Kostenlose Ratgeber
Icon Shop
Shop
Icon Ratgeber
Ratgeber
Suche
Suche
Suche
Alle Ergebnisse anzeigen
Grafik zur Bestellung des Datenschutzbeauftragten

Bestellung des Datenschutzbeauftragter: Ablauf, Voraussetzungen & Muster + Checkliste

Datenschutz
6 min | Stand 12.04.2023
Wolfram von Gagern
Die Bestellung des Datenschutzbeauftragten birgt für Unternehmen leider einige Fallstricke, die es zu vermeiden gilt. Ansonsten besteht die Gefahr, dass die Benennung des Datenschutzbeauftragten als nicht betrachtet wird. Unternehmen haben in diesem Fall mit Konsequenzen zu kämpfen. Aus diesem Grund sollten Unternehmen wissen, wann und wie ein Datenschutzbeauftragter richtig bestellt wird. Ich zeige Ihnen in diesem Ratgeber, wie das geht.
Inhaltsverzeichnis

Ist die Bestellung eines Datenschutzbeauftragten für Unternehmen Pflicht?

Die Bestellung eines Datenschutzbeauftragten für Unternehmen ist in Deutschland gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) in bestimmten Fällen verpflichtend. Diese Pflicht zur Bestellung eines Datenschutzbeauftragten gilt insbesondere dann, wenn ein Unternehmen personenbezogene Daten in größerem Umfang verarbeitet.

Wann die Bestellung des Datenschutzbeauftragten verpflichtend ist

Unternehmen sind dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn sie in einen der unten genannten Bereiche fallen:

  • Die Kerntätigkeit des Unternehmens in der umfangreichen, systematischen Verarbeitung von personenbezogenen Daten besteht.
  • Die Verarbeitung personenbezogener Daten in einem Unternehmen erfolgt, das regelmäßig und in großem Umfang Daten von Betroffenen überwacht.
  • Die Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang erfolgt.

Ab wann genau ein Datenschutzbeauftragter in einem Unternehmen bestellt werden muss, erfahren Sie in diesem Ratgeber: Datenschutzbeauftragter – ab wann besteht Bestellpflicht?

Welche Folgen drohen bei Nicht-Erfüllung der Bestellpflicht?

Die Nichterfüllung der Bestell-Pflicht eines Datenschutzbeauftragten kann mit empfindlichen Geldstrafen geahndet werden. Daher ist es entscheidend, dass Unternehmen ihre Datenschutzverpflichtungen ernst nehmen und die erforderlichen Maßnahmen ergreifen, um die Einhaltung der Datenschutzvorschriften sicherzustellen.

Wie wird ein Datenschutzbeauftragter bestellt?

Die Bestellung eines Datenschutzbeauftragten erfolgt in Unternehmen gemäß den gesetzlichen Vorgaben, die in der Datenschutz-Grundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) festgelegt sind. Dabei sind einige Schritte zu befolgen:

  1. Identifizierung der Pflicht zur Bestellung: Unternehmen müssen zuerst prüfen, ob sie gemäß der DSGVO und des BDSG dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Dies geschieht anhand der Kriterien, die wir zuvor erläutert haben, insbesondere in Bezug auf die Art und den Umfang der Datenverarbeitung.
  2. Auswahl der geeigneten Person: Nach Feststellung der Bestellpflicht muss das Unternehmen eine geeignete Person auswählen, die die Aufgaben des Datenschutzbeauftragten wahrnehmen kann. Dies kann entweder ein interner Mitarbeiter sein oder eine externe Person oder Organisation, die auf Datenschutz spezialisiert ist.
  3. Ernennung des Datenschutzbeauftragten: Die ausgewählte Person oder Organisation wird offiziell zum Datenschutzbeauftragten ernannt. Es ist wichtig, sicherzustellen, dass diese Person über die notwendige Qualifikation und Fachkenntnisse im Bereich Datenschutz verfügt.
  4. Meldung an die Aufsichtsbehörde: In Deutschland ist es erforderlich, die Bestellung des Datenschutzbeauftragten der zuständigen Datenschutzaufsichtsbehörde zu melden. Dies dient der Transparenz und Dokumentation der Bestellung.
  5. Kommunikation innerhalb des Unternehmens: Mitarbeiter sollten über die Bestellung des Datenschutzbeauftragten informiert werden, da dieser eine wichtige Rolle bei der Sicherstellung der Datenschutzkonformität spielt. Die Mitarbeiter sollten wissen, an wen sie sich bei Fragen oder Bedenken zum Datenschutz wenden können.

