Datenschutz HubEinzelthemenDatenschutzbeauftragter

Stellung des Datenschutzbeauftragten

Stellung des Datenschutzbeauftragten nach Art. 38 DSGVO: frühzeitige Einbindung, Unterstützung mit Ressourcen, Weisungsfreiheit, Benachteiligungs- und Abberufungsverbot, Berichtslinie, Anrufungsrecht der Betroffenen, Geheimhaltung und Verbot der Interessenkollision.

Art. 38 DSGVO regelt die Stellung des Datenschutzbeauftragten. Die Vorschrift gilt unabhängig davon, ob die Benennung verpflichtend oder freiwillig erfolgt ist und ob es sich um einen internen oder externen Datenschutzbeauftragten handelt. Ihr Zweck ist es, die Erfüllung der Aufgaben nach Art. 39 DSGVO abzusichern und die Unabhängigkeit des Datenschutzbeauftragten zu gewährleisten.

Das Wichtigste in Kürze

  • Der Datenschutzbeauftragte ist frühzeitig in alle datenschutzrelevanten Fragen einzubinden (Art. 38 Abs. 1 DSGVO).
  • Ihm sind die zur Aufgabenerfüllung erforderlichen Ressourcen, Zugang zu Daten und Verarbeitungsvorgängen sowie Mittel zum Erhalt seines Fachwissens bereitzustellen (Abs. 2).
  • Er ist bei der Ausübung seiner Aufgaben weisungsfrei, darf wegen ihrer Erfüllung nicht benachteiligt oder abberufen werden und berichtet unmittelbar der Unternehmensleitung (Abs. 3).
  • Betroffene Personen können ihn zu Rate ziehen (Abs. 4); er ist zur Geheimhaltung und Vertraulichkeit verpflichtet (Abs. 5).
  • Weitere Aufgaben sind zulässig, dürfen aber keinen Interessenkonflikt auslösen (Abs. 6).
  • Der Datenschutzbeauftragte hat keine Weisungs- oder Durchsetzungsbefugnisse; er wirkt durch Beratung und Bericht.

1. Überblick

1.1 Funktion der Vorschrift

Die Regelungen des Art. 38 DSGVO sichern die Aufgabenerfüllung nach Art. 39 DSGVO ab. Das geschieht durch die Pflicht zur Einbindung in Verarbeitungsentscheidungen (Abs. 1), durch die Ausstattung mit den erforderlichen Mitteln (Abs. 2), durch den persönlichen Schutz zur Wahrung der Unabhängigkeit (Abs. 3) und durch die Möglichkeit der betroffenen Personen, sich an den Datenschutzbeauftragten zu wenden (Abs. 4). Die Pflicht zur Geheimhaltung (Abs. 5) erleichtert die offene Befassung mit Verarbeitungsfragen, und Abs. 6 erlaubt weitere Aufgaben in den Grenzen des Interessenkonflikts.

1.2 Keine eigenen Befugnisse

Art. 38 DSGVO räumt dem Datenschutzbeauftragten keine Befugnisse ein, insbesondere keine Weisungs- oder Durchsetzungsrechte gegenüber der Belegschaft oder der Leitung. Seine Stellung ist die eines unabhängigen Beraters und Kontrollorgans, nicht die einer entscheidenden Stelle.

2. Einbindung (Art. 38 Abs. 1 DSGVO)

Der Verantwortliche und der Auftragsverarbeiter haben den Datenschutzbeauftragten ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Die DSGVO verlangt eine frühzeitige, nicht nur rechtzeitige Beteiligung; das zwingt dazu, schon zu Beginn einer geplanten Verarbeitung zu prüfen, ob der Datenschutz berührt ist. So kann der Datenschutzbeauftragte mit Hinweisen und Beratung noch auf die Gestaltung der Verarbeitung einwirken. Die Einbindung ist durch organisatorische Maßnahmen sicherzustellen; in jede einzelne Vorüberlegung der Leitung muss der Datenschutzbeauftragte aber nicht eingebunden werden.

