Der Datenschutzbeauftragte nimmt eine zentrale Stellung im europäischen Datenschutzrecht ein. Die DSGVO regelt in den Artikeln siebenunddreißig bis neununddreißig die Benennung, Stellung und Aufgaben des Datenschutzbeauftragten. In Deutschland verschärft das Bundesdatenschutzgesetz (BDSG) diese Anforderungen zusätzlich: Bereits ab zwanzig Beschäftigten, die regelmäßig personenbezogene Daten verarbeiten, ist die Bestellung eines Datenschutzbeauftragten Pflicht. Eine große Zahl von Unternehmen in Deutschland beschäftigt derzeit einen internen oder externen Datenschutzbeauftragten, um den gesetzlichen Anforderungen gerecht zu werden.
Dieser Artikel erklärt, wann ein Datenschutzbeauftragter bestellt werden muss, welche Qualifikationen er mitbringen sollte und welche konkreten Pflichten er im Tagesgeschäft erfüllt. Die korrekte Bestellung und Einbindung des Datenschutzbeauftragten ist ein wesentlicher Baustein der DSGVO-Compliance und kann maßgeblich dazu beitragen, Risiken frühzeitig zu erkennen und zu minimieren.
Wann muss ein Datenschutzbeauftragter bestellt werden?
Die Bestellpflicht ergibt sich aus zwei Rechtsquellen: der DSGVO und dem nationalen Recht. Beide Ebenen müssen geprüft werden, um zu bestimmen, ob eine Organisation einen Datenschutzbeauftragten benennen muss. Diese doppelte Prüfung ist insbesondere für Unternehmen relevant, die in mehreren EU-Mitgliedstaaten tätig sind.
Bestellpflicht nach der DSGVO und dem BDSG
Artikel 37 DSGVO verpflichtet zur Benennung eines Datenschutzbeauftragten in drei Fällen: wenn Behörden oder öffentliche Stellen personenbezogene Daten verarbeiten, wenn die Kerntätigkeit des Verantwortlichen eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordert, oder wenn die Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten umfasst.
Das BDSG geht in Paragraf achtunddreißig über die DSGVO hinaus. Ein Datenschutzbeauftragter muss in Deutschland zusätzlich benannt werden, wenn mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Darüber hinaus ist die Bestellung unabhängig von der Beschäftigtenzahl erforderlich, wenn eine Datenschutz-Folgenabschätzung durchzuführen ist oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Markt- und Meinungsforschung verarbeitet werden.
Laut dem BfDI besteht in Deutschland bei der großen Mehrheit der Unternehmen mit mehr als fünfzig Beschäftigten eine Bestellpflicht. Die Nichteinhaltung dieser Pflicht kann empfindliche Konsequenzen nach sich ziehen.
Qualifikationen und Auswahlkriterien
Die DSGVO verlangt, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benannt wird. Die erforderliche Qualifikation richtet sich nach der Komplexität der jeweiligen Datenverarbeitung.
Fachliche Anforderungen und Zertifizierungen
Ein Datenschutzbeauftragter sollte über fundierte Kenntnisse im Datenschutzrecht (DSGVO, BDSG, ePrivacy-Verordnung und branchenspezifische Vorschriften), in der IT-Sicherheit (technische und organisatorische Maßnahmen, Verschlüsselung und Zugangskontrollen) sowie über ein gutes Verständnis der Geschäftsprozesse und Datenflüsse der Organisation verfügen. Die Fähigkeit, Datenschutzthemen verständlich an die Geschäftsführung und die Mitarbeiter zu vermitteln, ist dabei ebenso wichtig wie das juristische und technische Fachwissen.
Zertifizierungen des TÜV, der DEKRA oder der GDD bieten eine anerkannte Qualifikationsgrundlage. Eine Mehrheit der in Deutschland bestellten Datenschutzbeauftragten verfügt über eine solche Zertifizierung, was die Bedeutung formaler Nachweise in der Praxis unterstreicht.
