| Blog für Unternehmer
logo_Smarter_mittelstand_dunkel
Nutzen Sie das Potenzial der Digitalisierung für Ihr Unternehmen bestmöglich aus, um langfristig wettbewerbsfähig zu bleiben. Wir helfen Ihnen dabei: mit digitalen Trendthemen, praktischen Problemlösungen und innovativen Ansätzen - wöchentlich auf dieser Seite sowie auf unseren diesjährigen Digitalisierungskonferenzen smarter mittelstand.

Datenschutzbeauftragter und DSGVO Brauche ich jetzt einen Datenschutzbeauftragten?

  • Serie
Sind alle Daten sicher weggeschlossen? Mit der neuen DSGVO hat ein Datenschutzbeauftragter im Unternehmen noch mehr zu tun.

Sind alle Daten sicher weggeschlossen? Mit der neuen DSGVO hat ein Datenschutzbeauftragter im Unternehmen noch mehr zu tun.© Marie Maerz / photocase.de

Ein Datenschutzbeauftragter ist für viele Firmen Pflicht. Was muss er können? Welche Aufgaben hat er? Und was hat sich durch die neuen Datenschutz-Regeln geändert? Ein Überblick.

Beim Wort „Datenschutzbeauftragter“ bekommen aktuell viele Unternehmer ein mulmiges Gefühl. Denn sie wissen: Mit der neuen Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist, können Datenschutz-Verstöße deutlich teurer werden als bisher.

„Bisher haben viele Unternehmen das Thema vernachlässigt, auch wenn sie eigentlich einen Datenschutzbeauftragten brauchten. Das ist nun erheblich riskanter. Deshalb ist die Verunsicherung groß“, sagt Swantje Wallbraun. Sie ist Rechtsanwältin in Hamburg und berät Unternehmen in Sachen Datenschutz. „Hinzu kommt, dass die neuen Gesetze unübersichtlich sind und sich zu vielen Fragen eine verlässliche Behördenpraxis erst noch bilden muss.“

Anzeige

Wer braucht überhaupt einen Datenschutzbeauftragten (DSB)? Was muss er können? Was genau hat sich mit der neuen Verordnung geändert? Und was bedeutet das für Unternehmen? Dieser Text gibt den Wissensstand zu diesen Fragen wieder und wird aktualisiert, sobald neue Informationen vorliegen.

Wer braucht einen Datenschutzbeauftragten?

Einen Datenschutzbeauftragten brauchen laut Artikel 37 der DSGVO alle Unternehmen, in denen personenbezogene Daten automatisiert verarbeitet werden. Darunter fallen beispielsweise Namen, E-Mail-Adressen, Kontonummern oder Standortdaten von Kunden.

Für kleine Betriebe gilt zwar eine Ausnahme: Einen Datenschutzbeauftragten bestellen muss ein Unternehmen nur, wenn sich mindestens zehn Mitarbeiter regelmäßig mit solchen Daten beschäftigen. Allerdings zählt hierbei jeder Mitarbeiter mit – auch wenn er nur einmal pro Woche personenbezogene Daten bearbeitet oder in Teilzeit angestellt ist. „Sobald ich mehr als neun Mitarbeiter habe, deren Hauptaufgabe darin besteht, am Computer zu arbeiten, sollte ich ernsthaft darüber nachdenken, ob ich einen Datenschutzbeauftragten brauche“, rät Swantje Wallbraun. Denn bei den meisten Aufgaben am Computer kommen Mitarbeiter mit personenbezogenen Daten in Kontakt. Es reicht schon, wenn sie die E-Mail-Adresse eines Kunden speichern.

Unabhängig von der Personenanzahl braucht ein Unternehmen außerdem einen Datenschutzbeauftragten, wenn:

  1. Daten verarbeitet werden, für die eine Datenschutz-Folgenabschätzung nötig ist. Das gilt für besonders sensible Daten oder wenn ein hohes Risiko für Betroffene besteht, falls die Angaben missbraucht werden: etwa Daten zur ethnischen Herkunft, sexuellen Orientierung, religiösen Überzeugung oder Gesundheit. Auch wenn ein Unternehmen eine Videokamera auf seinem Werksgelände aufstellt, gelten diese Bilder als besonders sensibel. Was Sie bei einer Datenschutz-Folgenabschätzung tun müssen, lesen Sie in unserer DSGVO-Checkliste.
  2. Das Unternehmen personenbezogene Daten an Dritte übermittelt – wie beim klassischen Adresshandel – oder sie zu Markt- und Meinungsforschungszwecken verarbeitet.

