Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 12/25

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil

Datenschutzbeauftragte

Der oder die Datenschutzbeauftragte (DSB) ist eine Person, die der Selbstkontrolle bei Stellen dient, die personenbezogene Daten verarbeiten (d.h. bei Verantwortlichen und Auftragsverarbeitern).

Er oder sie hat dort die Aufgabe,

  • die Einhaltung der Datenschutzvorschriften zu überwachen,
  • die Beteiligten über ihre Pflichten zu unterrichten und sie zu beraten sowie
  • mit der Datenschutz-Aufsichtsbehörde zusammenzuarbeiten und als deren Anlaufstelle zu dienen.

➜ Mehr zu Datenschutzbeauftragten

Identitätsdiebstahl analog: Post statt Phishing

DP+
Identitätsdiebstahl kann nicht nur Privatpersonen treffen, sondern auch Unternehmen. Dies ebnet den Weg für unterschiedliche Betrugsmaschen.
Bild: iStock.com/hh5800
Günstige Baumaschinen nach Insolvenz
Identitätsdiebstahl analog: Post statt Phishing

Unternehmen sensibilisieren ihre Mitarbeitenden regelmäßig, um digitale Betrugsmaschen wie Phishing-Versuche zu verhindern. Doch die Betrüger sind kreativ – und wissen sich das Vertrauen in gedruckte Korrespondenzen zunutze zu machen, wie ein reales Beispiel zeigt.

Praxisbericht
21. Oktober 2025

Stand der Bedrohungslage und Schutzmaßnahmen

DP+
Cyberangriffe sind inzwischen Alltag. Deshalb sind angemessene Schutzmaßnahmen dringend geboten. Diese fordert nicht zuletzt auch die DSGVO.
Bild: iStock.com/dem10
Cyberrisiken bewerten und in den Griff bekommen
Stand der Bedrohungslage und Schutzmaßnahmen

Nach wie vor gehören Cyberangriffe zu den größten Risiken für Unternehmen und öffentliche Stellen in Deutschland. Oft zielen sie auf die Datenbestände. Die bayerische Datenschutzaufsicht hat deshalb nun eine Checkliste von Abwehrmaßnahmen erstellt.

Hintergrund
20. Oktober 2025

IDACON 2025 Preview | Podcast Folge 67

IDACON 2025 Preview | Podcast Folge 67
Im Gespräch mit Dr. Eugen Ehmann
IDACON 2025 Preview | Podcast Folge 67

Massenklagen auf Schadensersatz, Künstliche Intelligenz als Risiko und Chance, das digitale Regelwerk der EU, transatlantische Unsicherheiten beim Datentransfer und die Datenverarbeitung im Arbeitsverhältnis – die Themen der IDACON 2025 treffen den Nerv der Zeit. Warum sich Datenschutzbeauftragte diesen Kongress nicht entgehen lassen sollten und welche Highlights auf sie warten, verrät Dr. Eugen Ehmann, Datenschutz-Experte und Kongressleiter.

Podcast
13. Oktober 2025

DeepSeek | Podcast Folge 66

DeepSeek | Podcast Folge 66
Podcast
DeepSeek | Podcast Folge 66

Der Podcast fragt nach – diesmal bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Meike Kamp. Fokus des Gespräches: die KI-Anwendung DeepSeek. Kamp hatte diese wegen rechtswidriger Inhalte bei Google und Apple gemeldet.

Podcast
6. Oktober 2025

Der Schlüssel zur Vertraulichkeit

DP+
Ist die Cloud Bestandteil der digitalen Lieferkette eines Unternehmens, dann sind neben Verschlüsselung weitere Datensicherheitsmaßnahmen wie Data Vaults oder Confidential Computing angeraten
Bild: iStock.com/blackdovfx
Datensicherheit in der Lieferkette (Teil 4)
Der Schlüssel zur Vertraulichkeit

Vertrauliche Informationen sind innerhalb und außerhalb einer Lieferkette zu schützen. Das gilt insbesondere bei der Nutzung von Cloud Computing, wo auch ein Schutz vor Zugriffen des Cloud-Providers gegeben sein muss. Das Schlüsselmanagement spielt dabei eine entscheidende Rolle.