Interner oder externer Datenschutzbeauftragter. Unternehmen können zwischen einem internen und einem externen Datenschutzbeauftragten wählen. Ein interner Datenschutzbeauftragter kennt die Unternehmensstruktur und die Prozesse aus erster Hand, genießt besonderen Kündigungsschutz nach dem BDSG und ist jederzeit ansprechbar. Allerdings muss das Unternehmen Interessenkonflikte vermeiden – Geschäftsführer, IT-Leiter oder Personalleiter kommen daher nicht als Datenschutzbeauftragte in Betracht. Ein externer Datenschutzbeauftragter bringt oft breite Branchenerfahrung mit, kann flexibler eingesetzt werden und verursacht keine arbeitsrechtlichen Bindungen. Die Kosten variieren je nach Unternehmensgröße und Verarbeitungsumfang erheblich.
Welche Aufgaben hat der Datenschutzbeauftragte?
Die Aufgaben des Datenschutzbeauftragten sind in Artikel 39 DSGVO geregelt. Der Datenschutzbeauftragte ist jedoch kein Verantwortlicher – die Verantwortung für die Einhaltung der DSGVO verbleibt stets beim Unternehmen selbst. Der Datenschutzbeauftragte hat eine beratende und überwachende Funktion, trifft aber keine eigenen Entscheidungen über die Datenverarbeitung.
Kernaufgaben und operative Tätigkeiten
Zu den Kernaufgaben gehören die Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten über ihre datenschutzrechtlichen Pflichten, die Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften, die Beratung bei der Datenschutz-Folgenabschätzung und deren Überwachung, die Zusammenarbeit mit der Aufsichtsbehörde und die Funktion als Anlaufstelle für die Behörde sowie die risikobasierte Priorisierung der Aufgaben unter Berücksichtigung der mit den Verarbeitungsvorgängen verbundenen Risiken.
In der Praxis gehen die Aufgaben eines Datenschutzbeauftragten oft über diesen gesetzlichen Katalog hinaus. Typische operative Tätigkeiten umfassen die Pflege des Verzeichnisses von Verarbeitungstätigkeiten, die Prüfung von Auftragsverarbeitungsverträgen, die Durchführung interner Datenschutzaudits, die Erstellung und Aktualisierung von Datenschutzrichtlinien, die Bearbeitung von Auskunftsersuchen und Löschanfragen sowie die Schulung von Mitarbeitern. Der zeitliche Aufwand für diese Tätigkeiten variiert erheblich je nach Unternehmensgröße und Komplexität der Datenverarbeitung.
Stellung und Schutz des Datenschutzbeauftragten
Die DSGVO garantiert dem Datenschutzbeauftragten eine unabhängige Stellung innerhalb der Organisation. Diese Unabhängigkeit ist essenziell für die Wirksamkeit seiner Überwachungsfunktion und darf durch den Verantwortlichen nicht eingeschränkt werden.
Unabhängigkeit, Weisungsfreiheit und Haftung
Gemäß Artikel achtunddreißig Absatz drei DSGVO darf der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Er ist an keine Weisungen gebunden, was die Erfüllung seiner Aufgaben betrifft, und berichtet unmittelbar der höchsten Managementebene. Der Verantwortliche muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle datenschutzrelevanten Fragen eingebunden wird und über ausreichende Ressourcen verfügt.
Die Leitlinien des EDPB zu Datenschutzbeauftragten betonen, dass auch die Bereitstellung ausreichender Ressourcen – Zeit, Budget und Zugang zu Informationen – eine Pflicht des Verantwortlichen ist. Eine persönliche Haftung des Datenschutzbeauftragten für Datenschutzverstöße ist grundsätzlich nicht vorgesehen. Die DSGVO richtet Bußgelder ausschließlich an den Verantwortlichen oder den Auftragsverarbeiter. Der Datenschutzbeauftragte kann jedoch bei grober Pflichtverletzung arbeitsrechtlich oder vertraglich zur Rechenschaft gezogen werden.
Wie vermeiden Sie typische Fehler bei der Bestellung?
Viele Unternehmen machen bei der Bestellung und Einbindung des Datenschutzbeauftragten vermeidbare Fehler, die zu DSGVO-Bußgeldern führen können. Die Kenntnis dieser Fallstricke hilft, kostspielige Compliance-Versäumnisse zu vermeiden.
