10.01.2019

Die größten DSGVO-Mythen zum Datenschutzbeauftragten: was stimmt?

Die DSGVO verfolgt u.a. das Ziel das Datenschutzniveau innerhalb der EU zu vereinheitlichen und damit auch zur Rechtsklarheit beizutragen. Allerdings ist dieses Ziel zum Teil durch viele, gut gemeinte Beiträge zur Auslegung der DSGVO verwässert worden. Die Auslegung der DSGVO-Vorgaben sorgt nach wie vor für große Unsicherheit. Dazu gehört auch die Frage, in welchen Fällen ein Datenschutzbeauftragter (DSB) bestellt werden muss und welche Aufgaben ihm tatsächlich zukommen. Welche Mythen sind rund um den DSB verbreitet und was stimmt wirklich?

Mythos 1: Alle Unternehmen brauchen jetzt einen Datenschutzbeauftragten!

Das stimmt so nicht. Es gibt keine pauschale Bestellpflicht für Unternehmen.
Die DSGVO regelt ausdrücklich die Fälle, in denen ein Datenschutzbeauftragter bestellt werden muss, Art 37 DSGVO. Dies wird durch das Bundesdatenschutzgesetz (§ 38 BDSG) bzgl. nicht-öffentlicher Stellen ergänzt.
Dabei kann die Größe des Unternehmens ausschlaggebend sein. So müssen Unternehmen nach dem BDSG einen Datenschutzbeauftragten bestellen, wenn „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Hauptkriterium ist jedoch die Frage, in welchem Umfang und zu welchem Zweck personenbezogene Daten verarbeitet werden.
Doch es gibt auch Fälle, in denen kein Datenschutzbeauftragter erforderlich ist. Dies erfasst vor allem Unternehmen, die zwar personenbezogene Daten verarbeiten, diese aber nicht zu einer regelmäßigen und systematischen Überwachung von Personen führt, oder keine besonderen Kategorien personenbezogener Daten verarbeitet werden. Nach dem BDSG kann dies auch von der Unternehmensgröße abhängen.

Mythos 2: Unternehmen mit weniger als 10 Mitarbeitern müssen niemals einen Datenschutzbeauftragten bestellen.

FALSCH! Unabhängig von der Mitarbeiterzahl haben Unternehmen immer dann einen Datenschutzbeauftragten zu bestellen, wenn sie besonders sensible Daten, wie Angaben zur sexuellen Orientierung oder Gesundheitsdaten verarbeiten, Art. 37 Abs. 1 lit. c) DSGVO.
Weiterhin ist ein Datenschutzbeauftragter in allen Fällen zu bestimmen, in denen eine Datenschutz-Folgenabschätzung erforderlich ist, § 38 Abs. 1 S. 2 BDSG. In Fällen, in denen ein erhöhtes Risiko für die Rechte des Betroffenen an informationeller Selbstbestimmung besteht – also immer dann, wenn ein Eingriff in die Privatsphäre besonders tiefgreifend ist – ist eine Datenschutz-Folgenabschätzung durchzuführen. Ein Beispiel hierfür ist die Video-Überwachung von Mitarbeitern.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Mythos 3: Ein Datenschutzbeauftragter ist immer dann zu bestellen, wenn ein Unternehmen in seiner Kerntätigkeit personenbezogene Daten verarbeitet!

Nein, das allein reicht nicht aus. Neben der Regelung in der DSGVO, regelt das BDSG, dass ein Datenschutzbeauftragter dann bestellt werden muss, wenn ein Unternehmen mindestens zehn Mitarbeiter beschäftigt, die in ihrer Kerntätigkeit personenbezogene Daten verarbeiten, und diese „aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“, § 38 Abs. 1 S. 1 BDSG.
Dabei kommt es nicht darauf an, wie häufig personenbezogene Daten von diesen Mitarbeitern verarbeitet werden. Es kann auch Bestandteil der Kerntätigkeit von Mitarbeitern sein, nur einmal im Monat personenbezogene Daten zu verarbeiten. Irrelevant ist zudem die konkrete Art des Anstellungsverhältnisses. Wichtig ist die Weisungsgebundenheit der Mitarbeiter, die auch bei Mitarbeitern in Teilzeit gegeben ist.

Mythos 4: Ob ein Datenschutzbeauftragter bestellt werden muss, hängt nur von der Tätigkeit des „Verantwortlichen“ ab!

Nein! Die DSGVO bestimmt ausdrücklich, dass bei der Beurteilung des Risikos für die Rechte und Interessen der betroffenen Person auch die Tätigkeit von Auftragsverarbeitern berücksichtigt werden muss. Der Verantwortliche oder der Auftragsverarbeiter müssen beispielsweise einen Datenschutzbeauftragten benennen, wenn besonders sensible Daten umfangreich verarbeitet werden.

Mythos 5: Der Datenschutzbeauftragte muss ein Mitarbeiter des betroffenen Unternehmens sein!

Das muss er nicht! Der Datenschutzbeauftragte kann auch ein externer Dienstleister sein. Die DSGVO regelt ausdrücklich, dass der Datenschutzbeauftragte nach seiner Qualifikation und nicht danach ausgewählt wird, ob er bei dem Unternehmen angestellt ist. Die Bestellung eines externen Datenschutzbeauftragten kann sogar aufgrund der damit einhergehenden Objektivität und Neutralität von Vorteil sein und auch innerhalb des Bußgeldverfahrens der DSGVO das Risiko des Fahrlässigkeitsvorwurfes mindern.

