Nicole Biermann-Wehmeyer

Autorin, Juristin, Compliance Officer, Digitalisierungsberaterin

Nicole-biermann-wehmeyer-quadrat

Bildungsinstitut Wirtschaft

Das Onlinemagazin

Bildungsinstitut-Wirtschaft

Lara Wehmeyer

Studentin

Die besten BIW-Blogs, die Ihr Business ankurbeln und Lösungen schaffen

Wie werde ich Datenschutzbeauftragte/r?

Wie werde ich Datenschutzbeauftragte:r?.1.3

Wie werde ich Datenschutzbeauftragte/r?

Wann ist ein Datenschutzbeauftragter erforderlich?

Ab wann muss ein Datenschutzbeauftragter bestellt werden nach DSGVO?
Nach der DSGVO wird vorgegeben, ab wann der Verantwortliche oder der Auftragsverarbeiter einen Datenschutzbeauftragten schriftlich benennen müssen.
Wenn in einem Unternehmen 20 (nach DSGVO 20 Mitarbeitende – nach BDSG 10 Mitarbeitende) oder mehr Mitarbeitende mit der Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter erforderlich. Dazu zählen auch öffentliche Stellen oder Behörden. Eine Ausnahme bilden Gerichten, solange diese in ihrem justiziellen Betrieb tätig sind.

Gerichte unterliegen nicht der Kontrolle durch den Landesbeauftragten für den Datenschutz, soweit sie in richterlicher Unabhängigkeit tätig werden. Sie können sich aber von ihm datenschutzrechtlich beraten lassen. Davon haben Gerichte auch bereits Gebrauch gemacht.

Ein Datenschutzbeauftragter ist zudem erforderlich, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters eine systematische Überwachung von betroffenen Personen erforderlich machen.

Zusätzlich muss ein Datenschutzbeauftragter benannt werden, wenn personenbezogene Daten in bestimmten Fällen von strafrechtlichen Verurteilungen oder Straftaten verarbeitet werden

Auch in anderen Fällen und unabhängig von der Mitarbeiteranzahl, kann ein Datenschutzbeauftragter nach DSGVO bestellt werden. Diese Maßnahme erfolgt in Fällen, in denen sehr spezielle und umfangreiche personenbezogene Datenverarbeitung durchgeführt wird.

Zum Beispiel bei der Verarbeitung von Daten zu  politischen/religiösen Überzeugungen, Ethnie/Rasse, Gesundheit und Sexualleben personenbezogene Datenverarbeitungen.

Erforderlichkeit und Benennung des Datenschutzbeauftragten nach BDSG

Trotz der neuen DSGVO gilt das Bundesdatenschutzgesetz (BDSG) wo die DSGVO keine spezielle Regelung anbietet.  Nach dem BDSG  ist ein Datenschutzbeauftragter Pflicht, wenn 10 oder mehr Personen personenbezogene Daten automatisiert verarbeiten.

Weiterhin müssen Unternehmen einen Datenschutzbeauftragten schriftlich benennen, wenn bestimmte Vorraussetzungen vorliegen:

  • Übermittlung personenbezogener Daten
  • Anonyme Übermittlung von Daten

Der deutsche Gesetzgeber hat die Öffnungsklausel des Artikel 37 Abs. 4 Satz 1 DSGVO genutzt. Für die Benennung des betrieblichen Datenschutzbeauftragten wurden nationale Sonderregelungen geschaffen. Wenn in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter erforderlich.

Bei der Anzahl der Mitarbeitenden ist die Arbeitnehmereigenschaft der beschäftigten Personen nicht entscheidend. Folgende Personen sind bei der Berechnung zu berücksichtigen:

  • Vollzeitbeschäftigte
  • Teilzeitbeschäftigte
  • Leiharbeiter
  • Auszubildende
  • Praktikanten

Bei der Auslegung des Begriffs der automatisierten Verarbeitung personenbezogener Daten ist ausreichend, dass die beschäftigten Personen einen personalisierten E-Mail-Account haben. Es ist nicht erforderlich, dass die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten die Kernaufgabe der beschäftigten Person ist.

Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht nach § 38 Abs. 1 Satz 1 BDSG.

Wie werde ich Datenschutzbeauftragte/r? - Benennungspflichten und Freiwilligkeit

Das BDSG nennt in § 38 Abs. 1 Satz 2  weitere Szenarien.  Fälle, in denen eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) notwendig ist. Sowie Konstellationen, in denen personenbezogene Daten geschäftsmäßig zum Zweck der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

  • Beispiel ist ein Unternehmen, dass flächendeckend Fingerabdrucksensoren zur Zutrittskontrolle für bestimmte Bereiche einsetzt
  • Weiterhin Auskunfteien oder Bewertungsportale

Selbst wenn Unternehmen keine Pflicht trifft, können sie trotzdem auf freiwilliger Basis nach Art. 37 Abs. 4 DSGVO einen Datenschutzbeauftragten benennen. Er hat grundsätzlich dieselbe Stellung wie der verpflichtend benannte Datenschutzbeauftragte. Beispielsweise beim Zeugnisverweigerungsrecht nach (§ 38 Abs. 2 i.V.m § 6 Abs. 6 BDSG) oder bei der  Verschwiegenheitsverpflichtung (§ 38 Abs. 2 i.V.m § 6 Abs. 5 Satz 2 BDSG). Jedoch nicht bei der Abberufung oder Kündigung des Datenschutzbeauftragten (§ 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG).

Wie werde ich Datenschutzbeauftragte/r?
Wie werde ich Datenschutzbeauftragte:r?.1.3

Wie werde ich Datenschutzbeauftragter? - Offizielle Benennung

Wie werde ich Datenschutzbeauftragte/r bezogen auf eine offizielle Benennung? Der Zeitpunkt der Benennung des Datenschutzbeauftragten ist nicht zwingend vorgeschrieben.
Da weder die DSGVO noch das BDSG eine Frist zur Benennung des Datenschutzbeauftragten enthalten, hat die Benennung ohne schuldhaftes Zögern, demnach unverzüglich erfolgen. Folgende Punkte und Eckdaten sind wichtig:

  • Schriftform ist nicht erforderlich – jedoch empfehlenswert
  • Veröffentlichungs- und Mitteilungspflicht ist gegeben
  • Benennung in der Regel durch die Veröffentlichung der Kontaktdaten und die Mitteilung an die Aufsichtsbehörden
  • Mitteilungs- und Veröffentlichungspflicht aufgrund der Rolle des DB
  • Zentrale Anlaufstelle für Betroffene, Verantwortliche, Auftragsverarbeiter und Aufsichtsbehörden
  • Artikel 5 DSGVO – Transparenzgrundsatz
  • Sinn und Zweck der Veröffentlichungs- und Mitteilungspflicht ist die Open Door Policy
  • Der Datenschutzbeauftragte als Ratgeber und Vertrauensperson
  • Veröffentlichung im Unternehmen durch die vorhandenen Kommunikationskanäle
  • E-Mail, Intranet, Wikipedia-Anwendung, Informationsrundschreiben, Website
  • Einrichtung eines Kontaktformulars auf der Website, separate Telefonnummer
  • Bekanntgabe des Namens gegenüber Aufsichtsbehörden und Beschäftigten empfohlen
  • Aus Gründen der Rechtssicherheit unterschriebene Bestellurkunde sinnvoll
  • Ergänzend ein Dienstleistungsvertrag und eine Ergänzung zum Arbeitsvertrag
  • Konzernprivileg für Benennung
  • Die DSGVO ermöglicht Verantwortlichen und Auftragsverarbeitern die Benennung eines Datenschutzbeauftragten für eine Unternehmensgruppe
  • Keine separate Bestellung für jedes einzelne Konzernunternehmen (erforderlich ist gute Erreichbarkeit des DB)
  • Wichtig ist die Möglichkeit des DB mit den Aufsichtsbehörden zu kommunizieren
  • Konzerndatenschutzbeauftragter kann auch außerhalb Deutschlands für deutsche Niederlassungen benannt werden
  • Entscheidend ist, dass der Datenschutzbeauftragte in der Lage ist,
    für Betroffene und Aufsichtsbehörden persönlich als Ansprechpartner zur Verfügung zu stehen
  • Die von der DSGVO auferlegten Aufgaben müssen erfüllbar sein
  • Der Datenschutzbeauftragte in der Europäischen Union kann unterschiedliche Filialen übernehmen
  • Die Beauftragung eines Datenschutzteams kann geeignet sein, die Erfüllung der nach der DSGVO obliegenden Aufgaben effizient zu gestalten
  • Die Übernahme der Aufgaben des Datenschutzbeauftragten durch ein Team kann jedoch auch zu erheblicher Rechtsunsicherheit führen
  • Fragen der Zuständigkeit, der Haftungsverteilung oder des Abberufungs- und Kündigungsschutzes können unklar sein
Es ist somit sinnvoll, die Zuständigkeiten eindeutig zu kommunizieren und die Berufung auch ohne zwingende Erforderlichkeit schriftlich zu fixieren.