Häufige Fehler und Vermeidungsstrategien
Interessenkonflikte: Die Bestellung von Personen mit widerstreitenden Interessen – beispielsweise IT-Leiter, Personalleiter oder Geschäftsführer – verstößt gegen die Anforderungen der DSGVO. Die belgische Datenschutzbehörde hat wegen eines solchen Interessenkonflikts bereits empfindliche Bußgelder verhängt. Der Berliner Datenschutzbeauftragte hat ebenfalls klargestellt, dass solche Konstellationen unzulässig sind.
Fehlende Ressourcen: Ein Datenschutzbeauftragter ohne ausreichende Zeit, Budget oder Zugang zu relevanten Informationen kann seine Aufgaben nicht wirksam erfüllen. Die DSGVO-Anforderungen verlangen eine angemessene Ausstattung, die der Komplexität und dem Umfang der Datenverarbeitungen entspricht.
Verspätete Einbindung: Der Datenschutzbeauftragte muss frühzeitig in alle datenschutzrelevanten Projekte und Entscheidungen eingebunden werden, nicht erst nachträglich. Eine systematische DSGVO-Checkliste hilft, diese Einbindung prozessual zu verankern und sicherzustellen, dass der Datenschutzbeauftragte bei allen relevanten Vorhaben von Anfang an beteiligt wird.
Fehlende Meldung an die Aufsichtsbehörde: Die Kontaktdaten des Datenschutzbeauftragten müssen der zuständigen Aufsichtsbehörde mitgeteilt und veröffentlicht werden. Diese Pflicht wird häufig übersehen, obwohl ihre Nichtbeachtung als Ordnungswidrigkeit geahndet werden kann.
Keine fortlaufende Weiterbildung: Das Datenschutzrecht entwickelt sich ständig weiter. Ein Datenschutzbeauftragter, der sich nicht regelmäßig fortbildet, kann seinen Aufgaben nicht dauerhaft gerecht werden. Der Verantwortliche sollte sicherstellen, dass der Datenschutzbeauftragte Zugang zu Fortbildungen und aktuellen Fachinformationen hat, um die Rechtsgrundlagen einschließlich des berechtigten Interesses stets korrekt bewerten zu können.
FAQ
Muss jedes Unternehmen in Deutschland einen Datenschutzbeauftragten bestellen?
Nein, nicht jedes Unternehmen ist zur Bestellung verpflichtet. Nach dem BDSG besteht die Pflicht, wenn mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn besondere Verarbeitungen wie eine Datenschutz-Folgenabschätzung erforderlich sind. Unternehmen unterhalb dieser Schwelle können freiwillig einen Datenschutzbeauftragten bestellen, was in der Praxis häufig empfehlenswert ist. Wichtige Entwicklung: Die Bundesregierung hat angekündigt, bis Ende 2026 die Aufhebung des § 38 Abs. 1 BDSG einzubringen, wodurch die nationale Bestellpflicht ab zwanzig Beschäftigten entfallen und sich die Pflicht künftig allein nach Artikel 37 DSGVO richten würde.
Was passiert, wenn kein Datenschutzbeauftragter bestellt wird, obwohl eine Pflicht besteht?
Die unterlassene Bestellung eines Datenschutzbeauftragten trotz bestehender Pflicht stellt einen Verstoß dar und kann mit erheblichen Bußgeldern geahndet werden. In der Praxis haben deutsche Aufsichtsbehörden in solchen Fällen Bußgelder in unterschiedlicher Höhe verhängt. Darüber hinaus erhöht das Fehlen eines Datenschutzbeauftragten das Risiko weiterer Compliance-Verstöße, da die fachliche Beratung und Überwachung fehlt.
Kann der Datenschutzbeauftragte auch andere Rollen im Unternehmen ausüben?
Grundsätzlich ja, sofern keine Interessenkonflikte entstehen. Der Datenschutzbeauftragte darf keine Position bekleiden, in der er über Zwecke und Mittel der Datenverarbeitung entscheidet. Positionen wie IT-Leiter, Personalleiter, Marketingleiter oder Geschäftsführer sind daher mit der Funktion des Datenschutzbeauftragten unvereinbar. Andere Funktionen, bei denen kein Entscheidungskonflikt besteht, können grundsätzlich parallel ausgeübt werden, sofern der zeitliche Aufwand eine ordnungsgemäße Aufgabenerfüllung zulässt.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
