Datenschutz & Verbraucher

Datenschutzbeauftragter nach DS-GVO ist vielerorts Pflicht

Für viele Betriebe be­steht die Pflicht, dass ein Da­ten­schutz­be­auf­trag­ter nach DS-GVO tä­tig ist, der für sei­ne Auf­ga­ben ei­ne gu­te Schu­lung braucht. Die Rück­spra­che mit der An­walts­kanz­lei kann klä­ren, was bei der Be­stel­lung auch mit Blick auf In­ter­es­sen­kon­flik­te wichtig ist.

Teilen auf

LinkedIn Xing Whatsapp

Spätestens seit Inkrafttreten der Datenschutz-Grundverordnung beschäftigt viele Unternehmen die Frage, ob beziehungsweise ab wann ein interner oder externer Datenschutzbeauftragter nach DS-GVO für sie Pflicht und deshalb dessen Bestellung beziehungsweise Benennung erforderlich ist. Grundsätzlich gilt als Faustformel, dass man den Datenschutzbeauftragten brauchen dürfte, wenn regelmäßig 20 oder mehr Personen automatisiert Daten verarbeiten. Wenn die Kerntätigkeit eine regelmäßige und systematische Verarbeitung personenbezogener Daten umfasst. Oder wenn die umfangreiche Verarbeitung etwa gesundheitsbezogener, politischer und religiöser personenbezogener Daten stattfindet. Sicherheit in dieser Frage bringt nur Rücksprache mit Fachleuten, denn jedes Unternehmen muss selbst einschätzen, ob ein Datenschutzbeauftragter benötigt wird. Dabei lässt sich auch besprechen, welche Aufgaben ein Datenschutzbeauftragter laut DS-GVO hat, welche Schulung erforderlich ist und wer überhaupt Datenschutzbeauftragter werden darf, damit kein Interessenkonflikt auftritt. Der Datenschutzbeauftragte kann dann kritisch etwa den Einsatz von Cookies, die Videoüberwachung von Arbeitsplätzen und Firmengelände oder WhatsApp zur Kommunikation hinterfragen. Oder Lösungen für Homeoffice.

Mehr zum Thema
Datenschutz-Beratungen von DATEV-Consulting

DATEV hilft auch bei der Umsetzung der neuen gesetzlichen Datenschutzvorschriften mit einem externen oder durch die Unterstützung des internen Datenschutzbeauftragten. Dafür gibt es die Datenschutz-Beratungen von DATEV-Consulting. Mehr Informationen finden sich unter

Datenschutz-Beratungen

Ab wann ist ein Datenschutzbeauftragter nach DS-GVO Pflicht?

In Deutschland regeln das Bundesdatenschutzgesetz (BDSG) und die DS-GVO, für welche Unternehmen ein Datenschutzbeauftragter ab wann Pflicht ist und wie dann die Benennung oder Bestellung erfolgt. Behörden sowie weitere öffentliche Stellen – etwa öffentlich-rechtliche Betriebe – brauchen fast immer einen Datenschutzbeauftragten. Für Markt- und Meinungsforschungsinstitute ist die Bestellung verpflichtend. Generell gilt für die Privatwirtschaft, dass ein Datenschutzbeauftragter nach DS-GVO zu berufen ist, falls die Kerntätigkeit eine regelmäßige und systematische Verarbeitung personenbezogener Daten umfasst. Die umfangreiche Verarbeitung personenbezogener Daten besonderer Kategorien – etwa gesundheitsbezogener, politischer oder religiöser Daten – kann ebenfalls die Benennung eines Datenschutzbeauftragten erfordern. Unter anderem lässt sich dies an der Zahl datenverarbeitender Beschäftigter, der Datenmenge oder Zweck und Art der Verarbeitung bemessen. Eine Faustregel: Die Position ist zumindest dann zu schaffen, wenn sich regelmäßig 20 oder mehr Personen mit automatisierter Datenverarbeitung beschäftigen. Dabei ist egal, wie welcher Form sensible Daten vorliegen sind, ob als Text-Dateien, Audio- und Videoaufnahmen oder auch Röntgenbilder.

