SBS Firmengruppe Logos
SBS LEGAL Knut Stenert
Knut Stenert

Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)

T (+49) 040 / 7344 086-0
mail@sbs-legal.de

SBS LEGAL Luise Klick
Luise Klick

Rechtsanwältin & Expertin für IT-Recht und Datenschutz

T (+49) 040 / 7344 086-0
mail@sbs-legal.de

SBS LEGAL Laura Novakovski Ouerghemi
Laura Novakovski Ouerghemi

Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)

T (+49) 040 / 7344 086-0
mail@sbs-legal.de

Fachgebiete NEWS

| Datenschutzrecht

Datenschutzbeauftragter vor dem Aus?

Die Bundesregierung plant eine grundlegende Kursänderung im Datenschutz. Künftig soll die Pflicht vieler Unternehmen zur Benennung eines betrieblichen Datenschutzbeauftragten entfallen und sich das nationale Recht nur noch an Art. 37 DSGVO orientieren.

Was als Entlastung für kleine und mittlere Unternehmen verkauft wird, hat einen Haken. Die materiellen Datenschutzpflichten bleiben vollständig bestehen, nur die Verantwortung wandert direkt auf die Geschäftsleitung. Der Berufsverband der Datenschutzbeauftragten warnt bereits vor höheren Risiken, mehr Haftung und sogar steigenden Kosten, weil externe Rechtsberatung den fehlenden Datenschutzbeauftragten ersetzen müsste.

Was genau geplant ist, welche Folgen eine Abschaffung der Benennungspflicht hätte und warum dies Unternehmen eher in die Incompliance treiben kann, als Bürokratie abzubauen, schauen wir uns im Folgenden genauer an.

Was derzeit mit einer „Aufhebung“ der Benennungspflicht gemeint ist

Aktuell wird auf politischer Ebene darüber diskutiert, die nationale Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten erheblich zurückzufahren. Im Raum stehen zwei Varianten. Entweder entfällt die zusätzliche deutsche Benennungspflicht nach § 38 BDSG vollständig, sodass nur noch die deutlich engeren Fälle aus der DSGVO selbst einen Datenschutzbeauftragten erforderlich machen. Oder der Schwellenwert wird deutlich angehoben, etwa erst ab 50 Mitarbeitenden, damit kleinere Unternehmen formal keinen Datenschutzbeauftragten mehr bestellen müssen.

Dabei ist entscheidend, dass eine Lockerung der Benennungspflicht nichts an den materiellen Vorgaben des Datenschutzrechts ändert. Informationspflichten gegenüber Betroffenen, umfassende Dokumentationspflichten, Anforderungen an technische und organisatorische Maßnahmen, Meldepflichten bei Datenschutzverletzungen und Vorgaben zur Auftragsverarbeitung gelten unverändert weiter. Unternehmen hätten dann lediglich keinen offiziell benannten Datenschutzbeauftragten mehr, müssten den gesamten Datenschutz aber weiterhin intern oder mit externer Unterstützung organisieren.

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter (DSB) ist die zentrale Vertrauensperson für Datenschutz in einem Unternehmen. Er stellt sicher, dass alle Prozesse mit personenbezogenen Daten im Einklang mit der DSGVO und nationalem Recht laufen, berät die Leitung und schützt damit sowohl Betroffene als auch das Unternehmen bzw. die Behörde.​

Was macht ein Datenschutzbeauftragter?

  • Überwachen und prüfen
    Der DSB kontrolliert, ob die Datenerhebungen, ‑Speicherungen und ‑Übermittlungen rechtmäßig, zweckgebunden, sicher und dokumentiert sind (z.  Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitungsverträge, technische und organisatorische Maßnahmen).​
  • Beraten und schulen
    Er berät Geschäftsführung/Behördenleitung und Fachbereiche bei neuen Projekten (z.  neue Software, Videoüberwachung, Mitarbeiter‑Tracking), bewertet Risiken und führt Mitarbeiterschulungen durch, damit alle datenschutzkonform arbeiten.​
  • Ansprechpartner nach außen
    Der DSB ist Kontaktstelle für Aufsichtsbehörden und für betroffene Personen (z.  Auskunfts‑, Lösch‑ oder Widerspruchsanfragen) und unterstützt beim Management von Datenschutzvorfällen, einschließlich Meldung von Datenpannen.​

Wichtig: Der DSB berät und überwacht, entscheidet aber nicht selbst über Zwecke und Mittel der Datenverarbeitung. Dafür bleibt die Leitung verantwortlich. Er muss weisungsfrei arbeiten, darf wegen seiner Tätigkeit nicht benachteiligt oder abberufen werden und unterliegt einer Verschwiegenheitspflicht.​

Externer vs. interner DSB

  • Interner DSB: Eigener Mitarbeiter, der speziell geschult wird und diese Aufgabe zusätzlich übernimmt (z.  in HR, IT, Rechtsabteilung). Er benötigt ausreichende Fachkunde und Zeit.​
  • Externer DSB: Selbstständiger oder spezialisierte Firma, die als vertraglicher Datenschutzbeauftragter bestellt wird. Oft sinnvoll für kleine und mittlere Unternehmen ohne eigenes Spezialwissen.​

In beiden Fällen gelten die gleichen rechtlichen Anforderungen an Fachkunde, Unabhängigkeit und Stellung im Unternehmen.​

Unterschied: private und öffentliche Stellen

In privaten Unternehmen konzentriert sich der Datenschutzbeauftragte vor allem auf alle Daten, die im Geschäftsalltag anfallen. Dazu gehören Kunden- und Interessentendaten im CRM und Marketing, Tracking und Analyse auf Webseiten und in Apps, Mitarbeiter- und Bewerberdaten, Lohnabrechnung, Lieferanteninformationen sowie die eingesetzten IT-Systeme und Cloud-Dienste. Eine Benennung ist verpflichtend, wenn bestimmte Schwellen erreicht oder besonders risikoreiche Verarbeitungen durchgeführt werden, etwa wenn regelmäßig eine größere Zahl von Personen automatisiert Daten verarbeitet oder umfangreiche Überwachungsmaßnahmen, Gesundheitsdaten oder Bonitätsprüfungen im Spiel sind. In der Praxis arbeitet der betriebliche DSB eng mit Geschäftsführung, IT, HR und Vertrieb zusammen. Zudem prüft er Verträge mit Dienstleistern wie Cloud-Anbietern, Newsletter-Tools oder SaaS-Lösungen und begleitet Digitalisierungsprojekte von der Planung bis zur Umsetzung, um Datenschutz von Anfang an mitzudenken.

In öffentlichen Stellen wie Behörden, Kommunen, Schulen, Hochschulen oder anderen Körperschaften des öffentlichen Rechts ist ein Datenschutzbeauftragter praktisch immer vorgeschrieben – unabhängig von der Zahl der Mitarbeitenden. Seine Aufgabe ist es, die Verarbeitung von Bürger- und Sozialdaten wie Melderegister, Steuer- und Bußgeldakten, Sozialleistungsdaten oder Schüler- und Patientendaten in öffentlichen Einrichtungen zu überwachen und dabei neben der DSGVO auch zahlreiche Spezialgesetze wie die Sozialgesetzbücher, das Melderecht oder Polizeigesetze zu berücksichtigen. Organisatorisch berichten öffentliche Datenschutzbeauftragte in der Regel direkt an die Behördenleitung, stehen im engen Austausch mit der zuständigen Aufsichtsbehörde und haben eine strategische Rolle bei der Auslegung von Datenschutzvorgaben und der Planung von E-Government und Digitalprojekten innerhalb der Verwaltung.

Vor- und Nachteile einer möglichen Aufhebung der DSB-Benennungspflicht

Die politische Diskussion um die Abschaffung oder deutliche Lockerung der Pflicht zur Benennung eines Datenschutzbeauftragten klingt für viele Unternehmen zunächst nach Entlastung. In der Praxis bringt dieser Schritt aber Licht und Schatten mit sich.

Mögliche Vorteile einer Lockerung

  • Weniger formale Vorgaben für kleine Unternehmen, weil keine offizielle Bestellung eines Datenschutzbeauftragten mehr nötig wäre.
  • Reduzierung von direkten Kosten für eine benannte DSB-Rolle, insbesondere wenn bisher externe Datenschutzbeauftragte eingesetzt wurden.
  • Mehr organisatorische Freiheit, Datenschutzaufgaben intern zu verteilen oder nur bei Bedarf externe Spezialisten hinzuzuziehen.

