Externer Datenschutzbeauftragter

Datenschutzbeauftragter

Eine Organisation, die personenbezogene Daten verarbeitet, ist in bestimmten Fällen verpflichtet, einen Datenschutzbeauftragten zu benennen. Der Datenschutzbeauftragte hat die Aufgabe, die Einhaltung der Allgemeinen Datenschutzverordnung innerhalb der Organisation zu überprüfen, indem er z.B. Kontrollen durchführt und Auskünfte erteilt. Auf diesen Seiten können Sie mehr über die Datenschutzbeauftragten erfahren.

Wird ein Datenschutzbeauftragter bestellt, muss er laut Art. 37 Abs. 7 DSGVO vom Verantwortlichen bzw. vom Auftragsverarbeiter an die Datenschutz-Aufsichtsbehörde gemeldet werden. Dies gilt sowohl für betriebliche bzw. interne als auch für externe Datenschutzbeauftragte.

Die Meldung des Datenschutzbeauftragten soll online per Formular über die Website der jeweiligen Aufsichtsbehörde erfolgen. Auch bei einem etwaigen Wechsel des Datenschutzbeauftragten ist dies der Aufsichtsbehörde mitzuteilen. Bei einer Verletzung der Meldepflicht droht ein Bußgeld.

Ob in Ihrem Unternehmen grundsätzlich ein Datenschutzbeauftragter zu bestellen ist, können Sie in unserem Special zum betrieblichen Datenschutzbeauftragten nachlesen.

Wenn Sie einen Datenschutzbeauftragten in Ihrer Organisation haben so, müssen Sie die Kontaktdaten des Datenschutzbeauftragten an die zuständige Datenschutzbehörde schicken.

Kontaktdaten des Datenschutzbeauftragten

Verwenden Sie die untenstehenden Links für die Meldung der Kontaktdaten der Person, die der Datenschutzbeauftragte Ihrer Organisation ist.

Andere informieren

Informieren Sie alle, die in oder für Ihre Organisation arbeiten, und alle, für die Sie persönliche Daten registriert haben. Sie benötigen die folgenden Informationen über den Datenschutzbeauftragten:

  • Name
  • Kontaktdaten
  • die Aufgaben des Datenschutzbeauftragten.

Liste der Aufsichtsbehörden mit Links zur Meldung des Datenschutzbeauftragten

Baden-Württemberg - Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg

Bayern - Bayerisches Landesamt für Datenschutzaufsicht

Berlin - Berliner Beauftragte für Datenschutz und Informationsfreiheit

Brandenburg - Die Landesbeauftragte für den Datenschutz und Akteneinsicht Brandenburg

Bremen - Die Landesbeauftragte für Datenschutz

Hamburg - Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Hessen - Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Mecklenburg-Vorpommern - Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern

Niedersachsen - Die Landesbeauftragte für den Datenschutz Niedersachsen

Nordrhein-Westfalen - Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Rheinland-Pfalz - Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz

Saarland - Unabhängiges Datenschutz Zentrum Saarland

Sachsen - Sächsischer Datenschutzbeauftragter

Sachsen-Anhalt - Landesbeauftragter für den Datenschutz Sachsen-Anhalt

Schleswig-Holstein - Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Thüringen - Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit

Wer kann ein Datenschutzbeauftragter sein?

Der Datenschutzbeauftragte muss unter anderem:

  • - Kenntnis der Allgemeinen Datenschutzverordnung haben
  • - kennen der Kerntätigkeiten der Organisation und wissen, wie die Organisation personenbezogene Daten verarbeitet, und wissen, wie die Informationstechnologie und die IT-Sicherheit der Organisation funktionieren
  • - die Fähigkeit haben, Informationen zu verbreiten und eine Datenschutzkultur innerhalb der Organisation zu etablieren. Aus diesem Grund sind auch die persönlichen Eigenschaften des Datenschutzbeauftragten wichtig.

Je komplexer die Verarbeitung von Personendaten und je grösser die Menge an sensiblen Daten, die verarbeitet werden, desto grösser ist das Fachwissen, das der Datenschutzbeauftragte benötigt.

Position der Unabhängigkeit

Der Datenschutzbeauftragte muss in der Lage sein, unabhängig und unbeeinflusst von anderen innerhalb der Organisation zu arbeiten. Es ist daher wichtig, dass der Datenschutzbeauftragte keine anderen Aufgaben hat, die mit seiner Rolle als Datenschutzbeauftragter kollidieren können.

So ist es beispielsweise nicht angebracht, dass der Datenschutzbeauftragte Mitglied des Managementteams ist oder an strategischen Entscheidungen über Kerntätigkeiten, die die Verarbeitung personenbezogener Daten einschließen, mitwirkt.

Die richtigen Ressourcen für die Aufgabe

Der Datenschutzbeauftragte muss über Ressourcen verfügen, um seine Aufgaben innerhalb der Organisation wahrnehmen zu können.

Der Datenschutzbeauftragte muss z.B. ausreichend Zeit für die Aufgaben und Zugang zu den benötigten Informationen haben. Der Datenschutzbeauftragte hat auch Anspruch auf Weiterbildung.

Er muss kein Angestellter sein.

Der Datenschutzbeauftragte kann sein:

  • - ein Angestellter oder ein Berater
  • - eine natürliche Person oder eine Organisation oder Gruppe, aber eine Kontaktperson muss immervorhanden sein
  • - Datenschutzbeauftragter für eine oder mehrere Behörden oder Unternehmen.

Wenn die Aufgaben des Datenschutzbeauftragten von einer Gruppe von Personen wahrgenommen werden, machen Sie die Rollen und Aufgaben innerhalb der Gruppe deutlich. Wer macht was?

Was macht ein Datenschutzbeauftragter?

Die übergreifende und wichtigste Aufgabe des Datenschutzbeauftragten ist es, die Einhaltung der Allgemeinen Datenschutzverordnung durch die Organisation zu überwachen. Dies bedeutet unter anderem:

  • - Sammeln von Informationen darüber, wie die Organisation persönliche Daten verarbeitet
  • - Überprüfung, ob die Organisation die Vorschriften und internen Grundsatzdokumente einhält
  • - Bereitstellung von Informationen und Beratung innerhalb der Organisation.

Der Datenschutzbeauftragte muss außerdem:

  • - Ratschläge zu Folgenabschätzungen geben
  • - die Kontaktperson der schwedischen Datenschutzbehörde sein
  • - die Kontaktperson für die betroffenen Personen und das Personal der Organisation sein
  • - mit der schwedischen Datenschutzbehörde zusammenarbeiten, zum Beispiel bei Inspektionen.

Der Datenschutzbeauftragte ist nicht verantwortlich und darf nicht bestraft werden

Der Datenschutzbeauftragte hat keine persönliche Verantwortung für die Einhaltung der AllgemeinenDatenschutzverordnung durch die Organisation. Diese Verantwortung liegt immer bei dem für die Verarbeitung Verantwortlichen oder dem Datenverarbeiter. Der für die Datenverarbeitung Verantwortliche darf den Datenschutzbeauftragten auch nicht dafür bestrafen, dass er seine Pflichten erfüllt hat.

Folgenabschätzungen

Der Datenschutzbeauftragte muss immer einbezogen werden, wenn eine Organisation eine Folgenabschätzung bezüglich der Verarbeitung personenbezogener Daten vornimmt oder in Erwägung zieht. Eine Folgenabschätzung ist notwendig, wenn Sie beabsichtigen, personenbezogene Daten zu erheben, und die Rechte und Freiheiten der Menschen einem großen Risiko ausgesetzt sind.

Seien Sie eine Kontaktperson und kooperieren Sie mit der Datenschutzbehörde

Der Datenschutzbeauftragte soll Ansprechpartner sein für:

  • - die betroffenen Personen, die sich an den Datenschutzbeauftragten wenden möchten, um zu erfahren, welche sie betreffenden Daten registriert worden sind
  • - Mitarbeiter innerhalb der Organisation, die wissen möchten, ob sie sich bei der Verarbeitung personenbezogener Daten korrekt verhalten
  • - Die Datenschutzbehörde, die die Aktivitäten der Organisation überprüfen kann.

Müssen Sie einen Datenschutzbeauftragten benennen?

Wenn Sie eine dieser Fragen mit Ja beantworten, müssen Sie einen Datenschutzbeauftragten haben:

  • - Sind Sie eine öffentliche Behörde
  • - Besteht Ihre Haupttätigkeit in der regelmäßigen und systematischen Überwachung von Einzelpersonen in großem Maßstab?
  • - Besteht Ihre Haupttätigkeit in der Verarbeitung sensibler persönlicher Daten oder Informationen über Straftaten in großem Maßstab?

Öffentliche Einrichtungen

Öffentliche Einrichtungen sind z. B. öffentliche Behörden und gewählte Organe: Parlament, Gemeinderäte, Kreistagsversammlungen und Regionalversammlungen.

Wer sind keine öffentlichen Körperschaften?

Private Unternehmen, Verbände und Organisationen sind keine öffentlichen Körperschaften. Ebenso wenig sind es Unternehmen im Besitz von Kommunen oder Bezirksräten. Möglicherweise benötigen Sie dennoch einen Datenschutzbeauftragten, wenn Sie Frage 2 oder 3 mit Ja beantworten.

Kernaktivitäten

"Kernaktivitäten" sind die notwendigen zentralen Aktivitäten, die eine Organisation durchführt, um ihre Ziele zu erreichen.

Einige Beispiele:

  • - Die Kernaktivität eines Schuhgeschäfts ist der Verkauf von Schuhen.
  • - Im Falle eines Sicherheitsdienstleistungsunternehmens könnte seine Kerntätigkeit die Überwachung öffentlicher Orte sein.
  • - Das Ziel eines Krankenhauses ist die Bereitstellung von Gesundheit und medizinischer Versorgung.Um dies tun zu können, muss ein Krankenhaus Gesundheitsinformationen verarbeiten. Die Verarbeitung sensibler Daten ist daher eine Kerntätigkeit des Krankenhauses.

Regelmäßige und systematische Überwachung

Regelmäßige und systematische Überwachung ist eine ständige oder wiederkehrende Überwachung, die nach einem System oder Plan durchgeführt wird.

Einige Beispiele:

  • - alle Formen der Verfolgung und Profilerstellung im Internet
  • - Profilerstellung für Risikobewertungen
  • - Positionsverfolgung in mobilen Anwendungen
  • - Loyalitätsprogramme
  • - Überwachungskameras
  • - angeschlossene Geräte, zum Beispiel intelligente Zähler (das Internet der Dinge, IoT)

Großer Maßstab

Was als "in großem Maßstab" bezeichnet werden kann, mag schwer zu beurteilen sein, hängt aber u.a. von der Anzahl der betroffenen Personen, der Menge der verarbeiteten Informationen, der Art der verarbeiteten Informationen und der Dauer der Informationsverarbeitung ab.

Beispiele für Organisationen, die personenbezogene Daten in großem Umfang verarbeiten:

  • - Krankenhäuser - Patientendaten
  • - Öffentliche Verkehrsmittel - Reisedaten in Bezug auf Einzelreisende
  • - Versicherungsgesellschaften oder Banken - Informationen über das Eigentum und Vermögen von Kunden

Beispiele für Aktivitäten, bei denen personenbezogene Daten nicht in großem Umfang verarbeitet werden:

  • - ein einzelner Arzt Patientendaten verarbeitet
  • - Ein einzelner Anwalt verarbeitet personenbezogene Daten im Zusammenhang mit Verurteilungen in Strafsachen und strafrechtlichen Verurteilungen und Straftaten.

Wer braucht keinen Datenschutzbeauftragten?

Die einfachste Antwort lautet: Wer die obigen Fragen mit nein beantwortet, braucht keinen Datenschutzbeauftragten.

Einige Beispiele: Das bedeutet also, dass nicht-öffentliche Stellen, wie Unternehmen und Verbände, keinen Datenschutzbeauftragten benötigen, wenn sie zum Beispiel:

  • - nur wenige Informationen über ihre Kunden oder Informationen, die nicht sensibel sind, besitzen
  • - in ihren Kernaktivitäten keine personenbezogenen Daten verarbeiten
  • - nur über bestimmte Informationen über ihre Mitarbeiter verfügen, um z.B. Löhne und Gehälter auszahlen zu können.

