Die Aufgaben des Datenschutzbeauftragten sind in der Datenschutz-Grundverordnung (insbesondere Art. 39 DSGVO) und im Bundesdatenschutzgesetz (BDSG) geregelt. Zu den Kernaufgaben gehören Beratung, Überwachung der Einhaltung der Datenschutzvorschriften, Schulungen der Mitarbeitenden und die Zusammenarbeit mit den Aufsichtsbehörden.
Ein Datenschutzbeauftragter wirkt im Unternehmen, in Behörden, Vereinen oder Kirchen darauf hin, dass personenbezogene Daten rechtmäßig verarbeitet werden und Betroffenenrechte gewahrt bleiben.
Zu den wichtigsten Aufgaben des Datenschutzbeauftragten gehören:
Unterrichtung und Beratung der Geschäftsleitung und der Mitarbeitenden zu ihren Pflichten nach DSGVO und BDSG,
Überwachung der Einhaltung der Datenschutzvorschriften, interner Richtlinien und technisch-organisatorischer Maßnahmen,
Sensibilisierung und Schulung der Beschäftigten rund um Datenschutz und Datensicherheit,
Beratung bei Datenschutz-Folgenabschätzungen und bei der Einführung neuer Prozesse oder IT-Systeme,
Ansprechpartner und Schnittstelle zu Aufsichtsbehörden sowie gegebenenfalls zu betroffenen Personen.
Damit nimmt der Datenschutzbeauftragte im Unternehmen eine beratende und überwachende Rolle ein, ohne selbst für die operative Umsetzung aller Maßnahmen verantwortlich zu sein.
Eine grundlegende Definition von Datenschutz finden Sie in unserem Artikel „Was versteht man unter Datenschutz?“.
Nach Art. 37 DSGVO und § 38 BDSG ist ein Datenschutzbeauftragter zu benennen, wenn bestimmte Voraussetzungen erfüllt sind. In Deutschland gilt aktuell: Ein Datenschutzbeauftragter ist in der Regel zu bestellen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Unabhängig von dieser Schwelle besteht eine Pflicht zur Benennung insbesondere dann, wenn eine Datenschutz-Folgenabschätzung durchzuführen ist oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Markt- und Meinungsforschung verarbeitet werden.
Für öffentliche Stellen und bestimmte Branchen greifen darüber hinaus spezielle Vorgaben der DSGVO und des BDSG.
Jedes Bundesland benennt einen eigenen Datenschutzbeauftragten, der die Einhaltung entsprechender Rechtsvorschriften kontrolliert. In Berlin ist dies beispielsweise der „Berliner Beauftragte für Datenschutz und Informationsfreiheit“, in Hessen der „Hessische Datenschutzbeauftragte“ etc. Sowohl die evangelische Kirche in Deutschland als auch die katholische Kirche bestellen ebenfalls eigene Datenschutzbeauftragte.
Die meisten Datenschutzbeauftragten werden von Unternehmen und Vereinen bestellt. Hier hat er allerdings kein Weisungsrecht. Der Datenschutzbeauftragte stellt unter anderem den Istzustand des Unternehmens dar, wobei die Prüfung der Daten bereits ab dem Werktor erfolgt (beispielsweise Stechuhr-Regelung). In den meisten Fällen wird eine Datenschutzprüfung von Innen nach Außen vorgenommen. Dabei wird kontrolliert, ob die derzeit ergriffenen Maßnahmen ausreichen oder ob hier nachgebessert werden muss. Zugleich überprüft der Beauftragte den Zustand der EDV sowie des bestehenden Netzwerkes und achtet darauf, dass hier entsprechende Bestimmungen zum Datenschutz und Datensicherheit eingehalten werden, zeigt zugleich aber auch Verbesserungsmöglichkeiten auf und wacht über deren Einhaltung.
Sowohl bei der Erfassung, Verarbeitung, Nutzung sowie Übermittlung von personenbezogenen Daten ist es notwendig, den derzeitigen Istzustand zu erfassen und eventuelle Vorabkontrollen zu veranlassen. Die Vorabkontrollen dürfen nur durch den Datenschutzbeauftragten selbst vorgenommen werden. Werden neue Verfahren eingeführt, ist der Beauftragte darüber rechtzeitig in Kenntnis zu setzen, um ggf. Vorabkontrollen durchführen zu können.
Unabhängig vom Einsatzbereich bleiben die gesetzlichen Aufgaben des Datenschutzbeauftragten im Kern gleich: Beratung, Überwachung der Einhaltung der Datenschutzvorschriften und Kommunikation mit den Aufsichtsbehörden.
Nur Befugte dürfen eine Verarbeitung der Daten vornehmen, die wiederum auf den Zweck beschränkt bleibt. Zugleich haben Eigentümer von Daten die Möglichkeit, ihr Selbstbestimmungsrecht auf Auskunft, Sperrung, Löschung und Korrektur der Daten wahrzunehmen. Für diese Personen, aber auch für Mitarbeiter und die Geschäftsleitung ist der Datenschutzbeauftragte Ansprechpartner. Zugleich ist er der Geschäfts- bzw. Unternehmensleitung direkt unterstellt. Zugleich profitiert er von einem besonderen Kündigungsschutz. Nur wenn Gründe für eine fristlose Kündigung vorliegen, kann das Arbeitsverhältnis beendet werden.
Für betroffene Personen, Mitarbeitende und die Geschäftsleitung ist der Datenschutzbeauftragte zentrale Ansprechperson bei Fragen zur Datenverarbeitung. Damit gehört auch die Kommunikation rund um Auskunfts-, Lösch- und Korrekturrechte zu den praktischen Aufgaben eines Datenschutzbeauftragten.
Die Bestellung erfolgt - je nach Bundesland - für einen Zeitraum von drei bzw. fünf Jahren. Der Datenschutzbeauftragte kann durch die Aufsichtsbehörde abberufen werden, wenn er nicht die notwendige Fachkenntnis besitzt und ein hohes Maß an Zuverlässigkeit an den Tag legt. Das jeweilige Unternehmen, die Behörde oder der Verein müssen ihm die Teilnahme an Weiterbildungsveranstaltungen ermöglichen und die dazu entstehenden Kosten tragen.
Nicht jede Person darf als Datenschutzbeauftragter tätig werden. Ein Interessenskonflikt besteht beispielsweise bei Geschäftsführern von Unternehmen, deren Steuerberatern, Wirtschaftsprüfern, Teilhabern, Gesellschaftern und Abteilungsleitern, beispielsweise aus der eigenen IT- oder Personalabteilung.
Einen Überblick über typische Einstiegswege und Voraussetzungen finden Sie im Beitrag „Wie wird man Datenschutzbeauftragter?“ in unserer Wissensdatenbank.
Ein Datenschutzbeauftragter darf sowohl angestellt oder als externe Kraft beschäftigt werden. Auch hierbei gilt es, darauf zu achten, dass es zu keinen Interessenskonflikten kommt. Das sogenannte „Ulmer Urteil“, das im Jahr 1990 durch das Landgericht Ulm ergangen ist, enthält eine genaue Definition für die Tätigkeit eines Datenschutzbeauftragten und setzte zugleich die Kriterien für die notwendige Fachkunde fest. Nähere Informationen über eine Datenschutzbeauftragten Ausbildung finden Sie in der Rubrik Datenschutz.
Der Datenschutzbeauftragte sollte über ausreichende Fachkenntnisse in der IT-Branche, umfassende Kenntnisse des Bundesdatenschutzgesetzes (§4g I 1 BDSG) sowie die im Ulmer Urteil festgelegten Eignungskriterien erfüllen. Zu diesen Kriterien gehören:
Eine direkte Berufsausbildung zum Datenschutzbeauftragten gibt es nicht, auch keine Studienfächer, die dieses Thema zum alleinigen Inhalt haben. Verschiedene Organisationen bieten Weiterbildungsveranstaltungen an, die entweder durch eine Prüfung abgeschlossen oder für die eine Teilnahmebestätigung ausgestellt wird. Die Kurse können dabei über ein Wochenende, aber auch über den Zeitraum einer Woche oder einmal wöchentlich laufen. Die Kosten für diese Schulungen müssen vom Arbeitgeber übernommen werden.
Um immer auf dem aktuellsten Stand zu bleiben, ist die Teilnahme an Weiterbildungen unerlässlich. Auch diese Kosten müssen laut BDSG vom Arbeitgeber übernommen werden.
Eine direkte Berufsausbildung zum Datenschutzbeauftragten gibt es nicht. Die notwendige Fachkunde wird in spezialisierten Weiterbildungen und Lehrgängen erworben. Wer die Aufgaben eines Datenschutzbeauftragten künftig professionell übernehmen möchte, sollte daher in eine strukturierte Ausbildung investieren.
Mit unserer fünftägigen Ausbildung zum Datenschutzbeauftragten nach DSGVO bieten wir einen Intensivlehrgang mit anerkanntem Abschluss, der gezielt auf diese Aufgaben vorbereitet.