Überblick

Datenschutz ist eine Aufgabe für das gesamte Unternehmen. Die Verantwortung für die ordnungsgemäße Umsetzung der datenschutzrechtlichen Verpflichtungen trägt die Geschäftsleitung. Das bedeutet : Auch wenn ein Unternehmen gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, so muss es dennoch sämtliche Anforderungen aus der DSGVO und dem BDSG umsetzen.

• Der Datenschutzbeauftragte ist der Ansprechpartner im Unternehmen für Datenschutzthemen. Er unterrichtet und berät die Geschäftsleitung, damit diese ihren gesetzlichen Verpflichtungen im Datenschutz nachkommen kann.
• Der Datenschutzbeauftragte berichtet unmittelbar an die höchste Managementebene des Verantwortlichen oder des Auftragsverarbeiters. Es empfiehlt sich daher, den Datenschutzbeauftragten organisatorisch direkt der Geschäftsleitung zu unterstellen.
• Der Datenschutzbeauftragte agiert in seinem Verantwortungsbereich weisungsfrei. Er muss bei allen Entscheidungen, die den Datenschutz betreffen, frühzeitig und vollumfänglich eingebunden werden, was spätere und möglicherweise kostenintensive Korrekturen von Prozessen vermeidet, die nicht gesetzeskonform aufgesetzt wurden. Treffen Verantwortliche bzw. Auftragsverarbeiter Entscheidungen, die der DSGVO und den Empfehlungen des Datenschutzbeauftragten zuwiderlaufen, muss der Datenschutzbeauftragte die Möglichkeit haben, seine abweichende Meinung den Entscheidungsträgern deutlich mitzuteilen.
• Der betriebliche Datenschutzbeauftragte genießt einen besonderen Kündigungsschutz, um seine Aufgaben unabhängig ausüben zu können. Daher kann eine Abberufung grundsätzlich nur dann erfolgen, wenn eine Kündigung aus wichtigem Grund gerechtfertigt ist. Und selbst über die Ausübung der Funktion des betrieblichen Datenschutzbeauftragten hinaus ist noch die auf 12 Monate verlängerte Kündigungsschutzfrist gemäß § 38 Absatz 2 BDSG („nicht-öffentliche Stellen“) in Verbindung mit § 6 Absatz 4 BDSG („öffentliche Stellen“) zu beachten. Wenn einem Mitarbeiter, der intern mit der Aufgabe des Datenschutzbeauftragten betraut wurde, gekündigt wird, so bleibt er dennoch zunächst noch der Datenschutzbeauftragte im Unternehmen. Dies ist in der Praxis bei der Bestellung eines betrieblichen Datenschutzbeauftragten sorgfältig zu beachten.
• Beim externen Datenschutzbeauftragten wird in der Regel eine befristete Bestellung durch entsprechende vertragliche Vereinbarungen vorgenommen. Zur Vertragsausgestaltung mit externen Datenschutzbeauftragten empfehlen die Datenschutzaufsichtsbehörden „grundsätzlich eine Mindestvertragslaufzeit von 4 Jahren, bei Erstverträgen wegen der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit von 1 – 2 Jahren“, siehe Empfehlung „Mindestanforderungen an DSB nach § 4f II und III BDSG [a.F.] des „Düsseldorfer Kreis“ (seit dem 25.05.2018 „Datenschutzkonferenz, DSK“) vom 24./25. November 2010.
• Dem betrieblichen Datenschutzbeauftragten sind vom Verantwortlichen und/oder Auftragsverarbeiter die zur Aufgabenerfüllung notwendigen Ressourcen zur Verfügung zu stellen. Dazu zählen unter anderem Arbeitszeit, Räume, Mitarbeiter und die Bereitstellung von Literatur und Fortbildungen zur Erhaltung seines Fachwissens. Daneben muss sichergestellt sein, dass der Datenschutzbeauftragte Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen erhält.
• Der Datenschutzbeauftragte ist sofort nach Aufnahme der Datenverarbeitungstätigkeit im Sinne der Ausführungen unter dem Punkt „DSB Bestellpflicht“ des Unternehmens schriftlich zu bestellen und der zuständigen Datenschutzaufsichtsbehörde zu melden.
• Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben (siehe „DSB Aufgaben“) erforderliche Fachkunde besitzt (siehe „DSB Anforderungen“).
• Wenn das Unternehmen gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, so sind dennoch sämtliche Anforderungen aus der DSGVO und dem BDSG umzusetzen. Die Gesamtverantwortung hierfür trägt die Geschäftsleitung. Dies ist ebenso der Fall, falls der Datenschutzbeauftragte abberufen wird. 

