Kompromiss Geschäftsleute

Benennung Datenschutzbeauftragter

Wir unterstützen Sie bei der Bestellung Ihres betrieblichen Datenschutzbeauftragten

  • Über 2.000 Kunden in Deutschland und Europa
  • Team von 80+ Fachexperten
  • DEKRA- und TÜV-zertifiziertes Expertenteam

Externer Datenschutzbeauftragter

Datenschutz ist ein hohes Gut und muss auf Grundlage verpflichtender gesetzlicher Bestimmungen von allen beachtet werden, die personenbezogene Daten nicht nur im Rahmen persönlicher und familiärer Tätigkeiten verarbeiten. Seit dem 25. Mai 2018 haben diese gesetzlichen Bestimmungen mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) eine weitere Vertiefung erfahren. Für viele Unternehmen besteht die Pflicht einen Datenschutzbeauftragten zu benennen. Davon unabhängig ist die Beachtung der strengen Datenschutzgrundverordnung grundsätzlich für alle Branchen verbindlich, die mit personenbezogenen Daten arbeiten. Dies betrifft den Großteil an Unternehmen, Ärzten, Juristen sowie öffentlichen Institutionen.

 

Wie wird ein Datenschutzbeauftragter benannt?

Nach der Benennung eines Datenschutzbeauftragten (egal ob interner oder externer Datenschutzbeauftragter) muss die Geschäftsführung eines Unternehmens dessen Kontaktdaten gemäß Art. 37 DSGVO an die zuständige Aufsichtsbehörde melden. Sollte die Meldung nicht rechtzeitig erfolgen, kann ein Bußgeld von bis zu 10.000.000 € oder 2 % des Jahresumsatzes die Folge sein (Artikel 83 Absatz 4 DSGVO).

Entscheiden Sie sich für einen externen Datenschutzbeauftragten, wird dieser Sie bei der Meldung an die Aufsichtsbehörde und weiteren Prozessen unterstützen.

Einfache Bestellung des DSB mit Musterformular


Um Ihnen die Bestellung Ihres Datenschutzbeauftragten zu erleichtern, stellen wir Ihnen ein Musterformular zur Verfügung. Sie müssen es nur noch ausfüllen und an die zuständige Aufsichtsbehörde weiterleiten.

Zur Mustervorlage

Gesetzliche Vorschriften zur Benennung eines Datenschutzbeauftragten: Wann ist ein Datenschutzbeauftragter zu benennen?

Bei einer nicht automatisierten Datenverarbeitung bestand unter dem Bundesdatenschutzgesetz (BDSG) in der alten Fassung die Pflicht zur Benennung eines Datenschutzbeauftragten ab zwanzig damit beschäftigten Personen. Da jedoch ein großer Teil der geschützten Daten automatisiert verarbeitet wird, hatte diese Regelung auch unter dem alten BDSG keine hohe praktische Relevanz. Bisher und auch heute besteht die Pflicht zur Benennung eines Datenschutzbeauftragten ab 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiteranzahl ist die Bestellung des Datenschutzbeauftragten unter anderem dann verpflichtend, wenn eine umfangreiche Verarbeitung besonderer Kategorien von Daten stattfindet oder besonders risikoreiche Verarbeitungen durchgeführt werden – wird kein DSB benannt, kann dies schwerwiegende Folgen haben. Dies kann insbesondere bei der Verarbeitung von Gesundheitsdaten, bei der Videoüberwachung öffentlich zugänglicher Bereiche, dem GPS-Tracking und bei Marktforschungsinstituten schnell der Fall sein. Für Behörden gilt die Benennungspflicht in der Regel uneingeschränkt.


Gesetzesänderungen seit dem 25. Mai 2018

Artikel 37 EU-DSGVO setzt die Vorgaben zur Benennung eines Datenschutzbeauftragten fest – diese werden durch die Bestimmungen in § 38 BDSG konkretisiert. Grundsätzlich kann ein betrieblicher Datenschutzbeauftragter (DSB) sowohl intern in Person eines Mitarbeiters als auch extern durch einen Dienstleister abgebildet werden.

Gemäß der EU-Datenschutz-Grundverordnung 2018 muss der Datenschutzbeauftragte nicht nur hinsichtlich der Einhaltung der gesetzlichen Vorgaben unterrichten und beraten, sondern ihm wird zusätzlich eine diesbezügliche Überwachungspflicht übertragen. Dazu gehört unter anderem die Überwachung der Strategie des Verantwortlichen zur Schulung von Mitarbeitern im Umgang mit personenbezogenen und sensiblen Daten. Dies hat insbesondere für kleinere Unternehmen weitreichende Folgen, da eine interne Bestellung eines Datenschutzbeauftragten oft mit hohen Kosten verbunden ist, die meist nicht getragen werden können. Geschäftsführer oder Behördenleiter kommen zudem aufgrund möglicher Interessenskollisionen bzw. eines Interessenskonflikts nicht als interner Datenschutzbeauftragter in Frage. Wird die Pflicht zur Bestellung eines Datenschutzbeauftragten missachtet, drohen zudem erhebliche Sanktionen.

