Was macht ein Datenschutzbeauftragter? Aufgaben, Qualifikation und Tipps für die Auswahl

Viele Unternehmen in Deutschland müssen einen Datenschutzbeauftragten ernennen. Die Voraussetzungen regelt Art. 37 Datenschutzgrundverordnung (DSGVO) in Verbindung mit § 38 Bundesdatenschutzgesetz (BDSG-neu). Doch welche Aufgaben übernimmt ein Datenschutzbeauftragter in Ihrem Unternehmen und welche Fähigkeiten braucht er dafür?

DSB-Alltag im Unternehmen: Was sind die Aufgaben des Datenschutzbeauftragten?

Artikel 38 und Artikel 39 DSGVO beschreiben die DSB-Aufgaben, die unter anderem folgende Tätigkeiten umfassen.

1. Unterrichtung des Unternehmens

Mit Unterrichtung ist gemeint, dass der DSB Unternehmen über ihre datenschutzrechtlichen Pflichten informiert. Eine professionelle Beratung im Datenschutz bietet aktive Unterstützung beim Lösen von konkreten Problemen, die im Zuge der Umsetzung datenschutzrechtlicher Vorgaben auftauchen.

➡️ Professionelle Datenschutzberatung gewünscht? Wir unterstützen Sie gern.

2. Überwachung der Einhaltung von datenschutzrechtlichen Vorgaben

Der Datenschutzbeauftragte überwacht die Einhaltung der datenschutzrechtlichen Vorgaben sowie die Strategien des Verantwortlichen zum Schutz personenbezogener Daten im Unternehmen. Dazu gehört auch, Zuständigkeiten innerhalb des Unternehmens zuzuweisen, die Mitarbeiter in Datenschutzthemen zu schulen und ihren Wissenstand zu überprüfen.  

Wichtig: Für die praktische Umsetzung der Datenschutzvorschriften ist nicht der DSB selbst zuständig, sondern der Verantwortliche im Sinne der DSGVO.

3. Beratung zur Datenschutz-Folgenabschätzung (DSFA)

Bei bestimmten Datenverarbeitungen müssen Unternehmen eine Datenschutz-Folgenabschätzung durchführen, die Auskunft darüber geben soll, welche Folgen für den Schutz personenbezogener Daten eine geplante Verarbeitungstätigkeit haben könnten.  

Dem Datenschutzbeauftragten kommt dabei eine Kontroll- und Beratungsfunktion zu. Er überwacht insbesondere die ordnungsgemäße Durchführung der DSFA.

4. Ansprechpartner für Aufsichtsbehörden

Manchmal ist es für Unternehmen notwendig, mit den Aufsichtsbehörden zusammenzuarbeiten. Es geht entweder darum, Anfragen zu beantworten oder Datenschutzvorfälle zu melden. Der Datenschutzbeauftragte ist direkter Ansprechpartner in datenschutzrechtlichen Angelegenheiten und koordiniert die Zusammenarbeit.

5. Anlaufstelle für Betroffene

Neben Behörden können auch Betroffene Datenschutzanliegen haben. Laut DSGVO haben sie zum Beispiel das Recht, den Datenschutzbeauftragten zu allen Fragen zu Rate zu ziehen, die mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Betroffenenrechte zusammenhängen. Der DSB ist erste Anlaufstelle für Betroffene.  

Weitere typischen Aufgaben eines DSB sind folgende:

• Kontrolle der technischen und organisatorischen Maßnahmen (TOM)

• Überprüfung der Verpflichtung der Mitarbeiter auf die datenschutzrechtliche Vertraulichkeit

• Überprüfung von Verzeichnissen von Verarbeitungstätigkeiten

• Prüfung von Auftragsverarbeitungsverträgen

• Unterstützung bei der Ausarbeitung eines Löschkonzepts

• Erstellung von jährlichen Tätigkeitsberichten

Datenschutzaufwand einfach abgeben: Mit externem DSB

Die DSB-Aufgaben kann ein Mitarbeiter aus Ihrem Team übernehmen – oder Sie überlassen die Überwachung der DSGVO-Einhaltung einfach einem externen Experten und sparen Zeit und Kosten.

Alles über den externen DSB

Regelmäßiges To-Do: Was ist der Tätigkeitsbericht des Datenschutzbeauftragten?

Eine der zentralen Aufgaben des Datenschutzbeauftragten ist die regelmäßige Berichterstattung an die Geschäftsführung in Form des Tätigkeitsberichts. Er dokumentiert die Arbeit des DSB über einen definierten Zeitraum und gibt einen Überblick über den Stand des Datenschutzes im Unternehmen.

Vorteile: Warum ist der Tätigkeitsbericht wichtig?