Bestellpflicht

Die Bestellung eines betrieblichen Datenschutzbeauftragten ist in den Artikeln 37, 38 und 39 DSGVO in Verbindung mit § 38 BDSG geregelt, der maßgeblich für die Bundesrepublik Deutschland ist. Da die Frage nach der Bestellpflicht mitunter nicht einfach zu beantworten ist, haben wir hier einen interaktiven Selbstcheck für Unternehmen entwickelt, mit welchem Sie prüfen können, ob Ihr Unternehmen gesetzlich verpflichtet ist, einen Datenschutzbeauftragten zu bestellen.

BDSG § 38 Datenschutzbeauftragte nichtöffentlicher Stellen

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Demnach ist ein Datenschutzbeauftragter zu bestellen, wenn personenbezogene Daten (Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)) automatisiert erhoben oder verarbeitet („automatisierte Verarbeitung“) werden und damit in der Regel mindestens 20 Personen ständig beschäftigt sind. Hier reicht es schon aus, wenn z.B. Adressen und Telefonnummern erfasst und Briefe, Rechnungen oder Aufträge mittels eines Computers bearbeitet werden. Dies trifft in der heutigen Zeit nahezu auf jedes Unternehmen zu, welches personenbezogene Daten erhebt und verarbeitet.

Sowohl die Leitung als auch Teilzeitkräfte, Auszubildende, Leih-/ Aushilfspersonal und Praktikanten gehören zu der Zahl der Personen / Arbeitnehmer. Ob es sich um eine Voll- oder Teilzeitbeschäftigung handelt, ist unerheblich. Der Begriff „ständig“ ist dabei so auszulegen, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann tätig wird, wenn es notwendig ist, selbst wenn die Tätigkeit beispielsweise nur jeweils einmal im Monat anfällt.

Daneben ist auch unabhängig von der Anzahl der Personen ein Datenschutzbeauftragter zu benennen, wenn

• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden.
• Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen. Dies sind Verarbeitungen, die ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen erwarten lassen. Diese Risiken sind beispielsweise gegeben, wenn Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person verarbeitet werden. Risiken sind ebenfalls gegeben, wenn die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten (einschließlich Profiling). Im Falle einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung), ist eine Datenschutz-Folgenabschätzung ebenfalls erforderlich. Eine solche Datenschutz-Folgenabschätzung ist stets vor Beginn der Verarbeitung vorzunehmen. Welche Vorgänge zwingend einer Datenschutz-Folgenabschätzung zu unterwerfen sind, dies haben die deutschen Datenschutzaufsichtsbehörden in einem offiziellen Kurzpapier veröffentlicht. (https://www.ldi.nrw.de/mainmenu_Aktuelles/submenu_EU-Datenschutzreform/Inhalt/EU-Datenschutzreform/DSK_DSFA_Muss-Liste_Version_1_1_Deutsch.pdf)

Soweit keine Pflicht zur Benennung eines Datenschutzbeauftragten vorliegt, unterstützt und begrüßt die LDI NRW freiwillige Bemühungen durch die Verantwortlichen und Auftragsverarbeiter. Im Falle einer freiwilligen Benennung eines Datenschutzbeauftragten unterliegen dessen Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung.