Mögliche Nachteile und Risiken

  • Wegfall einer zentralen fachkundigen Ansprechperson, die Prozesse prüft, Schulungen organisiert und typische Fehler früh erkennt.
  • Höheres Risiko für Datenschutzverstöße, weil Pflichten aus DSGVO und BDSG unverändert bleiben, aber weniger strukturierte Kontrolle stattfindet.
  • Zunahme der persönlichen Verantwortung der Geschäftsführung, da die Haftung im Fall von Verstößen vollständig im Unternehmen verbleibt.
  • Gefahr, dass Datenschutz „nebenbei“ mitläuft, ohne ausreichendes Know-how, was mittelfristig zu Bußgeldern, Schadensersatzansprüchen und Reputationsschäden führen kann.

Art. 37 DSGVO Benennung eines Datenschutzbeauftragten

Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10
  4. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
  5. Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.
  6. In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen. Falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.
  7. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39genannten Aufgaben.
  8. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Stellungnahme des Berufsverbands der Datenschutzbeauftragten

Die Stellungnahme des Berufsverbands der Datenschutzbeauftragten betont deshalb, dass eine Abschaffung der Benennungspflicht keine echte Entlastung bringt, sondern die Pflichten, Risiken und Haftung vollständig in die Geschäftsführung verlagert und in der Praxis häufig zu mehr Beratungsaufwand und höheren Kosten führt.

Zugleich warnen die Fachleute davor, dass ohne qualifizierte Datenschutzbeauftragte, insbesondere im Mittelstand, das Schutzniveau sinken kann, weil in vielen Unternehmen der Datenschutzbeauftragte die einzige spezialisierte Ansprechperson für Datenschutz und Informationssicherheit ist. Dadurch steigen aus Sicht des Verbands die Risiken für Datenschutzverstöße, Schadensersatzforderungen und behördliche Maßnahmen, während die eigentlichen Belastungstreiber wie unklare Vorgaben, hohe Dokumentationspflichten und komplexe technische Anforderungen unverändert bestehen bleiben.

SBS LEGAL - Ihre Kanzlei für Datenschutzrecht

Fragen Sie sich, ob Ihr Unternehmen künftig noch einen Datenschutzbeauftragten benennen muss oder ob geplante Gesetzesänderungen Sie von dieser Pflicht entlasten? Sind Sie unsicher, ob Ihre aktuellen Prozesse, Verträge und Datenschutzhinweise auch ohne formell benannten Datenschutzbeauftragten den Anforderungen der DSGVO standhalten und wie Sie Haftungsrisiken für Geschäftsführung und Verantwortliche wirksam begrenzen können.

Dann sind Sie bei SBS LEGAL genau richtig! 

Als Kanzlei für Datenschutzrecht unterstützen wir Sie dabei, Ihre Datenschutzorganisation rechtssicher und zugleich pragmatisch aufzustellen. Wir erstellen individuelle Datenschutzerklärungen für Webseiten, Apps und Social-Media-Auftritte, prüfen und gestalten Auftragsverarbeitungsverträge, Joint-Controller-Agreements und Einwilligungstexte, begleiten Sie bei Audits und Unternehmensprüfungen und sichern internationalen Datentransfer rechtlich ab. Außerdem wehren wir Abmahnungen und behördliche Bußgeldverfahren ab, beraten zu PR-Maßnahmen wie Werbe-E-Mails, Gewinnspielen oder Fotoaktionen, prüfen die Erforderlichkeit eines Datenschutzbeauftragten oder Datenschutzvertreters und schulen Mitarbeitende zu ihren datenschutzrechtlichen Pflichten. So verbinden Sie Compliance, praktische Umsetzbarkeit und ein tragfähiges Datenschutzniveau in Ihrem Unternehmen.

Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung. Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten von SBS LEGAL?

Der Erstkontakt zu SBS Legal ist kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutzhinweise gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht

mail@sbs-legal.de (+49) 040 / 7344 086-0