Datenschutzbeauftragter und DSGVO: Was Sie jetzt tun müssen

Wann benötigt ein Unternehmen einen Datenschutzbeauftragten? Welche Aufgaben übernimmt der Datenschutzbeauftragte? Kann der Datenschutzbeauftragte auch intern bestellt werden oder muss es stets ein externer Datenschutzbeauftragter sein? Diese und viele weitere Fragen stellen sich angesichts der neuen DSGVO zahlreiche Gründer und Unternehmer.

Wir geben einen praktischen Überblick über das wichtige Thema. Zudem stellen wir Ihnen vor, wie die Datenschutzerklärung Ihres Unternehmens aussehen kann.

Von
Chefredakteur

Chefredakteur: René Klein
Für-Gründer.de Redaktion

René Klein verantwortet als Chefredakteur seit über 10 Jahren die Inhalte auf dem Portal und aller Publikationen von Für-Gründer.de. Er ist regelmäßig Gesprächspartner in anderen Medien und verfasst zahlreiche externe Fachbeiträge zu Gründungsthemen. Vor seiner Zeit als Chefredakteur und Mitgründer von Für-Gründer.de hat er börsennotierte Unternehmen im Bereich Finanzmarktkommunikation beraten.

Brauchen Sie einen Datenschutzbeauftragten?

Wie in vielen anderen Punkten der Datenschutz-Grundverordnung (kurz DSGVO), herrscht auch im Hinblick auf den Datenschutzbeauftragten in den Unternehmen Unklarheit. Doch für wen genau ist das Thema überhaupt von Bedeutung? Das ist so erstmal einfach zu beantworten: für alle Unternehmen, die mit personenbezogenen Daten arbeiten. Ob Sie diese online beziehen oder in verstaubten Aktenordner nachblättern, ist dabei irrelevant. Aber wann ist ein Datenschutzbeauftragter denn nun gesetzlich erforderlich?

Die magische 10-Mitarbeiter-Grenze

Der Datenschutzbeauftragte spielte bereits vor Inkrafttreten der DSGVO eine wichtige Rolle für den Datenschutz im Unternehmen. Seine Bedeutung nahm jedoch durch die neue Rechtsprechung deutlich zu.

Das Bundesdatenschutzgesetz (BDSG) schreibt vor, wann Sie als Unternehmer dazu verpflichtet sind, einen Datenschutzbeauftragten für Ihr Unternehmen zu beauftragen. Es ergeben sich im Wesentlichen drei Voraussetzungen, die Sie für Ihr Unternehmen prüfen müssen:

#1 Beschäftigung von mindestens zehn Mitarbeitern, die personenbezogene Daten automatisiert verarbeiten

Dabei ist irrelevant, ob es sich um Festangestellte, Werkstudenten oder Freelancer handelt. Da diese Arbeiten maschinell ausgeführt werden, ist von einer automatisierten Verarbeitung der Daten auszugehen.

#2 Geschäftmäßige Übermittlung, Erhebung oder Verarbeitung personenbezogener Daten

Das betrifft beispielweise Unternehmen, die Marktstudien vornehmen. Die Anzahl der Beschäftigten spielt dabei keine Rolle mehr. Das kommt jedoch in den seltesten Fällen vor. So besteht bspw. bei einem Online-Shop die Haupttätigkeit im Verkauf von Produkten. Hier sind vornehmlich Auskunfteien und Marktforschungsinstitute gemeint.

#3 Verarbeitung von besonders sensiblen Daten

Darunter fallen beispielsweise Bankdaten. Verarbeiten Sie solche Daten, ist es ganz gleich wie viele Mitarbeiter Sie beschäftigen, unter solchen Umständen ist die Bestellung eines Datenschutzbeauftragten Pflicht.

Ist eine Voraussetzung bei Ihnen erfüllt, müssen Sie ohne Wenn und Aber einen Datenschutzbeauftragten bestellen.

Zu #1 Wer zählt zu diesen 10 Personen?

