Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist eine fachkundige und unabhängige Person, die innerhalb einer Organisation die Einhaltung der datenschutzrechtlichen Vorschriften überwacht. Zentrale Rechtsgrundlage ist die Datenschutz-Grundverordnung (DSGVO), insbesondere Art. 37–39, ergänzt durch nationale Regelungen wie das Bundesdatenschutzgesetz (BDSG).

Ein Datenschutzbeauftragter muss benannt werden, wenn dies gesetzlich vorgeschrieben ist. Nach der DSGVO ist dies insbesondere der Fall, wenn die Kerntätigkeit einer Organisation in der umfangreichen Verarbeitung personenbezogener Daten oder in der regelmäßigen und systematischen Überwachung von Personen besteht. In Deutschland konkretisiert das BDSG die Pflicht zusätzlich: In der Regel ist ein Datenschutzbeauftragter zu bestellen, wenn in einem Unternehmen dauerhaft mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl kann die Benennung auch dann verpflichtend sein, wenn besonders sensible Daten verarbeitet oder Datenschutzfolgenabschätzungen erforderlich werden.

Der Datenschutzbeauftragte ist bei der Ausübung seiner Tätigkeit weisungsunabhängig. Das bedeutet, dass er oder sie fachlich nicht an Anweisungen der Geschäftsleitung gebunden ist und wegen der ordnungsgemäßen Erfüllung der Aufgaben nicht benachteiligt oder abberufen werden darf. Gleichzeitig ist der Datenschutzbeauftragte zur Verschwiegenheit verpflichtet.

Wichtig ist die Abgrenzung der Verantwortung: Der Datenschutzbeauftragte trägt nicht die rechtliche Gesamtverantwortung für die Einhaltung des Datenschutzrechts. Verantwortlich im Sinne der DSGVO bleibt stets die Unternehmensleitung bzw. die verantwortliche Stelle. Sie entscheidet über Zwecke und Mittel der Datenverarbeitung und haftet im Fall von Verstößen. Der Datenschutzbeauftragte hat eine beratende und kontrollierende Funktion, übernimmt jedoch keine operative Verantwortung für die Datenverarbeitung selbst.

Zu den Aufgaben gehören insbesondere die Unterrichtung und Beratung des Verantwortlichen, die Überwachung der Einhaltung datenschutzrechtlicher Vorschriften, die Sensibilisierung und Schulung von Mitarbeitenden sowie die Zusammenarbeit mit der zuständigen Datenschutzaufsichtsbehörde.