Mehr zum Thema
Datenschutz aktuell 2021 – die DS-GVO in der Praxis

Das Fachseminar Datenschutz aktuell 2021 – die Datenschutz-Grundverordnung in der Praxis
hilft, aktuelle Fragestellungen im Datenschutz zu lösen und setzen die entsprechenden Maßnahmen gesetzeskonform umzusetzen. Weitere Informationen gibt es unter

Datenschutz aktuell 2021 – die Datenschutz-Grundverordnung in der Praxis

Externer oder interner Datenschutzbeauftragter muss oft sein

Erhält in den betroffenen Unternehmen kein interner oder externer Datenschutzbeauftragter die nach DS-GVO und BDSG vorgesehene Bestellung oder Benennung, ist dies eine Verletzung der entsprechenden Pflicht. Dann drohen hohe Strafen. Die zuständige Aufsichtsbehörde darf Bußgelder von bis zu zwei Prozent des weltweiten Umsatzes oder bis zu zehn Millionen Euro verhängen. Das ist immerhin die Hälfte jener Höchstgrenzen, die für konkrete Verstöße im Raum stehen. Weil laut DS-GVO der Datenschutzbeauftragte in der Datenschutzerklärung zu benennen ist, lässt sich das Fehlen einfach überprüfen. In diesem Fall müssen Unternehmen nicht nur mit Ärger durch die Aufsichtsbehörden, sondern auch Abmahnungen rechnen. Jeder Firmenchef und jede Firmenchefin ist selbst für die Feststellung verantwortlich, ob im Betrieb ein Datenschutzbeauftragter benannt sein muss. Es empfiehlt sich, das mit dem Anwalt oder der Anwältin zu besprechen und im Zweifelsfall vorsorglich diese Position zu schaffen. Eine Anwaltskanzlei kann außerdem bei den umfangreichen Dokumentations-, Auskunfts- und Nachweispflichten gemäß DS-GVO unterstützen.

Welche Aufgaben hat ein Datenschutzbeauftragter nach DS-GVO?

Nach DS-GVO und BDSG ist ein interner oder externer Datenschutzbeauftragter der Experte des Unternehmens für Datenschutzfragen. Seine oder ihre Beratung der Verantwortlichen für die Datenverarbeitung in allen Fragen rund um DS-GVO und Datenschutz trägt dazu bei, die Umsetzung der datenschutzrechtlichen Regelungen sicherzustellen und Verstöße gegen den Datenschutz zu verhindern. Datenschutzbeauftragte dienen zudem als Mittler zwischen ihren Unternehmen sowie den Aufsichtsbehörden oder von datenschutzrechtlichen Fragen betroffenen Geschäftspartnern.

  • Unterrichtung des Unternehmens. Wer als Datenschutzbeauftragter tätig ist, berät die Verantwortlichen für die Datenverarbeitung nach der Bestellung beziehungsweise Benennung darin, welche Pflicht für das Unternehmen bei Fragen mit Bezug zur DS-GVO verbunden sein kann. Durch diese professionelle Behandlung der Themen rund um den Datenschutz lassen sich viele Probleme besser lösen oder gleich vermeiden.
  • Einhaltung datenschutzrechtlicher Vorgaben. Ein interner oder externer Datenschutzbeauftragter überprüft, ob die Strategie zum Schutz von personenbezogenen Daten funktioniert und die Beschäftigten sie umsetzen. In diesem Zusammenhang sollte ein Datenschutzbeauftragter etwa eine regelmäßige Schulung aller Beschäftigten zur DS-GVO als Teil seiner Aufgaben betrachten. Wichtig ist neben der Sensibilisierung des Personals auch ein Blick darauf, wie die internen Zuständigkeiten zugewiesen sind. Für die praktische Umsetzung der Vorschriften zum Datenschutz jedoch sind Datenschutzbeauftragte nicht zuständig. Als verantwortlich bezeichnet die DS-GVO stattdessen „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ – das wäre in der Regel die Geschäftsleitung.
  • Erstellung der Datenschutz-Folgenabschätzung (DSFA). Datenschutzbeauftragte überwachen die ordnungsgemäße Durchführung der Datenschutz-Folgenabschätzung.
  • Kontakt zu Aufsichtsbehörden. Datenschutzbeauftragte sind für die Zusammenarbeit mit den Aufsichtsbehörden zuständig und dienen als direkte Ansprechpartner bei datenschutzrechtlichen Themen.
  • Anlaufstelle für Betroffene. Personen, deren Daten ein Unternehmen verarbeitet, können sich mit Beschwerden oder Fragen zur Wahrnehmung ihrer Rechte – also etwa Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Datenübertragbarkeit – an dessen Datenschutzbeauftragten wenden.