Datenschutzbeauftragte sind gesetzlich nicht verpflichtet, einen Datenschutzbericht zu erstellen. Allerdings lohnt sich die Anfertigung, denn von dem Report profitieren sowohl Datenschutzexperten als auch die Geschäftsführung.  

Das sind die wichtigsten Vorteile des Tätigkeitsberichts:

• Interne DSBs können damit gegenüber der Betriebsleitung Rechenschaft über ihre Aktivitäten abzulegen.  

• Der Bericht kann die Aufmerksamkeit der Unternehmensleitung auf die wichtigsten datenschutzrechtlichen Themen im Unternehmen lenken.  

• Ein Tätigkeitsbericht im Datenschutz ist ein probates Mittel, für die Einhaltung der datenschutzrechtlichen Gesetzgebung zu werben und die Unternehmensleitung für das Thema Datenschutz kontinuierlich zu sensibilisieren.  

• Das Unternehmen kann mit dem Bericht gegenüber den Aufsichtsbehörden darstellen, dass Aktivitäten und Maßnahmen zum Thema Datenschutz im Unternehmen durchgeführt werden.

• Der Tätigkeitsbericht kann die Verantwortlichen zur Einhaltung des Datenschutzes motivieren.

• Ein jährlicher Report hilft Unternehmensverantwortlichen und Datenschützern, die erheblich gesteigerten Rechenschafts- und Kontrollpflichten zur Einhaltung des Datenschutzes einzuhalten.

Wie oft muss berichtet werden?

Best Practice ist ein jährlicher Tätigkeitsbericht an die Geschäftsführung oder den Vorstand. Bei besonderen Vorfällen wie schwerwiegenden Datenschutzverletzungen sollte zusätzlich eine Ad-hoc-Berichterstattung erfolgen.

Gerade in Verbundstrukturen mit mehreren Gesellschaften ermöglicht ein standardisierter Tätigkeitsbericht eine einheitliche Dokumentation und ein effizientes Reporting über alle Unternehmenseinheiten hinweg.

Tätigkeitsbericht automatisch dokumentieren

Mit der Datenschutzsoftware Proliance 360 wird der Tätigkeitsbericht automatisch dokumentiert – Sie sehen jederzeit, welche Maßnahmen durchgeführt wurden, und können den Bericht mit einem Klick exportieren.

Mehr zum Dokumentenmanagement

Fachkunde: Was muss ein DSB können, um seine Aufgaben zu erfüllen?

Damit der Datenschutzbeauftragte seine Aufgaben effizient und korrekt erfüllen kann, ist Fachkunde gefragt. Laut Art. 37 Absatz 5 DSGVO braucht er neben einer beruflichen Qualifikation auch Fachwissen im Datenschutzrecht und in der Datenschutzpraxis sowie spezielle Fähigkeiten und Kenntnisse.

Berufliche Qualifikation: Wie wird man Datenschutzbeauftragter?

Betriebliche Datenschutzbeauftragte bilden sich auf Grundlage ihres Hauptberufes im Datenschutz weiter, beispielsweise in einer Fortbildung von Institutionen wie TÜV oder IHK. Seriöse Ausbildungslehrgänge für Datenschutzbeauftragte haben fachlich hohe Anforderungen und enden regelmäßig mit einer Zertifizierung als Nachweis für die Fachkunde.  

Der Inhalt einer datenschutzrechtlichen Weiterbildung umfasst idealerweise  

• den gesamten Bereich der datenschutzrechtlichen Vorschriften  

• eine Einführung in technische Strukturen vornehmlich im IT-Bereich und  

• eine Einführung in organisatorische Standardprozeduren.

Insgesamt muss der Datenschutzbeauftragte in die Lage versetzt werden, die entsprechenden Aufgaben und Anforderungen im Unternehmen übernehmen zu können.

Welches Fachwissen brauchen Datenschutzbeauftragte?

Für die Erfüllung seiner Aufgaben braucht ein Datenschutzbeauftragter umfassendes Fachwissen. Er muss nicht nur die DSGVO und das BDSG-neu kennen, sondern sollte auch fortlaufend über die gesetzlichen Bestimmungen und etwaige Änderungen informiert sein.  

Wichtig sind darüber hinaus Kenntnisse über bereichsspezifische Spezialnormen sowie Vereinbarungen mit den Arbeitnehmervertretungen sowie tiefgehende juristische und betriebliche Kenntnisse.  

Umfassende IT-Kenntnisse helfen dem Datenschutzbeauftragten, die fachgerechte Verwendung verschiedener Datenverarbeitungsprogramme sicherzustellen. Je besser er die technischen Vorgänge der Datenverarbeitung versteht, desto genauer kann er beurteilen, ob diese den datenschutzrechtlichen Vorgaben genügen.  

