FAQ

Die Hinweise können nicht alle denkbaren Fallgestaltungen abdecken und keinesfalls eine rechtliche Beratung im Einzelfall ersetzen.

  1. Wann muss ein Unternehmen eine/n Datenschutzbeauftragte/n bestellen?
  2. Wer kann zum Datenschutzbeauftragten bestellt werden?
  3. Über welche Fachkunde und Zuverlässigkeit muss ein DSB verfügen?
  4. Welche Aufgaben hat ein/e Datenschutzbeauftragte/r in Behörde/Betrieb?
  5. Wie wird ein Datenschutzbeauftragter bestellt?
  6. Kann eine Bestellung als interne/r Datenschutzbeauftragter gekündigt werden?
  7. Welche Stellung hat ein/e Datenschutzbeauftragte/r in Behörde/Betrieb?
  8. Was kostet ein Datenschutzbeauftragter?
  9. Was ist das Verfahrensverzeichnis, und des öffentliches Verfahrensverzeichnis?
  10. Warum muss ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden?
  11. Was sind  Anbieterkennzeichnung und Datenschutzerklärung?

Wann muss ein Unternehmen eine/n Datenschutzbeauftragte/n bestellen?

  • Im Prinzip braucht jedes Unternehmen oder Behörde eine zuständige Person, die für den Datenschutz verantwortlich ist. Dies sind in der Regel je nach Unternehmensform der Vorstand, Inhaber oder Geschäftsführer
  • Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist abhängig
    • nach der Anzahl der beschäftigten Personen
    • von der Art der Datenverarbeitung
  • Sofern höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist kein Datenschutzbeauftragter erforderlich.
  • Sofern mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen bzw. mindestens 20 Personen beschäftigen, die ständig personenbezogene Daten auf andere Weise erheben, verarbeiten oder nutzen ist ein Datenschutzbeauftragter zu bestellen.
  • Ab dem Schellenwert von 10 bzw. 20 Personen sollte ein DSB bestellt werden.
  • Ist eine Datenverarbeitung vorhanden, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, z. B. Leistungs- oder Verhaltenskontrollen, Bewertung der Kreditwürdigkeit, Warndateien, Videoüberwachung, Chipkartensysteme etc., unterliegen diese einer Vorabkontrolle. Es muss sofort ein/e Datenschutzbeauftragte/r bestellt, da die Vorabkontrollen per Bundesdatenschutzgesetz nur durch den/der DSB durchgeführt werden darf.

Wer kann zum Datenschutzbeauftragten bestellt werden?

  • Ein/e potentielle/r Datenschutzbeauftragte/r muss zum Zeitpunkt der Bestellung die erforderliche Fachkunde und Zuverlässigkeit nachweislich verfügen.
    § 4f (2) Satz 1 BDSG: Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
  • Als Unternehmen können Sie auch eine Person außerhalb Ihres Unternehmens zum Beauftragen für Datenschutz bestellen – einen externen Datenschutzbeauftragten.
    § 4f (2) Satz 3 BDSG: Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen.
  • Sinnvoll ist der Einsatz eines/r externen Datenschutzbeauftragten insbesondere bei kleinen und mittleren Unternehmen.

Über welche Fachkunde und Zuverlässigkeit muss ein DSB verfügen?

  • Die erforderliche Fachkunde setzt rechtliche, technische sowie organisatorische Kenntnisse voraus.
    § 4f (2) Satz 2 BDSG: Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.
  • Die Zuverlässigkeit beinhaltet neben der notwendigen persönlichen Integrität vor allem die eine sachgerechte Aufgabenerfüllung als DSB ohne eine Interessenkollisionen mit der regelmäßigen betrieblichen Arbeit. So sind insbesondere Leiter und sonstige Schlüsselfiguren der IT-, Personal- oder Marketingabteilung nicht geeignet die Tätigkeit als Teilzeitdatenschutzbeauftragter ausführen.
    Es entspricht im Sinne von § 4f Abs. 3 BDSG, dass die Tätigkeit als Datenschutzbeauftragte bei zeitlichen Konflikten grundsätzlich Vorrang hat.
  • Der Berufsverband der Datenschutzbeauftragten Deutschlands (BVD) e.V. hat 2009 die Mindestanforderungen an ein berufliches Leitbild definiert.
  • Auf Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis ) am 24./25. November 2010 gelten Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz
  • Die Bundesbeauftragte für den Datenschutz und Informationsfreiheit hat im April 2015 die Mindestanforderungen an die Organisation und Aufgabenbeschreibung der
    behördlichen Datenschutzbeauftragten in der Bundesverwaltung definiert.

Welche Aufgaben hat ein/e Datenschutzbeauftragte/r in Behörde/Betrieb?

  • Was sind die vorrangigen Aufgaben eines DSB? Die Aufgaben eines/r Datenschutzbeauftragte/n sind vielfältig.
    § 4g (1) Satz 1 BDSG: Der Beauftragte für den Datenschutz wirkt auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hin.
  • Der/die Datenschutzbeauftragte haben als Hauptaufgabe insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen und die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des Bundesdatenschutzgesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.
  • Der/die Datenschutzbeauftragte ist auch zuständig für die Vorabkontrolle und ist in Zweifelsfällen Ansprechpartner für die zuständige Aufsichtsbehörde. Auf Grundlage der meldepflichtigen automatisierten Datenverarbeitungen führt er/sie das „öffentliche Verfahrensverzeichnis“ hält dieses zur Einsicht für „Jedermann“ vor.
  • Weitere Tätigkeiten bestimmen sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt, verarbeitet oder nutzt. Die innerbehördliche oder -betriebliche Organisation ist so zu gestalten, das Sie den Anforderungen des Datenschutzes gerecht wird. Dies gilt insbesondere auch im Rahmen einer Auftragsdatenverarbeitung durch Dritte.

Wie wird ein/e Datenschutzbeauftragte/r bestellt?

  • Ein DSB ist schriftlich zu bestellen.
    § 4f (1) Satz 1 BDSG: Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen.
  • Ist eine Mitarbeitervertretung in Behörde oder Unternehmen vorhanden und es soll intern eine Mitarbeiterinnen oder ein Mitarbeiter bestellt werden, so besteht eine Mitbestimmungspflicht, wenn mit der Bestellung gleichzeitig andere Personalmaßnahmen verbunden sind.
  • Entscheidet sich die Geschäftsführung für einen externen Datenschutzbeauftragten, ist die Mitarbeitervertretung nicht zu beteiligen.
  • Nach dem Beschluss des Düsseldorfer Kreises vom 24./25. November2010 wird grundsätzlich eine Mindestvertragslaufzeit von 4 Jahren, bei Erstverträgen wird wegen der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit von 1 – 2 Jahren bei externen Datenschutzbeauftragten empfohlen

Kann eine Bestellung als interne/r Datenschutzbeauftragter gekündigt werden?

  • Eine Bestellung zur/m DSB kann von Seite des Unternehmens gekündigt werden. Allerdings sind die Möglichkeiten für Unternehmen durch gesetzliche Regelung und höchstrichterliche Rechtsprechung sehr gering.
    § 4f (3) Satz 3 BDSG: Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden. Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen.
  • Es besteht ein einjähriger Kündigungsschutz nach Niederlegung des Amtes als Datenschutzbeauftragte/r.
    § 4f (3) Satz 4 BDSG: Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.
  • Bei einer vorhandenen Mitarbeitervertretung ist die Kündigung eines intern bestellten betrieblichen Beauftragten für den Datenschutz mitbestimmungspflichtig.

Welche Stellung hat ein/e Datenschutzbeauftragte/r in Behörde oder Betrieb?

  • Die Beauftragten für den Datenschutz sind der Unternehmens- oder Behördenleitung als verantwortliche Stelle unmittelbar zu unterstellen (§ 4f Abs. 3 Satz 1 BDSG). Im Organigram kann dies als Stabsfunktion gekennzeichet werden. Dies bedeutet auch ein direktes Vortragsrecht in datenschutzrelevanten Angelegenheiten.
  • Weisungsfreiheit bei der Ausübung der Fachkunde. Das bedeutet auch, dass die Bewertung eines datenschutzrechtlichen Sachverhaltes allein durch den DSB zu erfolgen hat und auch nicht von der Unternehmens- bzw. Behördenleitung vorgeschrieben werden kann.
    § 4f Abs. 3 Satz 2 BDSG: Die Beauftragten für den Datenschutz sind in der Ausübung ihrer Aufgaben weisungsfrei.
  • Verschwiegenheitsverpflichtung gegenüber Betroffenen
    § 4f Abs. 3 Satz 4 BDSG: Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
  • Recht zur Konsultation der Aufsichtsbehörde
  • Anspruch auf Fort- und Weiterbildung
  • Kündigungsschutz
  • Abberufungsschutz
  • Unterstützungspflicht durch das Unternehmen

Was kostet ein Datenschutzbeauftragter?

