Fachbeiträge & Kommentare zu Datenschutzbeauftragter

Gemäß Art. 38 Abs. 1 DSGVO muss der Verantwortliche sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Im Rahmen der Einführung und Nutzung digitaler Systeme stellt der Datenschutzbeauftragte sicher, dass die Maßnahmen rechtskonform, verhältnismäßig und transpar...mehr

Rn. 127a Stand: EL 177 – ET: 12/2024 Bei den nachfolgend alphabetisch geordneten Einzelfällen aus der Rspr geht es bei der Prüfung der Frage, ob ein Gewerbebetrieb mit GewStPfl (bei Gewerbeertrag über EUR 24 500) und Kammerzugehörigkeit in einer IHK vorliegt – dazu grundsätzlich s Rn 3 –, insb um die Abgrenzung gegenübermehr

Gemäß Art. 39 DSGVO ist der Datenschutzbeauftragte zuständig für die Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten; Überwachung der Einhaltung der DSGVO und anderer Dat...mehr

Rechtsgrundlagen sind die EU-Datenschutzgrundverordnung (EU-DSGVO) 2016/679, welche unmittelbar gilt, und das Bundesdatenschutzgesetz (BDSG), welches auf nationaler Ebene die Erfordernisse der EU-DSGVO umsetzt und diese ergänzt. Entsprechend der §§ 5 – 7 BDSG benennen öffentliche Stellen einen Datenschutzbeauftragten. Bei nicht öffentlichen Stellen benennen der Verantwortlich...mehr

Betriebsbeauftragte können im Rahmen der arbeitsschutzrechtlichen Vorschriften – insbesondere des ArbSchG sowie nach den Verordnungen zum ArbSchG – bestellt werden. Im Bereich des Arbeitsschutzes ist die Bestellung von Beauftragten unter den jeweils genannten Voraussetzungen regelmäßig zwingend vorgeschrieben. Betriebsbeauftragte, die nach dem ArbSchG bzw. aufgrund der zugehö...mehr

Der Gewerbesteuer unterliegt jeder stehende Gewerbebetrieb, soweit er im Inland betrieben wird. Maßgebend für den Begriff der im Inland betriebenen Betriebsstätte (§ 2 Abs. 1 Satz 3 GewStG) ist das innerstaatliche Recht[1] und damit § 12 AO. Die Gewerbesteuer knüpft insoweit an die einkommensteuerliche Definition der gewerblichen Tätigkeit an, d. h. gewerbesteuerpflichtiger ...mehr

Immer wieder übersehen Unternehmen, dass sie möglicherweise verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu bestellen, der auf die Einhaltung der Datenschutzvorschriften hinwirkt. Dieser Verstoß kann mit einem Bußgeld von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangene...mehr

Die Verantwortung für den Datenschutz im Unternehmen kann bei unterschiedlichen Gruppen liegen. Infrage kommen hier der oder die Geschäftsführer, die Mitarbeitenden sowie ggf. ein Datenschutzbeauftragter. Geschäftsführer sind grundsätzlich für alle Belange des Unternehmens verantwortlich, damit auch für den Bereich des Datenschutzes, d. h. die Einrichtung personeller, organis...mehr

Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, bleibt der Verantwortliche für die Einhaltung der DSGVO verantwortlich. Bei Cloud- und sonstigen Datenverarbeitungsdiensten ist zusätzlich zu prüfen, ob der Anbieter als "Datenverarbeitungsdienst" nach EU Data Act (Art. 2, 28–30) sowie als "wichtiger" oder "wesentl...mehr

In Organisationen, die Daten aus vernetzten Produkten oder Datenverarbeitungsdiensten nutzen oder bereitstellen, wirkt der Datenschutzbeauftragte bei der Abgrenzung von datenschutzrechtlichen Anforderungen (DSGVO/BDSG) und den Pflichten zur Datenbereitstellung, Portabilität und Datennutzung nach EU Data Act (z. B. Art. 5–8, 28–30) mit. Er berät insbesondere zur Wahrung von Zw...mehr

