DSB-Bestellungspflicht und -Anforderungen

DSB-Bestellungspflicht und -Anforderungen

Zweck

Häufige Lücke in Unternehmen: Pflicht zur DSB-Bestellung wird nicht erkannt. Dieses Skill prüft Pflicht, Anforderungen an DSB und löst Folge-Probleme (Interessens-Konflikt, externe vs. interne Bestellung).

Eingaben

• Unternehmens-Typ (öffentlich privat)
• Beschäftigten-Zahl
• Verarbeitungs-Tätigkeiten (Übersicht aus VVT)
• Bestand DSB ja/nein
• Bei Bestand: Person und Rolle (intern extern)

Schritt 1 — Pflicht-Tatbestände Art. 37 DSGVO

Lit. a) Öffentliche Stelle / Behörde

• Pflicht unabhängig von Größe
• Außer Gerichte in Justizfunktion

Lit. b) Kerntätigkeit umfangreiche regelmäßige systematische Überwachung

• Kerntätigkeit das Geschäft selbst (nicht nur Mittel zur Geschäftsführung)
• Umfangreich Skalierung
• Regelmäßig systematisch Dauerhaft strukturiert
• Überwachung Beobachtung Verhalten Profilbildung

Beispiele

• Online-Verhaltens-Tracking Werbe-Netzwerke
• Vermarkter mit Profiling
• Telematik-Versicherer
• Standort-Verfolgung
• CCTV im großen Stil

Lit. c) Kerntätigkeit umfangreiche Verarbeitung besondere Kategorien

• Art. 9 DSGVO Daten (Gesundheit Religion Sexual-Orientierung etc.)
• Strafrechtliche Daten Art. 10
• Umfangreich

Beispiele

• Krankenhäuser
• Religions-Gemeinschaften
• Personalvermittler mit Diversity-Daten
• Strafvollzug-Dienstleister
• Genetik-/Genom-Labore

Schritt 2 — § 38 BDSG Deutsche Erweiterung

Schwellenwert

• In der Regel mindestens 20 Personen
• Ständig mit automatisierter Verarbeitung beschäftigt
• Bei Pflicht zur DSFA (Art. 35) auch bei weniger Personen
• Bei geschäftsmäßiger Verarbeitung zum Zweck der Übermittlung anonymen Übermittlung Markt- oder Meinungsforschung

"Personen" im Sinne § 38 BDSG

• Mitgezählt werden eigene Beschäftigte des Verantwortlichen (Voll- und Teilzeit, Aushilfen, Auszubildende, Werkstudenten, freie Mitarbeiter mit Datenzugriff)
• Auftragsverarbeiter-Personal zählt NICHT mit — dieses gehört zum Auftragsverarbeiter, der selbst die DSB-Pflicht prüft
• Entscheidend ist die Ständigkeit der automatisierten Verarbeitung, nicht das Beschäftigungs-Volumen

Kombination

• EU-DSGVO und § 38 BDSG nebeneinander
• Strengstes Kriterium gilt

Schritt 3 — Anforderungen DSB Art. 37 Abs. 5 6 DSGVO

Fachliche Eignung

• Berufliche Qualifikation Datenschutz
• Fachwissen DSGVO BDSG
• Spezialwissen der Branche
• Zertifizierungen: TÜV, GDD, DIA, BvD u.a.

Persönliche Eignung

• Zuverlässigkeit
• Vertrauenswürdig
• Bei Insolvenz / Strafverfahren prüfen

Schritt 4 — Stellung DSB Art. 38 DSGVO

Unabhängigkeit

• Keine Weisungs-Bindung in Datenschutz-Fragen
• Berichts-Linie an oberste Leitung
• Schutz vor Abberufung wegen Aufgaben-Wahrnehmung

Ressourcen-Pflicht

• Zeitliche Verfügbarkeit ausreichend
• Sachliche Ausstattung Büro IT Reisekosten
• Fortbildungs-Budget
• Externe Hilfe wenn nötig

Schutz vor Kündigung / Abberufung

• § 6 Abs. 4 BDSG Kündigungs-Schutz analog § 4f
• Bei Beendigungs-Schutz auch nach Amtszeit
• Außerordentliche Kündigung nur bei wichtigem Grund