Die Bestellung eines Datenschutzbeauftragten ist ein wichtiger Schritt zur Gewährleistung der Einhaltung der Datenschutzvorschriften und zur Sicherung der Privatsphäre der betroffenen Personen. Es ist entscheidend, dass dieser Prozess sorgfältig und gemäß den gesetzlichen Vorschriften durchgeführt wird.

Besteht bei der Bestellung des Datenschutzbeauftragten eine Meldepflicht?

Ja, der bestellte Datenschutzbeauftragte muss der zuständigen Aufsichtsbehörde gemeldet werden. Diese Meldepflicht ist von deutschen Unternehmen einzuhalten. In der Regel muss die Meldepflicht innerhalb eines Monats nach Bestellung des Datenschutzbeauftragten erfüllt werden.

Wer bestellt den Datenschutzbeauftragten?

Die Bestellung eines Datenschutzbeauftragten erfolgt durch den Verantwortlichen des Unternehmens, der für die Datenverarbeitung verantwortlich ist. Dies kann beispielsweise der Geschäftsführer oder der Vorstand sein.

Was sind die Voraussetzungen für die erfolgreiche Bestellung des Datenschutzbeauftragten?

Zu den wesentlichen Voraussetzungen für die erfolgreiche Bestellung und Ernennung des Datenschutzbeauftragten gehören:

  • Schriftliche Bestellung: Eine korrekte Bestellung muss nach § 4f BDSG immer schriftlich auf Papier vorliegen. Möglich sind auch Benennungen zum Datenschutzbeauftragten per Fax und E-Mail. Davon ist allerdings eher abzuraten, da hier schnell Fehler wie digitale Signaturmängel oder verblassendes Thermopapier auftreten können.
  • Korrekte Namensunterschrift: Damit die Bestellung Gültigkeit hat, ist die korrekte Namensunterschrift wichtig. Dabei genügt die Unterschrift mit dem vollständigen Nachnamen. Die Unterschrift muss außerdem eigenhändig, also handschriftlich, erfolgen. Es muss sich um eine Unterzeichnung handeln. Das bedeutet, die Unterschrift muss sich unter dem Ernennungstext im Bestellungsformular befinden.
  • Gegenzeichnung nur durch eine leitende Person: Als Datenschutzbeauftragter ist dringend darauf zu achten, dass nur die Person die Benennung eigenhändig unterzeichnet, die das Unternehmen auch in leitender Position nach außen vertritt. Das bedeutet, in einer GmbH der Geschäftsführer, in einer AG der Vorstand.
  • Mehrere Urkunden bei Unternehmensgruppen: Das BDSG kennt weder Unternehmensgruppen noch Konzerne. Jedes Unternehmen oder jede Firma innerhalb der Gruppe werden deshalb datenschutzrechtlich so betrachtet, als würden die Dienstleistungen durch externe Firmen erbracht. Im Idealfall wird für alle Unternehmen innerhalb der Gruppe ein Datenschutzbeauftragter bestellt. Das bedeutet, dass auch mehrere getrennte Bestellungsurkunden notwendig sind – und zwar für jedes Unternehmen in der Gruppe eine eigene. Diese Urkunde muss dann jeweils von der zuständigen Unternehmensleitung unterschrieben werden.