Gemeinsame Nutzung von Datenschutzbeauftragten

Ein Datenschutzbeauftragter kann für mehrere verschiedene Behörden oder mehrere verschiedene Unternehmen innerhalb derselben Gruppe zuständig sein.

Dies setzt natürlich voraus, dass der Datenschutzbeauftragte über genügend Zeit und Ressourcen verfügt, um seine Aufgaben wahrnehmen zu können, und dass jeder, der mit dem Datenschutzbeauftragten in Kontakt treten muss, dies problemlos tun kann.

Mehrere Personen können gemeinsam als Datenschutzbeauftragte fungieren

Es spricht nichts dagegen, dass jemand eine Gruppe von Personen hat, die die Aufgaben des Datenschutzbeauftragten wahrnehmen, sofern alle Mitglieder der Gruppe die festgelegten Anforderungen erfüllen. Die Gruppe muss auch eine Kontaktperson haben.

Der Datenverarbeiter kann einen Datenschutzbeauftragten benötigen, auch wenn der für die Verarbeitung Verantwortliche keinen benötigt.

Alle Organisationen müssen selbst beurteilen, ob sie einen Datenschutzbeauftragten benötigen. Es kann der Fall sein, dass ein Datenverarbeiter einen Datenschutzbeauftragten braucht, auch wenn sein Kunde keinen Datenschutzbeauftragten braucht.

Einige Beispiele: Eine kleine Firma hat einen Datenverarbeiter, der viele ähnliche Kunden hat. Das bedeutet, dass der Datenverarbeiter grosse Mengen von persönlichen Daten und von vielen verschiedenen Kunden verarbeitet. Der Datenverarbeiter muss dann unter Umständen einen Datenschutzbeauftragten benennen, obwohl das kleine Unternehmen keinen benötigt.

Die Datenschutzbehörden empfehlen:

Auch wenn Sie keinen Datenschutzbeauftragten benötigen, kann es für eine Organisation sinnvoll sein, einen Datenschutzbeauftragten zu haben, um eine Struktur in der Arbeit mit personenbezogenen Daten zu schaffen. Es kann auch Vertrauen bei den betroffenen Personen, Ihren Kunden, schaffen. Es kann auch einige Vorteile im Wettbewerb mit anderen Unternehmen bringen.

Wir empfehlen Organisationen, einen Datenschutzbeauftragten zu benennen, auch wenn sie dazu nicht verpflichtet sind

Unabhängig von der Pflicht, einen oder eine DSB zu benennen, können Unternehmen freiwillig eine solche Benennung vornehmen.

Die Aufsichtsbehörden stellen hierzu jedoch klar: Benennt ein Unternehmen einen DSB auf freiwilliger Basis, so unterliegen dessen Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung.

Wie kann ich prüfen, ob die Kriterien vorliegen?

Unternehmen müssen für sich prüfen, ob sie die genannten Kriterien erfüllen, ob sie also verpflichtet sind, einen DSB zu benennen oder nicht.

Hierzu haben die Aufsichtsbehörden hilfreiche Hinweise gegeben PDF

  • - „Kerntätigkeit“ ist die Haupttätigkeit eines Unternehmens, die es untrennbar prägt.
  • - Ob eine Verarbeitung „umfangreich“ ist, hängt von den folgenden Faktoren ab: Menge der verarbeiteten personenbezogenen Daten (Volumen), Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt), Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße) und Dauer der Verarbeitung (zeitlicher Aspekt).
  • - „Regelmäßig“ lässt sich interpretieren als fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend, immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend, ständig oder regelmäßig stattfindend.
  • - Der Begriff „systematisch“ lässt sich verstehen als systematisch vorkommend, vereinbart, organisiert oder methodisch, im Rahmen eines allgemeinen Datenerfassungsplans erfolgend oder im Rahmen einer Strategie erfolgend.
  • - „Ständig“ soll klarstellen, dass Personen, die nur gelegentlich, etwa als Urlaubsvertretung, mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, nicht mitgezählt werden.
  • - „In der Regel“ soll unterstreichen, dass gewisse Schwankungen in der Anzahl der Personen, die automatisiert Daten verarbeiten, nicht beachtet werden, wenn „in der Regel“ die Anzahl unter 20 Personen bleibt.
Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen