Datenschutzbeauftragter: Zwischen DSGVO und IT-Sicherheit

Was sind die häufigsten Verstöße gegen die DSGVO in Deutschland?

Laut einer Erhebung von Statista erreichten die DSGVO-Bußgelder 2023 EU-weit ein neues Rekordhoch von rund 1,6 Milliarden Euro Geldbußen aufgrund von Verstößen gegen die Datenschutz-Grundverordnung von international agierenden und allseits bekannten Online-Händlern und Social Media Plattformen.

Für den deutschen Mittelstand liegt die Gefahr meist nicht in internationalen Datentransfers, sondern in vermeidbaren organisatorischen Mängeln sowie fehlendem Fachwissen rund um den Datenschutz. Bußgelder werden hierzulande am häufigsten verhängt, weil grundlegende Pflichten bei der Datenverarbeitung vernachlässigt wurden. Ein interner oder externer Datenschutzbeauftragter hilft Ihnen, die häufigsten Verstöße zu identifizieren und zu vermeiden, wie zum Beispiel:

• Verarbeitung von Daten ohne Rechtsgrundlage oder wirksame Einwilligung
  
  
• Unzureichende technische Sicherheitsmaßnahmen und fehlende Verschlüsselung
  
  
• Fehlende oder verspätete Meldung von Datenpannen an die Behörden
  
  
• Mangelnde Transparenz durch unvollständige Datenschutzerklärungen
  
  
• Missachtung von Betroffenenrechten bei Auskunfts- oder Löschersuchen
  
  
• Fehlende Verträge zur Auftragsverarbeitung bei Nutzung externer Dienstleister
  
  
• Unzulässige Videoüberwachung am Arbeitsplatz oder im öffentlichen Raum
• Nutzung veralteter Software und fehlende Sicherheitsupdates, die Einfallstore für Hacker bieten
  
  
• Zu weitreichende Zugriffsrechte (zu viele Mitarbeiter haben Zugriff auf sensible Daten)

 

Wann muss ein Datenschutzbeauftragter bestellt werden nach DSGVO?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) ergibt sich aus einem Zusammenspiel der europäischen Datenschutz-Grundverordnung (Art. 37 DSGVO „Benennung eines Datenschutzbeauftragten“) und dem nationalen Bundesdatenschutzgesetz (§ 38 BDSG „Datenschutzbeauftragte nichtöffentlicher Stellen“). In Deutschland sind die Regelungen strenger als in vielen anderen EU-Ländern. Grundsätzlich müssen Unternehmen in drei Fällen einen Datenschutzbeauftragten benennen:

1. Die „20-Personen-Regel“ (§ 38 Abs. 1 BDSG)

Dies ist der häufigste Fall im deutschen Mittelstand. Ein Datenschutzbeauftragter muss bestellt werden, wenn im Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei zählt die „Kopfzahl“, nicht die Vollzeitstelle. Zwei Teilzeitkräfte zählen also als zwei Personen.

Zur automatisierten Datenverarbeitung gehört bereits die Arbeit am PC, das Versenden von E-Mails oder die Pflege von Kundendaten im CRM-System. Auch Leiharbeiter, Praktikanten oder Volontäre zählen mit, wenn sie entsprechende Aufgaben übernehmen. Die Geschäftsführung zählt bei dieser Berechnung in der Regel nicht mit.

• Die Kerntätigkeit erfordert Überwachung (Art. 37 DSGVO)

Unabhängig von der Mitarbeiterzahl gilt die Bestellpflicht eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens in einer Verarbeitung besteht, die eine regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht. Als Beispiele sind hier Auskunfteien, Adresshändler, Detekteien oder Unternehmen zu nennen, die Web-Tracking und Profiling zu Werbezwecken betreiben.

• Verarbeitung besonderer Datenkategorien (Art. 37 DSGVO & § 38 BDSG)

Verarbeitet ein Unternehmen im großen Umfang besonders schützenswerte Daten gemäß Art. 9 DSGVO (z. B. Gesundheitsdaten, ethnische Herkunft, politische Meinungen), ist ebenfalls ein Datenschutzbeauftragter erforderlich.

Zudem muss nach § 38 Abs. 1 BDSG unabhängig von der Mitarbeiterzahl immer dann ein Datenschutzbeauftragter bestellt werden, wenn eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss oder wenn Daten geschäftsmäßig für Markt- und Meinungsforschung verarbeitet werden.

