Der Datenschutzbeauftragte (DSB): Rolle, Pflichten und Relevanz für Startups
Der Datenschutzbeauftragte (DSB) spielt eine zentrale Rolle für die Einhaltung datenschutzrechtlicher Vorgaben in Unternehmen. Insbesondere für Startups, die oft schnell wachsen und innovative Technologien einsetzen, ist das Verständnis seiner Funktion und der Benennungspflicht entscheidend. Dieser Artikel beleuchtet die wichtigsten Aspekte rund um den DSB und seine Bedeutung.
Die wichtigsten Punkte im Überblick
- Ein Datenschutzbeauftragter ist eine Person, die innerhalb einer Organisation die Einhaltung des Datenschutzes überwacht und beratend zur Seite steht. Er fungiert als Ansprechpartner für Mitarbeiter und Aufsichtsbehörden in Datenschutzfragen. Um mehr über die generelle Bedeutung zu erfahren, lesen Sie unseren Artikel über betrieblichen Datenschutz.
- Nach Art. 37 DSGVO und § 38 BDSG sind bestimmte Stellen verpflichtet, einen DSB zu benennen. Dies gilt beispielsweise, wenn mindestens 20 Personen dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Eine Pflicht besteht auch, wenn umfangreich sensible Daten verarbeitet werden, unabhängig von der Mitarbeiterzahl.
- Der DSB kann intern (Mitarbeiter mit entsprechender Fachkunde) oder extern (dienstleistender Experte) bestellt werden. Er muss fachkundig und zuverlässig sein. Zudem genießt er Weisungsfreiheit in Datenschutzfragen sowie einen besonderen Kündigungsschutz.
- Zu den Aufgaben des DSB gehören die Überwachung der DSGVO-Compliance, die Schulung von Mitarbeitern, die Unterstützung bei Datenschutz-Folgenabschätzungen sowie der Kontakt mit Aufsichtsbehörden. Er berät die Verantwortlichen in allen Datenschutzangelegenheiten.
- Startups sollten frühzeitig prüfen, ob sie einen DSB benötigen. Auch wenn keine direkte Pflicht besteht, kann die freiwillige Bestellung sinnvoll sein, um ein datenschutzkonformes Wachstum von Beginn an sicherzustellen.
Wann ein Datenschutzbeauftragter benannt werden muss (Benennungspflicht)
Die Datenschutz-Grundverordnung (DSGVO), die in ganz Europa gilt, schreibt für bestimmte Verantwortliche die Ernennung eines Datenschutzbeauftragten vor. Dies ist in Art. 37 DSGVO geregelt und tritt in Kraft, wenn:
- die Kernaktivität des Verantwortlichen in der umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht (z.B. Betreiber einer Social-Media-Plattform, Scoringunternehmen),
- oder wenn besonders sensible Daten (Art. 9 DSGVO: z.B. Gesundheitsdaten) umfangreich verarbeitet werden.
Das deutsche Bundesdatenschutzgesetz (§ 38 BDSG) konkretisiert diese Pflichten zusätzlich. Ein DSB ist demnach zu benennen, wenn in der Regel mindestens 20 Beschäftigte dauerhaft mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Unabhängig von der Mitarbeiterzahl besteht die Pflicht, wenn das Unternehmen Verarbeitungen durchführt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen. Dies ist in der Praxis oft bei umfangreicher Videoüberwachung oder Scoring-Verfahren der Fall. Auch wer personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet (z.B. Listbroker, Adresshändler), benötigt einen DSB. Neuerungen im Datenschutzrecht, wie etwa EuGH-Urteile zu DSGVO-Bußgeldern, können die Anforderungen an die Benennung weiter präzisieren.
Startups mit nur wenigen Mitarbeitern fallen oft zunächst nicht unter diese Pflicht, es sei denn, sie sind in einem sensiblen Bereich tätig wie dem Gesundheitswesen. Wächst das Team jedoch über 20 Personen, muss die Pflicht zur Benennung eines DSB genau im Blick behalten werden.
Stellung und Aufgaben des Datenschutzbeauftragten
Der Datenschutzbeauftragte nimmt eine kontrollierende und beratende Rolle im Unternehmen ein. Seine wesentlichen Aufgaben umfassen:
- Überwachung: Er prüft, ob die Vorgaben der DSGVO und des BDSG im Unternehmen eingehalten werden. Dazu kann er Verarbeitungsverzeichnisse einsehen, Prozesse auditieren und Verbesserungsvorschläge machen.
- Beratung: Er berät die Verantwortlichen (Geschäftsführung, Abteilungsleiter) bei neuen Vorhaben hinsichtlich einer datenschutzkonformen Gestaltung („Privacy by Design/Default“). Beispielsweise unterstützt er bei einer geplanten Einführung eines neuen CRM-Systems oder bei der Prüfung von Auftragsverarbeitungsverträgen und technisch-organisatorischen Maßnahmen.