Schweigepflicht

• DSB unterliegt Schweige-Pflicht
• Auch nach Beendigung

Schritt 5 — Interne vs. externe Bestellung

Interner DSB

• Aus Belegschaft
• Voll- oder Teilzeit-DSB-Aufgabe
• Vorteil: Insider-Kenntnis
• Nachteil: Interessens-Konflikt-Risiko

Externer DSB

• Beratung durch externe Firma / Anwalts-Kanzlei
• Vertragliche Bestellung
• Vorteil: Unabhängigkeit Spezialisierung
• Nachteil: Externe Person ohne Insider-Kenntnis

Konzern-DSB

• Ein DSB für mehrere Konzern-Gesellschaften
• Erlaubt § 38 Abs. 1 BDSG ("für mehrere Stellen")
• Konzern-Bestellungs-Akte
• Kommunikations-Linie zu allen Gesellschaften

Schritt 6 — Interessens-Konflikt-Prüfung

Problematische Doppelrollen

Geschäftsführer / Vorstand

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
• ErwGr 97 DSGVO zur Unabhängigkeits-Anforderung
• Strikte Trennung erforderlich

IT-Leitung

• Verarbeitung verantwortlich + Datenschutz kontrollierend
• Konflikt häufig
• Strikt: Trennung erforderlich

Personalleitung

• Personal-Verarbeitung steuernd + Datenschutz kontrollierend
• Konflikt häufig

Compliance-Officer

• Bei klar getrennten Bereichen möglich
• Bei umfassender Compliance-Verantwortung Konflikt

Unproblematische Rollen

• IT-Sicherheits-Beauftragter (komplementär)
• Externer Anwalt (unabhängig)
• Externe Beratung (klar)

Bei Konflikt

• Auswechslung des DSB
• Externe Bestellung
• Strukturelle Anpassung der internen Rollen

Schritt 7 — Aufgaben DSB Art. 39 DSGVO

Pflicht-Aufgaben

a) Information und Beratung Verantwortlicher und Beschäftigte

b) Überwachung Einhaltung DSGVO und Datenschutz-Vorschriften

c) Beratung zu DSFA und deren Überwachung

d) Zusammenarbeit Aufsichtsbehörde

e) Anlaufstelle Aufsichtsbehörde für Fragen Beratung

Zusätzlich

• Mit-wirkung VVT
• Beratung bei AVV-Erstellung
• Schulung Mitarbeiter
• Datenpanne-Bewertung

Schritt 8 — Meldung Aufsichtsbehörde Art. 37 Abs. 7 DSGVO

Pflicht zur Veröffentlichung

• Kontakt-Daten DSB
• Mitteilung an Aufsichtsbehörde
• Online-Meldung möglich

Form

• Schriftlich elektronisch
• Aufsichtsbehörde wo Verantwortlicher Hauptniederlassung
• Inhalt: Name Anschrift Telefon E-Mail

Bei Änderungen

• Update bei Wechsel DSB
• Bei Wechsel der Aufsichtsbehörden-Zuständigkeit

Schritt 9 — Bestellungs-Akt

Form

• Schriftlich empfohlen
• Stellenbeschreibung mit Aufgaben Rechten
• Vertrag bei externem DSB
• Bestellungs-Urkunde intern

Inhalt

• Bestellungs-Datum
• Aufgaben gemäß Art. 39 DSGVO
• Ressourcen-Zusage
• Berichts-Linie
• Vertraulichkeits-Pflicht
• Beendigungs-Regelung

Schritt 10 — Bei Verstoß

Sanktionen

• Art. 83 Abs. 4 DSGVO bis 10 Mio EUR oder 2 Prozent Konzernumsatz
• Aufsichts-Anordnung zur Bestellung
• Reputations-Schaden

Folge-Probleme

• Datenpannen ohne DSB schwerer beherrschbar
• DSFA-Lücken
• Aufsichts-Behörden-Audit kritisch

Schritt 11 — Beratungs-Schritte

Erstprüfung

1. Beschäftigten-Zahl über 20 mit automatisierter Verarbeitung?
2. Verarbeitungs-Typ Kerntätigkeit mit Überwachung oder besonderen Kategorien?
3. Öffentliche Stelle?
4. Bei Bejahung: DSB-Pflicht — sofort Bestellung erforderlich

Wenn DSB vorhanden

1. Eignungs-Prüfung Qualifikation aktuell?
2. Stellung Unabhängigkeit gewährleistet?
3. Interessens-Konflikt vorhanden?
4. Ressourcen ausreichend?
5. Meldung Aufsichtsbehörde erfolgt?

