Die Regelung des DSB in der DSGVO war lange umstritten. Doch nun gilt eine europaweite Verpflichtung zur Bestellung für Unternehmen deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist. Auch eine Mindestanzahl an Beschäftigten, wie sie das BDSG vorsah, existiert in der DSGVO nicht, dafür wird der Datenschutzbeauftragte für diese Fälle europaweit verpflichtend eingeführt – in den meisten Ländern ein Novum.

Dies reduziert zunächst (!) die Zahl der zur Bestellung eines DSB verpflichteten Unternehmen drastisch. Allerdings gibt es eine Öffnungsklausel für nationale Ausnahmeregelungen, die vom Gesetzgeber im BDSG(neu) genutzt wurden und die vom BDSG(alt) bekannten Regeln in Deutschland weiterhin aufrecht erhält. (s. unten).

Im Gegensatz zum BDSG(alt) gibt es keine Verpflichtung zu einer schriftlichen Bestellung. Eine „Benennung“ des DSB ist nun ausreichend. Im Sinne der Rechtssicherheit und der Nachweisverpflichtungen empfiehlt es sich jedoch, die Benennung zu dokumentieren und Termin, Aufgaben, Zeitkontingent/Ressourcen und andere Rahmenbedingungen schriftlich zu regeln.

Art. 37 Abs. 7 sieht jedoch vor, dass „der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des DSB veröffentlicht und diese Daten der Aufsichtsbehörde mitteilt.“
Die Artikel-29-Gruppe empfiehlt im Working-Paper 243 die Bereitstellung der postalischen Adresse sowie einer E-Mail-Adresse und Telefonnummer. Nicht zwingend muss der Name des Datenschutz-beauftragten veröffentlicht sein, aber die Benennung gegenüber Aufsichtsbehörden und Beschäftigten empfohlen.

Sanktionen bei fehlender Bestellung des DSB

Nach der DSGVO kann nach §83 Abs. 4 lit. A ein Bußgeld in Höhe von 10 Mio. € oder 2% des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist. Eine zivilrechtliche – oder ordnungswidrigkeiten Haftung kann ausgeschlossen sein, wenn der DSB seine Pflichten entsprechend erfüllt hat. Hierbei trifft ihn eine Nachweispflicht.

Der Konzern-DSB

Eine Unternehmensgruppe darf einen gemeinsamen DSB ernennen, wenn dieser von jeder Niederlassung aus leicht erreicht werden kann.

Wenn zu einem Konzern auch nicht EU ansässige Unternehmen zählen, muss der DSB seinen Sitz in einer Gesellschaft haben, die sich in der EU befindet. Dadurch soll die leichte Erreichbarkeit gewährleistet sein.

Kündigungsschutz für den (stellvertretenden) DSB

In der DSGVO ist die Regelung des Kündigungsschutzes recht knapp ausgefallen. Art. 38 Abs. 3 spricht davon, dass der DSB von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.

Externer DSB als Service

Die Bestellung eines externen DSB auf Basis eines Dienstleistungsvertrages ist unter der DSGVO weiterhin möglich,
das gilt neuerdings auch für öffentliche Stellen, wie z.B. Behörden des Bundes und der Länder sowie für Kommunen.

Hierbei sind Aufwand/Arbeitsteilung und Budget verhandelbar. Es gibt keinen Kündigungsschutz und der externe DSB ist stärker haftbar als ein Mitarbeiter.

Die Bestellung eines DSB nach dem BDSG(neu)

Das neue Bundesdatenschutzgesetz ab dem 25. Mai 2018  – BDSG(neu) – novelliert das BDSG nach der DSGVO und regelt die nationalen Öffnungsklauseln.

Die Bestellpflicht des DSB für nicht-öffentliche Stellen (insbes. Unternehmen, Vereine, etc.) wird in §38 BDSG(neu) abweichend zur DSGVO erweitert und behält die Regelungen des BDSG weitgehend bei: demnach muss ein DSB bestellt werden, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Für öffentliche Stellen (Bundes-/Landesbehörden, Kommunen) findet sich eine Regelung in §§5-7 BDSG(neu)§6.IV, V.2 und VI BDSG(neu) finden auch Anwendung für nicht-öffentliche Stellen (§38.II BDSG(neu))

Auch der verschärfte Kündigungsschutz, wie im BDSG geregelt, findet seinen Einzug in das BDSG(neu), und zwar in §6.IV BDSG(neu). Dieser ist in der Privatwirtschaft aber durch dann gegeben, wenn die Bestellung eines Datenschutzbeauftragten verpflichtend erfolgte (Einschränkung der Anwendbarkeit in §38.II BDSG(neu) .

Unsere Management-Information zum Datenschutzbeauftragten ist als PDF-Datei abrufbar. (Plagiate werden verfolgt!)