Betriebliche Daten­schutz­be­auf­tragte: Wer eignet sich?

Datenschutzbeauftrage am Laptop

Die DSGVO stellt viele Unternehmerinnen und Unternehmer vor folgende Frage: Wann brauchen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten? Welche Aufgaben sind zu erfüllen? Und können Sie einfach selbst die Rolle übernehmen?

Antworten auf diese und weitere Fragen klären wir in diesem Rechtstipp.

Wann braucht Ihr Unternehmen eine*n Datenschutzbeauftragte*n?

Auf der europäischen Ebene schreibt Art. 37 DSGVO vor, eine*n Datenschutzbeauftragte*n auf jeden Fall zu benennen, wenn:

  • eine Behörde oder öffentliche Stelle die Verarbeitung durchführt (davon sind Gerichte ausgenommen, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln)
  • die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen erfordern, oder
  • die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht.

Daneben sieht das deutsche BDSG weitere Fälle vor, in denen ein*e Datenschutzbeauftragte*r zu benennen ist. Dies ist gegeben, wenn

  • in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden
  • die Verarbeitung der Daten einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegt
  • die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden

Eine Datenschutz-Folgenabschätzung ist bei einer umfangreichen Verarbeitung bestimmter sensibler Datenkategorien (z. B. Gesundheitsdaten, biometrische Daten, ethnische Herkunft, religiöse Überzeugungen) erforderlich.

Sie beschäftigen mindestens 20 Personen?

In Deutschland sind nicht-öffentliche verantwortliche Stellen gem. § 38 Abs. 1 S.1 BDSG verpflichtet, eine*n Datenschutzbeauftragte*n zu bestellen, sofern sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Neben den Vollzeitangestellten zählen unter anderem Teilzeitkräfte sowie Leiharbeiter*innen zu den Personen. Demnach gehören auch Aushilfen, studentische Hilfskräfte oder Auszubildende zu den 20 Personen. Entscheidend ist nur, dass sie ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sein müssen.

Um ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt zu sein, genügt es in der Regel, einen Zugang zur automatisierten Datenverarbeitung zu haben. Dazu gehört unter anderem auch die Nutzung eines E-Mail-Programms, wie z. B. Outlook.

Das bedeutet, dass auch Logistikmitarbeitende, die am Computer Adressaufkleber ausdrucken, zu diesen 20 Personen zählen, nicht jedoch Mitarbeitende, die ohne Zugriff lediglich Adressaufkleber auf Pakete kleben

Wen dürfen Sie als Datenschutzbeauftragte*n benennen?

Sie als Unternehmer*in können diese Position sowohl intern als auch extern besetzen. Die oder der Datenschutzbeauftragte muss in der Lage sein, ihrer bzw. seiner Tätigkeit vollkommen unabhängig nachzukommen.

Um ihre bzw. seine Unabhängigkeit zu gewährleisten, darf ein*e Datenschutzbeauftragte*r nicht an Weisungen gebunden sein. Die Person muss selbst entscheiden können, wie sie den erforderlichen Aufgaben nachgeht und deren Erfüllung sicherstellt.

Nach Art 37 Abs. 5 DSGVO wird ein*e Datenschutzbeauftragte*r auf der Grundlage der beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er oder sie auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Als weitere Grundlage gilt die Fähigkeit zur Erfüllung der Aufgaben wie u. a. die Unterrichtung und Beratung der oder des Verantwortlichen oder die Zusammenarbeit mit Aufsichtsbehörden.

Vermeiden Sie Interessenskonflikte

Die oder der Datenschutzbeauftragte muss nicht in Vollzeit tätig sein, vielmehr kann sie oder er auch andere Aufgaben übernehmen. Dabei muss jedoch sichergestellt werden, dass keine Interessenkonflikte entstehen.

Interessenkonflikte sind nicht zu vermeiden, wenn die oder der Datenschutzbeauftragte sich selbst kontrollieren müsste. Dies ist dann der Fall, wenn die Person gleichzeitig Leitung der IT-, Marketing- oder Personalabteilung, Vertriebsleitung oder Geschäftsführer*in ist. Auch das Amt der oder des Betriebsratsvorsitzenden ist nicht mit dem Amt der oder des Datenschutzbeauftragten vereinbar (BAG, Urteil v. 06.06.2023, 9 AZR 383/19).

