Home
Über uns
Blog
Login

Was ist ein Datenschutzbeauftragter? Ein Ratgeber für die Einstellung nach der Datenschutz- Grundverordnung (DSGVO)

Was ist ein Datenschutzbeauftragter? Ein Ratgeber für die Einstellung nach der Datenschutz-Grundverordnung (DSGVO)

Seit dem 25. Mai 2018 ist die neue Datenschutz-Grundverordnung in Kraft. Haben Sie seitdem noch keinen Datenschutzbeauftragten bestellt, dann hilft Ihnen dieser Ratgeber dabei.

Schritt für Schritt werden wir alle Ihre Fragen über Datenschutzbeauftragte beantworten. 

Was ist ein Datenschutzbeauftragter (DSB)?


Datenschutzbeauftragte sind die Verantwortlichen für den Datenschutz und die Umsetzung der entsprechenden Maßnahmen innerhalb des Unternehmens. Sie sind zuständig für die Überwachung der Datenschutz-Strategie, um die Einhaltung der DSGVO-Richtlinien zu gewährleisten. Außerdem berichten sie direkt an die Geschäftsführung des Unternehmens. 

Wer benötigt einen Datenschutzbeauftragten?


Sie benötigen einen Datenschutzbeauftragten, wenn:

  • mehr als zehn Personen in Ihrer Firma mit personenbezogenen Daten arbeiten;
  • Sie Daten in großem Umfang verarbeiten. Das würde bedeuten, dass die Daten, die Sie sammeln, verarbeiten, speichern oder verwenden, eine große Anzahl von Personen betreffen. Beispielsweise eine Stadt-Bevölkerung, oder die Verarbeitung von persönlichen Daten für verhaltensorientierte Werbung durch eine Suchmaschine (Profiling);
  • Ihre Verarbeitung durch eine öffentliche Behörde oder Körperschaft durchgeführt wird;
  • Sie sensible Daten über Gesundheit, Gewerkschaftsmitgliedschaft, Standorte, sexuelle Orientierung, genetische Daten oder Kinderdaten verarbeiten;
  • Sie systematisch überwachen und verfolgen. Zum Beispiel, wenn Sie Videodaten von Nutzern systematisch überwachen oder Internetnutzer systematisch auswerten, um TV-Bewertungspunkte zu überprüfen;
  • Sie spezielle Kategorien von Daten verarbeiten, die im Zusammenhang mit Straftaten stehen könnten;
  • Sie ein Auftragsdatenverarbeiter sind und systematisch Daten wie Internetverkehr, IP-Adresse oder Besucher überwachen. 

Was sind die grundlegenden Verantwortlichkeiten eines Datenschutzbeauftragten? 

Ein Datenschutzbeauftragter sollte für die folgenden Aufgaben verantwortlich sein: 

  • Informierung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsdatenverarbeitenden sowie der Mitarbeiter, die für die Verarbeitung gemäß dieser Verordnung und anderen Datenschutzbestimmungen der Union oder der Mitgliedstaaten durchführen;
  • Überwachung der Einhaltung dieser Verordnung oder anderer Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Dazu gehört auch die Einhaltung der Grundsätze des für die Verarbeitung Verantwortlichen oder Verarbeiters im Hinblick auf den Schutz personenbezogener Daten: Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung des Personals in Verarbeitungsvorgängen sowie die damit verbundenen Prüfungen; 
  • Beratung bezüglich der Datenschutz-Folgenabschätzung gewährleisten, falls dies gefragt ist, sowie Überwachung seiner Leistung gem. Art. 35 DSGVO;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Ansprechpartner für die Aufsichtsbehörde in Fragen der Verarbeitung, einschließlich der vorherigen Beratung (siehe Art. 36 DSGVO);
  • Angemessene Berücksichtigung der mit der Verarbeitung verbundenen Risiken bezüglich Art, Umfang, Kontext und Zweck der Verarbeitung.