Die Einbindungspflicht reicht über die Einführung und Änderung einzelner Verarbeitungstätigkeiten hinaus und erfasst alle datenschutzrelevanten Grundsatz-, Konzept- und Infrastrukturfragen, etwa die Wahl von Geschäftsmodellen mit Kundendaten oder die Gestaltung der technischen Infrastruktur. In der Praxis bedeutet das, den Datenschutzbeauftragten als Gesprächspartner anzuerkennen, ihn zu Sitzungen des Managements einzuladen, bei datenschutzrelevanten Entscheidungen hinzuzuziehen und ihn bei einer Datenschutzverletzung oder einem sonstigen Vorfall unverzüglich zu beteiligen (WP29-Leitlinien zu Datenschutzbeauftragten, WP 243 rev.01). Empfehlenswert ist ein festgelegter und verbindlicher Prozess, der bestimmt, wann und wie der Datenschutzbeauftragte zu beteiligen ist. Anbieten kann sich die Kopplung an die Dokumentation im Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO: Eine geänderte oder neue Verarbeitung wird dem Datenschutzbeauftragten vor der Umsetzung zur Kenntnis gegeben und erst nach Ablauf einer angemessenen Prüffrist umgesetzt.

Eine besondere Ausprägung enthält Art. 35 Abs. 2 DSGVO: Bei der Durchführung einer Datenschutz-Folgenabschätzung ist der Rat des Datenschutzbeauftragten einzuholen.

Bußgeldrisiko. Die nicht ordnungsgemäße oder nicht frühzeitige Einbindung des Datenschutzbeauftragten ist nach Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt (bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes). Weicht die Leitung von Empfehlungen des Datenschutzbeauftragten ab, sollten die Gründe im Sinne der Rechenschaftspflicht dokumentiert werden.

3. Unterstützung und Ressourcen (Art. 38 Abs. 2 DSGVO)

Der Verantwortliche und der Auftragsverarbeiter müssen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen. Dazu gehören:

  • die zur Aufgabenerfüllung erforderlichen Ressourcen, einschließlich eines ausreichenden Zeitbudgets, besonders wenn die Funktion nicht in Vollzeit ausgeübt wird,
  • der Zugang zu personenbezogenen Daten und zu den Verarbeitungsvorgängen, also entsprechende Zutritts- und Einsichtsrechte,
  • die Mittel zum Erhalt des Fachwissens, etwa der Zugang zu aktuellen Fachpublikationen und zu Fortbildungen auf Kosten des Verantwortlichen.

Der Umfang der bereitzustellenden Ressourcen richtet sich nach dem risikobasierten Ansatz des Art. 39 Abs. 2 DSGVO. Einen ausdrücklichen Finanzierungsvorbehalt sieht Art. 38 Abs. 2 DSGVO nicht vor; der Grundsatz der Verhältnismäßigkeit ist aber zu beachten. Der Erhalt des Fachwissens ist ein fortlaufender Prozess und nicht nur einmalig im Zeitpunkt der Benennung sicherzustellen; insoweit besteht ein Zusammenhang mit der Qualifikationsanforderung des Art. 37 Abs. 5 DSGVO.

Zur sachlichen Ausstattung gehören ein angemessenes Budget, der Bezug von Fachliteratur und die üblichen Kommunikationsmittel, jeweils auf dem in der Einrichtung üblichen Niveau. Wegen der Verschwiegenheitspflicht (dazu Abschnitt 8) muss der Datenschutzbeauftragte vertrauliche Unterlagen sicher verwahren und vertrauliche Gespräche und Telefonate ungestört führen können. Ein eigenes, dauerhaft zugewiesenes Einzelbüro ist dafür nicht zwingend; in offenen Bürostrukturen sind aber verschließbare Aufbewahrungsmöglichkeiten und ein bei Bedarf nutzbarer, abgeschirmter Raum bereitzustellen.