Überblick Jedes größere Unternehmen und jede Behörde muss laut Art. 37 der DSGVO einen Datenschutzbeauftragten bestellen. Nach § 38 BDSG besteht in Deutschland eine Benennungspflicht insbesondere dann, wenn in einem Unternehmen oder einer Behörde i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder wenn Ve...mehr

Betriebliche und behördliche Datenschutzbeauftragte gibt es seit dem Jahr 1978, als die erste Fassung des Bundesdatenschutzgesetzes in Kraft trat. Seitdem haben sich die Voraussetzungen und Aufgaben des Beauftragten gewandelt. 1995 traf die Europäische Gemeinschaft erstmals Regelungen zum Datenschutz in öffentlichen und nicht-öffentlichen Stellen. In der Richtlinie 95/46/EG w...mehr

Unter der EU-Datenschutz-Grundverordnung richten sich Benennung, Stellung und Aufgaben Datenschutzbeauftragter nach den Art. 37, 38 und 39 DSGVO. Für öffentliche Stellen in Deutschland gilt zusätzlich das BDSG. Darin werden die Öffnungsklauseln genutzt, welche die DSGVO einräumt. Das bedeutet, dass das BDSG Lücken der DSGVO schließt und sie für landesspezifische Anwendungsfä...mehr

Bestimmte Arbeitgeber bzw. Unternehmen sind gesetzlich verpflichtet, einen betrieblichen (internen) oder einen externen Datenschutzbeauftragten zu bestellen. Übernimmt diese Aufgaben ein extern bestellter Datenschutzbeauftragter, der u. a. auch noch für andere Unternehmen selbstständig tätig ist, erzielt dieser gewerbliche Einkünfte. Seine berufsbildtypische Tätigkeit entspr...mehr

Rz. 272 Sind in einer Kanzlei mehr als zehn Personen mit der Datenverarbeitung beschäftigt, so ist zwingend ein betrieblicher Datenschutzbeauftragter nach Art. 37 Abs. 4 DSGVO i.V.m. § 38 BDSG-neu zu bestellen. Hierbei ist zu beachten, dass es auf die Kopfzahl der Personen ankommt und sowohl die Kanzleiinhaber als auch die Angestellten und freien Mitarbeiter "als eine Person...mehr

Rz. 533 Nach § 38 Abs. 1 BDSG ist ein Datenschutzbeauftragter zu bestellen, wenn der Arbeitgeber in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Nach § 38 Abs. 2 i.V.m. § 6 Abs. 4 BDSG ist die Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB zulässig. Die Kündigung des A...mehr

Rz. 9 Es gibt unterschiedlich lange Verschwiegenheitsverpflichtungserklärungen, die alle ihren Zweck erfüllen. Die meisten Rechtsanwaltskammern haben entsprechende Formulare auf ihren Seiten ins Netz gestellt. Die Verschwiegenheitsverpflichtungserklärung der Bundesrechtsanwaltskammer finden Sie auf der Homepage www.recht-clever.info/wp-content/uploads/2021/04/Verschwiegenhei...mehr

Die Einsatzstellen, Zentralstellen und Träger dürfen personenbezogene Daten i.S.v. § 8 Abs. 1 Satz 2 BFDG gemäß § 12 BFDG verarbeiten, soweit dies für die Durchführung des Bundesfreiwilligendienstes nach dem BFDG erforderlich ist. Die Daten sind nach der Abwicklung des Dienstes zu löschen.[1] Aus der Logik der Vorschrift ergibt sich, dass die Einsatzstellen bereits im Vorfel...mehr

Der Steuerberater als Inhaber der Kanzlei selbst darf sich nach dem Gesetz nicht zum Datenschutzbeauftragten bestellen (Interessenkollision; Art. 38 Abs. 3 DSGVO). Aus Gründen der Gefahr der fehlenden Objektivität darf auch nicht der für die EDV verantwortliche Mitarbeiter Datenschutzbeauftragter werden. Datenschutzbeauftragter kann sowohl ein Mitarbeiter der Steuerberatungska...mehr

