Logo der activeMind AG

Verpflichtende Einbindung des Datenschutzbeauftragten

Inhalt

Muss ein Datenschutzbeauftragter benannt werden, ist dieser vom Verantwortlichen auch tatsächlich in alle relevanten Prozesse einzubinden und mit den entsprechenden Mitteln auszustatten. Doch was bedeutet das in der Praxis? Wichtige Tipps aus unserer jahrelangen Beratungspraxis.

Rolle und Aufgaben des Datenschutzbeauftragten

Die Datenschutz-Grundverordnung (DSGVO) fordert von Unternehmen, öffentlichen Stellen und anderen Organisationen unter bestimmten Voraussetzungen die Benennung eines Datenschutzbeauftragten.

Der Datenschutzbeauftragte hat eine unabhängige Funktion und ist in der Ausübung seiner Aufgaben weisungsfrei. Er berichtet direkt an die Geschäftsleitung und überwacht die Einhaltung der Datenschutzvorschriften, sowohl der DSGVO als auch nationaler Gesetze. Dazu gehört die regelmäßige Überprüfung und Bewertung von Datenschutzmaßnahmen sowie die Beratung der Geschäftsführung und der Mitarbeitenden.

Um die Aufgaben ordnungsgemäß erfüllen zu können, reicht die Benennung eines Datenschutzbeauftragten allein jedoch nicht aus. Vielmehr ist notwendig, dass er bei datenschutzrechtlichen Fragestellungen proaktiv vom Verantwortlichen miteinbezogen wird. Die Missachtung dieser Vorgaben kann zu hohen Strafen führen, wenn der Datenschutzbeauftragte dadurch seine Prüf- und Überwachungsfunktion nicht ausüben kann.

Maßnahmen zur Unterstützung des Datenschutzbeauftragten

Die Pflichten des Datenschutzbeauftragten und die Unterstützung, die ihm durch das Unternehmen zuteilwerden muss, sind in Art. 38 DSGVO geregelt. Dort wird festgelegt, dass der Datenschutzbeauftragte eine unabhängige Funktion ausübt, aber von der Unternehmensleitung in die Lage versetzt werden muss, seine Aufgaben ordnungsgemäß und effektiv wahrzunehmen. Diese Unterstützung ist nicht optional, sondern verpflichtend. Damit soll garantiert werden, dass der Datenschutzbeauftragte Zugang zu allen notwendigen Ressourcen, Informationen und den Entscheidungsträgern hat.

Zugang zu Ressourcen

Die Pflichten der Unternehmensleitung beginnen bereits bei der Benennung des Datenschutzbeauftragten. Ab diesem Zeitpunkt muss sichergestellt sein, dass dieser über alle erforderlichen Mittel verfügt, um seine Aufgaben ordnungsgemäß wahrnehmen zu können. Dies umfasst sowohl personelle Unterstützung als auch den Zugang zu den notwendigen finanziellen und technischen Ressourcen.

Zudem muss dem Datenschutzbeauftragten Zugang zu den erforderlichen Informationen innerhalb des Unternehmens gewährt werden. Dies betrifft etwa Dokumentationen über Verarbeitungstätigkeiten, Verträge mit Auftragsverarbeitern oder Zugriff auf IT-Systeme, die personenbezogene Daten verarbeiten.

Einbindung des Datenschutzbeauftragten in relevante Entscheidungen

Eine besonders wichtige Rolle spielt die Einbindung des Datenschutzbeauftragten in alle datenschutzrechtlich relevanten Entscheidungen des Unternehmens. Die DSGVO verlangt, dass der Datenschutzbeauftragten frühzeitig in die Planungen für neue Verarbeitungsvorgänge eingebunden wird, um eine datenschutzrechtliche Bewertung vornehmen zu können. Dies betrifft vor allem Fälle, in denen die Einführung neuer Technologien oder Verfahren mit einer umfangreichen Verarbeitung personenbezogener Daten einhergeht.

Gewährleistung der Unabhängigkeit

Damit der Datenschutzbeauftragte seine Prüfungs- und Überwachungsaufgaben tatsächlich ausüben kann, muss die Unternehmensleitung sicherstellen, dass er unabhängig arbeiten kann. Dies bedeutet, dass der Datenschutzbeauftragte gem. Art. 38 Abs. 3 DSGVO bei der Erfüllung seiner Aufgaben keine Anweisungen erhält und weder benachteiligt noch abgesetzt werden darf, wenn er seine Aufgaben in einer Weise ausführt, die möglicherweise anderen Unternehmensinteressen entgegensteht.

Tipp: In unserem Ratgeber erfahren Sie, unter welchen Umständen eine Abberufung oder sogar Kündigung eines Datenschutzbeauftragten möglich ist.

Konsequenzen bei mangelhafter Einbindung des Datenschutzbeauftragten

Die unzureichende Einbeziehung des Datenschutzbeauftragten kann schwerwiegende rechtliche und finanzielle Folgen für Unternehmen haben. Gemäß Art. 83 Abs. 4 DSGVO können bei Verletzung von Anforderungen aus Art. 38 DSGVO Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden. Das gilt nicht nur für die Fälle, wenn kein Datenschutzbeauftragter benannt wurde, sondern auch, wenn dieser vom Verantwortlichen nicht ausreichend miteingebunden oder Informationen vorenthalten wurden.

