Die Pflicht zur Benennung eines Datenschutzbeauftragten trifft mehr Unternehmen als gedacht. Erfahren Sie, wann ein DSB gesetzlich vorgeschrieben ist, welche Qualifikationen erforderlich sind und ob ein interner oder externer Beauftragter die bessere Wahl ist.
Datenschutzbeauftragter: Wann braucht Ihr Unternehmen einen?
Der Datenschutz gehört zu den Themen, die viele Unternehmerinnen und Unternehmer am liebsten ignorieren würden -- bis ein Bußgeldbescheid der Aufsichtsbehörde eintrifft. Dabei ist die Frage, ob Ihr Unternehmen einen Datenschutzbeauftragten (DSB) benötigt, keine rein akademische: Verstöße gegen die Benennungspflicht können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes nach sich ziehen. In der Praxis sind die Bußgelder zwar meist geringer, doch die Risiken sollten Sie nicht unterschätzen.
Dieser Beitrag gibt Ihnen einen umfassenden Überblick darüber, wann die Benennung eines DSB verpflichtend ist, welche Anforderungen an die Person gestellt werden und wie Sie die Rolle in Ihrem Unternehmen optimal ausgestalten.
Wann ist ein Datenschutzbeauftragter Pflicht?
Die 20-Personen-Schwelle nach BDSG
Die bekannteste Regel findet sich in § 38 Abs. 1 BDSG: Sobald in Ihrem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Sie einen DSB benennen. Dabei zählen:
- Festangestellte Mitarbeitende (Voll- und Teilzeit)
- Leiharbeitnehmer und freie Mitarbeitende
- Praktikanten und Auszubildende, sofern sie regelmäßig mit personenbezogenen Daten arbeiten
Entscheidend ist nicht die Gesamtzahl der Beschäftigten, sondern die Anzahl derjenigen, die tatsächlich personenbezogene Daten verarbeiten -- also beispielsweise E-Mails schreiben, Kundendaten pflegen oder Personalakten bearbeiten. In der Praxis betrifft das in den meisten Unternehmen nahezu alle Büromitarbeitenden.
Pflicht unabhängig von der Mitarbeiterzahl
Auch wenn Sie weniger als 20 Personen beschäftigen, kann eine DSB-Pflicht bestehen. Nach Art. 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG ist ein Datenschutzbeauftragter immer erforderlich, wenn:
- Ihre Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht (z. B. Auskunfteien, Bewachungsunternehmen, Tracking-Dienstleister)
- Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten nach Art. 9 DSGVO liegt (Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit, religiöse Überzeugungen)
- Sie Datenschutz-Folgenabschätzungen durchführen müssen (§ 38 Abs. 1 Satz 2 BDSG)
- Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung verarbeiten
Öffentliche Stellen
Für Behörden und öffentliche Stellen gilt die DSB-Pflicht ausnahmslos, unabhängig von der Größe oder Art der Datenverarbeitung (Art. 37 Abs. 1 lit. a DSGVO).
Interner vs. externer Datenschutzbeauftragter
Der interne DSB
Ein interner Datenschutzbeauftragter ist ein Mitarbeitender Ihres Unternehmens, der diese Funktion zusätzlich oder hauptamtlich übernimmt. Die Vorteile:
- Unternehmenskenntnis: Ein interner DSB kennt die Prozesse, Systeme und die Unternehmenskultur
- Ständige Verfügbarkeit: Kurze Wege und direkte Ansprechbarkeit
- Keine laufenden externen Kosten: Keine monatlichen Beraterhonorare
Die Nachteile sind allerdings gewichtig:
- Besonderer Kündigungsschutz: Ein interner DSB genießt nach § 6 Abs. 4 BDSG einen Kündigungsschutz, der dem eines Betriebsratsmitglieds ähnelt -- und zwar noch ein Jahr nach Abberufung
- Fortbildungskosten: Der Arbeitgeber muss die fachliche Weiterbildung finanzieren (§ 38 Abs. 2 i. V. m. Art. 38 Abs. 2 DSGVO)
- Interessenkonflikte: Bestimmte Positionen sind mit der DSB-Rolle unvereinbar
- Haftungsrisiko: Bei Pflichtverletzungen haftet der Arbeitgeber, nicht der interne DSB
Der externe DSB
Ein externer Datenschutzbeauftragter wird auf Basis eines Dienstvertrages tätig. Dies bietet:
- Spezialisiertes Fachwissen: Externe DSB sind in der Regel auf Datenschutz spezialisiert und betreuen mehrere Mandanten
- Unabhängigkeit: Geringeres Risiko von Interessenkonflikten
- Flexibilität: Der Vertrag kann unter Einhaltung der vereinbarten Fristen beendet werden -- kein besonderer Kündigungsschutz
- Kalkulierbare Kosten: Monatliche Pauschalen oder Stundensätze, typischerweise zwischen 300 und 1.500 Euro monatlich je nach Unternehmensgröße
- Haftung: Ein externer DSB haftet im Rahmen seines Dienstvertrages für eigene Fehler
Kostenvergleich
| Faktor | Interner DSB | Externer DSB |
|---|---|---|
| Monatliche Kosten | Anteiliges Gehalt + Fortbildung | 300--1.500 EUR/Monat |
| Fortbildung | 1.500--5.000 EUR/Jahr | Im Honorar enthalten |
| Kündigungsschutz | Ja (§ 6 Abs. 4 BDSG) | Nein |
| Haftung | Arbeitgeber haftet | DSB haftet vertraglich |
| Verfügbarkeit | Hoch | Nach Vereinbarung |
Anforderungen an den Datenschutzbeauftragten
Fachliche Qualifikation
Art. 37 Abs. 5 DSGVO verlangt, dass der DSB über berufliche Qualifikation und insbesondere über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügt. Konkret bedeutet das:
- Fundierte Kenntnisse der DSGVO, des BDSG und einschlägiger Spezialgesetze (TTDSG, TMG etc.)