Mythos 6: Jedes Unternehmen einer Unternehmensgruppe (eines Konzerns) hat einen eigenen Datenschutzbeauftragten zu bestellen.

Nein, warum auch? Die DSGVO regelt ausdrücklich, dass Unternehmen einer Unternehmensgruppe auch einen gemeinsamen Datenschutzbeauftragten bestellen können, Art. 37 Abs. 2 DSGVO. Dies hat sogar viele Vorteile, etwa eine Übersicht über die Weitergabe von Daten an der Schnittstelle von verschiedenen Tochterunternehmen, die gerade besonders große Risiken für die Verletzung personenbezogener Daten aufweist.

Mythos 7: Der Datenschutzbeauftragte muss seinen Sitz innerhalb der EU haben.

Das stimmt zwar nicht, ein Sitz innerhalb der EU kann aber vorteilhaft sein. Dies resultiert aus den Aufgaben des Datenschutzbeauftragten nach der DSGVO.
Der DSB ist vor allem für die Aufklärung der Mitarbeiter über die datenschutzrechtlichen Vorgaben der DSGVO und die Einhaltung der DSGVO durch das Unternehmen verantwortlich. Um diese Aufgaben zu erfüllen, sollten keine sprachlichen Barrieren und fehlende rechtliche Kenntnisse bestehen, die jedenfalls bei einem Sitz außerhalb der EU eher anzunehmen sind. Die Aufklärung der Mitarbeiter kann besonders effizient durch Schulungen durchgeführt werden, für die sprachliche oder rechtliche Defizite erhebliche Folgen hätten. Zudem ist es erforderlich, dass der Datenschutzbeauftragte ohne unzumutbare Hindernisse (also bei leichter Erreichbarkeit) auch tatsächlichen Zugang zum Unternehmen hat, um etwa die Einhaltung der DSGVO-Vorgaben zu begutachten. Von einem unzumutbaren Hindernis ist z.B. dann auszugehen, wenn der Konzerndatenschutzbeauftragte länger als einen Tag für die Anreise zu einem bestimmten Unternehmen braucht. Auch dies kann bei einem Sitz außerhalb der EU unter Umständen bezweifelt werden. Unternehmen setzen sich einem unnötigen Risiko aus, wenn sie es hier „darauf ankommen lassen“. Der Fahrlässigkeitsvorwurf innerhalb des Bußgeldverfahrens kann dann nicht mehr ohne Weiteres widerlegt werden. Die leichte Erreichbarkeit muss zudem nicht nur gegenüber den einzelnen Unternehmen bestehen, sondern auch für Betroffene und Aufsichtsbehörden.

Mythos 8: Bei Verletzung der DSGVO haftet der Datenschutzbeauftragte und nicht das Unternehmen!

Das stimmt nicht! Neben der Aufklärung der Mitarbeiter hat der Datenschutzbeauftragte in Kooperation mit den Aufsichtsbehörden die Einhaltung der DSGVO im Unternehmen zu überwachen. Bei Verletzung dieser Pflicht haftet das ihn beauftragende Unternehmen. Darüber hinaus haften Unternehmen, wenn sie den Datenschutzbeauftragten bei der Erfüllung seiner Pflicht nicht ausreichend unterstützen, ihm also etwa keinen Zugang zu bestimmten innerbetrieblichen Prozessen gewähren. Demgemäß besteht für Unternehmen sogar ein doppeltes Haftungsrisiko.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 1 und 4?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Mythos 9: Aus der Nichtbestellung eines Datenschutzbeauftragten erfolgt keine Konsequenz!

Falsch! Die Nichtbestellung eines Datenschutzbeauftragten, trotz Bestellungspflicht, kann allein und für sich betrachtet die Bußgelder der DSGVO von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes ausmachen, je nachdem welcher Betrag höher ausfällt. Zudem kann das Bußgeld dadurch erhöht werden, dass die Aufsichtsbehörden die Nichtbestellung als (grob) fahrlässigen Verstoß gegen das Datenschutzrecht der DSGVO, in schwerwiegenden Fällen sogar als bedingt vorsätzlichen Verstoß werten. Sollten die Bußgelder für die Nichtbestellung bereits verhängt worden sein und erst später ein (weiterer) Verstoß (z.B. die Nichtbeantwortung von Betroffenenanfragen) erfolgen und immer noch kein Datenschutzbeauftragter bestellt worden sein, haben Unternehmen daher unter Umständen doppelte Bußgelder zu zahlen.

Fazit und Handlungsempfehlung

Die DSGVO verfolgt mit der Bestellung von Datenschutzbeauftragten einen risikobasierten Ansatz. Ist das Risiko für die Rechte und Interessen von Betroffenen bei der Verarbeitung von personenbezogenen Daten besonders hoch, ist eher von einer Bestellpflicht auszugehen. Zusätzlich sind auch der Zweck und Umfang der Datenverarbeitung ausschlaggebend. Die Unternehmensgröße ist zunächst zweitrangig. Aktuell wird unter Bezugnahme auf eine Öffnungsklausel der DSGVO eine Bestellpflicht für Datenschutzbeauftragte in Deutschland diskutiert. Unternehmen sollten die entsprechende Diskussion im Bundesrat zum Datenschutz-Anpassungsgesetz daher genau beobachten und nicht vorschnell von der Bestellung eines Datenschutzbeauftragten absehen (zum Entwurf des federführenden Ausschusses für innere Angelegenheiten und des Wirtschaftsausschusses des Bundesrates.)

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …