Der Datenschutzbeauftragte (DSB), englisch Data Protection Officer (DPO), ist eine gesetzlich definierte Funktion innerhalb eines Unternehmens, die auf die Einhaltung der Datenschutzvorschriften hinwirkt. Er agiert als interne Kontrollinstanz und Bindeglied zwischen dem Unternehmen, den Betroffenen (Kunden, Mitarbeiter) und der Aufsichtsbehörde.
Für die Geschäftsführung ist die Position des DSB von hoher strategischer Relevanz, da er direkt an die Unternehmensleitung berichtet, aber in der Ausübung seiner Fachkunde weisungsfrei ist. Die falsche Besetzung dieser Rolle kann zu Interessenkollisionen und Unwirksamkeit der Compliance-Strukturen führen.
Benennungspflicht: Wann ist ein DSB zwingend?
Nicht jedes Unternehmen benötigt einen DSB. Die Pflicht zur Benennung ergibt sich aus Art. 37 DSGVO in Verbindung mit § 38 Bundesdatenschutzgesetz (BDSG). In Deutschland ist ein DSB zwingend zu bestellen, wenn:
- Personelle Schwelle: In der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. (Hinweis: Hierzu zählen auch Teilzeitkräfte, Werkstudenten und Leiharbeiter).
- Kerntätigkeit: Die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten (Art. 9 DSGVO, z. B. Gesundheitsdaten) oder der systematischen Überwachung von Personen (z. B. Auskunfteien, Tracking-Anbieter) besteht – unabhängig von der Mitarbeiterzahl.
- Folgenabschätzung: Eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss (z. B. bei Videoüberwachung oder KI-Einsatz).
- Markt- und Meinungsforschung: Daten geschäftsmäßig zum Zweck der Übermittlung oder für Markt- und Meinungsforschung verarbeitet werden.
Wird trotz Pflicht kein DSB benannt, stellt dies eine Ordnungswidrigkeit dar, die mit Bußgeldern geahndet wird.
Aufgaben und Rolle (Art. 39 DSGVO)
Der DSB ist kein Entscheidungsträger für Datenverarbeitungsprozesse – dies bleibt Aufgabe der Geschäftsführung. Seine Rolle ist beratend und überwachend:
- Unterrichtung und Beratung: Er klärt die Geschäftsführung und Mitarbeiter über Pflichten nach der DSGVO auf.
- Überwachung: Er prüft die Einhaltung der Datenschutzvorschriften und interner Strategien (Audits).
- Schulung: Er sensibilisiert die an Verarbeitungsvorgängen beteiligten Mitarbeiter.
- Zusammenarbeit mit der Aufsichtsbehörde: Er ist primärer Ansprechpartner (Point of Contact) für Behördenanfragen.
Stellung im Unternehmen: Unabhängigkeit und Kündigungsschutz
Die Position des DSB ist mit spezifischen Schutzrechten ausgestattet, die für Arbeitgeber relevant sind:
- Weisungsfreiheit: Der DSB darf bezüglich der Ausübung seiner Aufgaben keine Anweisungen erhalten. Die Geschäftsführung kann ihm nicht vorschreiben, wie er ein Gesetz zu interpretieren hat oder welches Prüfergebnis er erzielen soll.
- Benachteiligungsverbot: Er darf wegen der Erfüllung seiner Aufgaben nicht abgemahnt oder gekündigt werden.
- Besonderer Kündigungsschutz (Interner DSB): In Deutschland genießen interne DSB einen Kündigungsschutz, der dem eines Betriebsratsmitglieds ähnelt (§ 6 Abs. 4 BDSG). Eine ordentliche Kündigung ist während der Amtszeit und ein Jahr danach unzulässig, sofern kein wichtiger Grund für eine fristlose Kündigung vorliegt.
Interessenkonflikte
Ein häufiger Fehler in KMUs ist die Doppelfunktion. Der DSB darf keine Rolle innehaben, in der er die Zwecke und Mittel der Datenverarbeitung selbst festlegt (Verbot der Selbstkontrolle). Unzulässig als DSB sind daher in der Regel:
- Geschäftsführer / Vorstand
- IT-Leiter
- Marketing-Leiter
- HR-Leiter
Eine Bestellung trotz Interessenkonflikt ist unwirksam und kann sanktioniert werden.
Strategische Entscheidung: Interner vs. Externer DSB
Unternehmen können die Position mit einem fest angestellten Mitarbeiter (intern) oder einem Dienstleister (extern) besetzen.
| Merkmal | Interner Datenschutzbeauftragter | Externer Datenschutzbeauftragter |
|---|---|---|
| Kosten | Gehalt + Fortbildungskosten + Lohnnebenkosten. Ressourcenbindung. | Festes Monatshonorar (kalkulierbar). Keine Lohnnebenkosten. |
| Kündigung | Besonderer Kündigungsschutz (schwer kündbar). | Vertraglich geregelte Kündigungsfristen (flexibel). |
| Fachwissen | Muss erst aufgebaut und durch Schulungen erhalten werden. | Bringt zertifiziertes Expertenwissen und Best-Practices aus anderen Firmen mit. |
| Betriebskenntnis | Hohe Kenntnis interner Abläufe und Kultur. | Muss sich in spezifische Prozesse erst einarbeiten. |
| Haftung | Haftungsprivilegierung als Arbeitnehmer (beschränkte Arbeitnehmerhaftung). | Haftet zivilrechtlich für Falschberatung (Berufshaftpflichtversicherung vorhanden). |
Fazit
Für Konzerne ist ein eigener Stab (Datenschutzkoordinator + Team) oft sinnvoll. Für mittelständische Unternehmen ist die Bestellung eines externen Datenschutzbeauftragten meist die wirtschaftlichere und risikoärmere Lösung, da sie den strengen Kündigungsschutz vermeidet, Interessenkonflikte ausschließt und sofortigen Zugriff auf spezialisiertes juristisches und technisches Know-how gewährleistet.