Verantwortliche und Auftragsverarbeiter müssen die Kontaktdaten des Datenschutzbeauftragten sowohl innerhalb der Organisation (z.B. Intranet) als auch auf der Homepage für außenstehende Dritte veröffentlichen und zudem der zuständigen Aufsichtsbehörde melden.

Anforderungen

Grundsätzlich muss das Anforderungsprofil eines Datenschutzbeauftragten folgende Aspekte umfassen:

• Berufliche Qualifikation
• Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
• Fachwissen in Bezug auf IT-Systeme und IT-Sicherheitsmaßnahmen
• Fähigkeit zur Erfüllung der Aufgaben nach Artikel 39 DSGV

Eine nähere Konkretisierung außer der Vorgabe, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt und dass er in der Lage ist, seine Aufgaben zu erfüllen, gibt das Gesetz nicht an.

Um einen Interessenskonflikt zu vermeiden, darf der Datenschutzbeauftragte gemäß DSGVO nicht gleichzeitig auch folgende Stellung innehaben:

• Leitung eines Unternehmens oder einer Behörde
• Leitung der IT-Abteilung
• Leitung der Personal-Abteilung
• Beschäftigter der IT- oder Personalabteilung, wenn dieser in der Lage ist, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.

Aufgaben

Die Aufgaben des Datenschutzbeauftragten ergeben sich aus Artikel 39 DSGVO. Danach obliegen dem Datenschutzbeauftragten zumindest die nachfolgend aufgeführten Aufgaben:

• Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften unter Berücksichtigung des risikoorientierten Ansatzes
• Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten
• Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgen-abschätzungen sowie Überwachung der Durchführung
• Zusammenarbeit mit der Aufsichtsbehörde
• Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen
• Ansprechpartner für Betroffene in allen Fragen zur Verarbeitung ihrer personenbezogenen Daten

Nutzen

Von der Stellung des Datenschutzbeauftragten profitieren nicht nur die Kunden, Mitarbeiter und Vertragspartner des Unternehmens durch den Schutz ihrer personenbezogenen Daten sondern letztlich das gesamte Unternehmen. Es werden die rechtlichen, wirtschaftlichen und öffentlichkeitswirksamen Problemstellungen des Datenschutzes effektiv gebündelt, von einer zentralen Stelle behandelt und gesetzeskonform kontrolliert. Die Reputation des Unternehmens wird somit in Bezug auf die öffentliche Wahrnehmung effektiv geschützt. 

Der Datenschutzbeauftragte kontrolliert und berät das Unternehmen auf die Belange des Datenschutzes und entlastet die Geschäftsleitung somit bei dieser Überwachungspflicht. 

Sollte ein Datenschutzbeauftragter grob fahrlässig oder vorsätzlich falsch handeln, so wird auch ihm rechtlich im Einzelfall die Verantwortung seines Handels zur Last gelegt und nicht der Geschäftsleitung. Dieser Punkt gilt verstärkt im Falle der Bestellung eines externen Datenschutzbeauftragten. 

Der Datenschutzbeauftragte ist für die Zuweisung von regelmäßigen Schulungen der Mitarbeiter mit dem Ziel der auf Dauer angelegten Sensibilisierung verantwortlich und schafft somit die Grundlage für einen sicheren Umgang mit persönlichen Daten im Unternehmen.

Kunden, Mitarbeiter und Vertragspartner wissen es zu schätzen, wenn ihre Daten sicher verarbeitet und verwahrt werden. 

Vergleich intern/extern

Artikel 37, 38 und 39 DSGVO in Verbindung mit § 38 BDSG regeln die Bestellung des Datenschutzbeauftragten. Ob man dabei jedoch einen internen Mitarbeiter zum Datenschutzbeauftragten ausbilden lässt oder das Thema „Datenschutz und Datensicherheit“ in die Hände eines externen Datenschutzbeauftragten legt, überlässt das Gesetz der freien Entscheidung der Geschäftsleitung.

