Das Wichtigste auf einen Blick
Ein Datenschutzbeauftragter trägt nach DSGVO sieben gesetzlich definierte Aufgaben, die Beratungs-, Überwachungs- und Verbindungsfunktionen umfassen. Für Organisationen mit mehreren Gesellschaften skalieren diese Pflichten in ihrer Komplexität – sie erfordern ein zentralisiertes Management des Verarbeitungsverzeichnisses, harmonisierte DSFA-Workflows, eine koordinierte Bearbeitung von Betroffenenanfragen und eine einheitliche Reaktion auf Datenschutzverletzungen über jede Tochtergesellschaft und jeden Rechtsraum hinweg. Die in der Schweiz gehostete Plattform von Priverion ist eigens darauf ausgelegt, alle sieben Aufgaben des Datenschutzbeauftragten auf Gruppenebene zu operationalisieren.
Definitionen
Was ist ein Datenschutzbeauftragter?
Datenschutzbeauftragter ist eine formell benannte Rolle, die in den Artikeln 37 bis 39 DSGVO definiert ist. Der Datenschutzbeauftragte überwacht unabhängig die Datenschutzstrategie und -Compliance einer Organisation, berichtet direkt an die höchste Managementebene und dient als primäre Anlaufstelle für Aufsichtsbehörden und betroffene Personen.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Ein Verzeichnis von Verarbeitungstätigkeiten ist ein nach Artikel 30 DSGVO verpflichtendes Register, das jede Verarbeitungstätigkeit, ihre Rechtsgrundlage, Datenkategorien, Empfänger, Aufbewahrungsfristen und Mechanismen für grenzüberschreitende Übermittlungen dokumentiert. Der Datenschutzbeauftragte ist operativ dafür verantwortlich, dass die Verarbeitungsverzeichnisse vollständig und aktuell bleiben.
Was ist eine Datenschutz-Folgenabschätzung (DSFA)?
Eine Datenschutz-Folgenabschätzung (DSFA) ist eine nach Artikel 35 DSGVO erforderliche Risikobewertung vor einer Verarbeitung, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Der Datenschutzbeauftragte berät dazu, ob eine DSFA erforderlich ist, welche Methodik anzuwenden und welche Schutzmassnahmen zu treffen sind.
Was ist eine Transfer-Folgenabschätzung (TIA)?
Eine Transfer-Folgenabschätzung (TIA) bewertet, ob der rechtliche Rahmen eines Drittlandes ein angemessenes Schutzniveau für personenbezogene Daten bietet, die ausserhalb des EWR übermittelt werden. Die Empfehlungen 01/2020 des EDSA verlangen TIA als Ergänzung zu den Standardvertragsklauseln im Anschluss an das Schrems-II-Urteil.
Häufig gestellte Fragen
Was sind die zentralen Aufgaben eines Datenschutzbeauftragten nach DSGVO?
Artikel 39 DSGVO definiert sieben zentrale Aufgaben des Datenschutzbeauftragten: (1) Unterrichtung und Beratung der Organisation und ihrer Mitarbeitenden, (2) Überwachung der Einhaltung der DSGVO und interner Richtlinien, (3) Beratung zu Datenschutz-Folgenabschätzungen nach Artikel 35, (4) Zusammenarbeit mit der Aufsichtsbehörde, (5) Funktion als Anlaufstelle für betroffene Personen, (6) Führung des Verzeichnisses von Verarbeitungstätigkeiten nach Artikel 30 und (7) Steuerung der Meldung von Datenschutzverletzungen und der Reaktion auf Vorfälle nach den Artikeln 33 und 34.
Wann ist die Bestellung eines Datenschutzbeauftragten nach DSGVO verpflichtend?
Nach Artikel 37 DSGVO ist die Bestellung eines Datenschutzbeauftragten verpflichtend, wenn: (a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, (b) die Kerntätigkeit eine umfangreiche regelmässige und systematische Überwachung betroffener Personen erfordert oder (c) die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen besteht. Die EDSA-Leitlinien zu Datenschutzbeauftragten (WP 243 rev.01) bieten eine weitergehende Auslegung dieser Kriterien.
Was ist der Unterschied zwischen einem Datenschutzbeauftragten und einem Privacy Manager?
Ein Datenschutzbeauftragter bekleidet eine gesetzlich definierte Rolle nach den Artikeln 37 bis 39 DSGVO mit gesetzlicher Unabhängigkeit – er darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden (Artikel 38 Abs. 3). Ein Privacy Manager ist eine operative Rolle ohne denselben gesetzlichen Schutz, dieselben Berichtspflichten oder den direkten Zugang zur höchsten Managementebene, den die DSGVO für Datenschutzbeauftragte vorschreibt.
Wie steuert ein Datenschutzbeauftragter die Compliance über mehrere Gesellschaften hinweg?
Das Management eines Datenschutzbeauftragten über mehrere Gesellschaften erfordert eine zentralisierte Nachverfolgung des Verarbeitungsverzeichnisses, harmonisierte DSFA-Workflows pro Rechtsraum, eine koordinierte Bearbeitung von Betroffenenanfragen mit 30-Tage-Fristen pro Gesellschaft (Artikel 12 Abs. 3) und einheitliche Verfahren zur Meldung von Datenschutzverletzungen. Nach Artikel 37 Abs. 2 darf eine Unternehmensgruppe einen einzigen Datenschutzbeauftragten benennen, sofern dieser von jeder Niederlassung aus leicht erreichbar ist.