  • Die Kosten für eine Bestellung eines DSB sind wenig transparent.
    § 4f (5) BDSG: Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.
  • So müssen ggf. Tätigkeiten auf andere Personen verteilt werden. Die Mitgliedschaft in verschiedenen Verbänden, Arbeitskreisen und Vereinen, die sich mit dem Thema Datenschutz befassen, Bezug von entsprechender Fachliteratur, Kosten und Spesen für Reise und Übernachtungen, Tagungen und Weiterbildungen, ggf. auch externer Beratungsbedarf sowie Vorhalten von Büroraum und EDV-Ausstattung sollten in einer Kalkulation berücksichtigt werden.
  • Ein interner DSB ist zwar „eh da“. Doch in der Funktion als DSB beibt die orginäre Arbeit liegen und das kostet auch.
  • Die Kosten für eine externe Bestellung sind in der Regel gegenüber dem internen DSB sehr transparent. In den von externen Datenschutzbeauftragten kalkulierten Leistungspauschalen und Stundensätzen befinden sich alle Kosten für die Aufrechterhaltung eines Geschäftsbetriebes, der Weiterbildung, Literatur, Mitgliedsbeiträge, Betriebs- und Vermögensschadenversicherung für Datenschutzbeauftragte, etc.

Was sind das „Verfahrensverzeichnis“ und das „öffentliche Verfahrensverzeichnis“?

  • Das Verfahrensverzeichnis ist die Dokumentation aller datenverarbeitenden Prozesse, mit denen personenbezogene Daten automatisiert erhoben, verarbeitet oder genutzt werden.
    § 4g (2) Satz 3 BDSG: Dem Beauftragten für den Datenschutz ist von der verantwortlichen Stelle eine Übersicht über die in § 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Der Beauftragte für den Datenschutz macht die Angaben nach § 4e Satz 1 Nr. 1 bis 8 auf Antrag jedermann in geeigneter Weise verfügbar.
  • Dies sind die Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, die Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, die Regelfristen für die Löschung der Daten, eine geplante Datenübermittlung in Drittstaaten, eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind, sowie Informationen über zugriffsberechtigte Personen
  • Das öffentliche Verfahrensverzeichnis enthält die Angaben nach § 9, ob die zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind, sowie Informationen über zugriffsberechtigte Personen nicht.

Warum muss ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden?

  • Der Auftraggeber ist für die Einhaltung der Vorschriften des Datenschutzgesetzes und anderer Vorschriften verantwortlich, wenn personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden. (§ 11 Abs. 1 BDSG)
  • Selbst beim Auswahlprozess des Dienstleisters sind Kontrollen erforderlich und dann regelmäßig durchzuführen. Auch sind die Rechte der Betroffenen umzusetzen.
  • Der Auftragnehmer darf die Daten nur nach Weisung verarbeiten. Die Weisungen sind zu dokumentieren ebenso die Kontrollen oder die Rückgabe der Daten nach Beendigung der Auftragsdatenverarbeitung.
  • Wird die die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen (Fernwartung) und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden, so gelten die gleichen Dokumentationsanforderungen.
  • Werden personenbezogene Daten außerhalb des EWR-Auslands erhoben, verarbeitet oder genutzt gelten besondere Regeln der EU-Kommission.

Was sind Anbieterkennzeichnung und Datenschutzerklärung?

  • Die Veröffentlichung der Anbieterkennzeichnung auf dem Internetauftritt einer Behörde/Unternehmens ist aufgrund Umsetzung von § 5 Telemediengesetzes (TMG), als auch ggf. Rundfunkstaatsvertrag, Fernabsatzgesetz, Dienstleistungs-Verordnung und weiterer gesetzlicher Regelungen erforderlich.
  • Die Anbieterkennzeichnungspflicht dient vor allem dem Verbraucherschutz. Verbraucher sind somit in der Lage, die Seriosität der Diensteanbieter zu überprüfen. Aber auch Unternehmen haben ein erhebliches Interesse daran, die erforderlichen Informationen über andere Marktteilnehmer zu erlangen, um ein wettbewerbsrechtlich einwandfreies Verhalten durchsetzen zu können.
  • Eine fehlende oder fehlerhalte Anbieterkennzeichnung kann mit Geldbuße belangt werden.
  • Das nach dem BDSG geforderte Verzeichnis für Jedermann (öffentliches Verfahrensverzeichnis) ist nicht identisch mit der Datenschutzerklärung gemäß § 15 TMG