Nicht zwingend vorgeschrieben, aber empfehlenswert:

  • Gegenzeichnung der Bestellungsurkunde: Lassen Sie den Datenschutzbeauftragten die Bestellung gegenzeichnen und händigen Sie diesem ein gegengezeichnetes Exemplar aus.
  • Detaillierte Beschreibung der Aufgaben: Um Streitereien und Unklarheiten rechtzeitig vorzubeugen, sollte in der Bestellung zum Datenschutzbeauftragten stets der genaue Umfang der Tätigkeit beschrieben werden (mehr zu den Aufgaben des Datenschutzbeauftragen hier)

Anschließend muss der Datenschutzbeauftragte der Aufsichtsbehörde gemeldet werden.

Muster für die Benennung eines Datenschutzbeauftragten

Damit die Benennung zum Datenschutzbeauftragten reibungslos funktioniert, finden Sie hier ein Muster:

– Anschrift –

Bestellung zum Datenschutzbeauftragten

– Anrede –

Hiermit bestellen wir Sie mit Wirkung vom _____________ zum Datenschutzbeauftragten

gemäß § 4f BDSG. Wir kommen damit unserer gesetzlichen Verpflichtung aus dem BDSG nach.

In Ihrer Funktion als Datenschutzbeauftragte/r sind Sie der Geschäftsleitung unmittelbar

unterstellt. Zuständiges Mitglied der Geschäftsleitung ist Herr/Frau ___________________

oder dessen/deren Vertreter(in).

Ihre Aufgaben als Datenschutzbeauftragte/r ergeben sich aus dem Bundesdatenschutzgesetz.

Zusätzlich haben Sie als Datenschutzbeauftragter folgende Aufgaben wahrzunehmen:

– Erstellung und Pflege des Verfahrensverzeichnisses

– Durchführung von Datenschutzschulungen in folgendem Umfang:

_________________ (z. B. zwei dreistündige Datenschutzschulungen pro Quartal)

Außerdem haben Sie folgende Aufgaben: __________________________________________________________________________

In der Erfüllung der Aufgaben sind Sie weisungsfrei. Über Ihre Tätigkeit werden Sie der

zuständigen Geschäftsleitung bei Bedarf Bericht erstatten, mindestens jedoch einmal pro Jahr zum 31.3.

Mit freundlichen Grüßen

_______________________

(Unterzeichnung durch den Leiter des Unternehmens, also zum Beispiel den Geschäftsführer

oder den Vorstand)

Gegenzeichnung durch den Datenschutzbeauftragten:

_________________________________

Ort/Datum

________________________

Unterschrift

Checkliste für die erfolgreiche Bestellung des Datenschutzbeauftragten

Checkliste: Wurde an alles gedacht und hat Ihre Bestellung zum Datenschutzbeauftragten Gültigkeit?

FrageJa Nein
Wurde die Bestellung schriftlich auf Papier erstellt?  
Enthält die Bestellung den genauen detaillierten Umfang der Tätigkeit?  
Ist das Dokument eigenhändig von der Geschäftsleitung unterschrieben worden?  
Wurde die Bestellungsurkunde von einer Person unterschrieben, die das Unternehmen nach außen hin vertreten darf wie zum Beispiel vom Geschäftsführer einer GmbH oder dem Vorstand bei einer AG?  
Hat der Datenschutzbeauftragte die Bestellungsurkunde ebenfalls unterzeichnet und ein unterschriebenes Exemplar zurückerhalten?  
Hat der Datenschutzbeauftragte mit seinem vollständigen Nachnamen unterschrieben?  
Befindet sich die Unterzeichnung unter dem Ernennungstext?  
Sind bei mehreren rechtlich selbständigen Unternehmen auch mehrere Bestellungsurkunden erstellt worden?  

Wer kann überhaupt zum Datenschutzbeauftragten bestellt werden?