Was hat durch die DSGVO für Datenschutzbeauftragte in Unternehmen geändert?

„Es ist ein Missverständnis, dass seit dem 25. Mai erheblich mehr Unternehmen als bisher einen Datenschutzbeauftragten brauchen. Allerdings müssen Unternehmen ihre Pflichten nun ernster nehmen, weil härtere Sanktionen drohen“, sagt Wallbraun.

Die wichtigsten Änderungen im Überblick:

  • Unternehmen müssen die Kontaktdaten (Telefonnummer oder E-Mail-Adresse) des Datenschutzbeauftragten veröffentlichen: für die eigenen Mitarbeiter, beispielsweise im Intranet, und, sobald Kundendaten verarbeitet werden, auch auf der Unternehmens-Website. Darüber hinaus muss das Unternehmen laut Artikel 37, Absatz 7 DSGVO die Kontaktdaten des Datenschutzbeauftragten der Landesdatenschutzbehörde mitteilen. Diese schaltet sich bei Datenschutzverstößen ein.
  • Die neue Verordnung will, dass der Datenschutzbeauftragte noch aktiver wird: Er soll das Unternehmen in Sachen Datenschutz nicht nur beraten, sondern auch überwachen. Früher konnte er zwar seine Meinung abgeben, wenn der Chef beispielsweise ein neue Software einführen will, um personenbezogene Daten zu verarbeiten. Jetzt muss er sich stärker darum kümmern, dass die Daten im neuen System tatsächlich geschützt sind– und beim Chef immer wieder nachfragen.
  • Unternehmensgruppen dürfen nun einen gemeinsamen Datenschutzbeauftragten ernennen; aber nur, wenn dieser von allen „leicht erreicht werden kann“, wie Artikel 37, Absatz 2 definiert – auch persönlich. Dafür müssen die Unternehmen aber schon vorher Daten gemeinsam verarbeitet haben.
  • In vielen Firmen läuft das Thema Datenschutzbeauftragter eher nebenher. Das wird jetzt riskanter: Bei Rechtsverstößen drohen wesentlich höhere Strafen. Außerdem können Personen, mit deren Daten etwas schief gegangen ist, direkt gegen die Unternehmen klagen.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Er achtet darauf, dass das Unternehmen alle Datenschutzvorgaben einhält. Seine Aufgaben stehen in Artikel 39 der DSGVO:

  • Der Datenschutzbeauftragte berät die Verantwortlichen im Unternehmen in Sachen Datenschutz – kann aber ohne sie keine Entscheidungen treffen.
  • Er sensibilisiert und schult andere Mitarbeiter. Dafür muss er sie regelmäßig zusammentrommeln und ihnen zeigen: Wie sieht ein sicheres Passwort aus? Wie vermeide ich, dass mir andere in den Bildschirm schauen, wenn ich unterwegs am Laptop arbeite? Wie oft er diese internen Schulungen geben muss, legt die DSGVO nicht fest. Das hängt auch davon ab, wie groß die Firma ist: „Ein kleines Unternehmen mit zwölf Mitarbeitern braucht sich nicht jede Woche zu treffen, um über den Datenschutz zu sprechen. Da reichen ein bis zwei Mal im Jahr“, sagt Wallbraun.
  • Der Datenschutzbeauftragte arbeitet mit der Datenschutzbehörde zusammen. Zwar ist er nicht verpflichtet, sich freiwillig dort zu melden, falls ihm im Unternehmen etwas auffällt. Kontaktiert ihn aber die Behörde aufgrund einer Beschwerde, muss er ihr dabei helfen, den Fall aufzuklären.
  • Er ist Ansprechpartner für betroffene Personen. Geht zum Beispiel ein E-Mail-Anhang mit persönlichen Daten an den falschen Adressaten und der Betroffene bekommt das mit, kann er sich beim Datenschutzbeauftragten beschweren und nachfragen. Mit der Datenschutz-Grundverordnung werden die Rechte der betroffenen Personen erweitert, so dass viele Datenschutzbeauftragte voraussichtlich bald mehr Anfragen bearbeiten müssen.
  • Muss das Unternehmen eine Datenschutz-Folgenabschätzung durchführen, überwacht der Datenschutzbeauftragte diese und berät die Verantwortlichen.