Der Datenschutzbeauftragte ist der Geschäftsführung unmittelbar unterstellt. Er ist aber in der Wahrnehmung seiner Aufgaben weisungsfrei. Sinn und Zweck des Datenschutzbeauftragten ist es, die Personen, die hinter den Daten stehen, zu schützen. Er ist daher überwiegend beratend tätig, nimmt dem Kanzleiinhaber also nicht dessen Verantwortung ab. Der Datenschutzbeauftragte ist...mehr

Ein Steuerberater, der i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung (Erhebung, Verarbeitung oder Nutzung) personenbezogener Daten beschäftigt, muss dafür sorgen, dass ein Datenschutzbeauftragter (s. Tz. 3) benannt wird (Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 BDSG). Maßgeblich ist die Möglichkeit der Datenverarbeitung, nicht der Umfang der tatsächli...mehr

Der Verantwortliche muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird, so auch bei Maßnahmen zur Überwachung.[1]mehr

Als Konkretisierung der allgemeinen Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO statuiert Art. 33 Abs. 5 DSGVO die Dokumentation im Falle von Schutzverletzungen. Eine sorgfältige Dokumentation ist wichtig, um die Rechenschaftspflicht zu erfüllen und bei Audits oder Anfragen der Aufsichtsbehörde Nachweise erbringen zu können. Im Gegensatz zur Meldepflicht, wird die Dokumenta...mehr

§ 3 Abs. 5 TVöD bzw. § 3 Abs. 6 TV-L regeln das Recht zur Einsichtnahme durch den Beschäftigten bzw. eine durch den Beschäftigten bevollmächtigte Person. Regelungen zur Einsichtnahme durch Dritte ohne Zustimmung des Beschäftigten sind in den Tarifverträgen nicht enthalten. Der Arbeitgeber darf Daten aus Personalakten seiner Beschäftigten nur unter den strengen Voraussetzunge...mehr

Hat die Risikoprognose ergeben, dass ein Risiko besteht, stellt sich die Frage nach Inhalt und Form der Meldung und Benachrichtigung. Die Meldung gegenüber der Aufsichtsbehörde muss dabei die folgenden Punkte umfassen: Beschreibung der Art der Verletzung (z. B. Datenverlust) Kategorien von Betroffenen (z. B. Mitarbeiter, Kunden, Lieferanten) (Ungefähre) Anzahl der Betroffenen, ...mehr

Tz. 38 Stand: EL 146 – ET: 12/2025 Steuerbegünstigte Körperschaften, die Zuschüsse der öffentlichen Hand (Bund, Länder, Gemeinden, Landesverbänden, z. B. dem DSB u. a.) erhalten, müssen ihren Zuschussgebern i.d. Regel ihre Anerkennung als steuerbegünstigte (gemeinnützige) Einrichtung nachweisen. Daher ist auf Antrag für jeden Veranlagungszeitraum (jedes Jahr) nach Überprüfung...mehr

mehr

Rz. 39 Bei einer Ernennung muss zwischen den Positionen eines internen Datenschutzbeauftragten und eines externen Datenschutzbeauftragten unterschieden werden. Rz. 40 Der externe Datenschutzbeauftragte sollte auf Grundlage eines Dienstleistungsvertrags beauftragt werden. Diese Vereinbarung kann grundsätzlich auch mit einem Unternehmen abgeschlossen werden, das dann für den Ve...mehr

Rz. 27 Der Geschäftsführer des Unternehmens wünscht eine Beratung, ob für sein Unternehmen ein Datenschutzbeauftragter zu benennen ist und wie diese Ernennung zu erfolgen hat.mehr

Rz. 109 Sofern ein Datenschutzbeauftragter bestellt ist, sind dessen Kontaktdaten (Adresse, E-Mail-Adresse) anzugeben. Der Name des Datenschutzbeauftragten muss hingegen nicht genannt werden.mehr

mehr

mehr

Rz. 28 Vorab ist ein oft anzutreffendes Missverständnis im Zusammenhang mit der Pflicht zur Benennung eine Datenschutzbeauftragen aufzuklären. Diese Pflicht zur Bestellung eines Datenschutzbeauftragten besteht unabhängig von den Pflichten eines jeden Verantwortlichen zur Einhaltung aller datenschutzrechtlichen Bestimmungen bei der Verarbeitung personenbezogener Daten (Art. 5...mehr

