Pflichten eines externen Datenschutzbeauftragten — Praxisleitfaden

Nach Art. 37 DSGVO ist ein DSB in drei Fällen Pflicht: bei Behörden und öffentlichen Stellen, wenn die Kerntätigkeit eine umfangreiche regelmäßige Überwachung von Personen erfordert, oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien besteht. In Deutschland geht § 38 BDSG weiter: Ein DSB ist Pflicht, sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. In der Praxis betrifft das fast jedes Unternehmen ab 20 Mitarbeitern. Der DSB kann intern oder extern bestellt werden — als externer DSB sind Sie als Dienstleister tätig und betreuen typischerweise mehrere Mandanten parallel.

Die DSGVO definiert fünf Kernaufgaben des DSB: Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften, Beratung bei der Datenschutz-Folgenabschätzung (DSFA), Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für die Aufsichtsbehörde. Wichtig: Der DSB ist nicht für die Umsetzung des Datenschutzes verantwortlich — das bleibt Aufgabe des Verantwortlichen (Ihres Mandanten). Der DSB überwacht, berät und informiert. Diese Abgrenzung ist für Ihre Haftung entscheidend: Sie haften nicht dafür, dass Ihr Mandant Ihre Empfehlungen nicht umsetzt — aber Sie müssen nachweisen können, dass Sie beraten haben.

Art. 38 DSGVO garantiert die Unabhängigkeit des DSB: Er darf wegen seiner Aufgabenerfüllung nicht abberufen oder benachteiligt werden, er berichtet unmittelbar der höchsten Managementebene, und er darf keine Anweisungen bezüglich seiner Tätigkeit erhalten. Der DSB unterliegt der Geheimhaltung. Als externer DSB haben Sie den Vorteil, dass Interessenkonflikte seltener auftreten als bei internen DSBs (die z. B. nicht gleichzeitig IT-Leiter sein dürfen). Achten Sie dennoch darauf, dass Sie für denselben Mandanten nicht gleichzeitig als DSB und als Berater für die Implementierung tätig sind — das wäre eine Selbstkontrolle und ein Interessenkonflikt.

Die größte Herausforderung als externer DSB mit vielen Mandanten ist die Organisation. Für jeden Mandanten müssen Sie dokumentieren: Bestellurkunde und Meldung an die Aufsichtsbehörde, regelmäßige Datenschutzberichte (mindestens jährlich), Prüfergebnisse und Empfehlungen, Schulungsnachweise, VVT-Status und DSAR-Bearbeitung. Ein zentrales Tool wie Trustee.eu hilft, diese Dokumentation strukturiert und mandantenübergreifend zu führen. Statt 15 verschiedene Ordnerstrukturen zu pflegen, haben Sie alles in einem Dashboard — mit automatischen Erinnerungen für wiederkehrende Pflichten.