- Schulung: Mitarbeiter werden durch den DSB in Datenschutzthemen sensibilisiert. Dies geschieht oft in Form von Schulungen zum Umgang mit personenbezogenen Daten, zur Passwortsicherheit oder zum Vorgehen bei Datenpannen.
- Anlaufstelle: Der DSB ist der primäre Ansprechpartner für Aufsichtsbehörden und für Betroffene, die Auskunft oder Beschwerden haben. Die Kontaktdaten des DSB müssen daher öffentlich zugänglich sein, beispielsweise in der Datenschutzerklärung des Unternehmens.
- Datenschutz-Folgenabschätzung (DSFA): Wenn eine Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen mit sich bringt und eine DSFA durchgeführt werden muss, wirkt der DSB hierbei mit. Er gibt Rat und prüft die Ergebnisse der Abschätzung.
- Meldung von Datenschutzverletzungen: Er berät bei der Bewertung, ob eine Datenpanne meldepflichtig ist und unterstützt gegebenenfalls bei der fristgerechten Meldung an die zuständige Behörde.
Unabhängigkeit und Schutz des Datenschutzbeauftragten
Ein interner DSB genießt eine besondere Stellung innerhalb der Organisation. Dies manifestiert sich in folgenden Punkten:
- Er ist weisungsfrei in der Ausübung seiner Aufgaben (Art. 38 Abs. 3 DSGVO). Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.
- Er kann nur unter erschwerten Bedingungen abberufen werden. Nach dem BDSG ist die Kündigung eines internen DSB nur aus wichtigem Grund möglich, wobei ein besonderer Kündigungsschutz während der Bestellung und ein Jahr danach besteht.
- Der DSB darf keine Position im Unternehmen innehaben, die zu Interessenkonflikten führt. Aus diesem Grund scheiden typischerweise leitende Personen wie Geschäftsführer, IT-Leiter oder HR-Leiter als DSB aus, da sie ihre eigenen Prozesse nicht objektiv kontrollieren könnten.
Viele Unternehmen, insbesondere Startups, wählen daher einen externen DSB. Dieser Dienstleister erfüllt die Aufgaben des Datenschutzbeauftragten. Ein externer DSB bietet den Vorteil, dass wertvolles Fachwissen eingekauft wird und intern keine Person dauerhaft für diese Aufgabe gebunden werden muss. Dies gewährleistet zudem die erforderliche Neutralität.
Relevanz des DSB für Startups
Auch wenn ein Startup anfangs unter der Personalschwelle für die Benennungspflicht liegt, sollte es den Datenschutz ernst nehmen und von Beginn an etablieren. Sobald das Wachstum einsetzt, sind folgende Punkte essenziell:
- Assessments: Regelmäßig prüfen, ob die gesetzliche Schwelle für die Benennung eines DSB erreicht ist oder ob besondere Verarbeitungen stattfinden, die einen DSB erfordern. Für Startups können sich hierbei diverse rechtliche Herausforderungen ergeben.
- Vorbereitung: Prozesse für ein solides Datenschutzmanagement sollten frühzeitig aufgesetzt werden. Dazu gehören das Führen eines Verzeichnisses von Verarbeitungstätigkeiten, ein effektives Consent-Management und die Abschluss von Verträgen mit Dienstleistern (AV-Verträge). Dies erleichtert dem späteren DSB die Arbeit erheblich und mindert das Risiko von Verstößen.
- Externen DSB budgetieren: Ab einer bestimmten Größe oder bei komplexen Datenverarbeitungen kann es sinnvoll sein, einen externen DSB frühzeitig freiwillig zu bestellen. Er hilft beim Aufbau einer datenschutzkonformen Struktur, was spätere Probleme und Bußgelder vermeiden kann.
In einer zunehmend datenschutzbewussten Geschäftsumwelt – die geprägt ist von steigendem Kundenvertrauen und Compliance-Anforderungen bei B2B-Partnern – kann die Professionalisierung durch einen DSB für ein Startup auch ein wichtiges Qualitätsmerkmal sein. Dennoch sollte die Pflicht nicht überhastet angegangen werden: Es gilt, das richtige Timing abzuwarten und dann zu handeln, wenn die Kriterien erfüllt sind oder absehbar erreicht werden, um auf der sicheren Seite zu sein.
Fazit
Der Datenschutzbeauftragte ist eine Schlüsselposition für die Einhaltung und Überwachung des Datenschutzes. Für Startups ist es wichtig, die Benennungspflichten genau zu kennen und proaktiv zu handeln, um rechtliche Risiken zu minimieren und Vertrauen aufzubauen. Eine frühzeitige Auseinandersetzung mit dem Thema, auch präventiv, kann langfristig zum Unternehmenserfolg beitragen.