Gemäß dem Bundesdatenschutzgesetz ist ein Datenschutzbeauftragter zu bestellen, der über die erforderlichen Fachkenntnisse verfügt. Bei der Auswahl des Datenschutzbeauftragten sollte daher darauf geachtet werden, dass die Person über ausreichende Fachkenntnisse im Bereich betrieblichen Datenschutz verfügt und unabhängig und neutral agiert. Der Datenschutzbeauftragte sollte auch über die notwendige Autorität verfügen, um seine Aufgaben effektiv erfüllen zu können.

Hinweis: Um den Datenschutzbeauftragten erfolgreich einzusetzen, sollte der Zeitaufwand, der für die Tätigkeit als Datenschutzbeauftragter erforderlich ist, berechnet werden.

Kann ein Datenschutzbeauftragter intern oder nur extern bestellt werden?

Ein Datenschutzbeauftragter kann sowohl intern als auch extern bestellt werden, abhängig von den individuellen Bedürfnissen und den Gegebenheiten eines Unternehmens. In beiden Fällen ist es von entscheidender Bedeutung, dass die bestellte Person oder Organisation die Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfüllt und die notwendige Fachkenntnis besitzt, um die Datenschutzvorschriften effektiv umzusetzen.

Intern bestellter Datenschutzbeauftragter

Ein interner Datenschutzbeauftragter ist ein Mitarbeiter des Unternehmens, der die Aufgaben des Datenschutzbeauftragten übernimmt.

Dieser Mitarbeiter muss über das notwendige Fachwissen im Bereich Datenschutz verfügen und unabhängig agieren, um Interessenkonflikte zu vermeiden.

Ein interner Datenschutzbeauftragter kann eine gute Wahl sein, wenn das Unternehmen über ausreichende Ressourcen und Expertise verfügt, um die Datenschutzanforderungen zu erfüllen.

Extern bestellter Datenschutzbeauftragter

Ein externer Datenschutzbeauftragter ist eine unabhängige Person oder Organisation, die von außerhalb des Unternehmens bestellt wird, um die Datenschutzbelange zu betreuen.

Externe Datenschutzbeauftragte werden oft von spezialisierten Datenschutzberatungsfirmen oder Anwaltskanzleien gestellt.

