Datenschutzbeauftragte und die DSGVO: So erfüllst du alle Pflichten ohne Stress

Datenschutzrecht und personenbezogene Daten Datenschutzbeauftragte und die DSGVO: So erfüllst du alle Pflichten ohne Stress

Der Datenschutz bringt heute eine ganze Reihe an Verpflichtungen mit sich – und die DSGVO macht dabei keine Ausnahmen. Für Unternehmer:innen kann es schwierig sein, alle Vorschriften im Blick zu behalten und die Compliance sicherzustellen. Genau hier kommen Datenschutzbeauftragte ins Spiel. Sie unterstützen dich dabei, die gesetzlichen Anforderungen einzuhalten und Risiken zu vermeiden. In diesem Beitrag erfährst du, warum Datenschutz und personenbezogene Daten für dein Unternehmen so wichtig sind, welche Rolle Datenschutzbeauftragte nach der DSGVO übernehmen und wie du die passende Person bestellst.

FAQ

  • Wann trat die DSGVO in Kraft und welche Strafen drohen Unternehmen bei Verstößen?
    Seit dem 25. Mai 2018 gilt die DSGVO und regelt, wie Unternehmen personenbezogene Daten verarbeiten dürfen. Verstöße können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes kosten.
  • Was ist die Hauptaufgabe eines Datenschutzbeauftragten und welche Funktionen erfüllt er im Unternehmen?
    Datenschutzbeauftragte stellen sicher, dass alle Vorgaben aus DSGVO und BDSG eingehalten werden. Sie beraten, schulen, prüfen Prozesse und verhindern so Risiken.
  • Wann besteht die Pflicht, Datenschutzbeauftragte zu bestellen?
    Eine Benennung von Datenschutzbeauftragten ist Pflicht, wenn die Verarbeitung personenbezogener Daten zu deiner Kerntätigkeit gehört oder du damit regelmäßig Personen überwachst.
  • Wann ist die Benennung eines Datenschutzbeauftragten in Deutschland aufgrund der Mitarbeiterzahl vorgeschrieben?
    In Deutschland gilt zusätzlich: Ab 20 Mitarbeitenden, die automatisiert personenbezogene Daten verarbeiten, ist die Benennung vorgeschrieben.

Was musst du über die DSGVO und das Datenschutzrecht wissen?

Bevor wir auf die Datenschutzbeauftragten eingehen, ist es wichtig, dass du die Grundlagen kennst: DSGVO und Datenschutzrecht. Beide Begriffe sagen fast jedem etwas, aber was genau eigentlich dahintersteckt, ist oft nur gefährliches Halbwissen.

Was ist das Datenschutzrecht?

Das Datenschutzrecht schützt das Grundrecht auf informationelle Selbstbestimmung – also das Recht jeder Person, selbst zu entscheiden, was mit ihren Daten passiert. Es umfasst alle Gesetze, Richtlinien und Verordnungen, die den Schutz personenbezogener Daten sichern. Dazu gehören auch richterliche Entscheidungen und internationale Vereinbarungen.

Was ist die DSGVO?

Die Datenschutz-Grundverordnung, kurz DSGVO, gilt seit dem 25. Mai 2018. Sie legt fest, wie Unternehmen personenbezogene Daten verarbeiten dürfen und bündelt zahlreiche Vorschriften zu einem einheitlichen Regelwerk.

Für dich als Unternehmer:in bedeutet das: Pflichten wie Meldepflichten, Rechenschaftspflichten und technische sowie organisatorische Maßnahmen zur Datensicherheit. Ein Verstoß kann teuer werden – bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Zusätzlich können Betroffene Schadensersatz verlangen, wenn ihnen durch einen Verstoß ein materieller oder immaterieller Schaden entstanden ist.

Was sind Datenschutzbeauftragte nach der DSGVO?

Datenschutzbeauftragte sorgen dafür, dass dein Unternehmen die datenschutzrechtlichen Bestimmungen einhält. Die DSGVO ist sehr umfangreich und komplex. Für dich als Unternehmer:in wären die ganzen Verpflichtungen und Regelungen nur sehr schwer zu erfüllen, wenn du dich ganz allein darum kümmern würdest. Besonders dann, wenn dein Unternehmen personenbezogene Daten wie Kundendaten, Bewerbungen oder Mitarbeiterlisten speichert und verarbeitet.

Datenschutzbeauftragte stellen sicher, dass in deinem Unternehmen der Datenschutz gewährleistet ist. Falls du Verstöße gegen die DSGVO oder das Bundesdatenschutzgesetz (BDSG) feststellst, helfen sie dir dabei, geeignete Maßnahmen festzulegen und durchzuführen.

Was ist der Unterschied zwischen internen und externen Datenschutzbeauftragten?

Du kannst wählen, ob du den Datenschutz intern oder extern besetzen möchtest.

