WIE
wird ein Datenschutzbeauftragter bestellt?
Verbindliche formelle Vorgaben für die Bestellung eines Datenschutzbeauftragten bestehen nicht. Theoretisch kann ein Datenschutzbeauftragter daher sogar mündlich bestellt werden. Mit Blick auf die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) sollte die Bestellung aber unbedingt schriftlich dokumentiert werden. Bei der Gestaltung der entsprechenden Unterlagen bestehen Unterschiede zwischen einem externen und einen internen Datenschutzbeauftragten.
Interner Datenschutzbeauftragter
Bei internen Datenschutzbeauftragten sind die allgemeinen Dienstpflichten, seine Arbeitszeiten, die Vergütung etc. üblicherweise bereits vertraglich durch den bestehenden Arbeitsvertrag geregelt. Deshalb muss lediglich noch die Bestellung an sich schriftlich fixiert werden. Formal kann dies mit einem relativ übersichtlichen Benennungschreiben erfolgen. Sofern dem internen Datenschutzbeauftragten nur die gesetzlichen Pflichten und Aufgaben zugewiesen werden, genügt ein allgemeiner Hinweis darauf. Werden weitergehende Aufgaben übertragen, müssen diese konkret benannt werden.
Rechtliche Grundlage für die Übertragung der Position des Datenschutzbeauftragten ist das arbeitsvertragliche Weisungsrecht des Arbeitgebers ggü. dem Arbeitnehmer. Ein zweiseitiger Vertrag ist deshalb nicht nötig. Eine einseitige Anweisung des Arbeitgebers genügt. Kenntnisnahme und Einverständnis sollte der interne Datenschutzbeauftragte dennoch durch Unterschrift quittieren. Zudem ist zu beachten, dass der Arbeitgeber dafür verantwortlich ist, dass der interne Datenschutzbeauftragte sowohl ausreichend fachlich qualifiziert ist / wird als auch genügend zeitliche Ressourcen zur Wahrnehmung seiner Aufgaben hat.
Muster: Bestellung eines internen Datenschutzbeauftragten
Externer Datenschutzbeauftragter
Mit einem externen Datenschutzbeauftragten besteht vor seiner Bestellung in aller Regel kein Vertrag. Deshalb sind neben der Bestellung an sich auch sämtliche Absprachen zu Tätigkeit, Vergütung, Haftung etc. noch schriftlich zu regeln. Hierfür empfiehlt sich eine Zweiteilung: Die Benennung erfolgt mit einem kurzen Schreiben, dass bei Nachfragen auch der Aufsichtsbehörde vorgelegt werden kann.
Muster: Benennung eines externen Datenschutzbeauftragten
Alle über die Bestellung hinausgehenden Regelungen und Vereinbarungen zur konkreten Tätigkeit des externen Datenschutzbeauftragten werden separat in einem ausführlichen Dienstleistungsvertrag zwischen dem Verantwortlichen und dem externen Datenschutzbeauftragten festgehalten.
Auszug Vertrag externer Datenschutzbeauftragten
Sonstiges
Wichtig ist, dass die gewählte Gestaltung die gesetzlich vorgeschriebene Unabhängigkeit (Art. 38 Abs. 3 DSGVO) gewährleistet. Zudem sind im Zusammenhang mit der Bestellung die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen. Auch gegenüber der zuständigen Aufsichtsbehörde sind sie mitzuteilen. Wie das umzusetzen ist, gibt das Gesetz nicht konkret vor. In Art. 37 Abs. 7 DSGVO heißt es hierzu lediglich:
(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.
Die Aufsichtsbehörden der einzelnen Bundesländer stellen hierzu aber mittlerweile alle Online-Formulare für eine solche Mitteilung bereit. Die Aufsichtsbehörden und Ihre Kontaktdaten sind in dieser Übersicht aufgeführt. Dort finden sich auch Links zu den Anmeldeformularen der einzelnen Behörden.
Die darüber hinausgehende Veröffentlichung der Kontaktdaten ist in unternehmensüblicher Weise vorzunehmen. Das bedeutet regelmäßig:
- Im Rahmen einer Website sind die Kontaktdaten des Datenschutzbeauftragten in die Datenschutzerklärung aufzunehmen.
- In alle sonstigen Datenschutz-Informationen (Art. 13 DSGVO) sind die Kontaktdaten ebenfalls einzubeziehen.
- Gibt es ein Intranet, ein „Schwarzes Brett“ oder ähnliche Informationskanäle im Unternehmen, sind die Kontaktdaten auch dort anzugeben
Häufig gestellte Fragen zum Datenschutzbeauftragten
Wann muss ein Datenschutzbeauftragter bestellt werden?
Wer darf als Datenschutzbeauftragter bestellt werden?
Was sind die Aufgaben eines Datenschutzbeauftragten?
Wieso? Weshalb? Warum?
Weitere häufige Fragen rund um die Auswahl und Bestellung eines Datenschutzbeauftragten finden Sie…