Externe Datenschutzbeauftragte sind eine geeignete Wahl, wenn das Unternehmen selbst nicht über ausreichende Ressourcen oder Datenschutzkompetenz verfügt oder um Interessenkonflikte zu vermeiden.
Von: Wolfram von Gagern
Wolfram von Gagern ist Jurist mit deutschem und französischem Abschluss. Nach seinem Studium hat es ihn in die freie Wirtschaft getrieben, schwerpunktmäßig in den Bereich Marketing. Das Datenschutzrecht hat ihn hier immer begleitet, weil es gerade im Marketing eine große Rolle spielt. Heute ist Wolfram von Gagern selbstständiger Texter und Redakteur des „PrivacyXperts Newsletters“, in dem er Datenschutzbeauftragten und anderen an diesem Thema interessierten Lesern wertvolle Praxis-Tipps für erfolgreichen Datenschutz gibt.
Wolfram von Gagern
Mehr zum Thema Datenschutz
Aufbewahrungsfristen von Geschäftsunterlagen: Dauer + Pflichten
ür Geschäftsunterlagen, personenbezogene Daten von Lieferanten oder Kunden sowie Mitarbeiterakten sieht der Gesetzgeber spezifische Aufbewahrungsfristen vor. Es ist aus Unternehmenssicht entscheidend, die gesetzliche Aufbewahrungspflicht zu kennen und zu...
Personenbezogene Daten: Definition, Beispiele und Umgang im Unternehmen
In der HR-Abteilung müssen nicht nur persönliche Informationen wie Krankmeldungen und Gehaltsunterlagen von Beschäftigten rechtssicher behandelt und gespeichert werden, sondern auch die von Bewerbern oder ehemaligen Angestellten. Auch...
Datenschutz bei der Gehaltsabrechnung: Pflichten des Unternehmens
Das Wort ist in aller Munde: Datenschutz. Und es betrifft jeden von uns. Denn der Schutz und die Kontrolle personenbezogener Daten – und damit der eigenen Privatsphäre –...
Arbeitnehmerdatenschutz im Betrieb: Bedeutung, Pflichten und Vorgaben
Seit dem Inkrafttreten hoher gesetzlicher Strafzahlungen bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) wird der Schutz von personenbezogenen Daten verstärkt öffentlich diskutiert. Betreiber von Internetseiten sind aufgefordert, ihre Besucher...
Schweigepflicht als Arbeitgeber: Worüber müssen Sie schweigen?
Die Schweigepflicht haben doch nur Ärzte und Geistliche – so die Meinung vieler. Doch auch Arbeitgeber müssen über bestimmte persönliche Angelegenheiten des Arbeitnehmers Stillschweigen bewahren. Tun sie das...
Die acht Grundregeln des Datenschutzes
Kennen Sie schon die „8 Grundregeln des Datenschutzes“? Sie ergeben sich aus den Nr. 1 bis 8 der „Anlage zu § 9 Satz 1“ des BDSG. Sie stellen...
Datenschutzkonzept erstellen
Seit Einführung der DSGVO im Jahr 2018 hat der Schutz von personenbezogenen Daten in Deutschland höchste Priorität. Wieso ein Datenschutzkonzept für Unternehmen zielführend ist und wie man es...
Zeitaufwand als Datenschutzbeauftragter berechnen – so geht’s
Viele Datenschutzbeauftragte stehen vor der Herausforderung, die ihnen zugewiesenen Aufgaben angemessen zu bewältigen, was oft mehr Zeit erfordert, als zur Verfügung steht. In solchen Fällen bietet es sich...
Aufgaben vom Datenschutzbeauftragten – umfassender Überblick
Der Datenschutz im Unternehmen ist ein zunehmend wichtiger Aspekt, der in der heutigen Welt eine immer größere Rolle spielt. Unternehmen müssen sich an zahlreiche Vorschriften halten, um sicherzustellen,...
Datenschutzbeauftragter – ab wann besteht Bestellpflicht?
Viele Unternehmen, die personenbezogene Daten von Mitarbeitern oder auch Kunden verarbeiten, stellen sich früher oder später die Frage, ob sie eigentlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind. In...
Datenschutz-Sensibilisierung: So sensibilisieren Sie Ihre Mitarbeiter
Datenschutz ist in aller Munde – trotzdem scheinen viele Menschen nicht zu wissen, was Datenschutz in der Praxis wirklich bedeutet. Mit cleveren Awareness- und Kommunikationsmaßnahmen bringen Sie den...
Datenschutz in sozialen Netzwerken: Tipps für Unternehmen und Mitarbeiter
In der Ära der digitalen Vernetzung sind soziale Netzwerke zu einem unverzichtbaren Bestandteil unseres persönlichen und beruflichen Lebens geworden. Sie bieten Unternehmen die Möglichkeit, mit Kunden zu interagieren,...
Technisch-organisatorische Maßnahmen (TOM) gemäß DSGVO und BDSG
Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass die Verarbeitung personenbezogener Daten einheitlich geschützt werden muss. Dazu zählen auch die Technisch-organisatorischen Maßnahmen, kurz „TOM“. Worum es sich dabei genau handelt...
Einführung neuer Software zur Verarbeitung personenbezogener Daten + Checkliste
Mit der DSGVO sind höhere Anforderungen an die Datenschutzbewertung von Datenverarbeitungen entstanden, indem der risikobasierte Ansatz betont wird. Die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte von...
Datenschutz im Gesundheitswesen: Umgang mit Gesundheitsdaten
Im Gesundheitsbereich kommen viele private Informationen zusammen, die streng vertraulich behandelt werden müssen, was einige Herausforderungen mit sich bringt. Im Zuge der voranschreitenden Digitalisierung von Krankenhäusern, Arztpraxen, Pflege-...
Auskunftsrecht: Wie erfüllen Sie das Recht auf Auskunft?
Die in der DSGVO geregelten Rechte der betroffenen Personen und die darin enthaltenen Informations- und Auskunftspflichten verfolgen das Ziel, Transparenz herzustellen und den betroffenen Personen Kontrolle über die Verwendung ihrer...
Datensicherung im Unternehmen: Daten mit Backups sichern
In der heutigen Zeit kann kaum ein Unternehmen noch ohne Daten, insbesondere personenbezogene Daten, bestehen. Selbst wenn diese nur unbeabsichtigt beschädigt oder verloren gehen, kann dies für viele...
IT-Grundschutz implementieren | Pflicht, Inhalte & Standards
Der IT-Grundschutz ist für jedes Unternehmen, welches datenschutzrechtlich auf der sicheren Seite sein möchte, essenziell. Doch welche Inhalte umfasst der IT-Grundschutz und auf welchen Standards basiert eben dieser?...
Betrieblich genutzte Smartphones und Datenschutz – so geht’s
Seit Einführung der neuen Datenschutz-Grundverordnung herrscht in vielen Bereichen Unsicherheit. Was ist erlaubt? Worauf muss man achten? Wir widmen uns heute dem Thema Datenschutz und Handy und gehen...
Zugriffskontrolle: So verhindern Sie unerlaubte Datenzugriffe
Mit der neuen Datenschutzgrundverordnung sind weiterhin zahlreiche technische und organisatorische Maßnahmen zu treffen, die in Art. 32 DSGVO geregelt sind. Dazu gehört es auch, unberechtigte Zugriffe zu erkennen und erfolgreich...
So geht IT-Notfallplanung für Unternehmen
Die digitale Infrastruktur eines Betriebs ist essenziell für dessen Funktionsfähigkeit. Ausfälle können zu signifikanten finanziellen Einbußen, Schäden am Unternehmensimage und Compliance-Verstößen führen. Daher ist ein durchdachter IT-Notfallplan unverzichtbar....
Ausgeschiedene Mitarbeiter: Vorsicht bei der Löschung des E-Mail-Postfachs
Die Nutzung von E-Mails als Kommunikations- und Arbeitsmittel gehört bestimmt auch in Ihrem Unternehmen zum Alltag. Und vielleicht ist es in Ihrem Unternehmen sogar so, dass man hinsichtlich...
Werbeeinwilligung nach DSGVO: Wann ist eine Einwilligung nötig?
Als Datenschutzbeauftragter sind Sie in erster Linie Berater in Datenschutzfragen. Dabei gibt es zahlreiche Fragestellungen, die auf den ersten Blick ziemlich banal ausschauen. Doch wenn Sie sich intensiver...
Organigramme: Wie sichern Sie den Datenschutz?
Nichts ist so beständig wie der Wandel – das gilt sicher auch für Ihr Unternehmen: Neue Geschäftsbereiche oder Abteilungen kommen hinzu, andere werden geschlossen oder umbenannt. Gerade im...
Datenschutzschulung für Mitarbeiter: Pflicht, Schritte & Inhalte
Der Schutz von personenbezogenen Daten sollte in Unternehmen aller Größenordnungen Priorität haben. Ein professioneller Fokus auf Datenschutzrichtlinien der DSVO und BDSG und eine verantwortliche Umsetzung ist für jeden...
Urlaubslisten: Hier schlägt der Datenschutz erbarmungslos zu!
Ein Leser hat Probleme mit den Urlaubslisten, die in seinem Betrieb ausliegen. Einige Arbeitnehmer möchten das nicht und argumentieren, dass solche Listen gegen den Datenschutz verstoßen. Liegen sie...

Selbstverständlich können Sie unsere kostenlosen Sonder-Reports auch ohne einen E-Mail-Newsletter anfordern. Schreiben Sie uns dafür einfach eine kurze E-Mail. Sie erhalten zusätzlich zu unserem E-Mail-Newsletter von Zeit zu Zeit auch Informationen zu anderen interessanten Angeboten, die im Zusammenhang mit dem über den Download geäußerten Interesse von Ihnen stehen.