39 Dsgvo Deine Pflichten

EXTERN 3 Wochen ago DSGVO und Gesetzgebung Leave a comment 2 Views

„`html

39 DSGVO: Deine Pflichten als Datenschutzbeauftragter

Einführung: Warum dieser Artikel relevant ist

Ich bin seit über 10 Jahren als externer Datenschutzbeauftragter für mittelständische Unternehmen tätig, mit Schwerpunkt auf den praktischen Anforderungen der DSGVO-Umsetzung. In diesem Artikel zeige ich detailliert und praxisnah, welche konkreten Pflichten sich aus Art. 39 DSGVO ergeben – mit Fokus auf Umsetzbarkeit, rechtlicher Tiefe und operativer Relevanz für Datenschutzbeauftragte in Unternehmen.

Rechtsgrundlage: Art. 39 DSGVO im Wortlaut

Art. 39 DSGVO beschreibt die Aufgaben des Datenschutzbeauftragten. Die zentrale Vorschrift lautet:

„Der Datenschutzbeauftragte hat insbesondere folgende Aufgaben:

1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung […]

2. Überwachung der Einhaltung dieser Verordnung […]“.

Die Vorschrift ist bewusst offen formuliert. Das bedeutet nicht Beliebigkeit, sondern verlangt eine präzise, verantwortungsvolle Auslegung und Umsetzung im jeweiligen Unternehmenskontext.

Pflicht 1: Beratung und Unterrichtung

Inhaltliche Anforderungen

Diese Pflicht umfasst weit mehr als gelegentliche Schulungen. Datenschutzbeauftragte müssen aktiv und kontinuierlich über rechtliche Änderungen, neue Urteile, technische Entwicklungen und organisatorische Maßnahmen informieren.

Typische Praxisfragen

  • Wie häufig müssen Mitarbeiterschulungen durchgeführt werden?
  • Wie dokumentiert man Unterrichtungen rechtssicher?
  • Wie informiert man Führungskräfte zielgruppengerecht?

Best Practice

Wir empfehlen quartalsweise Kurzbriefings, jährliche Schulungen und eine dokumentierte FAQ-Sammlung im Intranet. Besonders wirksam ist es, datenschutzrechtliche Folgen direkt in Change-Management-Prozesse zu integrieren.

Pflicht 2: Überwachung der Einhaltung

Was heißt „Überwachung“ konkret?

Der DSB ist kein interner Auditor – aber auch kein zahnloser Tiger. Seine Überwachungsaufgabe bedeutet, systematisch zu prüfen, ob Prozesse, Systeme und Datenverarbeitungen DSGVO-konform laufen. Dies umfasst insbesondere:

  • Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
  • Technische und organisatorische Maßnahmen nach Art. 32 DSGVO
  • Verträge zur Auftragsverarbeitung (Art. 28 DSGVO)
  • Umgang mit Betroffenenrechten (Art. 12–22 DSGVO)

Tools & Methoden

Praxisbewährte Ansätze sind:

  • Jährlicher DSGVO-Audit-Check
  • Risikoanalysen anhand von TOM-Scoring
  • Verarbeitungskarten als visuelle Übersicht

Viele DSB setzen hier auf Lösungen wie verinice oder OneTrust, die strukturierte Überprüfungen ermöglichen.

Pflicht 3: Zusammenarbeit mit der Aufsichtsbehörde

Art. 39 Abs. 1 lit. d DSGVO verpflichtet Datenschutzbeauftragte zur Zusammenarbeit mit den Aufsichtsbehörden. Dies bedeutet:

  • Bereitstellung von Auskünften und Unterlagen bei Anfragen
  • Begleitung von Vor-Ort-Prüfungen
  • Mitwirkung bei Beschwerdeverfahren

Eine transparente, professionelle Kommunikation mit der Behörde stärkt das Vertrauen und kann im Fall von Verstößen Bußgelder deutlich reduzieren.

Pflicht 4: Anlaufstelle für betroffene Personen

Der DSB ist laut Art. 39 Abs. 1 lit. e DSGVO die zentrale Anlaufstelle für datenschutzrechtliche Anliegen. Daraus ergibt sich konkret:

  • Erreichbarkeit via E-Mail/Postadresse
  • Antwortfrist von i.d.R. einem Monat gemäß Art. 12 DSGVO
  • Dokumentation der Anfragebearbeitung

Besonders in KMU ist es wichtig, diese Funktion klar zu definieren und intern bekannt zu machen – oft fehlen Prozesse zur strukturierten Bearbeitung solcher Anfragen.