Ratgeber
29. September 2025

Datenschutz in der Lieferkette: Worauf es bei Verschlüsselung ankommt

DP+
Checkliste
Datenschutz in der Lieferkette: Worauf es bei Verschlüsselung ankommt

Sensible Daten sicher schützen: Entdecken Sie unsere praxisnahe Checkliste zur zusätzlichen Datenschutz-Prüfung von Verschlüsselung und Schlüsselmanagement bei Lieferanten – kompakt, verständlich und sofort nutzbar.

Download
29. September 2025

Auswertung von Kundendaten im Webshop

DP+
Datenverarbeitungen müssen bei einem Webshop auf einem klar erkennbaren datenschutzrechtlichen Konzept beruhen
Bild: iStock.com/William_Potter
Datenschutzrechtliche Pflichten und Beanstandungsrisiken
Auswertung von Kundendaten im Webshop

Webshops verarbeiten viele personenbezogene Daten, vor allem im Rahmen von Bestellungen. Unternehmen möchten die so erhobenen Daten oftmals zusätzlich für Auswertungszwecke nutzen, z.B. um ihr Angebot zu verbessern. Was haben sie dabei datenschutzrechtlich zu beachten?

Ratgeber
26. September 2025

Datenschutzrechtliche Anforderungen an das KI-Training

DP+
Insbesondere in der Verwaltung bestehen hohe Datenschutzhürden für den KI-Einsatz, nicht zuletzt weil oft sensible Daten betroffen sind
Bild: iStock.com/NanoStock
Künstliche Intelligenz (KI), DSGVO und KI-VO
Datenschutzrechtliche Anforderungen an das KI-Training

KI findet in verschiedensten Bereichen zunehmend Verbreitung. Sofern hierbei personenbezogene Daten verarbeitet werden, sind die Vorgaben der DSGVO unmittelbar anzuwenden. Unklar sind dabei oft die rechtlichen Anforderungen, die sich aus der DSGVO für das Training von KI-Systemen ergeben.

Analyse
25. September 2025

Die menschliche Stimme und der Datenschutz in Zeiten von KI

DP+
Bei der KI-gestützten Verwendung aufgezeichneter menschlicher Stimmen ist es im Hinblick auf DSGVO und AI Act unerlässlich, die Betroffenenrechte zu wahren
Bild: iStock.com/D-Keine
Vox ex machina
Die menschliche Stimme und der Datenschutz in Zeiten von KI

Die rasante Entwicklung der künstlichen Intelligenz (KI) hat nicht nur ermöglicht, generative Bilder und Texte zu erstellen. Zudem lassen sich menschliche Stimmen präzise imitieren. Der Tonfall und Ausdruck einer Person dienen dabei potenziell als Handelsware, um Audio- und Videoinhalte zu generieren.

Ratgeber
23. September 2025

Beratungspflichten von Datenschutzbeauftragten (DSB): Das müssen Sie wissen

Datenschutzbeauftragte haben die Aufgabe nach DSVO, zu beraten und zu überwachen
Bild: iStock.com / izusek
Aufgaben von DSB
Beratungspflichten von Datenschutzbeauftragten (DSB): Das müssen Sie wissen

Zu den Aufgaben von Datenschutzbeauftragten nach der DSGVO zählt, den Verantwortlichen oder Auftragsverarbeiter sowie die Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Datenschutz-Pflichten zu unterrichten und zu beraten. Was bedeutet das konkret?

Hintergrund
22. September 2025
2 von 35
2 von 35

Behörden und öffentliche Stellen müssen grundsätzlich einen Datenschutzbeauftragten benennen. Für nicht-öffentliche Stellen (Wirtschaftsunternehmen) besteht diese Pflicht vor allem, wenn sie risikobasierte Tätigkeiten ausüben oder wenn sie (das gilt nur in Deutschland) mindestens 20 Personen mit der Verarbeitung von personenbezogenen Daten beschäftigen. Diese Schwelle wurde mit der BDSG-Novelle 2019 von ursprünglich zehn Personen verdoppelt.

Muss kein Datenschutzbeauftragter bestellt sein oder ist keiner bestellt, ist die Geschäftsleitung selbst dafür verantwortlich, die Einhaltung sämtlicher Datenschutzvorschriften zu überwachen.