Das bedeutet, dass ein Datenschutzbeauftragter der Koordinator zwischen der Firma und der Aufsichtsbehörde ist. Er/Sie ist außerdem dafür verantwortlich, auf Betroffene, d.h. Verbraucher/Kunden des Unternehmens, zu reagieren. Im Rahmen der DSGVO haben Betroffene nämlich das Recht, Zugriff auf ihre erfassten und verarbeiteten Daten anzufordern (sog. Auskunftsrecht der betroffenen Person, Art. 15 DSGVO). 

Was sind die grundlegenden Aufgaben eines Datenschutzbeauftragten?



Datenschutzbeauftragte (DSB) müssen sicherstellen, dass die Datenschutz im Zusammenarbeit mit der Datenschutzbehörde eingehalten werden. Ein DSB muss: 

  • sicherstellen, dass der Verantwortliche (die Firma) und die betroffenen Personen über ihre Datenschutzrechte, -pflichten und -pflichten informiert werden und gleichzeitig auf diese aufmerksam gemacht werden;
  • der DSGVO entsprechende Datensicherungsziele und -grundsätze erstellen und sicherstellen, dass diese vom Unternehmen eingehalten werden;
  • den Unternehmen Beratung und Empfehlungen bezüglich der Auslegung und Anwendung der Datenschutzbestimmungen geben;
  • Aufzeichnungen über die Verarbeitungstätigkeiten innerhalb des Unternehmens erstellen und den EDSB über diejenigen informieren, die spezifische Risiken aufweisen (sogenannte Vorabkontrollen);
  • die Einhaltung des Datenschutzes innerhalb des Unternehmens sicherstellen und diesem helfen, Rechenschaft abzulegen; 
  • Anfragen oder Beschwerden von Seiten des Unternehmens, des für die Verarbeitung Verantwortlichen, anderer Personen oder auf eigene Initiative bearbeiten
  • Anfragen zu Untersuchungen, zur Bearbeitung von Beschwerden und behördliche Inspektionen kooperativ beantworten; 
  • das Unternehmen auf Verstöße gegen die Datenschutzvorschriften aufmerksam zu machen; 
  • bei Bedarf eine Datenschutz-Folgenabschätzung durchführen und diese monatlich, vierteljährlich und jährlich überprüfen; 
  • eine Datenverarbeitungsvereinbarung erstellen und mit diese mit Drittparteien abstimmen; 
  • Datenschutzerklärungen, Cookie-Richtlinien und andere Datenschutzrichtlinien erstellen und aktualisieren; 
  • Mitarbeiter an der Datenverarbeitung schulen
  • Prüfungen durchführen, um die Einhaltung sicherzustellen. 



Qualifikationen für Datenschutzbeauftragte

Es gibt keine genauen im Gesetz niedergeschriebene Qualifikationen. Aber das Gesetz sagt: "Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualitäten und insbesondere seines Fachwissens über Datenschutzgesetze und -praktiken ernannt.”

Was kann eine Firma tun, um ihren DSB zu unterstützen?

Sie müssen sicherstellen, dass: 

  • der DSB in alle Fragen des Datenschutzes eng und zeitnah eingebunden ist; 
  • der DSB an die oberste Führungsebene, also Vorstand, Ihres Unternehmens berichtet; 
  • der DSB unabhängig arbeitet und für die Ausübung seiner Aufgaben nicht entlassen oder bestraft wird; 
  • Sie angemessene Ressourcen (ausreichend Zeit, finanzielle Mittel, Infrastruktur und gegebenenfalls Personal) zur Verfügung stellen, damit der DSB seinen Verpflichtungen im Zusammenhang mit dem DSGVO nachkommen und seinen Fachkenntnisstand aufrechterhalten kann; 
  • Sie dem DSB angemessenen Zugang zu personenbezogenen Daten und Verarbeitungstätigkeiten gewähren;
  • Sie dem DSB angemessenen Zugang zu anderen Diensten innerhalb Ihres Unternehmens geben, so dass dieser wesentliche Unterstützung, Anregungen oder Informationen erhalten kann; 
  • Sie bei der Durchführung einer DPIA den Rat Ihres DSB einholen und
  • Sie die Details Ihres DSB als Teil Ihrer Verarbeitungsprozesse erfassen.