Darstellung auf Ihrer Webseite

Aus den Vorgaben der DSGVO ergibt sich das Erfordernis, dass der oder die Datenschutzbeauftragte auch in der Datenschutzerklärung benannt werden muss. Wie der BGH (Urteil v. 14.05.2024, VI ZR 370/22) entschieden hat, muss die Benennung jedoch nur mit der Funktion geschehen, nicht aber mit Vor- und Nachname. Entscheidend ist die Mitteilung der Informationen, die für die Erreichbarkeit der zuständigen Stelle erforderlich sind.

🤓 Ist Ihre Datenschutzerklärung vollständig? Mit dem Trusted Shops Rechtstexter können Sie sich mit wenigen Klicks einen aktuellen Text für Ihren Shop generieren.

Kündigungsschutz: Was sind die Besonderheiten?

Datenschutzbeauftragte genießen einen besonderen Kündigungsschutz. Wenn die Position im Unternehmen intern besetzt wird, ist nur eine Kündigung aus wichtigem Grund zulässig. Zudem verantwortet die oder der Datenschutzbeauftragte zwar die Einhaltung ihrer, bzw. seiner gesetzlich normierten Aufgaben, eine weitergehende Haftung ist aber ausgeschlossen. Viele Unternehmen greifen deshalb auf eine*n externe*n Datenschutzbeauftragte*n zurück.

Unser Tipp

Prüfen Sie unbedingt, ob mindestens 20 Ihrer Mitarbeiter*innen elektronischen Zugriff auf personenbezogene Daten haben. Ist das der Fall, benötigen Sie eine*n Datenschutzbeauftragte*n. Wenn Sie diese Position intern besetzen möchten, treffen Sie Ihre Auswahl bei der Besetzung sorgfältig. Stellen Sie sicher, dass die oder der Datenschutzbeauftragte weisungsfrei und unabhängig den Pflichten nachgehen kann und dass keine Interessenkonflikte bestehen.

Alternativ zu einer internen Bestellung kann die Position auch extern besetzt werden. Bei externen Datenschutzbeauftragten greift der Kündigungsschutz nicht, ferner bestehen keine internen Interessenskonflikte und es kann bei der Auswahl ein besonderer Fokus auf die Expertise gelegt werden.

🤓 Sie suchen noch? Im Rahmen unseres Legal Ultimate bieten wir die Möglichkeit, Trusted Shops als externen Datenschutzbeauftragten zu stellen. Kommen Sie gerne auf uns zu.

Diesen Artikel haben wir ursprünglich im Mai 2018 veröffentlicht und im November 2024 für Sie auf den aktuellen Stand gebracht.

08.11.24

Weitere relevante Artikel

Verarbeitungsverzeichnis nach der DSGVO – Warum benötige ich das?

Verarbeitungsverzeichnis nach der DSGVO – Warum benötige ich das?

 Illustration zum Thema Datenschutz

­­Datenschutz­­­­­­­management­system: Wie Sie den Überblick behalten

 Eine Person sitzt vor dem Laptop und setzt sich mit Datenschut auseinander

Abfrage der Telefonnummer und des Geburtsdatums im Bestellprozess Pflicht – ist das zulässig?

Weitere interessante Blog-Artikel

Lieferung , Verbraucherschutzrecht in Legal

Was, wenn beim Transport etwas schiefgeht?

Wer haftet bei Transportverlust und Schäden? Was, wenn das Paket nicht ankommt? Diese und weitere für Händler wichtige Fragen beantworten wir im Beitrag.

Jetzt lesen
4min. Lesezeit  |  14.11.24
Datenschutz in Legal

Betriebliche Daten­schutz­be­auf­tragte: Wer eignet sich?

Wann brauchen Sie eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten? Welche Aufgaben sind zu erfüllen? Alle Antworten dazu in diesem Artikel.

Jetzt lesen
4min. Lesezeit  |  08.11.24
Online-Handel , Cross-Border Handel in Legal

Gesetz über digitale Märkte: Fairer Digital-Wettbewerb

Die EU hat das Gesetz über digitale Märkte (Digital Markets Act, DMA) eingeführt – wir erklären, wie es faire Wettbewerbsbedingungen gewährleisten soll.

Jetzt lesen
5min. Lesezeit  |  31.10.24
Select Country:
DE
BE CZ ES FR IT NL AT PL CH PT RO UK COM

© 2024 Trusted Shops SE Impressum Datenschutz Cookies