Zu den Ressourcen zählt auch personelle Unterstützung. Übersteigt der Aufgabenumfang die Kapazität einer einzelnen Person, kann ein Team aus dem Datenschutzbeauftragten und ihm zuarbeitenden Beschäftigten gebildet werden; die Zuständigkeiten sind dann klar festzulegen. Pro verantwortlicher Stelle wird allerdings nur eine Person zum Datenschutzbeauftragten benannt. Nehmen Teammitglieder die Funktionen eines Datenschutzbeauftragten wahr, müssen sie dessen Anforderungen erfüllen und genießen den entsprechenden Schutz; die Gesamtverantwortung für die Aufgabenerfüllung bleibt bei der benannten Person.

4. Weisungsfreiheit (Art. 38 Abs. 3 S. 1 DSGVO)

Der Datenschutzbeauftragte darf bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten. Diese Weisungsfreiheit ist Ausdruck seiner Unabhängigkeit (Erwägungsgrund 97 DSGVO).

Die Weisungsfreiheit ist allerdings nicht unbeschränkt. Sie betrifft nur die Erfüllung und die Ausübung der Aufgaben nach Art. 39 DSGVO, also das Ob und das Wie der datenschutzrechtlichen Tätigkeit. Bei organisatorischen Entscheidungen ohne datenschutzrechtlichen Bezug bleibt der Datenschutzbeauftragte dem allgemeinen Direktionsrecht unterworfen. Das schwächt den Schutz im Alltag, besonders wenn der Datenschutzbeauftragte zugleich andere Tätigkeiten im Unternehmen wahrnimmt. Nach Sinn und Zweck ist die Vorschrift daher so anzuwenden, dass sie auch vor mittelbaren Maßnahmen schützt, die im Ergebnis wie eine Weisung wirken.

Aus der Weisungsfreiheit folgt, dass der Verantwortliche dem Datenschutzbeauftragten weder Prüfaufträge erteilen noch vorgeben kann, zu welchen Systemen und Prozessen er wann berät oder kontrolliert; entsprechende Anregungen haben nur empfehlenden Charakter. Auch das Ergebnis seiner fachlichen Bewertung ist ihm nicht vorgebbar: Er darf nicht angewiesen werden, ein bestimmtes Ergebnis zu erzielen, eine Beschwerde auf eine bestimmte Weise zu behandeln, die Aufsichtsbehörde zu konsultieren oder nicht zu konsultieren oder in einer datenschutzrechtlichen Frage einen bestimmten Standpunkt einzunehmen (WP29-Leitlinien zu Datenschutzbeauftragten, WP 243 rev.01). Eine Entscheidungsbefugnis über Zwecke und Mittel der Verarbeitung steht dem Datenschutzbeauftragten dagegen nicht zu; sie würde seine unabhängige Amtsausübung gefährden und einen Interessenkonflikt begründen (dazu Abschnitt 9). Unberührt bleibt das Recht des Verantwortlichen, sich über die Tätigkeit des Datenschutzbeauftragten zu informieren: Auskunfts- und Vorlageersuchen muss dieser nachkommen, soweit dadurch seine unabhängige Aufgabenwahrnehmung nicht behindert und seine Verschwiegenheitspflicht nicht verletzt wird.

5. Benachteiligungs- und Abberufungsverbot (Art. 38 Abs. 3 S. 2 DSGVO)

Der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt oder abberufen werden. Dieses Verbot flankiert die Weisungsfreiheit und sichert die Unabhängigkeit.

Unzulässig ist eine Benachteiligung nur, soweit sie gerade an die Erfüllung der Aufgaben als Datenschutzbeauftragter anknüpft. Empfiehlt er etwa eine Datenschutz-Folgenabschätzung, die der Verantwortliche für entbehrlich hält, darf er deswegen nicht abberufen werden. Eine Benachteiligung kann unmittelbar oder mittelbar erfolgen, etwa als ausbleibende oder verzögerte Beförderung, als Verwehrung beruflicher Fortentwicklung oder als Ausschluss von Leistungen, die anderen Beschäftigten gewährt werden; bereits die Androhung einer solchen Maßnahme genügt, wenn sie den Datenschutzbeauftragten wegen seiner Tätigkeit unter Druck setzen soll (WP29-Leitlinien zu Datenschutzbeauftragten, WP 243 rev.01). Aus Gründen, die nicht mit der Aufgabenerfüllung zusammenhängen, bleibt eine Abberufung dagegen möglich (dazu unter Beendigung der Benennung).

