Benennung Datenschutzbeauftragter

Wir unterstützen Sie bei der Bestellung Ihres betrieblichen Datenschutzbeauftragten

Über 1.300 Kunden in Deutschland und Europa
Team von 60+ Datenschutzexperten
DEKRA- und TÜV-zertifizierte Experten

Datenschutz ist ein hohes Gut und muss auf Grundlage verpflichtender gesetzlicher Bestimmungen von allen beachtet werden, die personenbezogene Daten nicht nur im Rahmen persönlicher und familiärer Tätigkeiten verarbeiten. Seit dem 25. Mai 2018 haben diese gesetzlichen Bestimmungen mit der EU-Datenschutz-Grundverordnung (EU-DSGVO) eine weitere Vertiefung erfahren. Für viele Unternehmen besteht die Pflicht, einen Datenschutzbeauftragten zu benennen. Davon unabhängig ist die Beachtung der strengen Datenschutzgrundverordnung grundsätzlich für alle Branchen verbindlich, die mit personenbezogenen Daten arbeiten. Dies betrifft den Großteil an Unternehmen, Ärzten, Juristen sowie öffentlichen Institutionen.

Wie wird ein Datenschutzbeauftragter bestellt?

Nach der Benennung eines Datenschutzbeauftragten (egal ob interner oder externer Datenschutzbeauftragter) muss die Geschäftsführung eines Unternehmens dessen Kontaktdaten gemäß Art. 37 DSGVO an die zuständige Aufsichtsbehörde melden. Sollte die Meldung nicht rechtzeitig erfolgen, kann ein Bußgeld von bis zu 10.000.000 € oder 2 % des Jahresumsatzes die Folge sein (Artikel 83 Absatz 4 DSGVO).

Entscheiden Sie sich für einen externen Datenschutzbeauftragten, wird dieser Sie bei der Meldung an die Aufsichtsbehörde und weiteren Prozessen unterstützen.

Einfache Bestellung des DSB mit Musterformular

Um Ihnen die Bestellung Ihres Datenschutzbeauftragten zu erleichtern, stellen wir Ihnen ein Musterformular zur Verfügung. Sie müssen es nur noch ausfüllen und an die zuständige Aufsichtsbehörde weiterleiten.

Zur Mustervorlage

Gesetzliche Vorschriften zur Benennung eines Datenschutzbeauftragten: Wann ist ein Datenschutzbeauftragter zu benennen?

Bei einer nicht automatisierten Datenverarbeitung bestand unter dem Bundesdatenschutzgesetz (BDSG) in der alten Fassung die Pflicht zur Benennung eines Datenschutzbeauftragten ab zwanzig damit beschäftigten Personen. Da jedoch ein großer Teil der geschützten Daten automatisiert verarbeitet wird, hatte diese Regelung auch unter dem alten BDSG keine hohe praktische Relevanz. Bisher und auch heute besteht die Pflicht zur Benennung eines Datenschutzbeauftragten ab 20 Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiteranzahl ist die Bestellung des Datenschutzbeauftragten unter anderem dann verpflichtend, wenn eine umfangreiche Verarbeitung besonderer Kategorien von Daten stattfindet oder besonders risikoreiche Verarbeitungen durchgeführt werden – wird kein DSB benannt, kann dies schwerwiegende Folgen haben. Dies kann insbesondere bei der Verarbeitung von Gesundheitsdaten, bei der Videoüberwachung öffentlich zugänglicher Bereiche, dem GPS-Tracking und bei Marktforschungsinstituten schnell der Fall sein. Für Behörden gilt die Benennungspflicht in der Regel uneingeschränkt.

Gesetzesänderungen seit dem 25. Mai 2018

Artikel 37 EU-DSGVO setzt die Vorgaben zur Benennung eines Datenschutzbeauftragten fest – diese werden durch die Bestimmungen in § 38 BDSG konkretisiert. Grundsätzlich kann ein betrieblicher Datenschutzbeauftragter (DSB) sowohl intern in Person eines Mitarbeiters als auch extern durch einen Dienstleister abgebildet werden.

Gemäß der EU-Datenschutz-Grundverordnung 2018 muss der Datenschutzbeauftragte nicht nur hinsichtlich der Einhaltung der gesetzlichen Vorgaben unterrichten und beraten, sondern ihm wird zusätzlich eine diesbezügliche Überwachungspflicht übertragen. Dazu gehört unter anderem die Überwachung der Strategie des Verantwortlichen zur Schulung von Mitarbeitern im Umgang mit personenbezogenen und sensiblen Daten. Dies hat insbesondere für kleinere Unternehmen weitreichende Folgen, da eine interne Bestellung eines Datenschutzbeauftragten oft mit hohen Kosten verbunden ist, die meist nicht getragen werden können. Geschäftsführer oder Behördenleiter kommen zudem aufgrund möglicher Interessenskollisionen bzw. eines Interessenskonflikts nicht als interner Datenschutzbeauftragter in Frage. Wird die Pflicht zur Bestellung eines Datenschutzbeauftragten missachtet, drohen zudem erhebliche Sanktionen.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Unser Team von 60+ Experten

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 1.300 Kundenprojekten in über 50 Branchen.

Checkliste: Bestellung eines Datenschutzbeauftragten

So sollten Sie bei der Bestellung eines DSB vorgehen:

Bedarf klären:
- - Sind in Ihrem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten zuständig?
- - Sie übermitteln in Ihrem Unternehmen personenbezogene Daten geschäftsmäßig, erheben oder verarbeiten solche (z.B. zu Marktforschungszwecken)?
- - Ihr Unternehmen verarbeitet besonders sensible personenbezogene Daten, wie z.B. Gesundheitsdaten?
- - Sie wollen Ihren Datenschutz in fachkundige Hände geben?
- Sollten Sie eine dieser Fragen mit „Ja“ beantwortet haben, müssen Sie einen Datenschutzbeauftragten bestellen. Nun sollten Sie folgende Schritte beachten:
Benennen Sie einen Datenschutzbeauftragten für Ihr Unternehmen (einen geeigneten Mitarbeiter oder einen externen DSB). Dies muss offiziell mit einer Vorlage (Musterbestellung für einen Datenschutzbeauftragten) geschehen. Eine solche Benennungsvorlage können Sie hier downloaden.
Veröffentlichen Sie die Kontaktdaten Ihres DSB auf Ihrer Website (E-Mail-Adresse und optional Name).
Teilen Sie der für Ihr Bundesland zuständigen Aufsichtsbehörde mit, wer der für Ihre Unternehmen bestellte Datenschutzbeauftragte ist.

Bestellungsurkunde Datenschutzbeauftragter – darum ist sie wichtig

Wenn Sie nun einen Datenschutzbeauftragten (DSB) bestellen, haben Sie zwei Optionen: Sie können einen internen oder einen externen Datenschutzbeauftragten benennen. In beiden Fällen braucht es eine Bestellungsurkunde (auch Benennungsurkunde genannt), in der die Aufgaben des Datenschutzbeauftragten geregelt sind und die sowohl vom Verantwortlichen im Unternehmen (meist die Geschäftsführung) als auch dem DSB selbst unterzeichnet wird. Zwar wird der exakte Inhalt einer Bestellungsurkunde für einen Datenschutzbeauftragten weder in der DSGVO noch im BDSG ausdrücklich erwähnt, sie dient aber sowohl als Tätigkeitsgrundlage für den neuen DSB als auch der Dokumentation seiner Benennung und ist deshalb ein wichtiger Baustein bei der Bestellung eines DSB.

Was muss eine Bestellungsurkunde für einen Datenschutzbeauftragten beinhalten?

Eine Bestellungsurkunde für einen DSB hat keine rechtlich exakt festgelegte Form. Sie sollte jedoch folgende Punkte beinhalten:

Name und Tätigkeitsgebiet des neuen DSB (letzteres nur, wenn es sich um einen internen DSB handelt)
Gesetzliche Grundlage der Benennung (Benennung gemäß Art. 37 DSGVO in Verbindung mit § 38 BDSG)
Anfangsdatum der Tätigkeit als Datenschutzbeauftragter
Die Aufgaben des DSB inkl. gesetzlicher Grundlagen
Der Hinweis auf die Weisungsfreiheit innerhalb des Unternehmens
Die Unterschrift des berufenen DSB und die des Verantwortlichen im Unternehmen

Übrigens: Wenn Sie sich für einen externen Datenschutzbeauftragten entscheiden, dann braucht es neben einer Bestellungsurkunde auch einen Dienstleistungsvertrag, in dem alle Aufgabenbereiche geregelt sind. Um diesen kümmert sich aber im Regelfall der externe DSB.

Unsere Leistungspakete für den externen Datenschutzbeauftragten und die Datenschutzsoftware Proliance 360

Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.