Rz. 33 Zum Datenschutzbeauftragten kann nur bestellt werden, wer fachlich und charakterlich in der Lage ist, die in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Hierzu gehören die Unterrichtung des Verantwortlichen hinsichtlich der Pflichten nach der DSGVO bzw. dem BDSG, die Überwachung der Einhaltung von Datenschutzbestimmungen sowie eine Beratung im Hinblick auf die Daten...mehr

Rz. 23 Muster in Ihr Textverarbeitungsprogramm übernehmen Muster 12.1: Richtlinie zum Datenschutz Organisationsanweisung Datenschutz der _________________________ [Firma, Rechtsform] Adressat: _________________________ Datum: _________________________ Datenschutzrichtlinie der _________________________ – Organisationsanweisung Datenschutz Änderungshistoriemehr

Zur Sicherstellung der rechtlich und digital-ethisch geforderten menschlichen Aufsicht bietet sich, abhängig von der Unternehmensgröße, die neu zu schaffende Rolle eines Human in the Loop Supervisors ("HILS") an. Für kleine und mittlere Unternehmen (KMU) muss dies nicht zwingend eine neu geschaffene Vollzeitstelle sein. Die Verantwortung kann auch gebündelt und einer bestehe...mehr

Die früher primär im BDSG gewährten Auskunfts-, Kontroll- und Korrekturrechte des Arbeitnehmers sind durch die Regelungen der DSGVO teils abgelöst worden. Das BDSG enthält dazu jedoch in den §§ 55 ff. BDSG ergänzende Regelungen, sodass hier beide Gesetze beachtet werden müssen. Informations- und Auskunftsrechte des Arbeitnehmers Die DSGVO gewährt umfassende Informationsrechte ...mehr

Möchte das Unternehmen tatsächlich Gesundheitsdaten seiner Mitarbeiter verwenden, muss eine rechtliche Grundlage dafür vorhanden sein. Da hier die Erfassung der Gesundheitsdaten nicht als "erforderlich" i. S. d. § 26 BDSG anzusehen sein wird, scheidet eine gesetzliche Rechtsgrundlage für die Verarbeitung aus. Eine Verarbeitung ist nur mit wirksamer Einwilligung der Beschäfti...mehr

§ 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG regelt den besonderen Kündigungsschutz für den betrieblich bestellten Datenschutzbeauftragten (DSB), sofern die Bestellung eines DSB verpflichtend ist.[1] Dieser darf hiernach während der Zeit seiner Bestellung und noch ein Jahr nach seiner Abberufung nicht gekündigt werden. Einzige Ausnahme ist das Vorliegen von Gründen für eine außerord...mehr

Rz. 1 Mit Erlass der – in den EU-Mitgliedstaaten ab dem 25.5.2018 unmittelbar geltenden (Art. 288 Abs. 2 AEUV) – DSGVO [1] finden sich die – früher in §§ 4f, 4g BDSG a. F. enthaltenen – Regelungen zum Datenschutzbeauftragten in Art. 37 bis 39 DSGVO . Sie werden durch die – auf Grundlage des Art. 37 Abs. 4 Satz 1 Halbsatz 2, 38 Abs. 5 DSGVO erlassenen – Regelungen für nicht öff...mehr

Rz. 35 Die Beendigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch außerordentliche Kündigung ist nur in Ausnahmefällen zulässig. Als wichtiger Grund zur Beendigung des Arbeitsverhältnisses insgesamt kommen insbesondere verhaltens- und personenbedingte Kündigungsgründe in Betracht. Sie können arbeitsvertragsbezogen oder amtsbezogen sein.[1] Unabhängig von der T...mehr

Rz. 21 Die Bestellung kann wirksam widerrufen werden, ohne dass im selben Rechtsakt das Grundverhältnis (Arbeitsverhältnis oder Dienst-/Geschäftsbesorgungsvertrag) beendet oder das aus dem Grundverhältnis folgende schuldrechtliche Pflichtenprogramm angepasst wird. Dies entspricht der im Gesetzeswortlaut angelegten Trennungstheorie (s. Rz. 10). Dennoch kommt das BAG im Ergebn...mehr

