Die DSGVO verfolgt u.a. das Ziel das Datenschutzniveau innerhalb der EU zu vereinheitlichen und damit auch zur Rechtsklarheit beizutragen. Allerdings ist dieses Ziel zum Teil durch viele, gut gemeinte Beiträge zur Auslegung der DSGVO verwässert worden. Die Auslegung der DSGVO-Vorgaben sorgt nach wie vor für große Unsicherheit. Dazu gehört auch die Frage, in welchen Fällen ein Datenschutzbeauftragter (DSB) bestellt werden muss und welche Aufgaben ihm tatsächlich zukommen. Welche Mythen sind rund um den DSB verbreitet und was stimmt wirklich?

Mythos 1: Alle Unternehmen brauchen jetzt einen Datenschutzbeauftragten!

Das stimmt so nicht. Es gibt keine pauschale Bestellpflicht für Unternehmen.
Die DSGVO regelt ausdrücklich die Fälle, in denen ein Datenschutzbeauftragter bestellt werden muss, Art 37 DSGVO. Dies wird durch das Bundesdatenschutzgesetz (§ 38 BDSG) bzgl. nicht-öffentlicher Stellen ergänzt.
Dabei kann die Größe des Unternehmens ausschlaggebend sein. So müssen Unternehmen nach dem BDSG einen Datenschutzbeauftragten bestellen, wenn „mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Hauptkriterium ist jedoch die Frage, in welchem Umfang und zu welchem Zweck personenbezogene Daten verarbeitet werden.
Doch es gibt auch Fälle, in denen kein Datenschutzbeauftragter erforderlich ist. Dies erfasst vor allem Unternehmen, die zwar personenbezogene Daten verarbeiten, diese aber nicht zu einer regelmäßigen und systematischen Überwachung von Personen führt, oder keine besonderen Kategorien personenbezogener Daten verarbeitet werden. Nach dem BDSG kann dies auch von der Unternehmensgröße abhängen.

Mythos 2: Unternehmen mit weniger als 10 Mitarbeitern müssen niemals einen Datenschutzbeauftragten bestellen.

FALSCH! Unabhängig von der Mitarbeiterzahl haben Unternehmen immer dann einen Datenschutzbeauftragten zu bestellen, wenn sie besonders sensible Daten, wie Angaben zur sexuellen Orientierung oder Gesundheitsdaten verarbeiten, Art. 37 Abs. 1 lit. c) DSGVO.
Weiterhin ist ein Datenschutzbeauftragter in allen Fällen zu bestimmen, in denen eine Datenschutz-Folgenabschätzung erforderlich ist, § 38 Abs. 1 S. 2 BDSG. In Fällen, in denen ein erhöhtes Risiko für die Rechte des Betroffenen an informationeller Selbstbestimmung besteht – also immer dann, wenn ein Eingriff in die Privatsphäre besonders tiefgreifend ist – ist eine Datenschutz-Folgenabschätzung durchzuführen. Ein Beispiel hierfür ist die Video-Überwachung von Mitarbeitern.

Mythos 3: Ein Datenschutzbeauftragter ist immer dann zu bestellen, wenn ein Unternehmen in seiner Kerntätigkeit personenbezogene Daten verarbeitet!

Nein, das allein reicht nicht aus. Neben der Regelung in der DSGVO, regelt das BDSG, dass ein Datenschutzbeauftragter dann bestellt werden muss, wenn ein Unternehmen mindestens zehn Mitarbeiter beschäftigt, die in ihrer Kerntätigkeit personenbezogene Daten verarbeiten, und diese „aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“, § 38 Abs. 1 S. 1 BDSG.
Dabei kommt es nicht darauf an, wie häufig personenbezogene Daten von diesen Mitarbeitern verarbeitet werden. Es kann auch Bestandteil der Kerntätigkeit von Mitarbeitern sein, nur einmal im Monat personenbezogene Daten zu verarbeiten. Irrelevant ist zudem die konkrete Art des Anstellungsverhältnisses. Wichtig ist die Weisungsgebundenheit der Mitarbeiter, die auch bei Mitarbeitern in Teilzeit gegeben ist.

Mythos 4: Ob ein Datenschutzbeauftragter bestellt werden muss, hängt nur von der Tätigkeit des „Verantwortlichen“ ab!

Nein! Die DSGVO bestimmt ausdrücklich, dass bei der Beurteilung des Risikos für die Rechte und Interessen der betroffenen Person auch die Tätigkeit von Auftragsverarbeitern berücksichtigt werden muss. Der Verantwortliche oder der Auftragsverarbeiter müssen beispielsweise einen Datenschutzbeauftragten benennen, wenn besonders sensible Daten umfangreich verarbeitet werden.

Mythos 5: Der Datenschutzbeauftragte muss ein Mitarbeiter des betroffenen Unternehmens sein!

Das muss er nicht! Der Datenschutzbeauftragte kann auch ein externer Dienstleister sein. Die DSGVO regelt ausdrücklich, dass der Datenschutzbeauftragte nach seiner Qualifikation und nicht danach ausgewählt wird, ob er bei dem Unternehmen angestellt ist. Die Bestellung eines externen Datenschutzbeauftragten kann sogar aufgrund der damit einhergehenden Objektivität und Neutralität von Vorteil sein und auch innerhalb des Bußgeldverfahrens der DSGVO das Risiko des Fahrlässigkeitsvorwurfes mindern.

Mythos 6: Jedes Unternehmen einer Unternehmensgruppe (eines Konzerns) hat einen eigenen Datenschutzbeauftragten zu bestellen.