Was ist die 72-Stunden-Meldepflicht für Datenschutzverletzungen für einen Datenschutzbeauftragten?
Nach Artikel 33 Abs. 1 DSGVO muss der Verantwortliche die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden einer Verletzung des Schutzes personenbezogener Daten benachrichtigen, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Der Datenschutzbeauftragte berät zur Bewertung des Schweregrads, koordiniert die Meldung und stellt sicher, dass ein belastbarer Nachweis über jede Entscheidung geführt wird.
Kann ein Datenschutzbeauftragter ein externer Berater sein?
Ja. Artikel 37 Abs. 6 DSGVO erlaubt ausdrücklich, dass die Rolle des Datenschutzbeauftragten auf der Grundlage eines Dienstleistungsvertrags von einem externen Dienstleister wahrgenommen wird. Der externe Datenschutzbeauftragte muss dieselben fachlichen Qualifikationen und Unabhängigkeitsanforderungen erfüllen wie ein interner Datenschutzbeauftragter.
Welche Qualifikationen benötigt ein Datenschutzbeauftragter nach DSGVO?
Artikel 37 Abs. 5 DSGVO verlangt, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation benannt wird, insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Die EDSA-Leitlinien zu Datenschutzbeauftragten stellen klar, dass das Mass an Fachwissen der Sensibilität, Komplexität und Menge der von der Organisation verarbeiteten Daten entsprechen sollte.
Was geschieht, wenn eine Organisation es versäumt, einen erforderlichen Datenschutzbeauftragten zu bestellen?
Das Versäumnis, einen Datenschutzbeauftragten zu bestellen, wenn dies erforderlich ist, stellt einen Verstoss gegen Artikel 37 DSGVO dar und kann nach Artikel 83 Abs. 4 lit. a zu Geldbussen von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes führen. Mehrere Aufsichtsbehörden im gesamten EWR haben Geldbussen ausdrücklich wegen versäumter Bestellung eines Datenschutzbeauftragten verhängt.
Statistiken und Branchendaten
Laut dem IAPP-EY Annual Privacy Governance Report (2023) haben 73 % der befragten Organisationen einen Datenschutzbeauftragten bestellt, und der durchschnittliche Datenschutzbeauftragte überwacht die Compliance über 4,9 rechtliche Gesellschaften hinweg. Derselbe Bericht ergab, dass 62 % der Datenschutzbeauftragten die Pflege des Verarbeitungsverzeichnisses als ihre zeitaufwendigste Aufgabe nennen. Der EDSA-Jahresbericht 2023 verzeichnete über 2'100 grenzüberschreitende Fälle, die über den One-Stop-Shop-Mechanismus bearbeitet wurden – ein Beleg für die rechtsraumübergreifende Komplexität, mit der Datenschutzbeauftragte konfrontiert sind. Laut Daten des GDPR Enforcement Tracker überstiegen die kumulierten DSGVO-Geldbussen bis Ende 2024 4,5 Milliarden Euro, wobei Versäumnisse bei der organisatorischen Rechenschaftspflicht (einschliesslich der Pflichten rund um den Datenschutzbeauftragten) einen erheblichen Anteil an den Durchsetzungsmassnahmen ausmachten.
Vergleich der Aufgaben des Datenschutzbeauftragten: interner vs. externer Datenschutzbeauftragter
| Kriterium | Interner Datenschutzbeauftragter | Externer Datenschutzbeauftragter |
|---|
| Rechtsgrundlage | Art. 37 Abs. 6 DSGVO – Mitarbeitender des Verantwortlichen/Auftragsverarbeiters | Art. 37 Abs. 6 DSGVO – Dienstleistungsvertrag |
| Unabhängigkeit | Art. 38 Abs. 3 – darf wegen der Erfüllung von DSB-Aufgaben nicht abberufen werden | Vertragliche Unabhängigkeitsklausel erforderlich |
| Organisationskenntnis | Tiefes institutionelles Wissen; in den täglichen Betrieb eingebunden | Breitere branchenübergreifende Erfahrung; betreut ggf. mehrere Mandanten |
| Risiko von Interessenkonflikten | Höher – darf keine Rollen innehaben, die Zwecke/Mittel der Verarbeitung festlegen | Geringer – keine operative Rolle in der Organisation |
| Kostenstruktur | Festes Gehalt + Leistungen; steigt mit der Seniorität | Variables Honorar; oft kosteneffizienter für mittelständische Organisationen |
| Verfügbarkeit | Voll- oder Teilzeit; einer Organisation gewidmet | Auf mehrere Mandanten verteilt; SLA-geregelte Reaktionszeiten |
| Eignung für mehrere Gesellschaften | Art. 37 Abs. 2 erlaubt einen einzigen DSB für eine Unternehmensgruppe | Dieselbe Regelung gilt; externer DSB muss von jeder Niederlassung aus erreichbar sein |