Ein Beispiel für die Konsequenzen bei mangelhafter Einbindung eines Datenschutzbeauftragten liefert das Urteil des Luxemburger Verwaltungsgerichts (Rechtssache Nr. 46401). Es verhängte eine Geldstrafe gegen eine Unternehmensgruppe, die trotz der klaren Anforderungen der DSGVO den Datenschutzbeauftragten weder ausreichend eingebunden noch ihm genügend Ressourcen zur Erfüllung seiner Aufgaben bereitgestellt hatte.

  • Konkret wandte sich das Unternehmen erst an den Datenschutzbeauftragten, nachdem Beschwerden von Betroffenen vorlagen und zunächst die lokale Kontaktstelle involviert war. Dies verstößt gegen die Vorgaben der DSGVO, da eine frühzeitige Beratung durch den Datenschutzbeauftragten nicht möglich war.
  • Darüber hinaus wurde kritisiert, dass der Datenschutzbeauftragten nicht als aktives Mitglied im Entscheidungsgremium vertreten war, sondern lediglich nachträglich informiert wurde. Dadurch war es ihm nicht möglich, die notwendige Beratung im Vorfeld zu leisten.
  • Auch in Bezug auf die zur Verfügung gestellten Ressourcen äußerte die Datenschutzbehörde Bedenken. Es gab keine klare Festlegung der Arbeitszeit für den Datenschutzbeauftragten, obwohl bei der Größe des Unternehmens eine Vollzeitstelle erforderlich gewesen wäre.

Dieses Urteil verdeutlicht, dass nicht nur die Benennpflicht eingehalten werden muss. Vielmehr muss der Datenschutzbeauftragte auch in der Praxis von Anfang an in alle datenschutzrelevanten Prozesse miteingebunden werden.

Fazit

Die ausreichende Einbindung eines Datenschutzbeauftragten ist nicht nur eine gesetzliche Pflicht für viele Unternehmen, sondern auch ein wichtiges Element für die Sicherstellung der Einhaltung der Datenschutzbestimmungen.

Unternehmen, die den Datenschutzbeauftragten nicht hinreichend in datenschutzrelevante Problemkreise einbinden, obwohl sie dazu verpflichtet sind, setzen sich erheblichen rechtlichen und finanziellen Risiken aus. Oft greifen Unternehmen auf eine Feigenblatt-Taktik zurück, da sie meinen, mit der bloßen Benennung sämtliche Pflichten erschlagen zu können. Gelangen Unternehmen in den Fokus von Behörden, beispielsweise im Zuge einer Betroffenenbeschwerde, wird der Datenschutzbeauftragten als Kontaktperson ebenfalls in den Fokus der Aufsicht rücken. Spätestens dann kann eine entsprechende Taktik nach hinten losgehen.

Im Umkehrschluss kann ein gut integrierter und kompetenter Datenschutzbeauftragter eine wertvolle Ressource für den Erfolg eines Unternehmens im Bereich Datenschutz darstellen.

Tipp: Lesen Sie unsere 15 Tipps für die Auswahl eines (externen) Datenschutzbeauftragten!

Datenschutz optimieren

Buchen Sie unsere Experten als externen Datenschutzbeauftragten und stärken Sie Ihre Compliance mit der DSGVO!
Verfügbarkeit prüfen

Weiterlesen

  • Betrieblicher Datenschutzbeauftragter

Abberufung und Kündigung eines Datenschutzbeauftragten

Unter welchen Umständen können Unternehmen einen Datenschutzbeauftragten von seiner Position abberufen bzw. sogar eine Kündigung aussprechen?
  • Beschäftigtendatenschutz, Betrieblicher Datenschutzbeauftragter, Betroffenenrechte

Weitergabe personenbezogener Daten an externe Auditoren

Wenn externe Prüfer Zugriff auf personenbezogene Daten bekommen sollen, muss dabei die DSGVO eingehalten werden. Darauf kommt es bei der Preisgabe an.
  • Betrieblicher Datenschutzbeauftragter, Konzerndatenschutz

Datenschutzkoordinator – eine unverzichtbare Rolle im Unternehmen

Unterschiede zwischen Datenschutzkoordinator und Datenschutzbeauftragten – und warum vor allem größere Unternehmen beides haben sollten.
  • Aufsichtsbehörden, Betrieblicher Datenschutzbeauftragter

Datenschutzbeauftragte im Fokus der Aufsichtsbehörden

Eine Kontrolle der europäischen Aufsichtsbehörden zeigt zahlreiche Defizite bei Benennung, Fachkunde, Position und Aufgaben von Datenschutzbeauftragten auf. Was Verantwortliche jetzt tun sollten, um Bußgelder zu vermeiden.
  • Betrieblicher Datenschutzbeauftragter

Verantwortung, Haftung und Delegierbarkeit des Datenschutzes im Unternehmen

Wer haftet für den unternehmerischen Datenschutz, wenn Verantwortung an Mitarbeiter oder Externe delegiert wird? Fünf wichtige Kriterien im Überblick!
  • Betrieblicher Datenschutzbeauftragter

Bestellung eines externen Datenschutzbeauftragten

Worauf Sie bei der Auswahl eines Experten als externen Datenschutzbeauftragten achten sollten und wie Sie die Zusammenarbeit am besten starten – unsere Best Practice aus langjähriger Erfahrung!

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.