Nein, warum auch? Die DSGVO regelt ausdrücklich, dass Unternehmen einer Unternehmensgruppe auch einen gemeinsamen Datenschutzbeauftragten bestellen können, Art. 37 Abs. 2 DSGVO. Dies hat sogar viele Vorteile, etwa eine Übersicht über die Weitergabe von Daten an der Schnittstelle von verschiedenen Tochterunternehmen, die gerade besonders große Risiken für die Verletzung personenbezogener Daten aufweist.

Mythos 7: Der Datenschutzbeauftragte muss seinen Sitz innerhalb der EU haben.

Das stimmt zwar nicht, ein Sitz innerhalb der EU kann aber vorteilhaft sein. Dies resultiert aus den Aufgaben des Datenschutzbeauftragten nach der DSGVO.
Der DSB ist vor allem für die Aufklärung der Mitarbeiter über die datenschutzrechtlichen Vorgaben der DSGVO und die Einhaltung der DSGVO durch das Unternehmen verantwortlich. Um diese Aufgaben zu erfüllen, sollten keine sprachlichen Barrieren und fehlende rechtliche Kenntnisse bestehen, die jedenfalls bei einem Sitz außerhalb der EU eher anzunehmen sind. Die Aufklärung der Mitarbeiter kann besonders effizient durch Schulungen durchgeführt werden, für die sprachliche oder rechtliche Defizite erhebliche Folgen hätten. Zudem ist es erforderlich, dass der Datenschutzbeauftragte ohne unzumutbare Hindernisse (also bei leichter Erreichbarkeit) auch tatsächlichen Zugang zum Unternehmen hat, um etwa die Einhaltung der DSGVO-Vorgaben zu begutachten. Von einem unzumutbaren Hindernis ist z.B. dann auszugehen, wenn der Konzerndatenschutzbeauftragte länger als einen Tag für die Anreise zu einem bestimmten Unternehmen braucht. Auch dies kann bei einem Sitz außerhalb der EU unter Umständen bezweifelt werden. Unternehmen setzen sich einem unnötigen Risiko aus, wenn sie es hier „darauf ankommen lassen“. Der Fahrlässigkeitsvorwurf innerhalb des Bußgeldverfahrens kann dann nicht mehr ohne Weiteres widerlegt werden. Die leichte Erreichbarkeit muss zudem nicht nur gegenüber den einzelnen Unternehmen bestehen, sondern auch für Betroffene und Aufsichtsbehörden.

Mythos 8: Bei Verletzung der DSGVO haftet der Datenschutzbeauftragte und nicht das Unternehmen!

Das stimmt nicht! Neben der Aufklärung der Mitarbeiter hat der Datenschutzbeauftragte in Kooperation mit den Aufsichtsbehörden die Einhaltung der DSGVO im Unternehmen zu überwachen. Bei Verletzung dieser Pflicht haftet das ihn beauftragende Unternehmen. Darüber hinaus haften Unternehmen, wenn sie den Datenschutzbeauftragten bei der Erfüllung seiner Pflicht nicht ausreichend unterstützen, ihm also etwa keinen Zugang zu bestimmten innerbetrieblichen Prozessen gewähren. Demgemäß besteht für Unternehmen sogar ein doppeltes Haftungsrisiko.

Mythos 9: Aus der Nichtbestellung eines Datenschutzbeauftragten erfolgt keine Konsequenz!

Falsch! Die Nichtbestellung eines Datenschutzbeauftragten, trotz Bestellungspflicht, kann allein und für sich betrachtet die Bußgelder der DSGVO von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes ausmachen, je nachdem welcher Betrag höher ausfällt. Zudem kann das Bußgeld dadurch erhöht werden, dass die Aufsichtsbehörden die Nichtbestellung als (grob) fahrlässigen Verstoß gegen das Datenschutzrecht der DSGVO, in schwerwiegenden Fällen sogar als bedingt vorsätzlichen Verstoß werten. Sollten die Bußgelder für die Nichtbestellung bereits verhängt worden sein und erst später ein (weiterer) Verstoß (z.B. die Nichtbeantwortung von Betroffenenanfragen) erfolgen und immer noch kein Datenschutzbeauftragter bestellt worden sein, haben Unternehmen daher unter Umständen doppelte Bußgelder zu zahlen.

Fazit und Handlungsempfehlung

Die DSGVO verfolgt mit der Bestellung von Datenschutzbeauftragten einen risikobasierten Ansatz. Ist das Risiko für die Rechte und Interessen von Betroffenen bei der Verarbeitung von personenbezogenen Daten besonders hoch, ist eher von einer Bestellpflicht auszugehen. Zusätzlich sind auch der Zweck und Umfang der Datenverarbeitung ausschlaggebend. Die Unternehmensgröße ist zunächst zweitrangig. Aktuell wird unter Bezugnahme auf eine Öffnungsklausel der DSGVO eine Bestellpflicht für Datenschutzbeauftragte in Deutschland diskutiert. Unternehmen sollten die entsprechende Diskussion im Bundesrat zum Datenschutz-Anpassungsgesetz daher genau beobachten und nicht vorschnell von der Bestellung eines Datenschutzbeauftragten absehen (s. zum Entwurf des federführenden Ausschusses für innere Angelegenheiten und des Wirtschaftsausschusses des Bundesrates.)

Weitere Artikel zu den DSGVO-Mythen:

Schluss mit den DSGVO-Mythen!