Für den pflichtgemäß benannten betrieblichen Datenschutzbeauftragten geht das deutsche Recht darüber hinaus: § 38 Abs. 2 in Verbindung mit § 6 Abs. 4 BDSG gewährt einen Sonderkündigungsschutz, der eine Kündigung des Beschäftigungsverhältnisses nur aus wichtigem Grund zulässt. Dieser verschärfte Schutz ist mit dem Unionsrecht vereinbar, solange er die Ziele der DSGVO nicht beeinträchtigt (EuGH, Urt. v. 22.06.2022, C-534/20, Leistritz). Beim freiwillig benannten Datenschutzbeauftragten gilt der Sonderkündigungsschutz nach § 6 Abs. 4 BDSG nicht; beim externen Datenschutzbeauftragten richtet sich die Beendigung allein nach dem Dienstvertrag. Zu den weiteren Wegen, auf denen das Amt endet, und zum Abberufungsverlangen der Aufsichtsbehörde nach § 40 Abs. 6 S. 2 BDSG näher unter Beendigung der Benennung.

6. Direkte Berichtslinie (Art. 38 Abs. 3 S. 3 DSGVO)

Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene, also der Unternehmens- oder Behördenleitung. Besteht die Leitung aus mehreren Personen, kann die Berichtspflicht auf ein zuständiges Mitglied bezogen werden. Die direkte Berichtslinie verschafft dem Datenschutzbeauftragten das nötige Gehör und verhindert, dass seine Hinweise in der Hierarchie versanden, ohne die Leitung zu erreichen.

Die deutsche Fassung („berichtet") ist missverständlich. Gemeint ist nicht in erster Linie eine Pflicht zu Tätigkeits- oder Statusberichten, sondern die unmittelbare organisatorische Unterstellung unter die höchste Leitungsebene. Der Datenschutzbeauftragte ist daher so einzugliedern, dass keine zwischengeschaltete Funktion seinen Zugang zur Leitung einschränkt; praktisch bietet sich eine Stabsstelle direkt unter Vorstand oder Geschäftsführung an, beim externen Datenschutzbeauftragten ein unmittelbares Beratungsverhältnis zu dieser Ebene.

7. Anrufungsrecht der betroffenen Person (Art. 38 Abs. 4 DSGVO)

Betroffene Personen können den Datenschutzbeauftragten zu allen Fragen ihrer Datenverarbeitung und der Wahrnehmung ihrer Rechte zu Rate ziehen. Das Anrufungsrecht ist auf die Interessen der jeweils betroffenen Person beschränkt.

Die deutsche Formulierung „zu Rate ziehen" legt eine eigene Beratungspflicht nahe; die englische Fassung spricht jedoch nur von „may contact". Der Datenschutzbeauftragte ist daher Kontaktstelle der betroffenen Person, nicht ihr Interessenvertreter; er muss dem Anliegen nicht inhaltlich nachkommen und wird die Anfrage in der Praxis häufig an die zuständige Stelle weiterleiten oder die Person an den Kundenservice verweisen. Bevor er ein Anliegen personenbeziehbar weiterleitet, muss ihn die betroffene Person allerdings von der Geheimhaltungspflicht befreien. Im Massengeschäft mit Endkundenbezug kann das Anrufungsrecht zu einer Vielzahl von Anfragen führen; auch dann bleibt es bei dieser beschränkten Funktion. Das Anrufungsrecht wird durch die Geheimhaltungspflicht des Art. 38 Abs. 5 DSGVO abgesichert.