Was muss der Datenschutzbeauftragte können?

Damit der Datenschutzbeauftragte seine Aufgaben zuverlässig erfüllen kann, braucht er Wissen: Er sollte sich mit der technischen Datenverarbeitung im Unternehmen auskennen und bei juristischen Fragen Bescheid wissen über das Datenschutzrecht.

Will der Geschäftsführer einen eigenen Mitarbeiter zum Datenschutzbeauftragten benennen, muss er prüfen: Was kann der Mitarbeiter schon? In welche Themen muss er sich noch einarbeiten? Entscheidet sich ein Unternehmer beispielsweise für einen IT-Experten, kennt dieser sich zwar mit  Technik gut aus, muss aber noch rechtlich geschult werden. In der Verordnung ist nicht klar geregelt, wie viel Fachwissen genug ist. „Der Datenschutzbeauftragte muss nicht alles können. Wichtig ist, dass er sich mit den Daten auskennt, die in seinem Unternehmen verarbeitet werden“, sagt Swantje Wallbraun. Der Datenschutzbeauftragte einer Arztpraxis müsse sich mit anderen Fragen auseinandersetzen als sein Kollege bei einem Adresshandelsunternehmen.

Denn findet die Aufsichtsbehörde im Fall einer Beschwerde heraus, dass der Datenschutzbeauftragte keine Ahnung hat von den Daten in der eigenen Firma, kann es teuer werden: Bei Verstößen gegen die Datenschutzgrundverordnung sind Geldstrafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vorgesehen – je nachdem, was höher ist.

Klagt jemand oder beschwert sich, prüft die Datenschutzbehörde erst einmal, wie hoch das Verschulden des Unternehmens war. „Dann ist es gut, wenn die Firma nachweisen kann, dass sie einen Datenschutzbeauftragten hat, der normalerweise zuverlässig auf die Daten aufpasst. In so einem Fall kann das Bußgeld geringer ausfallen – oder wird gar nicht erst verhängt“, erklärt Wallbraun.

Womit Unternehmer tatsächlich rechnen müssen, lesen Sie auch in unserem Artikel: „DSGVO: Wie wahrscheinlich sind hohe Strafen wirklich?“.

Wer kann Datenschutzbeauftragter werden?

Theoretisch jeder, der sich gut genug auskennt. Zum Datenschutzbeauftragten kann auch ein  Mitarbeiter aus dem eigenen Unternehmen bestellt werden. Praktisch ist es aber nicht ganz so einfach; denn gerade kleine Unternehmen haben oft niemanden, der beim Thema Datenschutz durchblickt. Außerdem kann es bei internen Mitarbeitern zu Interessenskonflikten kommen: Ungeeignet sind beispielsweise der Geschäftsführer, der IT- oder der Personalleiter.

Interner oder externer Datenschutzbeauftragter – was ist besser?

Ob er einen internen oder externen Datenschutzbeauftragten benennen will, kann der Geschäftsführer frei entscheiden. Beides hat Vor- und Nachteile: Ein betrieblicher Datenschutzbeauftragter kennt das Unternehmen und die Abläufe viel besser, kann aber schneller in einen Interessenskonflikt geraten. Außerdem muss er sich erst Wissen zum Thema Datenschutz aneignen. Das bringt ein externer Datenschutzbeauftragter oft schon mit. Zudem hat er einen objektiveren Blick auf das Unternehmen. Ein weiterer Vorteil: Wenn er nicht ordentlich arbeitet und es zu einer Klage kommt, haftet ein externer Datenschutzbeauftragter dafür vollständig – auch bei Fahrlässigkeit. Allerdings muss er sich noch in das Unternehmen einarbeiten.