Interne Datenschutzbeauftragte

Interne Datenschutzbeauftragte sind Mitarbeiter:innen aus deinem Unternehmen, die diese Aufgabe zusätzlich zu ihrer bisherigen Tätigkeit übernehmen. Wichtig ist, dass diese Personen fachlich qualifiziert sind und einen entsprechenden Beruf haben, der sie für eine Weiterbildung im Bereich Datenschutz qualifiziert. Schließlich müssen sie sich für dich mit allen rechtlichen Vorgaben zum Datenschutz auskennen. Zudem benötigen die Mitarbeiter:innen ein hohes Maß an technischem Verständnis, am ehesten bietet sich für dich also jemand aus der IT-Abteilung an. Wenn dieses Wissen noch fehlt, ist eine passende Weiterbildung nötig.

Externe Datenschutzbeauftragte

In diesem Fall schließt du mit einer externen Fachkraft einen sogenannten Dienstleistungsvertrag. Du erhältst dann die Unterstützung von ausgebildeten Spezialist:innen, die sich um alle Belange rund um die datenschutzrechtlichen Vorgaben kümmern.

Wer ist nach der DSGVO verpflichtet, Datenschutzbeauftragte zu bestellen?

Nach der DSGVO musst du eine:n Datenschutzbeauftragte:n bestellen, wenn dein Unternehmen personenbezogene Daten erhebt und verarbeitet. Entscheidend ist dabei deine sogenannte Kerntätigkeit, also Aufgaben, die direkt aus der Verarbeitung von Daten bestehen und eine umfassende, regelmäßige und systematische Überwachung von Personen ermöglichen.

Wie du dieser Pflicht nachkommst, kannst du selbst entscheiden: Du kannst eine externe Fachkraft beauftragen, intern eine qualifizierte Person weiterbilden oder eine neue Stelle dafür schaffen.

Was ist das Bundesdatenschutzgesetz (BDSG)?

Bevor die DSGVO eingeführt wurde, regelte das Bundesdatenschutzgesetz alle Fragen rund um Datenschutz und personenbezogene Daten in Deutschland. Am 25. Mai 2018 – dem Tag, an dem die DSGVO rechtskräftig wurde – trat das überarbeitete BDSG-neu in Kraft. Es ergänzt die DSGVO auf nationaler Ebene. Maßgeblich für deine Praxis ist jedoch die DSGVO, sie steht bei Datenschutzrichtlinien an erster Stelle.

Für die Benennung von Datenschutzbeauftragten ergänzt das BDSG eine klare Vorgabe: Du musst eine:n Datenschutzbeauftragte:n bestellen, sobald in deinem Unternehmen mindestens 20 Mitarbeitende regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Diese Regel gilt nicht, wenn dein Unternehmen Daten

  • zum Zweck der Übermittlung,
  • der anonymisierten Übermittlung oder
  • für Markt- oder Meinungsforschung verarbeitet.

In diesen Fällen brauchst du unabhängig von der Unternehmensgröße eine:n Datenschutzbeauftragte:n.

Welche Aufgaben haben Datenschutzbeauftragte?

Die Datenschutzbeauftragten haben ein klares Ziel: Sie sorgen dafür, dass dein Unternehmen die Grundsätze des Datenschutzes einhält. Das betrifft das Erheben, Verarbeiten und Speichen jeglicher Daten, besonders personenbezogener Daten. Den Datenschutzbeauftragten geht es dabei um die Sicherheit der Datensätze, den Verarbeitungsverfahren und der allgemeinen Datensicherheit.

Zu ihren zentralen Aufgaben gehören:

  • Kontrolle und Überwachung der Arbeitsabläufe
    Damit die Datenschutzbestimmungen eingehalten werden können, müssen Datenschutzbeauftragte Einsicht in die Arbeitsabläufe aller Mitarbeitenden haben. Sollten sie dabei Probleme feststellen, müssen sie diese umgehend dir als Unternehmer:in mitteilen.
  • Schulung von Mitarbeitenden
    Um Verletzungen der DSGVO zu vermeiden, müssen alle Mitarbeitenden, die mit personenbezogenen Daten arbeiten, regelmäßig im Datenschutz geschult werden. Dabei werden sowohl technische als auch rechtliche Aspekte vermittelt.
  • Ansprechpartner:innen bei Fragen zur Datenschutzrichtlinie
    Sie stehen dir und deinem Team für alle Fragen zur DSGVO und zu Datenschutzrichtlinien zur Verfügung.
  • Überwachung des Verfahrenverzeichnisses und der rechtmäßigen Entsorgung
    Auch die Entsorgung und Löschung personenbezogener Daten sollte durch die Datenschutzbeauftragten überwacht werden. Dazu können auch Hilfestellungen und Arbeitsanleitung an die zuständigen Mitarbeitenden weitergeleitet werden. Außerdem behalten die Datenschutzbeauftragten das Verfahrensverzeichnis im Blick, um bei Anfragen von Behörden oder Unternehmen Auskunft geben zu können.

Um die Umsetzung der Datenschutzrichtlinien sicherzustellen, verfügen Datenschutzbeauftragte über einen besonderen Kündigungsschutz. Außerdem gilt für sie eine Verschwiegenheitspflicht und ein Zeugnisverweigerungsrecht. Alles, damit sie ihrer Aufgabe zielstrebig und unabhängig nachgehen können.

Auf diese 4 Dinge solltest du bei der Bestellung von Datenschutzbeauftragten achten

Bei der Bestellung von Datenschutzbeauftragten solltest du in einer klaren Reihenfolge vorgehen.

Wir erklären dir, wie die Schritte aussehen:

  1. Pflicht prüfen:
    Sind in deinem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder erhebst du die Daten geschäftsmäßig? Fall ja, bist du verpflichtet einen Datenschutzbeauftragten zu ernennen.
  2. Datenschutzbeauftragte benennen:
    Du kannst entweder eine geeignete interne Person benennen oder eine externe Fachkraft beauftragen.
  3. Kontaktdaten veröffentlichen:
    Veröffentliche die Kontaktdaten deines Datenschutzbeauftragten auf deiner Webseite und dokumentiere die Ernennung.
  4. Aufsichtsbehörde informieren:
    Informiere die in deinem Bundesland zuständige Aufsichtsbehörde, wer der/die Datenschutzbeauftragte deiner Wahl ist.

Was muss die Bestellungsurkunde der Datenschutzbeauftragten beinhalten?

Wie bereits erwähnt, musst du die Benennung deines Datenschutzbeauftragten auch dokumentieren. Dafür stellst du eine sogenannte Bestellungsurkunde oder Benennungsurkunde aus. Eine rechtlich festgelegte Form gibt es dafür nicht, du solltest aber folgende Punkte aufnehmen:

  • Name und Tätigkeit deiner Datenschutzbeauftragten
  • Gesetzliche Grundlage der Benennung (also Art. 37 DSGVO in Verbindung mit § 38 BDSG)
  • Anfangsdatum der Person als Datenschutzbeauftragte:r
  • Aufgaben, die du deinen Datenschutzbeauftragten übergibst
  • Hinweis auf Weisungsfreiheit innerhalb deines Unternehmens
  • Unterschrift von dir als Verantwortliche:r und der Datenschutzbeauftragten

Falls du keine internen Datenschutzbeauftragten benennst, brauchst du zusätzlich einen Dienstleistungsvertrag mit der externen Fachkraft. In der Regel bringt diese den Vertrag zur Bestellung mit.

Wie kannst du deine Datenschutzbeauftragten wechseln?

Dein:e Datenschutzbeauftragte:r erhält durch seine/ihre Aufgaben einen tiefen Einblick in dein Unternehmen. Damit alles reibungslos läuft, ist eine gute Zusammenarbeit wichtig. Falls das nicht gegeben ist, kann ein Wechsel sinnvoll sein, zum Beispiel, um Fehler beim Datenschutz oder bei der Compliance zu vermeiden.

Bevor du aber deiner/deinem Datenschutzbeauftragten kündigst, solltest du einiges beachten:

  • Kündigung prüfen:
    Bei externen Datenschutzbeauftragten kannst du den Dienstleistungsvertrag kündigen. Interne Datenschutzbeauftragte genießen besonderen Kündigungsschutz als Betriebsbeauftragte.
  • Nachfolge sichern:
    Die neue Person sollte über die bisherigen Probleme informiert werden. Eine offene und transparente Übergabe ist entscheidend.
  • Alle wichtigen Stellen informieren:
    Aktualisiere alle analogen und digitalen Verzeichnisse, in denen der/die bisherige Datenschutzbeauftragte genannt ist. Melde die Änderung auch der zuständigen Datenschutz-Aufsichtsbehörde und informiere dein Team darüber, wer künftig Ansprechpartner:in ist.

Was droht, wenn du keine Datenschutzbeauftragten ernennst?

Für viele Unternehmen in Deutschland sind Datenschutzbeauftragte Pflicht. Erfüllst du diese Vorgabe nicht, kann es teuer werden: Die DSGVO sieht Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor.

Wenn du also feststellst, dass dein Unternehmen Datenschutzbeauftragte braucht, solltest du nicht zögern. Je schneller die Position besetzt ist, desto besser bist du vor rechtlichen Risiken und finanziellen Strafen geschützt.

So bleibst du beim Datenschutz auf der sicheren Seite

Die DSGVO klingt oft nach Papierkram und endlosen Regeln – muss sie aber nicht. Mit der richtigen Herangehensweise stellst du sicher, dass dein Unternehmen alle Vorgaben erfüllt, ohne dass du dich selbst durch Paragrafen und Prozesse kämpfen musst.

Ein klar geregelter Ablauf, eine eindeutige Verantwortlichkeit und gut informierte Mitarbeitende sind der Schlüssel, um Datenschutzanforderungen zuverlässig und stressfrei umzusetzen. So bleibst du rechtlich abgesichert und kannst dich auf dein Kerngeschäft konzentrieren.