Wenn DSB-Lücke

1. Sofortige Bestellung intern oder extern
2. Aufsichtsbehörde informieren
3. VVT-Eintrag DSB-Daten
4. Datenschutz-Hinweise Webseite aktualisieren

Schritt 12 — Außerhalb Pflicht — freiwillige Bestellung

Vorteile

• Compliance-Sicherheit
• Vorbereitung Wachstum
• Audit-Vorbereitung
• Mandanten-Vertrauen

Empfehlung

• Bei jeder Verarbeitung besonderer Kategorien (auch wenn nicht "umfangreich")
• Bei Cookie-Tracking selbst bei kleiner Webseite
• Bei jeder grenz-überschreitenden Verarbeitung

Verzahnung mit anderen Skills

• verarbeitungsverzeichnis-vvt-generator — VVT mit DSB-Bezeichnung
• dsfa-erstellung — DSB-Beratung
• avv-pruefung — DSB-Beratung
• datenpanne-meldung — DSB-Eskalation
• mandantendaten-ki — DSB im Kanzlei-Kontext
• anwendungsfall-triage — Eingangsprüfung

Ausgabe

• dsb-pruefung-{unternehmen}.md mit Pflicht-Analyse Anforderungs-Prüfung Konflikt-Bewertung
• Bei DSB-Lücke: Bestellungs-Pflicht-Bestätigung + Bestellungs-Vorbereitung
• Bei externem DSB: Vertrags-Entwurf
• Bei internem DSB: Stellenbeschreibung
• Aufsichts-Behörden-Meldung-Vorbereitung
• Frist im Fristenbuch (Bestellung unverzüglich)

Quellen

• DSGVO Art. 37 38 39 83; ErwGr 97 DSGVO
• BDSG §§ 5 6 38
• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
• BfDI Praxis-Empfehlungen
• DSK Kurzpapier
• GDD und BvD Standards

Aktuelle Rechtsprechung (v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Triage zu Beginn

1. Öffentliche oder private Stelle? (Art. 37 Abs. 1 lit. a DSGVO vs. § 38 BDSG)
2. Bei privater Stelle: Anzahl Personen, die ständig mit automatisierter Verarbeitung beschäftigt sind (§ 38 Abs. 1 BDSG: ab 20)?
3. Verarbeitung besonderer Kategorien (Art. 9 DSGVO) oder umfangreiche Überwachung?
4. Bestehender DSB: Interessenkonflikt (leitende Verarbeitungsverantwortung)?

Output-Template — DSB-Prüfvermerk

Adressat: Geschäftsführung / Compliance — Tonfall: sachlich-juristisch

DSB-Bestellungspflicht-Prüfvermerk [DATUM]
Organisation: [NAME]

Bestellungspflicht-Prüfung:
Öffentliche Stelle (Art. 37 Abs. 1 lit. a DSGVO): ja / nein
Kerntätigkeit umfangreiche Überwachung (Art. 37 Abs. 1 lit. b): ja / nein
Besondere Kategorien umfangreich (Art. 37 Abs. 1 lit. c): ja / nein
§ 38 BDSG: [X] Personen staendig automatisiert → ab 20: Pflicht

Ergebnis Bestellungspflicht: JA / NEIN

Aktueller DSB (falls bestellt):
Name: [NAME] | intern / extern
Interessenkonflikt-Check: kein Konflikt / Konflikt (Grund: [...])
Qualifikation ausreichend: ja / nein / unklar

Empfehlung: DSB bestellen (bis [FRIST]) / DSB wechseln / kein Handlungsbedarf