Folgen des Verstoßes bei fehlender Benennung des Datenschutzbeauftragten

Was passiert nun, wenn man keinen Datenschutzbeauftragten hat? Bei fehlender Besetzung der Position des Datenschutzbeauftragten kann es zu unangenehmen Rechtsfolgen und Bußgeldern für das Unternehmen führen

Die konkreten Rechtsfolgen sind unangenehm und vermeidbar. Das  Fehlen einer Benennung stellt nämlich einen Verstoß gegen Art. 37 DSGVO dar. Damit stehen der Aufsichtsbehörde die vollständige Maßnahmen aus dem Katalog Katalog des Art. 58 DSGVO zur Verfügung. 

  • Verhängung eines Bußgelds nach Art. 83 DSGVO
  • Nach Art. 83 Abs. 4 lit. a DSGVO bis zu 10.000.000 EUR
  • Alternativ bei Unternehmen bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des jeweils vorangegangenen Geschäftsjahres

Die Haftung richtet sich nach der Anzahl und Schwere der Verstöße. Zumeist liegen weitere Verstöße vor, durch die auffällt, dass es in dem zur Diskussion stehenden Punkt keinen Verantwortlichen für den Datenschutz gibt. Bei mehreren Verstößen fällt die Sanktion deutlich strenger aus. Die Höhe der Bußgelder ist unterschiedlich. Einige Beispiele für die Höhe von Bußgeldern aus der Praxis:

  • 51.000 EUR gegen die Facebook Germany GmbH 
  • 75.000 EUR gegen das griechische Tourismusministerium wegen verspäteter Benennung eines Datenschutzbeauftragten 
  • 64.000 EUR gegen „Mr. Wash“( 10.000 EUR alleine für die Nichtbenennung eines Datenschutzbeauftragten)
Es ist wichtig, die Benennung eines Datenschutzbeauftragten nicht “auf die lange Bank” zu schieben, denn das kann kostspielig werden. Zudem sind die Daten die neue Währung. Passgenaue digitale Werbung wird immer wichtiger und lukrativer. Es ist daher eine sehr wichtige Aufgabe für die Geschäftsführung in einem Unternehmen, die Daten der Kunden, Mitarbeitenden und allen sonstigen Beteiligten zu schützen.

Qualifikation des Datenschutzbeauftragten

Welche Fachkunde und Qualifikation muss ein Datenschutzbeauftragter mitbringen?

Diese Frage wird häufig gestellt. Das Gesetz beantwortet diese Frage nicht abschließend. Viele Funktionen benötigen außer der Fachkompetenz, auch die Fähigkeit der optimalen Schnittstellenkommunikation. Aufsichtsbehörden und Gerichte haben einige Punkte entwickelt, die für die Qualifikation des/der Datenschutzbeauftragten wichtig sind.

  • Die Qualifikation des Datenschutzbeauftragten richtet sich nach EG 97 Abs. 3 DSGVO
  • Die Datenverarbeitungsvorgänge sind entscheidend und der erforderliche Schutz der Daten
  • Je höher das Risiko bei der Verarbeitung der Daten desto höher das Schutzbedürfnis
  • Die Anforderungen an die Qualifikation des Datenschutzbeauftragten ist proportional höher
  • Nach Art. 37 Abs. 5 DSGVO erfolgt die Benennung auf Grundlage der beruflichen und fachlichen Qualifikation
  • Kenntnisse im Datenschutzrecht und in der Datenschutzpraxis
  • Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben
Das erforderliche Fachwissen ist elementar für die Ausübung der Aufgaben des Datenschutzbeauftragten. Weiterhin muss das Wissen ständig aktualisiert und evaluiert werden.

Die Kenntnisse richten sich nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz des Unternehmens.

Für die Einordnung ist die Größe der Organisationseinheit wichtig. Weiterhin die Prozesse der Datenverarbeitung und die Abstimmung mit der IT-Abteilung und eine Risikoanalyse.