Dies zeigt, wie wichtig der Datenschutzbeauftragte für Ihre Organisation ist und dass Sie ihn ausreichend unterstützen müssen, damit er seine Aufgabe selbständig wahrnehmen kann. Dazu gehört auch, dass Ihr DSB, wie oben bereits erwähnt, an die oberste Führungsebene berichtet. Dies bedeutet nicht, dass der DSB auf dieser Ebene geführt werden muss. Aber er muss direkten Zugang haben, um Führungskräfte, die Entscheidungen über die Verarbeitung personenbezogener Daten treffen, zu beraten.

Top 10 Tipps für die Einstellung eines DSB

Als Verantwortliche/r für die Datenverarbeitung oder als Auftragsdatenverarbeitende/r sind die folgenden Vorgehensweisen für die Einstellung eines Datenschutzbeauftragten empfehlenswert:

  1. Viele DSB pflegen ihren Internetauftritt und sind über Suchmaschinen auffindbar
  2. Datenschutzbeauftragte finden Sie in LinkedIn & Facebook Gruppen mit dem Suchbegriff “DSGVO”; 
  3. Die IAPP hat eigene Gruppen, in denen Sie 40.000 verschiedene Datenschutzexperten finden können;
  4. Stellen Sie sicher, dass Ihr DSB Ihre IT-Infrastruktur und Ihre Anwendung versteht; 
  5. Sie können einen externen DSB bestellen, der also kein fester Mitarbeiter Ihrer Firma ist;
  6. Ein DSB sollte über große Führungs- und Verhandlungsfähigkeiten verfügen und ein umfassendes Verständnis für die eigene Firma, die Betroffenen (Kunden) und das Gesetz haben;
  7. Viele Experten geben Tutorials und Inhalte zum Thema DSGVO. Wenn Sie planen, einen externen DSB zu beauftragen, dann sehen Sie sich dessen Webinare, Blogs und öffentliche Profile an;
  8. Machen Sie Ihre Due Diligence und fragen Sie nach mindestens 3 Referenzen von ihren bisherigen Kunden. Wenn Sie jemanden intern einstellen, dann fragen Sie den direkten Vorgesetzten; 
  9. Wenn Sie einen externen DSB einstellen, stellen Sie sicher, dass Sie mit jemandem zusammenarbeiten, der nicht zu viele Mandanten hat. Wenn ein DSB viele Mandanten hat, finden ihre Fragen möglicherweise kein Gehör, wenn Sie sie nicht auf der Grundlage von Paketen bezahlen. 

Sollte ich einen externen oder internen DSB einstellen? 

Interner vs. externer DSB


Grundsätzlich kann ein Unternehmen einen DSB sowohl intern durch Zuordnung der Rolle zu einem Mitarbeiter als auch extern in der Person eines Dienstleisters ernennen. Das entscheidende Kriterium sollte immer die notwendige Sachkenntnis und Zuverlässigkeit sein, die ein DSB benötigt, um die beabsichtigten Aufgaben richtig erfüllen zu können. Doch was unterscheidet einen internen von einem externen DSB? Wir möchten die Unterschiede anhand wesentlicher Aspekte wie Kompetenz, Haftung und Kündigungsschutz erläutern. Damit Sie die Kosten eines internen und externen DSB direkt vergleichen können, zeigen wir Ihnen anhand einer fiktiven Kalkulation, wie die Investitionen Ihres Unternehmens in den Datenschutz strukturiert sein könnten.

Interner DSB

Wenn Sie einen betrieblichen DSB beauftragen, übergibt der Geschäftsführer die Aufgabe des DSB an einen Mitarbeiter des Unternehmens. Erfüllt ein interner Mitarbeiter alle notwendigen Voraussetzungen, kann er zum internen DSB ernannt werden. Nach der Benennung internen DSB steht der Arbeitnehmer unter Kündigungsschutz und hat Rechte auf weitere Ansprüche, wie z.B. eigene Ausrüstung oder Ausbildung. 