Datenschutzbeauftragter muss verschiedenste Aufgaben erfüllen

Auch wenn es in der DS-GVO nicht en Detail festgeschrieben ist, muss ein Datenschutzbeauftragter sich unter anderem um folgende Aufgaben kümmern:

  • Die Kontrolle der technischen und organisatorischen Maßnahmen (TOM) des Unternehmens.
  • Die Überprüfung, ob alle Beschäftigten auf die datenschutzrechtliche Vertraulichkeit verpflichtet sind.
  • Das Erstellen jährlicher Tätigkeitsberichte.
  • Die Überprüfung der Verzeichnisse von Verarbeitungstätigkeiten.
  • Die Kontrolle von Verträgen zur Auftragsverarbeitung.
  • Das Unterstützen bei der Ausarbeitung eines Löschkonzepts.
  • Die Zusammenarbeit mit den Aufsichtsbehörden.
Mehr zum Thema
Datenschutz im Unternehmen – Mitarbeiterunterweisung 2021

Sensibilisieren Sie Ihre Beschäftigten durch das Lernvideo Datenschutz im Unternehmen – Mitarbeiterunterweisung 2021 für die verschiedenen Aspekte rund ums Thema Datenschutz. Damit erhalten Sie auch den Nachweis über die jährliche Pflichtunterweisung. Mehr Infos gibt es hier

Datenschutz im Unternehmen – Mitarbeiterunterweisung 2021

Ohne Schulung kann ein Datenschutzbeauftragter nicht richtig agieren

Voraussetzung für die Bestellung oder Benennung als Datenschutzbeauftragter sollte sein, sich detailliert mit den Bestimmungen der DS-GVO sowie des Bundesdatenschutzgesetzes auszukennen. Außerdem sind Kenntnisse über spezifische Vorgaben für Branchen oder Tätigkeiten sowie Vereinbarungen mit den Arbeitnehmervertretungen wichtig, falls es das gibt. Damit ein interner oder externer Datenschutzbeauftragter diese Aufgaben insbesondere nach DS-GVO kompetent wahrnehmen kann, ist meistens eine Schulung unumgänglich. Unternehmensleitungen als die für die Datenverarbeitung verantwortliche Stellen sollten ausreichend Zeit und Geld in die Auswahl oder Qualifizierung von Datenschutzbeauftragten investieren, um so kompetente Fachleute zu engagieren beziehungsweise aufzubauen. Dadurch lassen sich Datenpannen besser verhindern oder – falls doch ein Zwischenfall passiert – die Folgen eher beherrschen. Die Qualifikation zum Datenschutzbeauftragten lässt sich beispielsweise über Trainings und Fortbildungen inklusive offiziellem Prüfsiegel etwa von TÜV oder DEKRA erreichen. Wichtig ist außerdem eine gute Kommunikationsfähigkeit, weil sich Datenschutz nur gemeinsam im Team verbessern lässt. Auch hier sollte ein Datenschutzbeauftragter eine entsprechende Schulung erhalten.

Mehr zum Thema
Datenschutz-Analyse

Mit der DATEV Datenschutz-Analyse beleuchten wir Ihre Prozesse und ermitteln den Handlungsbedarf in Hinsicht auf datenschutzrechtliche Schwachstellen.

Datenschutz-Analyse

Bei wessen Bestellung droht ein Interessenkonflikt mit der DS-GVO?