Während unter Punkt #2 und #3 unabhängig von der Personenzahl eine Pflicht zur Bestellung eines Datenschutzbeauftragten bereithalten, sieht es unter Punkt #1 ganz anders aus. In diesem Fall ist eine Mindestzahl von 10 Mitarbeitern, die mit der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen beschäftigt sein müssen, vonnöten.

Zur Erläuterung: bei personenbezogenen Daten handelt es sich um Einzelangaben, die über persönliche oder sachliche Verhältnisse informieren:

„(...) als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“ (Art. 4 Nr. 1 DSGVO)

mit Verarbeitung ist gemeint:

„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“ (Art. 4 Nr. 2 DSVGO)

Um ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt zu sein, reicht es, einen Zugang personenbezogenen Daten zu haben. Zur Verdeutlichung: Ein Werkstudent, der am Rechner Briefköpfe mit Kundenadressen versieht, fällt unter die 10-Mitarbeiter-Grenze. Der Mitarbeiter jedoch, der lediglich die Briefe in den Umschlag steckt, fällt nicht unter die Regelung.

Das heißt jetzt genau? Prüfung des Einzelfalls

Ob Sie einen Datenschutzbeauftragen benötigen, kommt immer auf den Einzelfall an und bedarf jeweils einer gründlichen Prüfung. Grundsätzlich lässt sich aber zusammenfassend sagen, dass Sie zwingend einen Datenschutzbeauftragen benötigen, sobald Sie mindestens 10 Mitarbeiter beschäftigen und diese personenbezogene Daten verarbeiten.

Sollten Sie dieser Pflicht nicht nachgehen, müssen Sie mit hohen Bußgeldern rechnen. Prüfen Sie daher sorgfältig, ob Sie einen Datenschutzbeauftragten bestellen müssen oder nicht. Da außerdem auch die Kontaktdaten des Datenschutzbeauftragten sichtbar veröffentlicht werden müssen (bspw. in der Datenschutzerklärung auf der Website), besteht auch hier ein Abmahnrisiko.

Tipp

Prüfen Sie, ob mindestens 10 Ihrer Mitarbeiter elektronischen Zugriff auf personenbezogene Daten haben. Ist dies der Fall, benötigen Sie einen Datenschutzbeauftragten.

Wer darf als Datenschutzbeauftragter benannt werden?

Theoretisch kann jeder, der sich gut genug auskennt, zum Datenschutzbeauftragten ernannt werden, in der Praxis sieht es aber nicht ganz so einfach aus. Wichtig ist, dass als Datenschutzbeauftragter grundsätzlich nur eine Person benannt werden sollte. Ob der Datenschutzbeauftrage in Ihrem Unternehmen ein interner Mitarbeiter ist oder die Aufgabe von einem externen Datenschutzbeauftragten ausgeübt wird, spielt dabei keine Rolle. Beide Varianten sind denkbar und haben ihre Vor- und Nachteile:

Da der interne Datenschutzbeauftragte direkter an den Abläufen in Ihrem Unternehmen beteiligt ist, bringt dies einen großen Vorteil gegenüber einem externen Datenschutzbeauftragten mit sich. Könnte dann nicht einfach die Geschäftsleitung die Rolle des Datenschutzbeauftragen übernehmen? Leider nein. Denn der Datenschutzbeauftragte ist weisungsfrei und direkt der Geschäftsleitung zu unterstellen. Geschäftsführer dürfen also aufgrund möglicher Interessenskonflikte nicht Datenschutzbeauftragter im eigenen Unternehmen sein. Wichtig zu wissen ist, dass Datenschutzbeauftragte einen besonderen Kündigungsschutz genießen. Wenn Sie die Position in Ihrem Unternehmen intern besetzen, ist nur eine Kündigung aus wichtigem Grund zulässig.

Bei der Beauftragung eines externen Datenschutzbeauftragten muss dieser zunächst in die Unternehmenshistorie eingeführt werden. Zudem kann es vorkommen, dass dieser nicht immer sofort greifbar ist, wenn dringende Fragen aufkommen. Ein entscheidender Vorteil liegt jedoch klar auf der Hand: wenn der externe Datenschutzbeauftragte nicht ordnungsgemäß arbeitet und es zu einer Klage von außen kommt, haftet er ganz alleine dafür. Daneben unterliegen externe Datenschutzbeauftragte im Gegensatz zum internen Datenschutzbeauftragten keinem besonderem Kündigungsschutz.

Ganz gleich, für wen sich entschieden wird: Entscheidend ist, dass der bestellte Datenschutzbeauftragte ein entsprechendes Fachwissen vorweisen kann.

Datenschutzbeauftragter: Aufgaben und Pflichten

Inhaltlich ändert sich an den Aufgaben und Pflichten des Datenschutzbeauftragten mit Start der DSGVO Ende Mai 2018 tatsächlich nicht allzu viel. Neu sind hierbei lediglich der Begriff der Beratung und die ausformulierten Aufgaben. Nichtsdestotrotz bleibt es in der Praxis bei den schon heute bekannten Aufgaben des Datenschutzbeauftragten:

  • Beratung und Unterrichtung der Personen, die Daten verarbeiten;
  • Überweisung der Einhaltung der europäischen sowie nationalen datenschutzrechtlichen Vorschriften;
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung der Durchführung dieser;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Anlaufstelle für die Aufsichtsbehörde

Der Datenschutzbeauftragte ist zwar für die Einhaltung seiner gesetzlich festgelegten Aufgaben verantwortlich, eine weitergehende Haftung ist aber ausgeschlossen.

Tipp

Bald soll neben der neuen DSGVO auch die Privacy-Verordnung kommen. Als Unternehmer sollten Sie das Thema in jedem Fall weiter verfolgen und sich informieren.

Was kostet ein Datenschutzbeauftragter?

Die wohl ehrlichste Antwort auf diese Frage kann nur lauten „Es kommt darauf an." Denn Fragen nach den Kosten lassen sich für eine solche Dienstleistung nicht so einfach pauschalisieren, denn Datenschutz ist eine maßgeschneiderte Leistung auf Ihr Unternehmen und somit auch genauso individuell wie jedes Unternehmen. Das bedeutet in der Umsetzung mehr oder weniger Aufwand.

Welche Kosten für die Bestellung eines Datenschutzbeauftragten schlussendlich entstehen, hängt also von vielen Faktoren ab. Außerdem spielt es auch eine Rolle, ob ein interner oder externer Datenschutzbeauftragter beauftragt wird. Bei einem externen Datenschutzbeauftragten werden die Kosten meist auf Basis der vereinbarten Konditionen abgerechnet.

  • Es fallen Kosten für die Analyse des momentanen IST-Zustands Ihres Unternehmens sowie der anschließenden Schaffung des erforderlichen Datenschutzniveaus an - hierzu z.B. Schulungen für die Mitarbeiter. Hier kann der Leistungsbedarf von Unternehmen zu Unternehmen stark variieren. In diesem Fall wird meist auf Stundenbasis abgerechnet.
  • Ist das entsprechende Schutzniveau erreicht, dient der externe Datenschutzbeauftragte ab sofort als Ansprechpartner für alle Belange rund um das Thema Datenschutz und übt seine Kontrollfunktion aus. Außerdem wird die Haftungsübernahme gewährleistet. Die Abrechnung erfolgt meist monatsbezogen.

Auch wenn ein Datenschutzbeauftragter mindestens ein paar Tausend Euro kosten wird, ist eins jedenfalls sicher: Wenn Sie keinen Datenschutzbeauftragten bestellen, obwohl eine Bestellpflicht vorliegt, kann Sie das mit einem Bußgeld teuer zu stehen kommen.

Tipp

Beachten Sie, dass es neben dem Datenschutzbeauftragen weitere Anforderungen wie die Datenschutzerklärung gibt. Diese können Sie sich von einem spezialisierten Anwalt erstellen lassen. Erhalten Sie schnell und einfach ein unverbindliches Angebot von unserem Partner.

Was hat sich durch die DSGVO für Datenschutzbeauftragte geändert?

