Phone-alt Envelope
KDSB Service GmbH
KDSB Service GmbH

WIE
wird ein Datenschutzbeauftragter bestellt?

Wie wird ein Datenschutzbeauftragter bestellt

Verbindliche formelle Vorgaben für die Bestellung eines Datenschutzbeauftragten bestehen nicht. Theoretisch kann ein Datenschutzbeauftragter daher sogar mündlich bestellt werden. Mit Blick auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) sollte die Bestellung aber unbedingt schriftlich dokumentiert werden. Bei der Gestaltung der entsprechenden Unterlagen bestehen Unterschiede zwischen einem externen und einen internen Datenschutzbeauftragten.

 

Interner Datenschutzbeauftragter

Bei internen Datenschutzbeauftragten sind die allgemeinen Dienstpflichten, seine Arbeitszeiten, die Vergütung etc. üblicherweise bereits vertraglich durch den bestehenden Arbeitsvertrag geregelt. Deshalb muss lediglich noch die Bestellung an sich schriftlich fixiert werden. Formal kann dies mit einem relativ übersichtlichen Benennungschreiben erfolgen. Sofern dem internen Datenschutzbeauftragten nur die gesetzlichen Pflichten und Aufgaben  zugewiesen werden, genügt ein allgemeiner Hinweis darauf. Werden weitergehende Aufgaben übertragen, müssen diese konkret benannt werden.

Rechtliche Grundlage für die Übertragung der Position des Datenschutzbeauftragten ist das arbeitsvertragliche Weisungsrecht des Arbeitgebers ggü. dem Arbeitnehmer. Ein zweiseitiger Vertrag ist deshalb nicht nötig. Eine einseitige Anweisung des Arbeitgebers genügt. Kenntnisnahme und Einverständnis sollte der interne Datenschutzbeauftragte dennoch durch Unterschrift quittieren. Zudem ist zu beachten, dass der Arbeitgeber dafür verantwortlich ist, dass der interne Datenschutzbeauftragte sowohl ausreichend fachlich qualifiziert ist / wird als auch genügend zeitliche Ressourcen zur Wahrnehmung seiner Aufgaben hat.

Muster: Bestellung eines internen Datenschutzbeauftragten

Externer Datenschutzbeauftragter

Mit einem externen Datenschutzbeauftragten besteht vor seiner Bestellung in aller Regel kein Vertrag. Deshalb sind neben der Bestellung an sich auch sämtliche Absprachen zu Tätigkeit, Vergütung, Haftung etc. noch schriftlich zu regeln. Hierfür empfiehlt sich eine Zweiteilung: Die Benennung erfolgt mit einem kurzen Schreiben, dass bei Nachfragen auch der Aufsichtsbehörde vorgelegt werden kann.

Muster: Benennung eines externen Datenschutzbeauftragten

Alle über die Bestellung hinausgehenden Regelungen und Vereinbarungen zur konkreten Tätigkeit des externen Datenschutzbeauftragten werden separat in einem ausführlichen Dienstleistungsvertrag zwischen dem Verantwortlichen und dem externen Datenschutzbeauftragten festgehalten.

Auszug Vertrag externer Datenschutzbeauftragten

Sonstiges

Wichtig ist, dass die gewählte Gestaltung die gesetzlich vorgeschriebene Unabhängigkeit (Art. 38 Abs. 3 DSGVO) gewährleistet. Zudem sind im Zusammenhang mit der Bestellung die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen. Auch gegenüber der zuständigen Aufsichtsbehörde sind sie mitzuteilen. Wie das umzusetzen ist, gibt das Gesetz nicht konkret vor. In Art. 37 Abs. 7 DSGVO heißt es hierzu lediglich:

(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Die Aufsichtsbehörden der einzelnen Bundesländer stellen hierzu aber mittlerweile alle Online-Formulare für eine solche Mitteilung bereit. Die Aufsichtsbehörden und Ihre Kontaktdaten sind in dieser Übersicht aufgeführt. Dort finden sich auch Links zu den Anmeldeformularen der einzelnen Behörden.

Die darüber hinausgehende Veröffentlichung der Kontaktdaten ist in unternehmensüblicher Weise vorzunehmen. Das bedeutet regelmäßig:

  • Im Rahmen einer Website sind die Kontaktdaten des Datenschutzbeauftragten in die Datenschutzerklärung aufzunehmen.
  • In alle sonstigen Datenschutz-Informationen (Art. 13 DSGVO) sind die Kontaktdaten ebenfalls einzubeziehen.
  • Gibt es ein Intranet, ein „Schwarzes Brett“ oder ähnliche Informationskanäle im Unternehmen, sind die Kontaktdaten auch dort anzugeben

Häufig gestellte Fragen zum Datenschutzbeauftragten

Wann muss ein Datenschutzbeauftragter bestellt werden?

Wann ein Datenschutzbeauftragter bestellt werden muss, ist in der DSGVO und dem BDSG konkret vorgeschrieben. Auch ohne eine solche gesetzliche Pflicht kann die Bestellung dringend zu empfehlen oder zumindest sehr sinnvoll sein.
mehr dazu...

Wer darf als Datenschutzbeauftragter bestellt werden?

Wer zum Datenschutzbeauftragten bestellt werden darf, ist in der DSGVO nicht ausdrücklich aufgeführt. Die Datenschutz-Aufsichtsbehörden haben allerdings Anforderungen für die persönliche und die fachliche Eignung definiert.
mehr dazu...

Was sind die Aufgaben eines Datenschutzbeauftragten?

Verschiedene Aufgaben sind einem Datenschutzbeauftragten bereits gesetzlich zugewiesen. Da die Liste dieser Aufgaben allerdings sehr überschaubar ist, empfiehlt es sich, ihm vertraglich weitere Aufgaben explizit zu übertragen.
mehr dazu...

Wieso? Weshalb? Warum?

Weitere häufige Fragen rund um die Auswahl und Bestellung eines Datenschutzbeauftragten finden Sie…

Hier

Nicht das passende gefunden?​

Schreiben Sie uns!​