 

Was ist eine Datenschutz-Folgenabschätzung?

Nach Art. 35 DSGVO ist eine Datenschutz-Folgenabschätzung (DSFA) immer dann notwendig, wenn eine geplante Datenverarbeitung ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Dies ist oft bei der Einführung neuer Technologien (z. B. KI-Systeme) oder bei systematischer Videoüberwachung öffentlich zugänglicher Bereiche der Fall.

Die Verantwortung für die Durchführung einer Datenschutz-Folgenabschätzung liegt bei der Geschäftsführung. Der Datenschutzbeauftragte muss jedoch gemäß Gesetz beratend hinzugezogen werden. Er unterstützt bei der Risikobewertung, prüft die Angemessenheit der Schutzmaßnahmen und überwacht die korrekte Durchführung der DSFA.

 

Welche Qualifikationen braucht ein Datenschutzbeauftragter?

Die DSGVO schreibt keinen festen Studiengang vor, fordert aber in Art. 37 Abs. 5 DSGVO ein „benanntes Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“. Da der Begriff nicht geschützt ist, herrscht oft Unsicherheit. In der Praxis muss ein qualifizierter Datenschutzbeauftragter am besten in zwei Welten zu Hause sein:

• Rechtliche Fachkunde: Er muss die DSGVO, das Bundesdatenschutzgesetz (BDSG) und weitere relevante Vorschriften sicher anwenden können. Dazu gehört auch das Wissen über aktuelle Urteile und die Auslegung durch die Aufsichtsbehörden.
• Technische Expertise (IT-Sicherheit): Da Daten heute fast ausschließlich digital verarbeitet werden, ist IT-Wissen unerlässlich. Der Beauftragte muss verstehen, wie Netzwerke, Verschlüsselungen und Cloud-Systeme funktionieren, um die Sicherheit der Verarbeitung bewerten zu können.

Der Nachweis dieser Qualifikation erfolgt üblicherweise durch Zertifikate anerkannter Stellen (z. B. durch die Industrie- und Handelskammer, IHK) sowie durch regelmäßige Fortbildungsnachweise.

 

Welche drei Eigenschaften muss ein Datenschutzbeauftragter erfüllen?

Neben dem fachlichen Wissen definiert das Gesetz (Art. 38 DSGVO) und die behördliche Praxis drei wesentliche Eigenschaften, die eine Person mitbringen muss, um das Amt ausüben zu dürfen:

1. Fachkunde: Das oben beschriebene Wissen in Recht und IT muss nachweisbar vorhanden sein und aktuell gehalten werden.
2. Zuverlässigkeit: Die Person muss die nötige Integrität besitzen, um ihre Aufgaben gewissenhaft zu erfüllen. Wer beispielsweise selbst schon wegen Datenschutzverstößen aufgefallen ist, gilt als unzuverlässig.
3. Unabhängigkeit (Kein Interessenkonflikt): Dies ist der wichtigste Punkt. Der Datenschutzbeauftragte darf sich nicht selbst kontrollieren. Er darf keine Position innehaben, in der er über die Zwecke und Mittel der Datenverarbeitung entscheidet (z. B. Geschäftsführung, IT-Leitung, Marketing-Leitung).

 

Wie oft muss ein Datenschutzbeauftragter geschult werden?

Die DSGVO nennt keine eindeutigen Fristen, verpflichtet das Unternehmen aber gemäß Art. 38 Abs. 2 DSGVO („Stellung des Datenschutzbeauftragten“), dem Beauftragten alle Ressourcen zum Erhalt seines Fachwissens zu stellen. Da Datenschutzrecht und IT-Technik schnelllebig sind, gilt eine einmal erworbene Qualifikation nicht für immer. In der Praxis ist eine mindestens jährliche Weiterbildung üblich, um die gesetzlich geforderte „Fachkunde“ nicht zu verlieren.

Gleichzeitig gehört es zu den Aufgaben des Datenschutzbeauftragten (Art. 39 DSGVO), die Mitarbeiter des Unternehmens für Datenschutzaufgaben zu sensibilisieren. Auch hier empfiehlt sich eine jährliche Unterweisung, damit auch die Beschäftigten auf aktuellem Stand bleiben.

 

Was kostet ein Datenschutzbeauftragter im Monat?

