Der Datenschutzbeauftragte (DSB)

Der Datenschutzbeauftragte nach DSGVO und BDSG

Der Datenschutzbeauftragte (DSB) spielt eine zentrale Rolle bei der Umsetzung der DSGVO in Unternehmen und öffentlichen Stellen. Die Artikel 37 bis 39 der DSGVO regeln die Benennung, die Stellung und die Aufgaben des DSB. In Deutschland wird die Bestellpflicht durch § 38 BDSG zusätzlich erweitert. Ein kompetenter DSB ist nicht nur gesetzliche Pflicht, sondern auch ein strategischer Vorteil für die Datenschutz-Compliance.

Wann ist ein DSB Pflicht?

Pflicht nach DSGVO (Art. 37 Abs. 1)

Die DSGVO verpflichtet zur Benennung eines Datenschutzbeauftragten in drei Fällen:

• Behörden und öffentliche Stellen — Mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln.
• Umfangreiche regelmäßige und systematische Überwachung — Wenn die Kerntätigkeit in der umfangreichen regelmäßigen und systematischen Überwachung von betroffenen Personen besteht (z. B. Tracking, Scoring, Profiling).
• Umfangreiche Verarbeitung besonderer Datenkategorien — Wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9) oder von strafrechtlichen Verurteilungen (Art. 10) besteht.

Erweiterte Pflicht nach BDSG (§ 38)

Das deutsche Bundesdatenschutzgesetz geht über die DSGVO hinaus. Ein DSB muss in Deutschland zusätzlich benannt werden, wenn:

• Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
• Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.
• Personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Die Schwelle von 20 Personen bezieht sich auf alle Mitarbeiter, Freiberufler, Praktikanten und Leiharbeiter, die regelmäßig mit automatisierter Datenverarbeitung befasst sind — unabhängig von Arbeitszeit oder Vertragsform.

Interner vs. externer Datenschutzbeauftragter

Interner DSB

Ein interner Datenschutzbeauftragter ist ein Mitarbeiter des Unternehmens, der diese Funktion zusätzlich zu seinen sonstigen Aufgaben oder hauptamtlich ausübt.

• Vorteile — Kenntnis der internen Abläufe, ständige Verfügbarkeit, direkte Integration in Unternehmensprozesse.
• Nachteile — Besonderer Kündigungsschutz (§ 6 Abs. 4 BDSG, § 38 Abs. 2 BDSG), potenzielle Interessenkonflikte, Fortbildungskosten, zeitliche Belastung.
• Interessenkonflikte — Geschäftsführer, IT-Leiter, Personalleiter oder Marketingleiter können nicht gleichzeitig DSB sein, da sie über Zwecke und Mittel der Verarbeitung mitentscheiden.

Externer DSB

Ein externer Datenschutzbeauftragter ist ein unabhängiger Dienstleister, der auf Basis eines Dienstleistungsvertrags tätig wird.

• Vorteile — Unabhängigkeit, spezialisiertes Fachwissen, kein Kündigungsschutz (Vertrag kann regulär gekündigt werden), keine Interessenkonflikte, oft kostengünstiger.
• Nachteile — Einarbeitungszeit, begrenzte Vor-Ort-Präsenz, muss sich in interne Prozesse einarbeiten.
• Vertragliche Regelung — Aufgaben, Verfügbarkeit, Reaktionszeiten und Haftung sollten klar vertraglich geregelt werden.

Aufgaben des DSB (Art. 39 DSGVO)

Der Datenschutzbeauftragte hat mindestens folgende Aufgaben:

• Unterrichtung und Beratung — Beratung des Verantwortlichen, des Auftragsverarbeiters und der Beschäftigten hinsichtlich ihrer DSGVO-Pflichten.
• Überwachung der Einhaltung — Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften und der internen Strategien einschließlich Schulungen und Überprüfungen.
• Beratung bei der DSFA — Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung (Art. 35).
• Zusammenarbeit mit der Aufsichtsbehörde — Der DSB ist Anlaufstelle für die Aufsichtsbehörde und arbeitet mit ihr zusammen.
• Anlaufstelle — Der DSB ist für betroffene Personen und für die Aufsichtsbehörde erreichbar.