Fähigkeit zur Erfüllung der Aufgaben

Neben der beruflichen Qualifikation und Fachwissen auf seinem Gebiet muss ein DSB die Fähigkeit zur Erfüllung seiner Aufgaben mitbringen. Hierbei sind drei Punkte besonders wichtig:

• Persönliche Eigenschaften wie soziale Kompetenz, Integrität, Verschwiegenheit und Kommunikationsfähigkeit sind unverzichtbar, um die Informations- und Beratungsaufgaben sowie die Funktion als Ansprechpartner für die Unternehmen wahrzunehmen.  

• Entscheidend ist außerdem, dass der Beauftragte seine Pflichten in vollständiger Unabhängigkeit ausüben kann und im Hinblick auf seine Aufgaben nicht in Interessenkonflikte gerät. Dies ist etwa der Fall, wenn dem Datenschutzbeauftragten auch andere Tätigkeiten anvertraut sind, oder er sich selbst kontrollieren müsste.

• Schließlich muss der Beauftragte in der Lage sein, gegenüber der Geschäftsleitung seine Stellung zu wahren und im Zweifel durchzusetzen, insbesondere im Falle von Meinungsverschiedenheiten hinsichtlich der datenschutzrechtlichen Anforderungen an die jeweiligen Verarbeitungsvorgänge.

Nach welchen Kriterien sollten Unternehmen ihren Datenschutzbeauftragten auswählen?

Ausschlaggebend sollten die Erfahrung und die fachliche Eignung des Datenschutzspezialisten sein. Daneben sind Zuverlässigkeit und Durchsetzungsvermögen gefragt. Gerade bei der internen Besetzung der DSB-Position spielt das Thema Interessenskonflikt eine wichtige Rolle: Arbeitet ein Mitarbeiter ständig mit personenbezogenen Daten, so kommt er für die Stelle als interner DSB nicht infrage.

Die notwendige Qualifikation Ihres zukünftigen DSBs sollte sich an der Größe Ihrer Organisation sowie dem Risikoprofil der Datenverarbeitungen orientieren. Je schutzwürdiger die Daten oder je intensiver die Verarbeitungen, desto höher sind die fachlichen Anforderungen. Externe Datenschutzbeauftragte sind hier meist im Vorteil, da sie sich im Alltag hauptsächlich mit Datenschutz befassen und wertvolle Praxis- und Branchenerfahrung mitbringen.

Volljurist oder IT-Experte? Welcher Hintergrund passt zu Ihrem Unternehmen?

Datenschutz in Unternehmen hat viele juristische Elemente. Deshalb bekleiden viele Volljuristen die Position des DSB, nachdem sie sich zusätzliche datenschutzrechtliche Kenntnisse angeeignet haben. Doch Datenschutz in Unternehmen besteht nicht nur aus juristischen Herausforderungen, sondern ist oft mit technischen und organisatorischen Fragen verbunden.  

Maßgebend für die Frage, ob Volljuristen oder IT-Experten die bessere Wahl sind, sind deshalb die unternehmensspezifischen Bedürfnisse:  

• In Verbundstrukturen ist ein Volljurist als DSB in der Lage, den Überblick über die gesellschaftsrechtliche Komplexität zu behalten.  

• Dagegen kann ein DSB mit IT-Expertise vor allem in mittelständischen Unternehmen punkten, die ihre IT-Strukturen und die Verarbeitung von Daten mit verschiedenen digitalen Tools datenschutzrechtlich sauber gestalten möchten.  

Checkliste: So wählen Sie den richtigen DSB für Ihre Unternehmensstruktur

Unternehmen sollten sehr genau darauf achten, ob ihr künftiger DSB alle fachlichen und persönlichen Fähigkeiten mitbringt, die für die Stelle notwendig sind. Denn nur so ist sichergestellt, dass Sie die DSGVO sicher einhalten können und das Risiko von Datenschutzverstößen so gering wie möglich bleibt. Letztendlich geht es darum, die Haftungsrisiken für Ihr Unternehmen zu reduzieren.

Die folgende Checkliste bietet Orientierung für die Auswahl eines DSB und fasst die wichtigsten Punkte dieses Artikels zusammen:

Für größere Organisationen ist außerdem relevant, ob der DSB

• Erfahrung mit Konzernstrukturen und mehreren Gesellschaften hat

• standardisierte Reporting-Vorlagen nutzt, etwa für den Tätigkeitsbericht

• über Kenntnisse im Gesellschaftsrecht verfügt

➡️ Im Blog finden Sie eine Entscheidungshilfe für die Frage interner oder externer Datenschutzbeauftragter.

Nächste Schritte: So finden Sie Ihren DSB

Sie wollen prüfen, ob Ihr interner Kandidat qualifiziert ist oder ein externer DSB besser zu Ihrer Unternehmensstruktur passt? Wir beraten Sie gern dazu.