- Verständnis der technischen und organisatorischen Maßnahmen (TOM)
- Branchenkenntnisse, die der Art und dem Umfang der Datenverarbeitung entsprechen
- Regelmäßige Fortbildung zur Aufrechterhaltung des Fachwissens
Eine gesetzlich vorgeschriebene Zertifizierung gibt es nicht. Anerkannte Qualifikationen sind jedoch die Ausbildungen des TÜV, der GDD (Gesellschaft für Datenschutz und Datensicherheit) oder der IAPP (International Association of Privacy Professionals).
Unabhängigkeit und Weisungsfreiheit
Der DSB darf bei der Ausübung seiner Aufgaben keine Anweisungen erhalten (Art. 38 Abs. 3 DSGVO). Er berichtet unmittelbar der höchsten Managementebene und darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Interessenkonflikte vermeiden
Bestimmte Positionen sind mit der DSB-Rolle unvereinbar. Nicht als DSB bestellt werden dürfen:
- Geschäftsführer und Vorstände
- IT-Leiter und Leiter der Personalabteilung
- Marketing-Leiter, die über den Einsatz von Tracking-Tools entscheiden
- Generell: Personen, die über Zwecke und Mittel der Datenverarbeitung entscheiden
Die Aufsichtsbehörden haben hier in der Vergangenheit konsequent Bußgelder verhängt -- etwa gegen Unternehmen, die ihren IT-Leiter zugleich als DSB benannt hatten.
Aufgaben und Verantwortlichkeiten des DSB
Der Aufgabenkatalog ergibt sich aus Art. 39 DSGVO:
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten über datenschutzrechtliche Pflichten
- Überwachung der Einhaltung der DSGVO, des BDSG und anderer Datenschutzvorschriften
- Beratung bei Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
- Zusammenarbeit mit der Aufsichtsbehörde und Funktion als Anlaufstelle
- Sensibilisierung und Schulung der Mitarbeitenden
- Führung des Verzeichnisses der Verarbeitungstätigkeiten (in der Praxis häufig dem DSB übertragen)
Haftung: Wer trägt das Risiko?
Ein weit verbreitetes Missverständnis: Der DSB ist nicht der Verantwortliche im Sinne der DSGVO. Die datenschutzrechtliche Verantwortung verbleibt stets beim Unternehmen bzw. dessen Geschäftsführung. Der DSB hat eine beratende und überwachende Funktion. Bußgelder richten sich daher gegen das Unternehmen, nicht gegen den DSB persönlich.
Praktische Tipps für die Benennung
- Bestandsaufnahme durchführen: Prüfen Sie zunächst, wie viele Personen in Ihrem Unternehmen tatsächlich personenbezogene Daten verarbeiten und ob besondere Datenkategorien betroffen sind
- Kosten-Nutzen-Analyse: Vergleichen Sie die Gesamtkosten eines internen DSB (Gehalt, Fortbildung, Kündigungsschutz) mit den Kosten eines externen Dienstleisters
- Interessenkonflikte prüfen: Stellen Sie sicher, dass die ausgewählte Person keine widerstreitenden Aufgaben wahrnimmt
- Schriftliche Benennung: Die Benennung sollte schriftlich erfolgen und die Aufgaben klar definieren
- Veröffentlichung: Gemäß Art. 37 Abs. 7 DSGVO müssen Sie die Kontaktdaten des DSB veröffentlichen und der Aufsichtsbehörde mitteilen
- Ressourcen bereitstellen: Stellen Sie sicher, dass der DSB ausreichend Zeit, Zugang zu Informationen und Fortbildungsmöglichkeiten erhält
Fazit
Die Frage, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt, lässt sich in den meisten Fällen schnell beantworten -- die praktische Umsetzung erfordert jedoch sorgfältige Planung. Ob interner oder externer DSB: Entscheidend ist, dass die benannte Person die notwendige Fachkunde mitbringt, unabhängig agieren kann und ausreichend Ressourcen erhält.
Bei compleneo beraten wir Sie nicht nur bei der Frage, ob eine DSB-Pflicht besteht, sondern unterstützen Sie auch bei der Auswahl, Benennung und laufenden Zusammenarbeit mit Ihrem Datenschutzbeauftragten -- praxisnah, verständlich und auf Ihr Unternehmen zugeschnitten.