Externer DSB


Im Gegensatz zum internen DSB steht der externe DSB Ihrem Unternehmen als Dienstleister zur Verfügung. Oft sind externe Datenschutzbeauftragte durch ihre Spezialisierung Experten auf ihrem Fachgebiet. Mit einer transparenten Kostenstruktur, vertraglich vereinbarten Preisen und einer variablen Vertragslaufzeit kümmert sich der externe DSB schnell und effizient um Ihr Geschäft und schützt Sie so vor hohen Bußgeldern.

Unterschiede zwischen externem und internem DSB


Zunächst lassen sich interne und externe DSBe hinsichtlich der anfallenden Kosten unterscheiden. Hierbei müssen für interne DSBe neben dem regulären Gehalt auch die Aus- und Weiterbildung sowie die Beschaffung von Literatur vom Unternehmen bezahlt werden. Dagegen profitiert Ihr Unternehmen von der transparenten Kostenstruktur bei einem externen DSB, da alle Leistungen und Kosten vertraglich festgelegt sind.

In Bezug auf die Kompetenz muss ein interner DSB zunächst zeit- und kostenintensive Weiterbildungsmaßnahmen durchlaufen, um sich das Fachwissen anzueignen, wenn er nicht bereits auf diesem Gebiet spezialisiert ist. Ein externer DSB hingegen kann von Beginn der Zusammenarbeit an zertifiziertes und sofort abrufbares Know-how vorweisen. Im Gegensatz dazu hat der interne DSB jedoch Vorteile bei der Ausbildung, da die Arbeitsabläufe in der Regel bereits bekannt sind, während sich ein externer DSB erst mit den Arbeitsabläufen und Prozessen vertraut machen muss.

Bereits bei der Benennung eines betrieblichen Datenschutzbeauftragten sollte eine mögliche, spätere Kündigung berücksichtigt werden. Ein interner DSB unterliegt einem besonderen Kündigungsschutz, der mit der Position des Betriebsrats vergleichbar ist. Die Beauftragung des externen Datenschutzbeauftragten kann jedoch fristgerecht beendet werden.

Dies möchten wir Ihnen anhand einer Tabelle näher erläutern:

Wie viel kostet ein DSB? 

Heutzutage haben viele externe DSB ihre Arbeitsweisen stark optimiert und können Projektaufwände so gut schätzen, dass sie pauschale Betreuungspreise anbieten.

Wenn Sie einen externen DSB einstellen, denken Sie daran, dass wenn die Angebote preislich wirklich niedrig ist, dieser dann wahrscheinlich viele Kunden hat, so dass Sie keine individuelle Aufmerksamkeit oder Beratung erhalten.

Häufige Fehler, die bei der Einstellung eines DSB zu vermeiden sind

Stellen Sie niemanden intern in Ihrem Unternehmen als DSB ein, wenn die Rolle einen inhärenten Interessenkonflikt aufweist. Stellen Sie beispielsweise keine Marketing- oder Kundenbetreuer als DSB ein, da diese möglicherweise voreingenommen sind. Die Arbeitsgruppe 29 schlägt vor:

  1. die Positionen zu ermitteln, die mit der Funktion eines DSB unvereinbar sind, und diesbezügliche interne Regeln aufzustellen, um Interessenkonflikte zu vermeiden; 
  2. eine allgemeinere Erklärung über Interessenkonflikte beizufügen; 
  3. zu erklären, dass der DSB in Bezug auf seine Funktion als DSB keinen Interessenkonflikt hat, um das Bewusstsein für diese Anforderung zu schärfen; 
  4. Schutzmaßnahmen in die internen Regeln der Organisation aufzunehmen und sicherzustellen, dass die Stellenausschreibung für die Position des DSB oder des Dienstleistungsvertrags hinreichend genau und detailliert ist, um einen Interessenkonflikt zu vermeiden. In diesem Zusammenhang ist auch zu beachten, dass Interessenkonflikte unterschiedliche Formen annehmen können, je nachdem, ob der DSB intern oder extern rekrutiert wird.

ECOMPLY.io Logo
Die all-in-one-Lösung für die DSGVO

Effizientes Datenschutzmanagementsystem für Unternehmen, Organisationen und DSBs

Made in Munich, Germany

© ECOMPLY GmbH – Alle Rechte vorbehalten– Impressum | AGB | Datenschutzerklärung