Darf der Datenschutzbeauftragte auch andere Aufgaben im Unternehmen übernehmen?

Ja. Aber auch hier gilt: Es dürfen dadurch keine Interessenkonflikte entstehen (Artikel 38, Absatz 6). Er sollte also keine weiteren Aufgaben übernehmen, bei denen er Entscheidungen über das System der Datenverarbeitung treffen kann, wie die Leitung der IT-Abteilung.

Wie kann ein Mitarbeiter zum Datenschutzbeauftragten ausgebildet werden?

Ein bestimmtes Zertifikat muss der Datenschutzbeauftragte nicht vorweisen. „Die Aus- und Weiterbildung liegt ganz im Ermessen der Geschäftsführung. Da gibt es keine konkreten Vorgaben“, erklärt Wallbraun. Wichtig ist auch hier: Der Datenschutzbeauftragte muss laufend so geschult werden, dass er seine Aufgaben zuverlässig erfüllen kann. Hierfür gibt es ein großes Angebot an Seminaren, beispielsweise bei der Industrie- und Handelskammer, aber auch bei privaten Anbietern.

Wer ernennt den Datenschutzbeauftragten?

Datenschutz ist Sache der Geschäftsführung – deshalb muss der Chef den Datenschutzbeauftragten ernennen. Die EU Datenschutzreform schreibt nicht mehr explizit vor, dass der Beauftragte schriftlich ernannt werden muss. „Um Ärger oder Missverständnisse zu vermeiden, würde ich es aber trotzdem machen“, rät Wallbraun. Das erleichtert auch den Nachweis gegenüber der Behörde.

Welche Besonderheiten gelten für den Datenschutzbeauftragten im Unternehmen?

1. Abberufungsschutz und Benachteiligungsverbot

Der Datenschutzbeauftragte darf wegen seiner Aufgabe nicht ungerecht behandelt werden. Das heißt: Bearbeitet er weniger Akten als ein anderer Kollege, weil er zusätzlich für den Datenschutz verantwortlich ist, darf ihn der Chef deswegen nicht benachteiligen. Auch kann der Geschäftsführer den Datenschutzbeauftragten, einmal ernannt, nicht so einfach wieder abberufen: „Dafür braucht der Chef schon einen wichtigen Grund. Das wäre zum Beispiel der Fall, wenn der Beauftragte seine Pflichten überhaupt nicht wahrnimmt und sich nicht um den Datenschutz kümmert“, erklärt Wallbraun.

2. Kündigungsschutz

Der Datenschutzbeauftragte genießt umfassenden Kündigungsschutz: Möglich ist nur eine fristlose Kündigung aus wichtigem Grund. Das geht hervor aus Paragraf 38 im deutschen Ergänzungsgesetz zur DSGVO, dem BDSG-neu.

3. Anspruch auf Einbindung, Fortbildung und Unterstützung

Der Geschäftsführer muss den Datenschutzbeauftragten dabei unterstützen, seine Aufgaben zu erfüllen, beispielsweise indem er ihn regelmäßig auf Fortbildungen schickt. Außerdem muss er ihn rechtzeitig einbinden, wenn es um personenbezogene Daten geht.

Der Newsletter für Unternehmer

Sie wollen mit Ihrem Business durchstarten? Dann abonnieren Sie unseren Newsletter mit genialen Tipps, Denkanstößen und erprobten Strategien, die Unternehmer und Selbstständige nach vorn bringen.

Unsere Themen:
Mitarbeiterführung ✩ Produktivität ✩ Recht + Steuern
Kundengewinnung ✩ Selbstmanagement ✩ Motivation

Jeden Morgen in Ihrem Postfach – jetzt kostenlos anmelden! Unternehmer-Newsletter
Hinterlassen Sie einen Kommentar

(Die Redaktion schaltet Kommentare montags bis freitags von 10 bis 18 Uhr frei. Die Angabe von Name und E-Mail-Adresse ist freiwillig. IP-Adressen werden nicht gespeichert. Mit der Abgabe eines Kommentars stimmen Sie unseren Datenschutzbestimmungen zu.)