1. Welche Voraussetzungen muss ein Datenschutzbeauftragter erfüllen?

• Interner Datenschutzbeauftragter: 

  Nicht jeder interne Mitarbeiter eignet sich für die Besetzung der Funktion des betrieblichen Datenschutzbeauftragten. Es scheiden alle Personen aus, welche sich faktisch selbst kontrollieren müssten. Hierzu zählen nach herrschender Meinung beispielsweise Mitglieder der Geschäftsführung oder des Vorstands des Unternehmens, IT-Leiter, Personalleiter oder der Leiter des Marketings/Vertriebs, sowie Partner oder Sozius im Falle einer Kanzlei. Dementsprechend wäre zum Beispiel auch ein externer EDV-Dienstleister als kritisch anzusehen. Mitarbeiter, die Aufgaben innerhalb von Organisationseinheiten mit Verarbeitung von besonders umfangreichen oder sensiblen personenbezogenen Daten wahrnehmen, scheiden ebenfalls aus.

  Der zu bestellende Mitarbeiter hat tiefgehende technische, betriebswirtschaftliche und rechtliche Kenntnisse und verfügt in seiner täglichen Arbeit über die notwendigen Zeitreserven, um sich in das komplexe Thema des Datenschutzes einzuarbeiten, die notwendigen Schulungen zu besuchen und die laufende Betreuung dieses Themengebietes im ganzen Unternehmen sicherzustellen.

  Der Mitarbeiter ist darüber hinaus bereit, die mit der Aufgabe einhergehende Verantwortung und persönliche Schadensersatzpflicht gegenüber Betroffenen zu übernehmen und genießt das vollumfängliche Vertrauen der Geschäftsleitung, da auch vertrauliche Betriebsinterna für den Datenschutz relevant sein können.

• Externer Datenschutzbeauftragter:  

  Der externe Datenschutzbeauftragte muss den Anforderungen der DSGVO und des BDSG in den Punkten „Fachkunde“ und „Zuverlässigkeit“ entsprechen. Dies bedeutet insbesondere, dass der Dienstleister nachweislich über die technische, juristische und betriebswirtschaftliche / organisatorische Kompetenz verfügt und dem Unternehmen vertrauenswürdig erscheint.

  Weiterhin muss der Dienstleister über eine spezielle Berufshaftpflicht verfügen, um im Falle nachgewiesenen vorsätzlichen und grob fahrlässigen Handelns dem Unternehmen gegenüber das Risiko von Bußgeldern finanziell abzumildern.

2. Welche Kosten sind mit einer Bestellung verbunden?

• Interne Bestellung:

  Grundsätzlich ist vom Unternehmen das normale bisherige Gehalt des Mitarbeiters zuzüglich eines eventuellen Aufschlags aufgrund der zusätzlichen verantwortungsvollen Aufgabe als Datenschutzbeauftragter zu zahlen.

  Darüber hinaus fallen Fortbildungskosten an: Im ersten Jahr wird der Grundstein durch diverse Schulungen und Seminare gelegt. Während der Folgejahre wird das Wissen fortlaufend durch Seminare und Fachzeitschriften erneuert und an den aktuellen Rechtsstand angepasst.

  Bedacht werden sollte ebenfalls, dass dem internen Datenschutzbeauftragten Zeitfernster innerhalb seiner regulären Arbeitszeit, nicht nur für die oben genannten Fortbildungen, sondern auch für seine neue Tätigkeit, eingeräumt werden müssen. Während dieser Zeiten kann der Mitarbeiter naturgemäß nicht seinen ursprünglichen Tätigkeiten nachgehen, die gegebenenfalls ein anderer Mitarbeiter übernehmen muss. Dies gilt natürlich nicht, wenn ohnehin aufgrund der Größe des Unternehmens ein eigens angestellter und freigestellter Datenschutzbeauftragter in Teil- oder Vollzeit erforderlich ist, der keine weiteren Funktionen im Unternehmen erfüllt.

