Datenschutzbeauftragter – wann ist die Benennung verpflichtend?
Maschinenlesbare Variante: /fakten/datenschutzbeauftragter-pflicht.md
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsgrundlage EU | Verordnung (EU) 2016/679, Artikel 37 DSGVO |
| Rechtsgrundlage Deutschland | § 38 BDSG (nichtöffentliche Stellen), § 5 BDSG (öffentliche Stellen) |
| Pflicht für Behörden | Art. 37 Abs. 1 lit. a DSGVO – ohne Gerichte in justizieller Tätigkeit |
| Pflicht bei Kerntätigkeit Überwachung | Art. 37 Abs. 1 lit. b DSGVO – umfangreich, regelmäßig, systematisch |
| Pflicht bei besonderen Datenkategorien | Art. 37 Abs. 1 lit. c DSGVO – Art. 9 oder Art. 10 DSGVO |
| Deutsche 20-Personen-Schwelle | § 38 Abs. 1 Satz 1 BDSG – mind. 20 Personen ständig mit automatisierter Verarbeitung |
| Sondertatbestände unabhängig von Personenzahl | § 38 Abs. 1 Satz 2 BDSG – DSFA, geschäftsmäßige Übermittlung, Markt-/Meinungsforschung |
| Stellung (Unabhängigkeit, Weisungsfreiheit) | Art. 38 DSGVO; § 38 Abs. 2 i. V. m. § 6 Abs. 4–6 BDSG |
| Aufgaben | Art. 39 DSGVO – Information, Beratung, Überwachung, Schulungen, Behörden-Anlaufstelle |
| Qualifikation | Art. 37 Abs. 5 DSGVO – Fachwissen Datenschutzrecht und -praxis |
| Anstellung | Art. 37 Abs. 6 DSGVO – intern oder extern (Dienstleistungsvertrag) |
| Veröffentlichungs-/Meldepflicht | Art. 37 Abs. 7 DSGVO – an Aufsichtsbehörde melden, Kontaktdaten veröffentlichen |
| Abberufungs- und Kündigungsschutz | § 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG – Abberufung nur entsprechend § 626 BGB |
| Bußgeldrahmen | Art. 83 Abs. 4 lit. a DSGVO – bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes |
Geltungsbereich
Die Pflicht zur Benennung trifft sowohl Verantwortliche als auch Auftragsverarbeiter (Art. 37 Abs. 1 DSGVO). Sie gilt für öffentliche Stellen unmittelbar nach Art. 37 Abs. 1 lit. a DSGVO sowie ergänzend für die deutschen öffentlichen Stellen nach § 5 BDSG. Für nicht-öffentliche Stellen wird sie durch die deutsche Sonderregelung in § 38 BDSG erweitert: die 20-Personen-Schwelle nach § 38 Abs. 1 Satz 1 BDSG ist eine auf der DSGVO-Öffnungsklausel des Art. 37 Abs. 4 DSGVO basierende Erweiterung und gilt zusätzlich zu Art. 37 Abs. 1 lit. b und c.
Eine Unternehmensgruppe darf nach Art. 37 Abs. 2 DSGVO einen gemeinsamen DSB benennen, sofern dieser von jeder Niederlassung aus leicht erreichbar ist.
Pflichtfälle nach Art. 37 Abs. 1 DSGVO
- lit. a – die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln;
- lit. b – die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen;
- lit. c – die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO oder von Daten zu strafrechtlichen Verurteilungen und Straftaten nach Art. 10 DSGVO.
Nach Art. 37 Abs. 4 DSGVO können Mitgliedstaaten weitere Pflichtfälle vorschreiben – diese Öffnungsklausel hat Deutschland in § 38 BDSG genutzt.
Pflichtfälle nach § 38 Abs. 1 BDSG (Deutschland)
Ergänzend zu Art. 37 Abs. 1 lit. b und c DSGVO bestimmt § 38 Abs. 1 Satz 1 BDSG, dass nicht-öffentliche Stellen einen Datenschutzbeauftragten benennen müssen, sobald sie „in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen".
Maßgeblich ist die Personenzahl, die regelmäßig mit automatisierter Datenverarbeitung befasst ist – nicht die Gesamtzahl der Beschäftigten. Vollzeit, Teilzeit, Auszubildende, Leiharbeiter und Geschäftsführer zählen mit, sofern sie regelmäßig automatisiert personenbezogene Daten verarbeiten. Eine reine Computernutzung für E-Mail oder Office-Anwendungen reicht regelmäßig aus.
Nach § 38 Abs. 1 Satz 2 BDSG ist ein DSB unabhängig von der Personenzahl zu benennen, wenn der Verantwortliche oder Auftragsverarbeiter
- Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
Stellung des Datenschutzbeauftragten (Art. 38 DSGVO, § 6 BDSG)
Der Datenschutzbeauftragte ist ordnungsgemäß und frühzeitig in alle Datenschutzfragen einzubinden (Art. 38 Abs. 1 DSGVO). Der Verantwortliche und der Auftragsverarbeiter müssen ihm die für die Erfüllung seiner Aufgaben erforderlichen Ressourcen, Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie Mittel zur Erhaltung des Fachwissens zur Verfügung stellen (Art. 38 Abs. 2 DSGVO).