Pflicht 5: Sensibilisierung und Schulung

Pflichtgemäße Schulung geht über E-Learning hinaus. DSB sollten bedarfsgerechte Formate entwickeln, z. B.:

  • Live-Webinare für Fachbereiche (Marketing, HR, IT)
  • Onboarding-Module für neue Mitarbeitende
  • Awareness-Kampagnen im Intranet

Die Qualität der Schulung entscheidet über die Wirksamkeit der DSGVO-Compliance. Auch für Audits ist eine Schulungsdokumentation essenziell.

Pflicht 6: Datenschutz-Folgenabschätzungen begleiten

DSB müssen bei DSFA nach Art. 35 DSGVO eingebunden werden. Dazu gehört:

  • Bewertung, ob eine DSFA notwendig ist
  • Mitarbeit bei Risikoanalyse und Maßnahmenableitung
  • Stellungnahme vor Abschluss der DSFA

Ein häufiger Fehler in der Praxis: DSB werden zu spät oder gar nicht eingebunden. Die Folgen können Bußgelder und Reputationsschäden sein.

Rolle des DSB: Unabhängigkeit und Ressourcen

Art. 38 DSGVO als Rahmenbedingung

Die Aufgaben nach Art. 39 DSGVO sind nur erfüllbar, wenn der DSB:

  • frühzeitig eingebunden wird
  • ausreichend Zeit und Budget hat
  • keine Interessenkonflikte (z. B. IT-Leiter als DSB) bestehen

In der Praxis führt die Nichtbeachtung dieser Punkte häufig zur faktischen Wirkungslosigkeit des DSB – mit rechtlichen Folgen.

Dokumentationspflichten und Nachweisbarkeit

Alle Maßnahmen sollten revisionssicher dokumentiert werden:

  • Beratungsprotokolle
  • Schulungsteilnahmen
  • Berichte zur DSFA-Begleitung

Eine saubere Dokumentation schützt den DSB im Konfliktfall und ist Teil des Rechenschaftsprinzips gemäß Art. 5 Abs. 2 DSGVO.

Typische Fehler in der Praxis

  • „Feigenblatt“-DSB ohne reale Einbindung
  • Keine Risikoanalyse zu neuen Verarbeitungstätigkeiten
  • Unzureichende Kommunikation mit Aufsichtsbehörden
  • Schulungen ohne Lernerfolgskontrolle

Diese Fehler können durch eine strukturierte Jahresplanung und ein zentrales Datenschutz-Managementsystem vermieden werden.

Technische Umsetzung: Tools und Templates

Für mittelständische Unternehmen empfehlen sich folgende Tools:

  • verinice für Datenschutzmanagement nach IT-Grundschutz
  • OneTrust für internationale Konzerne
  • Audatis für mittelständische Unternehmen

Ergänzend: eigene Vorlagen für Verarbeitungsverzeichnisse, DSFA, Auftragsverarbeitung, Schulungsunterlagen.

Häufig gestellte Fragen (FAQ)

Wann ist ein Datenschutzbeauftragter verpflichtend?

Ab 20 Personen, die regelmäßig mit personenbezogenen Daten arbeiten – oder bei besonderen Datenarten, Überwachung oder Auftragsverarbeitung im Kerngeschäft.

Wie oft muss der DSB Bericht erstatten?

Mindestens jährlich. Empfehlenswert ist ein vierteljährlicher Statusbericht an die Geschäftsleitung.

Wer haftet bei Datenschutzverstößen?

Primär das Unternehmen, bei Pflichtverletzung kann aber auch der DSB persönlich in die Haftung genommen werden (§ 42 BDSG).

Muss der DSB zwingend ein Jurist sein?

Nein, aber fundierte Rechtskenntnisse sind erforderlich. Alternativ: Zusammenarbeit mit spezialisierten Kanzleien oder externen DSBs.

Fazit: Pflichten ernst nehmen – Vertrauen gewinnen

Art. 39 DSGVO ist keine bloße Formalie, sondern definiert den Kern der Aufgaben eines Datenschutzbeauftragten. Wer diese Pflichten ernst nimmt, stärkt die Compliance-Kultur im Unternehmen, reduziert Risiken und gewinnt Vertrauen bei Kunden, Partnern und Behörden.

Ein starker DSB ist nicht nur gesetzliche Pflicht – er ist strategischer Vorteil im digitalen Wettbewerb.

„`

Tags

About EXTERN

Check Also

37 Dsgvo Deine Pflichten

„`html 37 DSGVO: Deine Pflichten als Verantwortlicher Die Datenschutz-Grundverordnung (DSGVO) ist das zentrale Rechtsinstrument der …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Powered by WordPress | Designed by TieLabs
© Copyright 2025, All Rights Reserved