8. Geheimhaltung und Vertraulichkeit (Art. 38 Abs. 5 DSGVO)

Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder Vertraulichkeit gebunden. Diese Pflicht wirkt in zwei Richtungen:

  • zugunsten des Verantwortlichen und des Auftragsverarbeiters, deren Interessen damit im Rahmen der Einbindung nach Art. 38 Abs. 1 und Art. 35 Abs. 2 DSGVO geschützt sind,
  • zugunsten der betroffenen Person, sodass der Datenschutzbeauftragte grundsätzlich nicht die Identität einer Person offenlegt, die sich nach Art. 38 Abs. 4 DSGVO an ihn gewandt hat, es sei denn, sie befreit ihn davon.

Damit die vertrauliche Befassung möglich ist, muss der Verantwortliche dem Datenschutzbeauftragten auch die dafür nötigen Ressourcen bereitstellen.

Das deutsche Recht konkretisiert die Pflicht: Der Datenschutzbeauftragte ist zur Verschwiegenheit über die Identität betroffener Personen und über Umstände verpflichtet, die Rückschlüsse auf sie zulassen, soweit ihn die betroffene Person nicht davon befreit (§ 6 Abs. 5 S. 2 BDSG). Ist er für einen Berufsgeheimnisträger tätig, ist die unbefugte Offenbarung von Geheimnissen strafbewehrt (§ 203 Abs. 4 StGB; dazu unter Haftung). Steht dem Verantwortlichen ein Zeugnisverweigerungsrecht oder ein Beschlagnahmeverbot zu, erstreckt sich dieses auf den für ihn benannten Datenschutzbeauftragten (§ 6 Abs. 6 BDSG). Berät, unterrichtet oder kontrolliert der Datenschutzbeauftragte den Betriebsrat, hat er zugleich seine Verschwiegenheit gegenüber dem Arbeitgeber über den Meinungsbildungsprozess des Betriebsrats zu wahren (§ 79a BetrVG).

9. Weitere Aufgaben und Interessenkonflikt (Art. 38 Abs. 6 DSGVO)

9.1 Weitere Aufgaben

Der Datenschutzbeauftragte kann nach Art. 38 Abs. 6 S. 1 DSGVO andere Aufgaben und Pflichten wahrnehmen. Die Funktion muss also nicht als Vollzeitstelle ausgestaltet sein. Das trägt dem Umstand Rechnung, dass nicht in jedem Unternehmen eine Datenverarbeitung stattfindet, die einen Datenschutzbeauftragten in Vollzeit erfordert, und es erlaubt zugleich, externe Datenschutzbeauftragte zu benennen, die in anderen Unternehmen weitere Aufgaben übernehmen.

9.2 Verbot der Interessenkollision

Nach Art. 38 Abs. 6 S. 2 DSGVO müssen der Verantwortliche und der Auftragsverarbeiter sicherstellen, dass weitere Aufgaben nicht zu einem Interessenkonflikt führen. Ein solcher Konflikt besteht, wenn dem Datenschutzbeauftragten Aufgaben übertragen werden, mit denen er Zwecke und Mittel der Verarbeitung festlegt und so die Ergebnisse seiner eigenen Tätigkeit zu überwachen hätte. Ob ein Konflikt vorliegt, ist im Einzelfall anhand der Organisationsstruktur und der anwendbaren Regelungen zu beurteilen (EuGH, Urt. v. 09.02.2023, C-453/21, X-FAB). Die Pflicht zur Vermeidung trifft den Verantwortlichen; ein Verstoß ist bußgeldbewehrt und wird auch geahndet, etwa mit einer Geldbuße von 525.000 EUR gegen ein Konzernunternehmen, dessen Datenschutzbeauftragter zugleich Geschäftsführer von Dienstleistern war, deren Verarbeitung er hätte kontrollieren müssen (BlnBDI, Pressemitteilung v. 20.09.2022).

Typische Konfliktlagen. Ein Interessenkonflikt droht bei der Kombination der Funktion mit der Leitung der IT-, Personal- oder Marketingabteilung sowie bei der Benennung von Mitgliedern der Geschäftsleitung, weil diese Stellen Zwecke und Mittel der Verarbeitung festlegen; erfasst sind auch hierarchisch nachgeordnete Stellen, soweit ihre Aufgaben die Festlegung von Zwecken und Mitteln mit sich bringen. Unvereinbar ist auch das Amt eines stimmberechtigten Betriebsratsmitglieds, weil der Betriebsrat über die Verwendung von Beschäftigtendaten mitentscheidet. Bei externen Datenschutzbeauftragten kann ein Konflikt entstehen, wenn sie zuvor an der Gestaltung der zu überwachenden Verarbeitung mitgewirkt haben oder wenn sie den Verantwortlichen in datenschutzrelevanten Rechtssachen vor Gericht vertreten sollen.

Eine leitende Position muss nicht stets zum Konflikt führen. Entscheidend ist, ob ihre Entscheidungsspielräume die Verarbeitung personenbezogener Daten betreffen. Bei Leitungsaufgaben im Finanzbereich eines reinen B2B-Geschäfts, in der Produktentwicklung ohne Personenbezug oder im reinen Massenmarketing ohne Verwendung personenbezogener Daten kann ein Konflikt ausscheiden. Umgekehrt ist die Übernahme zusätzlicher Aufgaben unbedenklich, wenn sie keine Festlegung von Zwecken und Mitteln und keine Selbstkontrolle mit sich bringt. Zulässig ist daher etwa, dem Datenschutzbeauftragten zusätzlich die Rolle der internen Meldestelle nach dem Hinweisgeberschutzgesetz zu übertragen, da diese keine Entscheidung über Zwecke und Mittel der Verarbeitung trifft.

Davon zu trennen ist die Frage, ob der Datenschutzbeauftragte Aufgaben übernehmen darf, die dem Verantwortlichen selbst zugewiesen sind. Die Führung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO oder der Entwurf von Mustertexten, Checklisten und Leitlinien darf ihm übertragen werden, weil dies keine Festlegung der Verarbeitung ist. Die Verantwortung für die Datenschutzstrategien selbst, also für allgemeine Richtlinien, das Meldemanagement bei Datenschutzverletzungen, die Durchführung der Datenschutz-Folgenabschätzung sowie Einwilligungs- und Transparenzkonzepte, muss dagegen beim Verantwortlichen bleiben; übernimmt der Datenschutzbeauftragte sie inhaltlich, gerät er in Spannung zu seiner Überwachungsaufgabe nach Art. 39 Abs. 1 lit. b DSGVO. Die Aufgabentrennung ist organisatorisch zu wahren.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Benennung des Datenschutzbeauftragten

Wann ein Datenschutzbeauftragter zu benennen ist: Pflicht nach Art. 37 Abs. 1 DSGVO und nach § 38 BDSG, freiwillige Benennung, Qualifikation, Modalitäten, Erlaubnispflicht externer Datenschutzbeauftragter nach dem RDG, Beendigung sowie Gestaltungshinweise und Checkliste für den Vertrag.

Aufgaben des Datenschutzbeauftragten

Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO: Unterrichtung und Beratung, Überwachung der Einhaltung, Beratung zur Datenschutz-Folgenabschätzung, Zusammenarbeit mit der Aufsichtsbehörde und risikobasierter Ansatz; keine eigene Verantwortung für den Datenschutz.

Auf dieser Seite

1. Überblick1.1 Funktion der Vorschrift1.2 Keine eigenen Befugnisse2. Einbindung (Art. 38 Abs. 1 DSGVO)3. Unterstützung und Ressourcen (Art. 38 Abs. 2 DSGVO)4. Weisungsfreiheit (Art. 38 Abs. 3 S. 1 DSGVO)5. Benachteiligungs- und Abberufungsverbot (Art. 38 Abs. 3 S. 2 DSGVO)6. Direkte Berichtslinie (Art. 38 Abs. 3 S. 3 DSGVO)7. Anrufungsrecht der betroffenen Person (Art. 38 Abs. 4 DSGVO)8. Geheimhaltung und Vertraulichkeit (Art. 38 Abs. 5 DSGVO)9. Weitere Aufgaben und Interessenkonflikt (Art. 38 Abs. 6 DSGVO)9.1 Weitere Aufgaben9.2 Verbot der Interessenkollision