr Unternehmen die richtige Wahl ist.