 

Checkliste: Bestellung eines Datenschutzbeauftragten

So sollten Sie bei der Bestellung eines DSB vorgehen:

  1. Bedarf klären:
    • - Sind in Ihrem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten zuständig?
    • - Sie übermitteln in Ihrem Unternehmen personenbezogene Daten geschäftsmäßig, erheben oder verarbeiten solche (z.B. zu Marktforschungszwecken)?
    • - Ihr Unternehmen verarbeitet besonders sensible personenbezogene Daten, wie z.B. Gesundheitsdaten?
    • - Sie wollen Ihren Datenschutz in fachkundige Hände geben?
    • Sollten Sie eine dieser Fragen mit „Ja“ beantwortet haben, müssen Sie einen Datenschutzbeauftragten bestellen. Nun sollten Sie folgende Schritte beachten:
  2. Benennen Sie einen Datenschutzbeauftragten für Ihr Unternehmen (einen geeigneten Mitarbeiter oder einen externen DSB). Dies muss offiziell mit einer Vorlage (Musterbestellung für einen Datenschutzbeauftragten) geschehen. Eine solche Benennungsvorlage können Sie hier downloaden.
  3. Veröffentlichen Sie die Kontaktdaten Ihres DSB auf Ihrer Website (E-Mail-Adresse und optional Name).
  4. Teilen Sie der für Ihr Bundesland zuständigen Aufsichtsbehörde mit, wer der für Ihre Unternehmen bestellte Datenschutzbeauftragte ist.

Bestellungsurkunde Datenschutzbeauftragter – darum ist sie wichtig

Wenn Sie nun einen Datenschutzbeauftragten (DSB) bestellen, haben Sie zwei Optionen: Sie können einen internen oder einen externen Datenschutzbeauftragten benennen. In beiden Fällen braucht es eine Bestellungsurkunde (auch Benennungsurkunde genannt), in der die Aufgaben des Datenschutzbeauftragten geregelt sind und die sowohl vom Verantwortlichen im Unternehmen (meist die Geschäftsführung) als auch dem DSB selbst unterzeichnet wird. Zwar wird der exakte Inhalt einer Bestellungsurkunde für einen Datenschutzbeauftragten weder in der DSGVO noch im BDSG ausdrücklich erwähnt, sie dient aber sowohl als Tätigkeitsgrundlage für den neuen DSB als auch der Dokumentation seiner Benennung und ist deshalb ein wichtiger Baustein bei der Bestellung eines DSB.


Was muss eine Bestellungsurkunde für einen Datenschutzbeauftragten beinhalten?

Eine Bestellungsurkunde für einen DSB hat keine rechtlich exakt festgelegte Form. Sie sollte jedoch folgende Punkte beinhalten:

  • Name und Tätigkeitsgebiet des neuen DSB (letzteres nur, wenn es sich um einen internen DSB handelt)

  • Gesetzliche Grundlage der Benennung (Benennung gemäß Art. 37 DSGVO in Verbindung mit § 38 BDSG)

  • Anfangsdatum der Tätigkeit als Datenschutzbeauftragter

  • Die Aufgaben des DSB inkl. gesetzlicher Grundlagen

  • Der Hinweis auf die Weisungsfreiheit innerhalb des Unternehmens

  • Die Unterschrift des berufenen DSB und die des Verantwortlichen im Unternehmen

Übrigens: Wenn Sie sich für einen externen Datenschutzbeauftragten entscheiden, dann braucht es neben einer Bestellungsurkunde auch einen Dienstleistungsvertrag, in dem alle Aufgabenbereiche geregelt sind. Um diesen kümmert sich aber im Regelfall der externe DSB.

Unsere Leistungspakete für den externen Datenschutzbeauftragten und die Datenschutzsoftware Proliance 360

Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.

FAQ: Wir beantworten Ihre Fragen rund um das Thema Benennung Datenschutzbeaufragter

Nach dem BDSG besteht in Deutschland die Pflicht zur Benennung eines DSB ab 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Mitarbeiterzahl gilt aber nicht bei Unternehmen, wenn eine umfangreiche Verarbeitung besonderer Kategorien von Daten stattfindet (z.B. Gesundheitsdaten) oder besonders risikoreiche Verarbeitungen durchgeführt werden (z.B. Daten aus Videoüberwachungen). In solchen Fällen muss ein DSB unabhängig von der Mitarbeiterzahl benannt werden. Gleiches gilt für Behörden.

Die DSGVO schreibt eine Benennung für Unternehmen und Auftragsverarbeiter vor die im Kern ihrer Tätigkeiten umfangreich und regelmäßig personenbezogene Daten verarbeiten, die zur Überwachung von Personen erforderlich sind (z.B. Versicherungsunternehmen) oder besondere Kategorien von Daten (Art. 9 DSGVO) verarbeiten.

Für die Benennungspflicht sind sowohl die Anforderungen der DSGVO als auch die Bestimmungen des BDSG zu beachten.

Ein DSB wird mittels Vorlage benannt – s. Downloadformular „Musterbestellung für einen Datenschutzbeauftragten“ auf dieser Seite. Name und Kontaktmöglichkeit des benannten DSB muss auf der Unternehmenswebsite veröffentlich werden, damit er kontaktiert werden kann. Zudem muss der zuständige DSB auch der für Ihr Bundesland zuständigen Aufsichtsbehörde gemeldet werden. Diese stellen entsprechende Meldeformulare auf ihrer Website zur Verfügung.

Ein Datenschutzbeauftragter, der Unternehmen in Sachen Datenschutz weiterhilft, kann jederzeit beauftragt werden und ist in vielen Fällen von Vorteil, etwa bei der fachgerechten Beantwortung von Betroffenenanfragen. Die Aufgaben, Haftung und Benennung bleiben dieselben wie bei einer vorgeschriebenen Benennung. Der einzige Unterschied ist, dass ein freiwillig benannter Datenschutzbeauftragter jederzeit abberufen werden kann.

Die Benennung eines DSB erfolgt auf unbestimmte Zeit bzw. so lange, bis er das Amt niederlegt oder davon von Geschäftsseite abgezogen wird.


Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema "Benennung Datenschutzbeauftragter"

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr