Bestellung eines Datenschutzbeauftragten

Wann muss ein externer Datenschutzbeauftragter bestellt werden?

Das Bundesdatenschutzgesetz verpflichtet nicht-öffentliche Stellen, die personenbezogene Daten verarbeiten, zur Bestellung eines betrieblichen Datenschutzbeauftragten. Unter bestimmten, im BDSG genannten Voraussetzungen, entfällt die Pflicht zur Bestellung eines Datenschutzbeauftragten.
Wer entgegen den gesetzlichen Vorschriften keinen Datenschutzbeauftragten bestellt, muss mit einem Bußgeld von bis zu 50.000 Euro rechnen (§ 43 Abs. 1 Nr. 2 i.V.m. Abs. 3 S. 1 BDSG).

Die EU-Datenschutzgrundverordnung (EU-DSGVO), welche ab Mai 2018 das bestehende Bundesdatenschutzgesetz weitgehend ablöst, schränkt diese Pflicht zur Bestellung eines Datenschutzbeauftragten für einzelne Konzerntöchter ein.
Art. 37 Abs.2 : „Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.“

Nach Art. 37 EU-DSGVO und §38 BDSG (neu) sind die nicht-öffentlichen Stellen zur Bestellung eines Datenschutzbeauftragten verpflichtet, deren „Kerntätigkeit“ in einer Datenverarbeitung besteht, die eine „umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich“ macht oder deren „Kerntätigkeit“ in der Verarbeitung besonders sensibler Daten (bspw. Gesundheitsdaten) besteht.

Auszug aus dem Erwägungsgrund 97: „Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.“


Kernaufgaben  des Datenschutzbeauftragten

die Consberry im Rahmen eines Mandats übernimmt:

  • Mitarbeiterunterweisung und –sensibilisierung
  • Begleitung der Kommunikation mit Kunden und Behörden
  • Begleitung bei Prüfungen durch Aufsichtsbehörden
  • Vorabkontrolle Datenschutz-Beratung bei Projekten
  • Bereitstellung erforderlicher Mustervorlagen
  • Verwaltung Verfahrens-/ Verarbeitungsverzeichnisse
  • Stichprobenartige Dokumentationskontrolle
  • Begleitung TOM‘s (technisch organisatorische Maßnahmen)
  • Jährlicher Datenschutzbericht für die Unternehmensführung
  • Regelmäßige Prüfung von Prozessen
  • Ansprechpartner für interne Datenschutzfragen
  • Unterstützung zu Auskunftstersuchen und Löschanfragen

Was zu beachten ist

Unabhängig, ob nun interner oder externer Datenschutzbeauftragter – die Bestellung ist nur tragend, wenn der Datenschutzbeauftragte formell wirksam bestellt worden ist. Hierbei gilt insbesondere zu beachten:

  • Die Bestellung muss zwingend schriftlich erfolgen.
  • Eine Bestellungsurkunde ist von beiden Parteien unterschrieben.
  • Die Bestellung hat gesondert zu erfolgen, unabhängig von einem beabsichtigten oder bestehenden Vertrag.
  • Zudem muss die Bestellung eine Aufgabenbeschreibung des DSB und seine Stellung innerhalb des Unternehmens enthalten.
    Wichtig ist ebenfalls ein Passus, dass sich die Unternehmensleitung verpflichtet, die Arbeit des DSB personell und materiell zu unterstützen.

Hintergrund des Formzwanges ist, dass allen Beteiligten die Bedeutung des Amts vor Augen geführt werden soll.
Denn ein DSB trägt einen erheblichen Teil der Verantwortung für das Unternehmen.


Musterschreiben zur Bestellung eines externen Datenschutzbeauftragten.

Die Annahme erfolgt mittels Unterschrift durch den Auftraggeber und dem externen Datenschutzbeauftragten.

Erst nach Unterzeichnung ist die Bestellung formell wirksam!


Zurück zum externen DSB