Die Behauptung, dass nun seit Inkrafttreten der DSGVO erheblich mehr Unternehmen als bisher einen Datenschutzbeauftragten bestellen müssen, stimmt so nicht. Allerdings müssen Unternehmen ihre Pflichten nun ernster nehmen, weil höhere Bußgelder und Sanktionen drohen.

Was sich geändert hat:

  • Ab sofort müssen Sie die Kontaktdaten Ihres Datenschutzbeauftragten auf Ihrer Unternehmenswebsite veröffentlichen.
  • Die Kontaktdaten müssen der zuständigen Landesdatenschutzbehörde mitgeteilt werden.
  • De Datenschutzbeauftragte soll in Sachen Datenschutz im Unternehmen nicht nur beratend wirken, sondern auch kontrollieren. Er muss sich somit nicht verstärkt darum kümmern, dass die zu verarbeitenden Daten rundum geschützt sind.
  • Unternehmensgruppen dürfen einen gemeinsamen Datenschutzbeauftragten ernennen, jedoch nur unter der Voraussetzung, dass diese bereits vorher gemeinsam personenbezogene Daten verarbeitet haben und der ernannte Datenschutzbeauftragte für alle beteiligten Unternehmen „leicht erreicht ist".
  • Bei Rechtsverstößen drohen hohe Bußgelder und Sanktionen. Dazu kommt, dass nun Betroffene, mit deren Daten etwas schief gegangen ist, direkt gegen das Unternehmen klagen können.

Was müssen Sie jetzt im Hinblick auf den Datenschutzbeauftragten nun tun?

Im Hinblick auf die Bestellung, die Rolle und die Aufgaben des Datenschutzbeauftragten unter der DSGVO ergaben sich mit dem Start der neuen Datenschutzgrundverordnung zwar keine weitreichenden Neuerungen, jedoch sollten Sie abschließend noch einmal genauestens prüfen, ob Sie alle nötigen Anforderungen an den Datenschutzbeauftragten umgesetzt haben, um hohe Bußgelder oder Abmahnungen vorzubeugen:

  1. Prüfen Sie, ob Sie für Ihr Unternehmen einen Datenschutzbeauftragten bestellen müssen.

  2. Entscheiden Sie, ob Sie einen internen oder externen Datenschutzbeauftragten mit der Aufgabe betrauen.

  3. Melden Sie den Datenschutzbeauftragten Ihrer Aufsichtsbehörde.

  4. Erstellen Sie ein Verarbeitungsverzeichnis, um alle Verfahren, in denen personenbezogene Daten verarbeitet werden, zu dokumentieren und zu prüfen.

  5. Prüfen Sie, ob für jedes einzelne Verfahren eine Einwilligung zur Datenutzung der Betroffenen vorliegt.

  6. Prüfen und passen Sie interne Richtlinien, Verträge (AGB etc.) und Einwilligungserklärungen an die DSGVO an.

Und ganz wichtig: Datenschutzerklärung erstellen

Ob mit oder ohne bestelltem Datenschutzbeauftragten: eine Datenschutzerklärung gehört auf Ihre Website, ebenso wie das korrekte Impressum. Wenn Sie einen Datenschutzbeauftragten bestellt haben, ist dieser bspw. direkt in der Datenschutzerklärung zu nennen. Wir haben Ihnen die wichtigsten Punkte zusammengestellt, die in eine Datenschutzerklärung aufzunehmen sind.

Wer sicher gehen möchte, lässt sich die Datenschutzerklärung von einem Anwalt erstellen. Erhalten Sie ein unverbindliches Angebot.

Autor: Für-Gründer.de Redaktion
Chefredakteur: René Klein

René Klein verantwortet als Chefredakteur seit über 10 Jahren die Inhalte auf dem Portal und aller Publikationen von Für-Gründer.de. Er ist regelmäßig Gesprächspartner in anderen Medien und verfasst zahlreiche externe Fachbeiträge zu Gründungsthemen. Vor seiner Zeit als Chefredakteur und Mitgründer von Für-Gründer.de hat er börsennotierte Unternehmen im Bereich Finanzmarktkommunikation beraten.