Welche Fachkunde sollte der Datenschutzbeauftragte nun besitzen?

Zunächst sind die  Schwerpunkte bei der notwendigen rechtlichen, organisatorischen und technischen Fachkunde zu bestimmen. Der/die Datenschutzbeauftragte sollte umfassende Kenntnisse des Datenschutzrechts haben. Folgende Themen sind wichtig:

  • Anwendung von technischen und organisatorischen Maßnahmen
  • Anforderungen an den Datenschutz und Technik
  • Datenschutzfreundliche Voreinstellungen und Datensicherheit
  • Risikoanalyse der Einschätzung der Sensibilität der Daten
  • Fähigkeit, die Kommunikationsschnittstelle zu den Mitarbeitenden und zu dem etwaigen Betriebsrat zu bilden
  • Fachkompetenz auf dem Gebiet des nationalen und europäischen Datenschutzrechts und der Datenschutzpraxis
  • Umfassendes Verständnisses der DSGVO
  • Verständnis der jeweils durchgeführten Verarbeitungsvorgänge
  • Kenntnisse in den Bereichen IT und Datensicherheit
  • Kenntnis der jeweiligen Branche und Einrichtung
  • Fähigkeit, eine Datenschutzkultur innerhalb der Einrichtung zu fördern
Es ist wichtig, dass die/der Datenschutzbeauftragte/r das Verständnis für Datenschutz den Mitarbeitenden näher bringt, ohne dass der Unternehmensalltag zu sehr in der Ablauforganisation geschwächt wird.

Wichtig sind sehr gute Kommunikationsfähigkeiten und Empathie. Es gibt weiterhin noch Auflagen, die durch die Rechtsprechung entwickelt wurden.

 

Was sagen die Gerichte zur Fachkunde eines Datenschutzbeauftragten?

Der BGH hebt in der in einer wichtigen Entscheidung hervor, dass der Kern und Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten auf der rechtlichen Ebene liege, auch wenn Sachkunde in weiteren Bereichen erforderlich ist. Der Datenschutzbeauftragte sollte weitreichende Kenntnisse in der Informations- und Kommunikationstechnik sowie in der Betriebswirtschaft und Prozessoptimierung nachweisen können. (BGH-Urteil in NJW 2018, 3701, Rz 71 bis 73)

Folgende Eigenschaften werden in der Rechtsprechung  als wichtig in den Fokus gestellt.

  • Umfangreiche juristische Kenntnisse zum Datenschutz
  • Kenntnisse der Reglungen des Bundes- und des jeweiligen Landesdatenschutzgesetzes
  • Kenntnisse bezüglich der datenschutzrelevanten Spezialregelungen im Zivil-, Straf-, Steuer-, Sozial-, Arbeits- und Verwaltungsrecht
  • Umfangreiche technische Kenntnisse auf dem Gebiet der sog. Computer-Hardware und der unterschiedlichen System- und Anwendersoftware
  • Pädagogische Fähigkeiten und Kenntnisse für die Schulungen der Mitarbeitenden
  • Kenntnisse des Datenschutzrechts, zur Technik der Datenverarbeitung und zu den betrieblichen Abläufen 
  • Pflicht zur Weiterbildung und Erhalt der Fachkunde des DSB
  • Stetige Weiterbildung im IT- und juristischen Bereich
  • Die Fortbildungen müssen durch das Unternehmen gewährleistet werden
  • Kompensation etwaiger Defizite durch das mit dem Datenschutz betrauten Team
  • Verantwortlicher haftet für fehlende Fachkunde des Datenschutzbeauftragten
  • Aus  Art. 38 Abs. 2 DSGVO ergibt sich die gesetzliche Pflicht des Verantwortlichen, das heißt, dass dieser am Ende dafür verantwortlich ist, dass der Datenschutzbeauftragte eine ausreichende Fachkunde besitzt und dass er dem DSB ausreichende Ressourcen zur Verfügung stellt, um diese Fachkunde aufrechtzuerhalten
  • Für die rechtlichen und organisatorischen Verstöße des Verantwortlichen haftet der Datenschutzbeauftragte grundsätzlich nicht
  • Der Datenschutzbeauftragte/er kann den verantwortlichen Geschäftsführer/in/ oder Inhaber/in nicht zur Umsetzung von Maßnahmen zwingen, die die DSGVO fordert
  • Die Verweigerung der Unterstützung kann mit einem Bußgeld  geahndet werden.
  • Die Aufsichtsbehörden können das jeweilige Fachwissen des Datenschutzbeauftragten überprüfen 
  • Empfehlung: Fachspezifische Nachweise sowie beruflich/fachliche einschlägige Erfahrungen des DB sollten dokumentiert werden