Rz. 26 Bereits aus dem Wortlaut ("Kündigung des Arbeitsverhältnisses") folgt, dass der besondere Kündigungsschutz nach § 38 Abs. 2 i. V. m. § 6 Abs. 4 Sätze 2 und 3 BDSG nur für den internen und nicht den externen Datenschutzbeauftragten gilt.[1] Die Regelungen finden auch Anwendung, wenn der Datenschutzbeauftragte zunächst als Externer bestellt wird und dann ein Arbeitsverh...mehr

Rz. 10 Anders als nach früherem Recht (§ 4f Abs. 1 Satz 1 BDSG a. F.) ist die – auch befristet mögliche[1] – Bestellung des internen oder externen Datenschutzbeauftragten formfrei und bedarf insbesondere nicht der Schriftform des § 126 BGB. Art. 37 Abs. 7 DSGVO bestimmt lediglich, dass der Verantwortliche und der Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragt...mehr

Rz. 15 Das Arbeitgeberunternehmen kann die Bestellung des Datenschutzbeauftragten analog § 626 BGB widerrufen, wenn ein wichtiger Grund vorliegt (§ 6 Abs. 4 Satz 1 BDSG); dies gilt nach § 38 Abs. 2 BDSG bei nicht öffentlichen Stellen (wie Privatunternehmen) aber nur, wenn die Benennung eines Datenschutzbeauftragten verpflichtend ist (nach Art. 37 Abs. 1 DSGVO bzw. Art. 37 Ab...mehr

Rz. 20 Der Widerruf der Bestellung, d. h. die Abberufung als Datenschutzbeauftragter ist ebenso wie der actus contrarius (die Bestellung) formfrei.[1] In formeller Hinsicht ist außerdem die 2-wöchige Erklärungsfrist ab Kenntnis der widerrufsberechtigten Person von dem wichtigen Grund (§§ 38 Abs. 2, 6 Abs. 4 Satz 1 BDSG i. V. m. § 626 Abs. 2 BGB) zu beachten.mehr

Rz. 24 § 38 Abs. 2 i. V. m. § 6 Abs. 4 Sätze 2 und 3 BDSG (vgl. § 4f Abs. 3 Sätze 5 und 6 BDSG a. F.) regelt einen besonderen Kündigungsschutz für den internen Datenschutzbeauftragten entsprechend den Regelungen zum Kündigungsschutz vergleichbarer betrieblicher Beauftragter (vgl. Rz. 8). Das Arbeitsverhältnis des internen Datenschutzbeauftragten kann während des Bestehens de...mehr

Rz. 33 In zeitlicher Hinsicht gilt der besondere Kündigungsschutz des internen Datenschutzbeauftragten von seiner gesetzlich vorgesehenen Bestellung bis ein Jahr nach dem Ende seines Amtes (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 Sätze 2 und 3 BDSG). Für das Eingreifen des Sonderkündigungsschutzes ist es ohne Bedeutung, dass die Kündigung während der Probezeit bzw. Wartezeit von 6 M...mehr

Rz. 37 Im Hinblick auf die Beendigung der arbeitsvertraglichen Rechte und Pflichten des internen Datenschutzbeauftragten liegt ein wichtiger Grund für die Änderungskündigung z. B. dann vor, wenn der Datenschutzbeauftragte die gesetzlichen Voraussetzungen der Fachkunde oder Zuverlässigkeit nicht mehr erfüllt (vgl. Rz. 3). Das ergibt sich aus der gesetzlichen Wertung der Art. ...mehr

In besonderen Fällen haben Arbeitnehmer einen besonderen Kündigungsschutz . Dies kann u. a. der Fall sein, wenn sie Mitglied des Betriebsrats sind, wenn familiäre Gründe vorliegen (Mutterschutz, Elternzeit, Pflegezeit), wenn sie ein besonderes Amt bekleiden (z. B. Datenschutzbeauftragter). Neben den hier beispielhaft genannten Fällen, gibt es zahlreiche weitere Situationen mi...mehr