Gesetze und Vorschriften zum Datenschutzbeauftragten

  • Art. 37 DSGVO (Benennung eines Datenschutzbeauftragten durch Behörden und öffentliche Stellen sowie in bestimmten Fällen durch nicht-öffentliche Stellen) mit Erwägungsgrund 97 der Datenshcutz-Grundverordnung (DSGVO)
  • Art. 38 DSGVO (Stellung des Datenschutzbeauftragten)
  • Art. 39 DSGVO (Aufgaben des Datenschutzbeauftragten)
  • §§ 5, 6 und 7 BDSG (in Deutschland für öffentliche Stellen des Bundes: Benennung, Stellung und Aufgaben eines Datenschutzbeauftragten)
  • § 38 BDSG (Benennung eines Datenschutzbeauftragten durch nicht-öffentliche Stellen in Deutschland)

Pflicht zur Benennung

Behörden und öffentliche Stellen müssen grundsätzlich einen Datenschutzbeauftragten / eine Datenschutzbeauftragte benennen (mit Ausnahme von Gerichten, soweit es deren justizielle Tätigkeiten betrifft). Dies steht in Art. 37 Abs. 1 Buchstabe a DSGVO. Für Deutschland ergibt sich das inhaltsgleich auch aus § 5 Abs. 1 BDSG.

Nicht-öffentliche Stellen, das heißt Wirtschaftsunternehmen und Personenvereinigungen des privaten Rechts (z.B. GmbH, Gewerbetreibende, Selbstständige oder Vereine) innerhalb der EU müssen dann einen DSB ernennen (gemäß Art. 37 Abs. 1 Buchstabe b und c DSGVO), wenn ihre Kerntätigkeit in einer umfangreichen Verarbeitung besteht

  • von personenbezogenen Daten, die eine regelmäßige und systematische Überwachung von Personen erfordert (Beispiel: „Big-Data“-Auswertungen) oder
  • von besonderen Kategorien personenbezogener Daten (im Sinne von Art. 9 DSGVO) oder von strafrechtlichen Verurteilungen und Straftaten (im Sinne von Art. 10 DSGVO).

In Deutschland sind die Voraussetzungen niedriger (§ 38 BDSG; gemäß der Öffnungsklausel in Art. 37 Abs. 4 DSGVO). Nicht-öffentliche Stellen müssen bereits dann Datenschutzbeauftragte benennen, wenn sie

  • in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder
  • eine Datenschutz-Folgenabschätzung durchführen müssen oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Auch auf freiwilliger Basis möglich

Aber auch wenn diese Voraussetzungen nicht vorliegen, kann es sinnvoll sein, auf freiwilliger Basis einen Datenschutzbeauftragten oder eine Datenschutzbeauftragte zu benennen. Denn die DSGVO stellt umfangreiche und vielfältige Aufgaben, die eine zentrale Stelle besser koordinieren kann. Das hilft  dabei, Risiken und Geldbußen zu minimieren.

Hat ein Unternehmen einen Datenschutzbeauftragten ernannt, muss es  seine Kontaktdaten veröffentlichen und der Aufsichtsbehörde mitteilen (Art. 37 Abs. 7 DSGVO).

Zuständigkeit für mehrere Verantwortliche

Behörden oder öffentliche Stellen dürfen einen gemeinsamen Datenschutzbeauftragten benennen.

Unternehmensgruppen (Konzernen) dürfen ebenfalls einen gemeinsamen DSB benennen, wenn und soweit er sich von jeder Niederlassung aus leicht erreichen lässt. Damit ist nicht nur die persönliche Präsenz, sondern es sind auch sprachliche Barrieren gemeint.

Es ist ebenfalls zulässig, eine Person außerhalb des Unternehmens oder der Behörde zum Beauftragten zu ernennen (Art. 37 Abs. 6 DSGVO), beispielsweise einen Mitarbeiter eines anderen Konzernunternehmens oder einen spezialisierten Dienstleister (externe Datenschutzbeauftragte).

Qualifikation von  Datenschutzbeauftragten

Zum / zur Datenschutzbeauftragten darf nur benannt werden, wer die folgenden Voraussetzungen erfüllt (Art. 37 Abs. 5 DSGVO):

Berufliche Qualifikation

Insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis: Es muss sichergestellt sein, dass der / die Beauftragte ein entsprechendes Fachwissen besitzt. Wie er es erwirbt, ist nicht festgelegt – es gibt keine einheitlichen Ausbildungsstandards und keinen besonderen Ausbildungsgang. Bestandteile der beruflichen Qualifikation sollten Kenntnisse sein in

  • Recht (vor allem Datenschutzrecht),
  • Technik (Umgang mit, Verwendung von und Schutz von personenbezogenen Daten in der IT) sowie
  • Organisation (z.B. Entscheidungsabläufe und Entscheidungsstrukturen).

