Ein Datenschutzbeauftragter, oft als DSB abgekürzt, ist eine Person, die in einem Unternehmen oder einer Organisation die Einhaltung des Datenschutzrechts überwacht, die Verantwortlichen berät und als Anlaufstelle für Aufsichtsbehörden und betroffene Personen dient. Die Rolle ist sowohl in der europäischen Datenschutz-Grundverordnung als auch im Schweizer Datenschutzrecht verankert, allerdings mit unterschiedlichen Anforderungen an ihre Bestellung. Für viele Unternehmen stellt sich daher die Frage, ob sie einen DSB benennen müssen.
Die Aufgaben eines Datenschutzbeauftragten
Die Aufgaben eines DSB sind vielfältig. Er unterrichtet und berät die Verantwortlichen und Mitarbeitenden über ihre datenschutzrechtlichen Pflichten. Er überwacht die Einhaltung der Datenschutzvorschriften und der internen Datenschutzstrategien, einschliesslich der Zuweisung von Verantwortlichkeiten und der Sensibilisierung der Mitarbeitenden. Er berät bei Datenschutz-Folgenabschätzungen und überwacht deren Durchführung. Und er fungiert als Anlaufstelle und Kooperationspartner für die Aufsichtsbehörde. Der DSB ist damit kein blosser Formalposten, sondern eine zentrale Funktion für die gelebte Datenschutz-Praxis im Unternehmen.
Wann ein DSB nach DSGVO Pflicht ist
Die DSGVO schreibt die Bestellung eines Datenschutzbeauftragten in drei Fällen vor. Erstens, wenn die Verarbeitung durch eine Behörde oder öffentliche Stelle erfolgt. Zweitens, wenn die Kerntätigkeit des Unternehmens in einer umfangreichen, regelmässigen und systematischen Überwachung von Personen besteht. Drittens, wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht, etwa Gesundheitsdaten. Ausserhalb dieser Fälle ist die Bestellung nach DSGVO freiwillig. Zu beachten ist jedoch, dass einzelne Mitgliedstaaten strengere Regeln haben können — in Deutschland etwa gilt eine zusätzliche Pflicht ab einer bestimmten Zahl von Personen, die ständig mit der Verarbeitung beschäftigt sind.
Die Lage in der Schweiz
Das Schweizer revidierte Datenschutzgesetz behandelt die Rolle anders. Es kennt den Berater für Datenschutz, dessen Bestellung für private Unternehmen grundsätzlich freiwillig ist. Allerdings bietet die Benennung eines solchen Beraters Vorteile, etwa bei der Durchführung von Datenschutz-Folgenabschätzungen, bei denen unter bestimmten Umständen auf eine Konsultation der Aufsichtsbehörde verzichtet werden kann, wenn ein Berater hinzugezogen wurde. Für Bundesorgane ist die Bestellung dagegen vorgesehen. Schweizer Unternehmen, die auch unter die DSGVO fallen, müssen zudem die europäischen Pflichten beachten — die Freiwilligkeit nach Schweizer Recht entbindet sie nicht von einer etwaigen DSGVO-Pflicht.
Interner oder externer DSB
Die Rolle des Datenschutzbeauftragten kann durch eine interne Person oder durch einen externen Dienstleister wahrgenommen werden. Ein interner DSB kennt das Unternehmen gut und ist nah an den Abläufen, muss aber über das nötige Fachwissen verfügen und darf keinen Interessenkonflikt haben — er darf etwa nicht zugleich für die Festlegung der Zwecke der Datenverarbeitung verantwortlich sein, was die Geschäftsleitung oder die IT-Leitung oft ausschliesst. Ein externer DSB bringt spezialisiertes Fachwissen und Unabhängigkeit mit, ist aber weniger tief im Unternehmen verankert. Viele kleinere Unternehmen wählen die externe Variante, weil sie das nötige Fachwissen nicht intern vorhalten können.
Anforderungen an die Person
Der DSB muss über die erforderliche Fachkunde im Datenschutzrecht und in der Praxis verfügen, deren Umfang sich nach der Komplexität der Verarbeitung richtet. Er muss seine Aufgaben unabhängig ausüben können, darf wegen ihrer Erfüllung nicht benachteiligt werden und berichtet der höchsten Leitungsebene. Wichtig ist die Vermeidung von Interessenkonflikten: Die Person darf keine Aufgaben wahrnehmen, die im Widerspruch zu ihrer Überwachungsrolle stehen. Diese Anforderungen sollen sicherstellen, dass der DSB seine Kontrollfunktion tatsächlich wirksam und unabhängig ausüben kann und nicht zum blossen Feigenblatt wird.
Der DSB im Zusammenspiel mit anderen Pflichten
Der Datenschutzbeauftragte steht im Zentrum eines Netzes weiterer Datenschutzpflichten. Er ist eng eingebunden in die Durchführung von Datenschutz-Folgenabschätzungen, in die Führung des Verzeichnisses der Verarbeitungstätigkeiten, in die Behandlung von Betroffenenanfragen und in den Umgang mit Datenpannen. Auch bei der Gestaltung von Auftragsverarbeitungsverträgen mit Dienstleistern bringt er seine Expertise ein. Diese Verzahnung macht deutlich, dass der DSB keine isolierte Funktion ist, sondern ein Knotenpunkt, an dem die verschiedenen Stränge der Datenschutz-Compliance zusammenlaufen. Ein gut eingebundener DSB erhöht die Datenschutzreife des gesamten Unternehmens.
Praktische Empfehlung
Auch dort, wo kein DSB zwingend vorgeschrieben ist, kann seine freiwillige Benennung sinnvoll sein, weil sie die Datenschutz-Compliance strukturiert und Vertrauen schafft. Unternehmen sollten zunächst sorgfältig prüfen, ob für sie eine Pflicht besteht — was angesichts der unterschiedlichen Regeln in EU, einzelnen Mitgliedstaaten und der Schweiz nicht immer offensichtlich ist. Besteht eine Pflicht, ist die Wahl zwischen interner und externer Lösung sorgfältig abzuwägen. Innopulse berät zu dieser Einordnung im Rahmen seiner Datenschutz- und Compliance-Leistungen und hilft, die passende Lösung für die jeweilige Unternehmenssituation zu finden.
Fazit
Die Stellung des DSB im Unternehmen
Die Unabhängigkeit des Datenschutzbeauftragten ist rechtlich besonders geschützt. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt oder abberufen werden und berichtet unmittelbar der höchsten Leitungsebene. Diese geschützte Stellung soll sicherstellen, dass er seine Kontroll- und Beratungsfunktion auch dann wirksam ausüben kann, wenn seine Empfehlungen unbequem sind. Zugleich bleibt die Verantwortung für die Einhaltung des Datenschutzrechts beim Verantwortlichen selbst — der DSB berät und überwacht, trifft aber nicht die unternehmerischen Entscheidungen. Diese Rollenteilung ist wichtig: Der DSB ist Berater und Kontrolleur, nicht der Entscheider, und genau diese Distanz ermöglicht seine unabhängige Überwachungsfunktion.
Praktische Einbindung des DSB
Damit ein Datenschutzbeauftragter seine Rolle wirksam ausüben kann, muss er früh und umfassend eingebunden werden. Er sollte bei neuen Vorhaben, die personenbezogene Daten betreffen, bereits in der Planung beteiligt werden, statt erst nachträglich um eine Beurteilung gebeten zu werden. Er braucht Zugang zu den nötigen Informationen und Ressourcen sowie die Unterstützung der Leitung. In der Praxis bewährt es sich, den DSB in die Prozesse zur Entwicklung neuer Produkte, zur Auswahl von Dienstleistern und zum Umgang mit Datenpannen fest einzubinden. Eine solche frühe und kontinuierliche Einbindung macht den Datenschutz zu einem integralen Bestandteil der Abläufe, statt zu einer nachträglichen Pflichtübung.
Fazit zum Datenschutzbeauftragten
Der Datenschutzbeauftragte überwacht und berät unabhängig, während die Verantwortung beim Unternehmen selbst bleibt. Ob seine Bestellung Pflicht ist, hängt vom anwendbaren Recht und der Art der Verarbeitung ab — die DSGVO und einzelne Mitgliedstaaten kennen klare Pflichtfälle, in der Schweiz ist sie meist freiwillig. Entscheidend für seine Wirksamkeit sind seine geschützte Unabhängigkeit und seine frühe, kontinuierliche Einbindung in die Abläufe. Innopulse hilft Unternehmen, ihre Pflichtlage einzuordnen und die Rolle sinnvoll zu besetzen und einzubinden.
Der Datenschutzbeauftragte überwacht die Einhaltung des Datenschutzrechts, berät die Verantwortlichen und dient als Anlaufstelle für Behörden und Betroffene. Ob seine Bestellung Pflicht ist, hängt von der Art der Verarbeitung und vom anwendbaren Recht ab — die DSGVO und einzelne Mitgliedstaaten kennen klare Pflichtfälle, während die Bestellung in der Schweiz meist freiwillig ist. Wer prüft, ob eine Pflicht besteht, und die Rolle mit einer fachkundigen, unabhängigen Person besetzt, schafft eine zentrale Grundlage für gelebten Datenschutz im Unternehmen.