FAQ Datenschutzbeauftragter

Wer braucht einen Datenschutzbeauftragten?

Einen Datenschutzbeauftragten brauchen laut Artikel 37 der DSGVO alle Unternehmen, in denen personenbezogene Daten automatisiert verarbeitet werden. Darunter fallen beispielsweise Namen, E-Mail-Adressen, Kontonummern oder Standortdaten von Kunden.

Für kleine Betriebe gilt zwar eine Ausnahme: Einen Datenschutzbeauftragten bestellen muss ein Unternehmen nur, wenn sich mindestens zehn Mitarbeiter regelmäßig mit solchen Daten beschäftigen. Allerdings zählt hierbei jeder Mitarbeiter mit – auch wenn er nur einmal pro Woche personenbezogene Daten bearbeitet oder in Teilzeit angestellt ist. „Sobald ich mehr als neun Mitarbeiter habe, deren Hauptaufgabe darin besteht, am Computer zu arbeiten, sollte ich ernsthaft darüber nachdenken, ob ich einen Datenschutzbeauftragten brauche“, rät Jürgen Toppe. Denn bei den meisten Aufgaben am Computer kommen Mitarbeiter mit personenbezogenen Daten in Kontakt. Es reicht schon, wenn sie die E-Mail-Adresse eines Kunden speichern.


Interner oder externer Datenschutzbeauftragter?

Ob er einen internen oder externen Datenschutzbeauftragten benennen will, kann der Geschäftsführer frei entscheiden. Beides hat Vor- und Nachteile: Ein interner Mitarbeiter kennt das Unternehmen und die Abläufe viel besser, kann aber schneller in einen Interessenskonflikt geraten. Außerdem muss er sich erst Wissen zum Thema Datenschutz aneignen. Das bringt ein externer Datenschutzbeauftragter oft schon mit. Zudem hat er einen objektiveren Blick auf das Unternehmen.

Ein weiterer Vorteil: Wenn er nicht ordentlich arbeitet und es zu einer Klage kommt, haftet ein externer Datenschutzbeauftragter dafür vollständig – auch bei Fahrlässigkeit. Allerdings muss er sich noch in das Unternehmen einarbeiten.

Achtung Kündigungsschutz:

Der interne Datenschutzbeauftragte genießt umfassenden Kündigungsschutz: Möglich ist nur eine fristlose Kündigung aus wichtigem Grund. Das geht hervor aus § 38 im deutschen Ergänzungsgesetz zur DSGVO, dem BDSG-neu.


Unabhängig von der Personenanzahl braucht ein Unternehmen außerdem einen Datenschutzbeauftragten, wenn:

Daten verarbeitet werden, für die eine Datenschutz-Folgenabschätzung nötig ist. Das gilt für besonders sensible Daten oder wenn ein hohes Risiko für Betroffene besteht, falls die Angaben missbraucht werden: etwa Daten zur ethnischen Herkunft, sexuellen Orientierung, religiösen Überzeugung oder Gesundheit. Auch wenn ein Unternehmen eine Videokamera auf seinem Werksgelände aufstellt, gelten diese Bilder als besonders sensibel. Was Sie bei einer Datenschutz-Folgenabschätzung tun müssen. Unternehmen personenbezogene Daten an Dritte übermittelt – wie beim klassischen Adresshandel – oder sie zu Markt- und Meinungsforschungszwecken verarbeitet.


Welche Aufgaben hat ein Datenschutzbeauftragter?

Er achtet darauf, dass das Unternehmen alle gesetzlichen Datenschutzvorgaben einhält. Seine Aufgaben stehen in Artikel 39 der DSGVO:

  • Der Datenschutzbeauftragte berät die Verantwortlichen im Unternehmen in Sachen Datenschutz; er kann aber ohne die Geschäftsleitung keine Entscheidungen treffen.
  • Er sensibilisiert und schult andere Mitarbeiter. Dafür muss er sie regelmäßig zusammentrommeln und ihnen zeigen: Wie sieht z.B. ein sicheres Passwort aus? Wie vermeide ich, dass mir andere in den Bildschirm schauen, wenn ich unterwegs am Laptop arbeite? Wie oft er diese internen Schulungen geben muss, legt die DSGVO nicht fest. Das hängt auch davon ab, wie groß die Firma ist.
  • Der Datenschutzbeauftragte arbeitet mit der Datenschutzbehörde zusammen. Zwar ist er nicht verpflichtet, sich freiwillig dort zu melden, falls ihm im Unternehmen etwas auffällt. Kontaktiert ihn aber die Behörde aufgrund einer Beschwerde, muss er ihr dabei helfen, den Fall aufzuklären.
  • Er ist Ansprechpartner für betroffene Personen. Geht zum Beispiel ein E-Mail-Anhang mit persönlichen Daten an den falschen Adressaten und der Betroffene bekommt das mit, kann er sich beim Datenschutzbeauftragten beschweren und nachfragen. Mit der Datenschutz-Grundverordnung werden die Rechte der betroffenen Personen erweitert, so dass viele Datenschutzbeauftragte voraussichtlich bald mehr Anfragen bearbeiten müssen.
  • Muss das Unternehmen eine Datenschutz-Folgenabschätzung durchführen, überwacht der Datenschutzbeauftragte diese und berät die Verantwortlichen.