Weitere typische Aufgaben in der Praxis

• Prüfung und Pflege des Verarbeitungsverzeichnisses (Art. 30)
• Erstellung und Aktualisierung der Datenschutzrichtlinien
• Schulung der Mitarbeiter in Datenschutzfragen
• Prüfung von Auftragsverarbeitungsverträgen
• Unterstützung bei Datenpannen und Meldepflichten
• Bearbeitung von Beschwerden betroffener Personen
• Durchführung oder Begleitung von Datenschutz-Audits

Stellung und Unabhängigkeit (Art. 38 DSGVO)

Die DSGVO schützt die Unabhängigkeit des DSB durch mehrere Bestimmungen:

• Frühzeitige Einbindung — Der DSB muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einbezogen werden.
• Ressourcen — Der Verantwortliche muss dem DSB die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen bereitstellen.
• Keine Weisungen — Der DSB darf hinsichtlich der Ausübung seiner Aufgaben keine Anweisungen erhalten. Er berichtet unmittelbar der höchsten Managementebene.
• Abberufungs- und Benachteiligungsverbot — Der DSB darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
• Vertraulichkeit — Der DSB ist zur Geheimhaltung und Vertraulichkeit verpflichtet.
• Keine Interessenkonflikte — Der DSB kann andere Aufgaben wahrnehmen, sofern diese nicht zu Interessenkonflikten führen.

Haftung und Kündigungsschutz

Haftung des DSB

Der DSB haftet nicht persönlich für die Einhaltung der DSGVO — die Verantwortung liegt beim Verantwortlichen (Art. 24 DSGVO). Der DSB berät und überwacht, trifft aber keine Entscheidungen über die Datenverarbeitung. Eine persönliche Haftung kann nur bei grober Pflichtverletzung im Rahmen des Dienstvertrags (externer DSB) oder des Arbeitsvertrags (interner DSB) entstehen.

Kündigungsschutz (§ 6 Abs. 4, § 38 Abs. 2 BDSG)

Interne Datenschutzbeauftragte genießen in Deutschland einen besonderen Kündigungsschutz:

• Die Abberufung als DSB ist nur aus wichtigem Grund möglich — analog zur Kündigung nach § 626 BGB.
• Nach der Abberufung besteht ein nachwirkender Kündigungsschutz von einem Jahr.
• Ordentliche Kündigungen, die mit der DSB-Tätigkeit zusammenhängen, sind unwirksam.
• Dieser Schutz gilt unabhängig davon, ob die Benennung freiwillig oder pflichtgemäß erfolgte.

Fachliche Anforderungen an den DSB

Der DSB wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt (Art. 37 Abs. 5 DSGVO). Zu den typischen Qualifikationen gehören:

• Fundierte Kenntnisse des Datenschutzrechts (DSGVO, BDSG, TKG/TDDDG)
• Technisches Verständnis für IT-Systeme und Datenverarbeitung
• Kenntnisse in Informationssicherheit und technischen Schutzmaßnahmen
• Branchenkenntnisse und Verständnis der unternehmensspezifischen Verarbeitungsvorgänge
• Regelmäßige Fortbildung — die Anforderungen an das Fachwissen steigen mit der Komplexität der Verarbeitungen

Meldepflicht der Kontaktdaten

Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der Aufsichtsbehörde mitgeteilt werden (Art. 37 Abs. 7 DSGVO). Die Veröffentlichung erfolgt in der Regel auf der Website des Unternehmens (Datenschutzerklärung, Impressum). Die Mitteilung an die Aufsichtsbehörde erfolgt über deren Online-Portal. Die Angabe des Namens ist gegenüber der Aufsichtsbehörde erforderlich, auf der Website reichen die Kontaktdaten.

Zusammenarbeit zwischen DSB und Geschäftsführung

Für eine effektive Datenschutz-Compliance ist die enge Zusammenarbeit zwischen DSB und Geschäftsführung essenziell. Der DSB sollte:

• Regelmäßig an die Geschäftsführung berichten — mindestens quartalsweise.
• Bei neuen Projekten und Produkten frühzeitig einbezogen werden (Privacy by Design).
• Ein angemessenes Budget für Datenschutzmaßnahmen und Schulungen erhalten.
• Zugang zu allen relevanten Abteilungen und Systemen haben.

Weitere Informationen zu den grundlegenden DSGVO-Anforderungen finden Sie in unserem Überblicksartikel.