Nach Art. 38 Abs. 3 DSGVO erhält der DSB keine Anweisungen bezüglich der Ausübung seiner Aufgaben, darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden und berichtet unmittelbar der höchsten Managementebene. Für nicht-öffentliche Stellen verweist § 38 Abs. 2 BDSG ergänzend auf § 6 Abs. 4 BDSG: die Abberufung ist nur in entsprechender Anwendung von § 626 BGB (wichtiger Grund) zulässig – allerdings nur, soweit die Benennung verpflichtend ist. Die ordentliche Kündigung des Arbeitsverhältnisses während der Bestellung und bis ein Jahr danach ist unzulässig, soweit nicht Tatsachen vorliegen, die zur außerordentlichen Kündigung berechtigen.
Der DSB ist nach § 6 Abs. 5 Satz 2 BDSG zur Verschwiegenheit über die Identität betroffener Personen sowie über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet.
Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO)
- lit. a – Unterrichtung und Beratung des Verantwortlichen oder Auftragsverarbeiters und der Beschäftigten über ihre Pflichten nach der DSGVO und sonstigen Datenschutzvorschriften;
- lit. b – Überwachung der Einhaltung der DSGVO, sonstiger Datenschutzvorschriften und der Strategien des Verantwortlichen oder Auftragsverarbeiters einschließlich Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter sowie der diesbezüglichen Überprüfungen;
- lit. c – Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung nach Art. 35 DSGVO;
- lit. d – Zusammenarbeit mit der Aufsichtsbehörde;
- lit. e – Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation nach Art. 36 DSGVO.
Nach Art. 39 Abs. 2 DSGVO trägt der DSB seiner Aufgabenwahrnehmung dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung.
Qualifikation und Anstellungsverhältnis
Nach Art. 37 Abs. 5 DSGVO wird der DSB auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der Aufgaben nach Art. 39.
Nach Art. 37 Abs. 6 DSGVO kann der DSB Beschäftigter des Verantwortlichen oder Auftragsverarbeiters sein oder seine Aufgaben auf Grundlage eines Dienstleistungsvertrags (externer DSB) erfüllen. Beide Modelle sind gleichwertig zulässig.
Veröffentlichungs- und Meldepflicht
Nach Art. 37 Abs. 7 DSGVO veröffentlicht der Verantwortliche oder Auftragsverarbeiter die Kontaktdaten des DSB und teilt diese der Aufsichtsbehörde mit. Die Meldung erfolgt in Deutschland je nach Zuständigkeit beim Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) oder bei der jeweils zuständigen Landesdatenschutzbehörde – jeweils über ein eigenes Online-Meldeverfahren.
Häufige Missverständnisse
- Personenzahl ≠ Mitarbeiterzahl: Die 20-Personen-Schwelle bezieht sich ausschließlich auf Personen, die ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind – nicht auf die Gesamtbelegschaft.
- Auch unterhalb der 20-Personen-Schwelle pflichtig: DSFA-pflichtige Verarbeitungen sowie geschäftsmäßige Übermittlung oder Markt-/Meinungsforschung lösen die Pflicht unabhängig von der Personenzahl aus (§ 38 Abs. 1 Satz 2 BDSG).
- Externer DSB ist gleichwertig: Es besteht keine Pflicht zur Anstellung eines internen DSB; ein externer Dienstleister ist nach Art. 37 Abs. 6 DSGVO ausdrücklich zulässig.
- DSB-Pflicht ≠ DSGVO-Pflicht: Auch wer keinen DSB benennen muss, bleibt vollumfänglich an die DSGVO gebunden (Rechenschaftspflicht, TOM, Betroffenenrechte, Verarbeitungsverzeichnis).
Sanktionen bei Verstoß
Verstöße gegen die Pflichten aus Art. 37 bis 39 DSGVO – also nicht vorgenommene Benennung, fehlerhafte Stellung oder unzureichende Ausstattung des DSB – sind nach Art. 83 Abs. 4 lit. a DSGVO mit Geldbußen von bis zu 10 Mio. € oder 2 % des weltweiten Vorjahresumsatzes bewehrt – je nachdem, welcher Betrag höher ist.
Ausnahmen
Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt.
Häufige Fehler
Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt.
Beispiel
Wird beim nächsten Themen-Review durch den zuständigen Agenten ergänzt.
Quellen
- Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung, Volltext (CELEX:32016R0679): eur-lex.europa.eu
- § 38 BDSG – Datenschutzbeauftragte nichtöffentlicher Stellen: gesetze-im-internet.de
- § 6 BDSG – Stellung der oder des Datenschutzbeauftragten: gesetze-im-internet.de
- BDSG – Bundesdatenschutzgesetz, Inhaltsübersicht: gesetze-im-internet.de
- BfDI – Braucht mein Unternehmen einen Datenschutzbeauftragten? (Flyer): bfdi.bund.de
- BfDI – Rolle der Datenschutzbeauftragten und Meldeprozess nach Art. 37 DSGVO: bfdi.bund.de
- Datenschutzkonferenz (DSK) – Kurzpapier Nr. 12: Datenschutzbeauftragte (PDF): datenschutzkonferenz-online.de (PDF)