Die monatlichen Aufwendungen für einen Datenschutzbeauftragten können stark variieren und orientieren sich hauptsächlich an der Größe des Unternehmens sowie der Sensibilität der Daten und Art der Datenverarbeitung. Während ein interner Beauftragter neben Gehaltsanteilen auch Kosten für gesetzlich verpflichtende Fortbildungen, Fachliteratur und den erweiterten Kündigungsschutz verursacht, kalkulieren externe Dienstleister meist mit Pauschalen, die den tatsächlichen Beratungsaufwand widerspiegeln.

Faktoren wie die Anzahl der Standorte, der Umgang mit besonderen Datenkategorien oder komplexe Cloud-Strukturen erhöhen dabei den Prüfaufwand und somit das Honorar, weshalb pauschale Preisvergleiche ohne genaue Bedarfsanalyse oft schwierig sind.

Für eine transparente und planbare Kostenstruktur bieten wir bei 123Ingenieure die Stellung des externen Datenschutzbeauftragten bereits ab 49 Euro monatlich an. In diesem Tarif sind neben der offiziellen Bestellung bei der Landesbehörde und einer ersten Bestandsaufnahme auch alle Spesen- und Fahrtkostenpauschalen sowie die laufende Beratung per Telefon und E-Mail enthalten, wobei der endgültige Preis von der konkreten Mitarbeiterzahl sowie der Art der Datenverarbeitung abhängt.

 

Kann jeder Mitarbeiter Datenschutzbeauftragter werden?

Theoretisch darf ein interner Mitarbeiter als Datenschutzbeauftragter benannt werden, doch in der Praxis scheitert dies oft am gesetzlichen Verbot des Interessenkonflikts:

„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

(Quelle: Art. 38 Abs. 6 DSGVO)

Selbst wenn sich ein Mitarbeiter ohne Interessenkonflikt findet, besteht in Deutschland eine arbeitsrechtliche Besonderheit. Ein interner Datenschutzbeauftragter genießt gemäß § 6 BDSG einen besonderen Kündigungsschutz ähnlich dem eines Betriebsrats. Er ist während seiner Amtszeit und ein Jahr danach ordentlich unkündbar. Eine fristlose Kündigung aus wichtigem Grund ist nur in Anwendung des § 626 BGB möglich. Viele Unternehmen entscheiden sich daher lieber für einen externen Datenschutzbeauftragten, um organisatorisch flexibel zu bleiben.

 

Ist ein Datenschutzbeauftragter haftbar?

Viele Unternehmer glauben, dass sie mit der Bestellung eines Datenschutzbeauftragten auch das Risiko von etwaigen Bußgeldzahlungen auf diesen abwälzen können. Das ist rechtlich aber nicht möglich. Im Sinne der DSGVO ist das Unternehmen dafür verantwortlich. Auch bei Schadensersatzforderungen von Betroffenen haftet die Geschäftsführung. Der Datenschutzbeauftragte hat lediglich eine beratende und überwachende Funktion, trifft aber selbst keine operativen Entscheidungen für das Unternehmen.

Dennoch trägt der Datenschutzbeauftragte eine hohe Verantwortung und haftet im Innenverhältnis gegenüber dem Unternehmen, wenn er seine gesetzlichen oder vertraglichen Pflichten verletzt. Berät er beispielsweise fehlerhaft oder übersieht er offensichtliche Risiken, kann das Unternehmen Regressforderungen stellen. Hier zeigt sich ein Vorteil der externen Lösung. Während interne Mitarbeiter oft durch die privilegierte Arbeitnehmerhaftung geschützt sind und meist nur bei Vorsatz oder grober Fahrlässigkeit haften, stehen externe Datenschutzbeauftragte für ihre Beratungsfehler gerade.

 

Datenschutz und Arbeitssicherheit aus einer Hand

Neben dem Datenschutz ist auch die Arbeitssicherheit eine gesetzliche Pflicht für jedes Unternehmen. Wir unterstützen Sie deutschlandweit in beiden Bereichen. Unsere Fachkräfte für Arbeitssicherheit, Abfallbeauftragte sowie Brandschutzbeauftragte und Betriebsärzte bringen umfangreiches Fachwissen aus allen Branchen mit und arbeiten stets zuverlässig und qualitätsorientiert. Bündeln Sie Ihre gesetzlichen Verpflichtungen im Arbeits- und Gesundheitsschutz einfach bei uns und informieren Sie sich unter 123Ingenieure.