Wichtigste Punkte

• Ein Datenschutzbeauftragter ist eine Person, die innerhalb einer Organisation die Einhaltung des Datenschutzes überwacht und berät. Er fungiert als Ansprechpartner für Mitarbeiter und Aufsichtsbehörden in Datenschutzfragen.

• Nach Art. 37 DSGVO und § 38 BDSG sind bestimmte Stellen verpflichtet, einen DSB zu benennen, beispielsweise wenn mindestens 20 Personen dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn umfangreich sensible Daten verarbeitet werden (unabhängig von Mitarbeiterzahl).

• Der DSB kann intern (Mitarbeiter mit entsprechender Fachkunde) oder extern (dienstleistender Experte) bestellt werden. Er muss fachkundig und zuverlässig sein und genießt Weisungsfreiheit in Datenschutzfragen sowie einen besonderen Kündigungsschutz.

• Aufgaben des DSB: Überwachung der DSGVO-Compliance, Schulung von Mitarbeitern, Unterstützung bei Datenschutz-Folgenabschätzungen, Kontakt mit Aufsichtsbehörden und Beratung der Verantwortlichen in Datenschutzangelegenheiten.

• Startups sollten prüfen, ob sie einen DSB benötigen. Auch wenn keine Pflicht besteht, kann die freiwillige Bestellung sinnvoll sein, um frühzeitig datenschutzkonformes Wachstum sicherzustellen.

Benennungspflicht

Die DSGVO (in ganz Europa) verlangt für bestimmte Verantwortliche die Ernennung eines Datenschutzbeauftragten (Art. 37 DSGVO), nämlich wenn:

• die Kernaktivität des Verantwortlichen in umfangreicher, regelmäßiger Überwachung von Personen besteht (z.B. Betreiber einer Social-Media-Plattform, Scoringunternehmen),

• oder wenn besonders sensible Daten (Art. 9 DSGVO: z.B. Gesundheitsdaten) umfangreich verarbeitet werden.

Das deutsche Bundesdatenschutzgesetz (§ 38 BDSG) konkretisiert zudem: Ein DSB ist zu benennen, wenn in der Regel mindestens 20 Beschäftigte mit automatisierter Datenverarbeitung betraut sind. Auch unabhängig von dieser Mitarbeiterzahl, wenn das Unternehmen Verarbeitungen durchführt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen (in der Praxis z.B. umfangreiche Videoüberwachung, Scoring-Verfahren) oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung (Listbroker, Adresshändler) verarbeitet.

Startups mit nur wenigen Mitarbeitern fallen oft zunächst nicht unter die Pflicht (es sei denn, sie sind in einem sensiblen Bereich tätig wie Gesundheit). Wächst das Team aber über 20, muss die Pflicht im Blick behalten werden.

Stellung und Aufgaben

Der Datenschutzbeauftragte nimmt eine kontrollierende und beratende Rolle ein:

• Überwachung: Er prüft, ob die Vorgaben der DSGVO und des BDSG im Unternehmen eingehalten werden. Dazu kann er Verarbeitungsverzeichnisse einsehen, Prozesse auditieren und Verbesserungsvorschläge machen.

• Beratung: Er berät die Verantwortlichen (Geschäftsführung, Abteilungsleiter) bei neuen Vorhaben hinsichtlich datenschutzkonformer Gestaltung („Privacy by Design/Default“). Beispielsweise unterstützt er bei einer geplanten Einführung eines neuen CRM-Systems bei der Prüfung der Auftragsverarbeitungsverträge und technisch-organisatorischen Maßnahmen.

• Schulung: Mitarbeiter werden durch den DSB in Datenschutz sensibilisiert, z.B. in Form von Schulungen zum Umgang mit personenbezogenen Daten, Passwortsicherheit, Umgang mit Datenpannen.

• Anlaufstelle: Der DSB ist Ansprechpartner für Aufsichtsbehörden und für Betroffene, die Auskunft oder Beschwerden haben. Die Kontaktdaten des DSB müssen öffentlich zugänglich sein (z.B. in der Datenschutzerklärung).

• Datenschutz-Folgenabschätzung (DSFA): Wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten hat und eine DSFA durchgeführt werden muss, wirkt der DSB hierbei mit, gibt Rat und prüft die Ergebnisse.

• Meldung von Datenschutzverletzungen: Er berät bei der Bewertung, ob eine Datenpanne meldepflichtig ist und unterstützt ggf. bei der Meldung an die Behörde.

Unabhängigkeit und Schutz des DSB

Ein interner DSB hat eine besondere Stellung:

• Er ist weisungsfrei in Ausübung seiner Aufgaben (Art. 38 Abs. 3 DSGVO). Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.

• Er kann nur unter erschwerten Bedingungen abberufen werden. Im BDSG ist eine Kündigung eines internen DSB nur aus wichtigem Grund möglich (während der Bestellung und 1 Jahr danach Kündigungsschutz).

• Der DSB darf keine Position im Unternehmen innehaben, die zu Interessenkonflikten führt. Typischerweise scheiden daher leitende Personen wie Geschäftsführer, IT-Leiter, HR-Leiter als DSB aus, da sie ihre eigenen Prozesse kontrollieren müssten.

Viele Firmen wählen daher einen externen DSB, der als Dienstleister diese Aufgaben erfüllt. Das hat den Vorteil, dass man sich Fachwissen einkauft und intern keine Person dauerhaft binden muss.

Relevanz für Startups

Auch wenn ein Startup anfangs unter der Personalschwelle liegt, sollte es Datenschutz ernst nehmen. Sobald das Wachstum läuft:

• Assessments: Regelmäßig prüfen, ob die Schwelle erreicht ist oder besondere Verarbeitungen stattfinden, die einen DSB erfordern.

• Vorbereitung: Prozesse für Datenschutzmanagement aufsetzen (Verzeichnis von Verarbeitungstätigkeiten, Consent-Management, Verträge mit Dienstleistern). Das erleichtert dem späteren DSB die Arbeit und mindert Risiko von Verstößen.

• Externen DSB budgetieren: Ab einer gewissen Größe kann es sinnvoll sein, einen externen DSB frühzeitig freiwillig zu bestellen. Er hilft beim Aufsetzen einer datenschutzkonformen Struktur, was später Probleme und Bußgelder vorbeugt.

In einer datenschutzbewussten Geschäftsumwelt (Stichwort: Kundenvertrauen, Compliance bei B2B-Partnern) kann die Professionalisierung durch einen DSB für ein Startup auch ein Qualitätsmerkmal sein. Dennoch sollte man die Pflicht nicht überhasten: es gilt das richtige Timing, wenn die Kriterien erfüllt sind oder absehbar erreicht werden, um auf der sicheren Seite zu sein.