Welche Aufgaben hat ein Datenschutzbeauftragter - Wie werde ich Datenschutzbeauftragter

Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten
  • Überwachung der Einhaltung der Datenschutzvorschriften 
  • Auftragsverarbeitungsverträge und Verfahrensverzeichnis
  • Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeitenden
  • Evaluation und Kontrolle
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36
  • Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung

Haftungsrisiken wegen fehlender Fachkunde

Wenn die nötige Fachkunde und das Fachwissen des Datenschutzbeauftragten fehlen, kann das unterschiedliche Konsequenzen haben:

  • Verhängen einer Geldbuße
  • Verfahren stellt einen Verstoß gegen Art. 37 Abs. 5 und Art. 38 Abs. 2 DSGVO dar
  • Im Falle von Verstößen gegen die DSGVO steht der Aufsichtsbehörde der vollständige Maßnahmen-Katalog des Art. 58 DSGVO zur Verfügung.
  • Verhängung eines Bußgelds nach Art. 83 DSGVO
  • Bis 10.000.000 EUR oder im Fall eines Unternehmens bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen

Haftung des Datenschutzbeauftragten

In unseren Seminaren werden wir häufig gefragt, welche Haftungsrisiken es für die/den Datenschutzbeauftragte/n gibt.

Hat der Datenschutzbeauftragte mit einem leicht fahrlässigen Verhalten einen Schaden verursacht, muss er von der Haftung freigestellt werden Anders sieht es bei grober Fahrlässigkeit und Vorsatz aus.

Die Pflichten des Datenschutzbeauftragten bestehen im Wesentlichen darin, Kontrolle über folgende Themen auszuüben:

  1. Korrekte Umsetzung des Datenschutzes im Unternehmen
  2. Prüfung und Beratung, ob die Inhaber oder Geschäftsführer eine geeignete Strategie zur Umsetzung des Datenschutzes verfolgen

Wer haftet bei einem Verstoß gegen diese Punkte? Grundsätzlich haftet der für den Datenschutz Verantwortliche, also das Unternehmen, welches die Daten verarbeitet, oder ein entsprechender Auftragsverarbeiter. Ein  „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
In den Unternehmen gelten die internen Haftungsrichtlinien. Es haftet die der “Verantwortliche”. Das kann der Inhaber, Geschäftsführeroder Vorstand sein. Es sei denn das Organisationsverschulden wird in ein Individualverschulden umgewandelt.
Kann ein Mitarbeitender aufgrund eines Datenschutzverstoßes bestraft werden?
Verfolgt der Mitarbeiter demnach eigene Zwecke und wird so zum datenschutzrechtlichen Verantwortlichen nach Art. 4 Nr. 7 DSGVO, so droht dem Mitarbeiter bei Datenschutzverstößen ein Bußgeld der Aufsichtsbehörde und/oder ein Schadensersatzanspruch der Betroffenen.

Wie werde ich Datenschutzbeauftragte/r? Fortbildung zum Datenschutzbeauftragten vom Bildungsinstitut Wirtschaft.

Wie werde ich Datenschutzbeauftragte/r?

E-Learning:

Datenschutz Modul 1

Picture of Nicole Biermann-Wehmeyer

Nicole Biermann-Wehmeyer

Individuell & kompetent

Wir beraten Sie gerne und stellen auch individuelle und geförderte Beratungs- und Schulungskonzepte für Sie zusammen.

Inhouse Schulungen

Das BIW ist spezialisiert auf Inhouse-Schulungen in Unternehmen, Kammern und Universitäten.
Wir stellen für Sie Seminarpakete und individuelle eintägige Schulungen in vielen Themengebieten zusammen

Letzte Artikel

Recent Posts

Vorträge

Unsere Dozenten halten Vorträge auf Veranstaltungen, Messen und Events

  • Vortrag Social Media & Digitalisierung
  • Vorträge Kommunikation & Konfliktmanagement
  • Vortrag Business Etikette
  • Vortrag Compliance & DS-GVO

Nicole Biermann-Wehmeyer ist häufig Rednerin bei Messen und Events.