Prinzipiell kann ein interner oder externer Datenschutzbeauftragter die Bestellung beziehungsweise Benennung erhalten, um darauf zu achten, dass das Unternehmen in allen Bereichen die jeweilige Pflicht nach DS-GVO erfüllt – vorausgesetzt natürlich, es gibt eine ausreichende Schulung, um die Aufgaben wahrzunehmen. Für größere oder stark mit der Datenverarbeitung beschäftigte Betriebe – Stichwort Digitalisierung – dürfte sich meistens eine interne Lösung anbieten. Dagegen könnte kleinen oder nur am Rande mit Datenverarbeitung beschäftigten Unternehmen oft schon der Einsatz eines spezialisierten Dienstleisters genügen. Wichtig ist, bei dessen Bestellung oder Benennung nicht nur auf die Qualifizierung zu achten, sondern auch auf mögliche Interessenkonflikte. Ein Interessenkonflikt entsteht bei der DS-GVO immer dann, wenn jemand Datenschutzbeauftragter ist und zugleich weitere Aufgaben hat, die ihn zum Wegsehen bei datenschutzrechtlich relevanten Themen bewegen könnten.

Mehr zum Thema
DATEV Website-Analyse

Minimieren Sie das Risiko eines IT-Sicherheitsangriffs auf beziehungsweise über Ihre Website und vermeiden Sie auf diese Weise mögliche Verstöße gegen das Datenschutzrecht. Dabei hilt die DATEV Website-Analyse. Weitere Informationen dazu finden Sie unter

DATEV Website-Analyse

Vor Benennung auf Kollisionen mit Hauptaufgabe achten

Noch größer ist das Risiko, als Datenschutzbeauftragter in einen Interessenkonflikt mit der DS-GVO zu kommen, allerdings bei der Bestellung oder Benennung interner statt externer Fachleute für diese Aufgaben – droht hier schon auf dem Papier ein Interessenkonflikt, lässt sich das durch keine Schulung ausgleichen. Firmenchefs und Firmenchefinnen sollten deshalb mit Anwalt oder Anwältin intensiv die Frage diskutieren: Wer darf Datenschutzbeauftragter gemäß DS-GVO sein? Am besten ist es, dafür die Hierarchieebenen und Tätigkeiten beziehungsweise Verantwortungsbereiche der potenziellen Kandidatinnen und Kandidaten genau zu betrachten.

  • Die Geschäftsleitung kommt per se nicht als Datenschutzbeauftragter nach DS-GVO in Frage – ein Interessenkonflikt ist schon darum unvermeidlich, weil sie in der Regel als verantwortliche Stelle über die Datenverarbeitung entscheidet und sich schlecht selbst kontrollieren oder beraten kann.
  • Die Prokuristen fallen auch aus, weil sie zur Vertretung des Verantwortlichen nach außen befugt oder verpflichtet sind. Ihre Befugnisse mögen geringer sein als die der Geschäftsleitung, aber als Datenschutzbeauftragter nach DS-GVO würde auch hier ein Interessenkonflikt entstehen.
  • Einzelne Beschäftigte könnten wegen ihrer persönlichen Aufgaben als Datenschutzbeauftragter ebenfalls untragbar sein. Dies gilt immer dann, wenn ihre Entscheidungen die Zwecke und Mittel der Verarbeitung von Daten maßgeblich intern beeinflussen. Das betrifft etwa die IT-Leitung und die Leitung von Betriebsstätten. Auch Fachleute in Marketing, Vertrieb oder dem Personalwesen könnten zu diesem Personenkreis zählen. Diese Bereiche nutzen intensiv Daten. Marketingverantwortliche beispielsweise wünschen möglichst viele Informationen für Entscheidungen, während ein Datenschutzbeauftragter auf Datensparsamkeit achten sollte – das bedingt einen unauflösbaren Interessenkonflikt. Auch eine Person, die als Geldwäschebeauftragter fungiert und deshalb möglichst viele Informationen über andere sammelt, kann nicht zugleich Datenschutzbeauftragter sein.

Über die Datenschutz-Grundverordnung informiert auch das folgende Video.

Hat Ihnen der Beitrag gefallen?
Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Mit dem richtigen Partner sicher durch die Corona-Krise kommen, Steuerberater helfen bei Konjunkturpaket und Überbrückungshilfen! Finden Sie auf DATEV SmartExperts den passenden Experten.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Fanpage

    Jetzt TRIALOG-Fanpage besuchen

  • DATEV im Web
    YouTube LinkedIn