Datenschutzbeauftragter (DSB)

Definition

Der Datenschutzbeauftragte (DSB) ist eine in Art. 37-39 der Datenschutz-Grundverordnung (DSGVO) vorgesehene Funktion, die die Einhaltung der Datenschutzvorschriften in einem Unternehmen oder einer Organisation überwacht. In Deutschland ergänzt § 38 BDSG die europäischen Regelungen mit einer nationalen Besonderheit: Unternehmen, in denen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen einen DSB benennen.

Der DSB kann intern (Mitarbeiter des Unternehmens) oder extern (externer Dienstleister) bestellt werden. Er unterrichtet und berät das Unternehmen und seine Beschäftigten in Datenschutzfragen, überwacht die Einhaltung der DSGVO und des nationalen Datenschutzrechts, berät bei Datenschutz-Folgenabschätzungen und ist Anlaufstelle für Aufsichtsbehörden und betroffene Personen. Der DSB genießt besonderen Kündigungsschutz und ist in seiner Tätigkeit weisungsfrei.

Einfach erklärt

Stellen Sie sich den Datenschutzbeauftragten wie einen Sicherheitsbeauftragten in einer Fabrik vor. Er geht regelmäßig durch die Hallen, prüft, ob die Sicherheitsvorschriften eingehalten werden, schult die Mitarbeiter im Umgang mit Gefahrstoffen und ist der erste Ansprechpartner, wenn ein Unfall passiert. Er arbeitet unabhängig vom Management und kann direkt mit den Behörden kommunizieren.

Genauso funktioniert der Datenschutzbeauftragte, nur dass er sich nicht um physische Sicherheit kümmert, sondern um den Schutz von personenbezogenen Daten. Er prüft, ob Daten korrekt verarbeitet werden, berät bei der Einführung neuer Software und ist Ansprechpartner, wenn Kunden Fragen zu ihren Daten haben.

Warum ist das wichtig?

Der Datenschutzbeauftragte ist eine Schlüsselrolle für die Datenschutz-Compliance eines Unternehmens:

• Gesetzliche Pflicht: In Deutschland ist die Bestellung eines DSB unter bestimmten Bedingungen gesetzlich vorgeschrieben. Ein Verstoß kann mit Bußgeldern geahndet werden.
• Expertise: Datenschutzrecht ist komplex und ändert sich regelmäßig. Der DSB hält das Unternehmen über aktuelle Anforderungen und Entwicklungen auf dem Laufenden.
• Prävention: Der DSB erkennt Datenschutzrisiken frühzeitig und berät zu Gegenmaßnahmen, bevor eine Datenpanne eintritt.
• Ansprechpartner: Der DSB ist der zentrale Ansprechpartner für Aufsichtsbehörden, betroffene Personen und Mitarbeiter bei allen Datenschutzfragen.
• Audit-Vorbereitung: Der DSB unterstützt bei der Vorbereitung auf Prüfungen durch Aufsichtsbehörden und stellt sicher, dass alle erforderlichen Dokumentationen (Verarbeitungsverzeichnis, AVV, TOM) vorliegen.

Praxisbeispiel

Ein wachsendes IT-Unternehmen mit 25 Mitarbeitern stellt fest, dass es bisher keinen Datenschutzbeauftragten benannt hat, obwohl alle Mitarbeiter täglich mit Kundendaten arbeiten. Bei der Vorbereitung auf eine Zertifizierung wird das Versäumnis bemerkt.

Das Unternehmen entscheidet sich für einen externen Datenschutzbeauftragten, da intern das nötige Fachwissen fehlt. Der externe DSB führt zunächst eine Bestandsaufnahme durch:

• Er erstellt ein Verarbeitungsverzeichnis aller Datenverarbeitungstätigkeiten
• Er prüft die bestehenden Auftragsverarbeitungsverträge mit Dienstleistern
• Er bewertet die technischen und organisatorischen Maßnahmen
• Er identifiziert Lücken, unter anderem fehlende Passwortrichtlinien und unverschlüsselter Dateitransfer per E-Mail
• Er empfiehlt die Einführung einer sicheren Plattform für den Dokumentenaustausch mit Kunden

Innerhalb von drei Monaten sind alle wesentlichen Lücken geschlossen, und das Unternehmen ist auf Behördenprüfungen vorbereitet.

So setzt SendMeSafe das um

SendMeSafe unterstützt Datenschutzbeauftragte und Unternehmen mit den Werkzeugen, die für eine effektive Datenschutz-Compliance erforderlich sind:

• Nachvollziehbarkeit: Der umfassende Audit-Trail ermöglicht dem DSB, alle Datenverarbeitungsvorgänge zu überprüfen und bei Bedarf Berichte zu erstellen.
• AVV-Dokumentation: SendMeSafe stellt einen vollständigen Auftragsverarbeitungsvertrag bereit, den der DSB prüfen und in die Datenschutzdokumentation des Unternehmens aufnehmen kann.
• TOM-Dokumentation: Die implementierten technischen und organisatorischen Maßnahmen sind detailliert dokumentiert und stehen dem DSB für seine Bewertung zur Verfügung.
• Zugriffskontrollen: Das rollenbasierte Berechtigungssystem ermöglicht die Umsetzung des Need-to-Know-Prinzips, das der DSB für die Organisation empfehlen kann.
• Löschkonzept: Automatische Ablaufdaten für Dateien und Links unterstützen die Umsetzung des vom DSB erstellten Löschkonzepts.
• Hosting in Deutschland: Die ausschließliche Datenspeicherung in Deutschland vereinfacht die Datenschutzbewertung durch den DSB erheblich.

Häufig gestellte Fragen

Wann muss ich einen Datenschutzbeauftragten bestellen?

Nach § 38 BDSG muss ein DSB benannt werden, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl ist ein DSB erforderlich, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Datenkategorien oder der systematischen Überwachung von Personen besteht. Auch bei der verpflichtenden Durchführung einer Datenschutz-Folgenabschätzung ist ein DSB zu benennen.

Kann ich als Geschäftsführer gleichzeitig DSB sein?

Nein, die Geschäftsleitung kann nicht gleichzeitig DSB sein, da dies einen Interessenkonflikt darstellt. Der DSB muss in seiner Funktion unabhängig und weisungsfrei arbeiten können. Auch Leiter der IT-Abteilung, der Personalabteilung oder des Marketings sind in der Regel nicht als DSB geeignet, da ihre operative Tätigkeit Datenschutzrelevanz hat.

Was kostet ein externer Datenschutzbeauftragter?

Die Kosten für einen externen DSB variieren je nach Unternehmensgröße und Komplexität der Datenverarbeitung. Für kleine und mittlere Unternehmen liegen die monatlichen Kosten typischerweise zwischen 200 und 1.000 Euro. Ein externer DSB bietet den Vorteil, dass er über aktuelles Fachwissen verfügt, unabhängig arbeitet und keine arbeitsrechtlichen Besonderheiten (Kündigungsschutz) auslöst.

Haftet der DSB bei Datenschutzverstößen?

Der DSB haftet grundsätzlich nicht persönlich für Datenschutzverstöße des Unternehmens. Die Verantwortung für die Einhaltung der DSGVO liegt beim Unternehmen selbst (dem Verantwortlichen). Der DSB hat eine beratende und überwachende Funktion. Nur bei grober Pflichtverletzung in seiner Beratungstätigkeit kann eine Haftung des DSB in Betracht kommen.