Nach der Benennung muss der DSB sein Wissen auf einem aktuellen Stand halten, beispielsweise durch Seminare, Fachliteratur oder Internetrecherchen. Die berufliche Qualifikation sollten Datenschutzbeauftragte nachweisen können, etwa durch Zeugnisse und Zertifikate. Die Kosten, die durch eine Aus- oder Weiterbildung entstehen, muss der Arbeitgeber tragen (Art. 38 Abs. 2 DSGVO).

Fähigkeit, die gesetzlichen Aufgaben zu erfüllen

Die Aufgaben von Datenschutzbeauftragten sind in Art. 39 DSGVO niedergelegt. DSB müssensoziale Kompetenz und Kommunikationsfähigkeit besitzen, um den Überwachungs- und Kommunikationsaufgaben nachkommen zu können.

Dazu zählt auch, dass sie keinen Interessenkonflikten ausgesetzt sein dürfen – der Kontrollierte darf nicht zum Kontrolleur werden (vgl. auch Art. 38 Abs. 6 DSGVO). Nicht als Datenschutzbeauftragte geeignet sind somit Geschäftsführer, IT-Leiter, Personalleiter sowie andere leitende Mitarbeiter.

Die Tiefe der Kenntnisse kann je nach Tätigkeitsbereichen des Verantwortlichen variieren. So muss beispielsweise der Datenschutzbeauftragte in einem Krankenhaus eine andere Mindestqualifikation besitzen als die Datenschutzbeauftragte in einem Maschinenbau-Unternehmen.

Aufgaben von Datenschutzbeauftragten

Die Aufgaben von Datenschutzbeauftragten schreibt Art. 39 DSGVO fest. Demnach besitzen sie die folgenden Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters sowie derjenigen Beschäftigten, die Verarbeitungen durchführen, über die Datenschutzvorschriften
  • Überwachung der Einhaltung der Datenschutzvorschriften, einschließlich der Überprüfung, ob Zuständigkeiten ordnungsgemäß geklärt sind und ob die Mitarbeiter im Datenschutz geschult und sensibilisiert sind. (Die Schulung selbst müssen Datenschutzbeauftragte nicht unbedingt selber durchführen.)
  • bei Datenschutz-Folgenabschätzungen: Beratung und Überwachung
  • Zusammenarbeit mit Aufsichtsbehörden
  • Anlaufstelle für Aufsichtsbehörden

Riskobasierten Ansatz beachten!

Bei all diesen Aufgaben müssen Datenschutzbeauftragte einen risikobasierten Ansatz wählen (Art. 39 Abs. 2 DSGVO): Je größer das Risiko eines Datenschutzverstoßes ist, desto schneller und tiefgreifender müssen sie tätig werden.

Darüber hinaus dienen DSB als Anlaufstelle für betroffene Personen, die sich mit Fragen zu den Datenverarbeitungen und ihren Rechten an sie wenden dürfen (Art. 38 Abs. 4 DSGVO).

Stellung der Datenschutzbeauftragten

Datenschutzbeauftragte sind ordnungsgemäß und frühzeitig in alle Fragen einzubeziehen, die den Schutz von personenbezogenen Daten betreffen (Art. 38 Abs. 1 DSGVO).

Weisungsfrei, Benachteiligungsverbot

Bei der Erfüllung ihrer Aufgaben sind sie weisungsfrei – eine Beeinflussung von außen über das „Ob“ und das „Wie“ ihres Tätigwerdens ist nicht zulässig.

Wegen der Erfüllung ihrer Aufgaben dürfen sie nicht benachteiligt werden. Deshalb besitzen DSB einen Schutz vor Benachteiligungen; der Arbeitgeber kann ihnen nur erschwert kündigen (Art. 38 Abs. 3 DSGVO sowie § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 BDSG).

Ihre Erkenntnisse und Mitteilungen berichten sie unmittelbar der höchsten Management-Ebene (Art. 38 Abs. 3 DSGVO), also z.B. dem Geschäftsführer oder dem Vorstand.

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.