Der Datenschutzbeauftragte
Wann die Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG verpflichtend ist, welche Aufgaben er wahrnimmt und welche Unabhängigkeit sein Amt erfordert.
Der Datenschutzbeauftragte (DSB) ist eine zentrale Instanz im betrieblichen Datenschutz. Art. 37–39 DSGVO und ergänzend § 38 BDSG regeln, wann seine Benennung verpflichtend ist, welche Qualifikationen er mitbringen muss und welche Aufgaben er wahrnimmt.
Wann ist ein DSB zu bestellen?
Die Bestellungspflicht ergibt sich aus zwei Quellen. Nach Art. 37 Abs. 1 DSGVO müssen öffentliche Stellen stets einen DSB benennen. Für private Unternehmen ist die Benennung pflicht, wenn deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien oder der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht. Der BDSG weitet die Pflicht in § 38 aus: Wer als nicht-öffentliche Stelle in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist zur Benennung verpflichtet.
Der DSB muss über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen (Art. 37 Abs. 5 DSGVO). Es gibt keine formale Zertifizierungspflicht, allerdings ist ein einschlägiger Nachweis — etwa durch eine Zertifizierung nach TÜV, GDD oder vergleichbaren Einrichtungen — in der Praxis üblich.
Interner oder externer DSB
Der DSB kann Beschäftigter des Unternehmens (interner DSB) oder externer Dienstleister sein. In beiden Fällen muss er seine Aufgaben in völliger Unabhängigkeit wahrnehmen können: Er darf keine Weisungen bezüglich der Ausübung seiner Aufgaben erhalten und darf nicht abberufen oder benachteiligt werden (Art. 38 Abs. 3 DSGVO). Er berichtet unmittelbar an die höchste Managementebene.
Aufgaben des Datenschutzbeauftragten
Zu den Aufgaben des DSB gehören nach Art. 39 DSGVO: Information und Beratung des Unternehmens in datenschutzrechtlichen Fragen, Überwachung der Einhaltung der DSGVO, Schulung der Mitarbeiter, Zusammenarbeit mit der Aufsichtsbehörde und Funktion als Anlaufstelle für betroffene Personen.
Bei der Benennung eines externen DSB ist ein schriftlicher Dienstleistungsvertrag erforderlich. Dieser sollte den Leistungsumfang, die Verfügbarkeit, die Haftung und die Geheimhaltungspflichten klar regeln. Auch externe DSBs unterliegen dem Benachteiligungsverbot und müssen ihre Kontaktdaten nach Art. 37 Abs. 7 DSGVO bei der zuständigen Aufsichtsbehörde gemeldet werden.