• Externe Bestellung:

  Die Kosten des externen Datenschutzbeauftragten richten sich grundsätzlich nach den Bedürfnissen des Unternehmens, der Unternehmensgröße und der verarbeiteten Daten. Dabei werden das Leistungsspektrum, Kosten und Laufzeit individuell vertraglich vereinbart.

  In der Regel wird eine fixe monatliche Gebühr vereinbart, welche mindestens die Stellung des Datenschutzbeauftragten sowie den Zugang zum Datenschutzmanagementsystem abdeckt, meistens aber ebenfalls die gesetzlich vorgeschriebenen Leistungen beinhaltet . Auf Wunsch und auch bei darüber hinaus gehenden Leistungen wird je nach Vereinbarung variabel abgerechnet.

  Zusätzliche Fortbildungskosten fallen für das Unternehmen nicht an, da der externe Datenschutzbeauftragte sich eigenverantwortlich fort- und weiterbildet.

3. Wann kann der Datenschutzbeauftragte starten?

• Interner Datenschutzbeauftragter:

  Der betriebliche Datenschutzbeauftragte wird seine Funktion wahrnehmen, nachdem die Seminare durchlaufen wurden und die Grundausbildung erfolgreich abgeschlossen ist und sobald intern Aufgaben, welche der Datenschutzbeauftragte wegen seiner neuen Tätigkeit nun nicht mehr wahrnehmen kann, delegiert wurden.

• Externer Datenschutzbeauftragter:

  Der externe Datenschutzbeauftragte wird mit dem vertraglich vereinbarten Beginn der Dienstleistung, spätestens aber nach der Bestellung, unmittelbar tätig.

4. Welche Befugnisse hat der Datenschutzbeauftragte und wem ist er unterstellt?

• Interner Datenschutzbeauftragter:

  Der Datenschutzbeauftragte ist in dieser Funktion unmittelbar der Geschäftsleitung unterstellt und hat folgende Befugnisse:
  – Weisungsfreiheit bei der Ausübung seiner Tätigkeit
  – Einsichtsrecht in sämtliche Unterlagen (ggf. auch vertrauliche Interna)
  – Initiativ- und Einspruchsrecht, verbunden mit einem direkten Kontrollrecht zur Wahrung seiner Aufgaben im Bereich des Datenschutzes. Hierbei darf nicht auf die Einhaltung der Dienstwege bestanden werden.

  Die Erfahrung zeigt, dass ein interner Datenschutzbeauftragter bei der Durchsetzung seiner Belange aufgrund seiner Stellung als Datenschutzbeauftragter und Kollege im Unternehmen auf Probleme mit langjährigen und bisher gleichgestellten Kollegen treffen kann.

• Externer Datenschutzbeauftragter:

  Der Datenschutzbeauftragte wird unmittelbar der Geschäftsführung unterstellt und hat folgende Befugnisse:
  – Weisungsfreiheit bei der Ausübung seiner Tätigkeit
  – Einsichtsrecht in sämtliche Unterlagen (ggf. auch vertrauliche Interna)
  – Initiativ- und Einspruchsrecht, verbunden mit einem direkten Kontrollrecht zur Wahrung seiner Aufgaben. Hierbei darf nicht auf die Einhaltung der Dienstwege bestanden werden.

  Die Erfahrung zeigt, dass ein externer Datenschutzbeauftragter bei den Mitarbeitern eines Unternehmens eine höhere Akzeptanz besitzt und das oben beschriebene Konfliktpotential fehlt.

5. Wie steht es um das Thema „Kündigung“?

• Interner Datenschutzbeauftragter:

  Schon vor der am 01.09.2009 in Kraft getretenen BDSG Novelle II sah das Gesetz einen besonderen Kündigungsschutz des Datenschutzbeauftragten durch ein Benachteiligungsverbot vor. Dieses Benachteiligungsverbot besteht auch nach der Gesetzesänderung fort, wurde aber durch ein spezielles Kündigungsverbot erweitert. Neben der Erweiterung des Kündigungsschutzes wird dieser auch auf die Zeit nach der Beendigung der Funktion des Datenschutzbeauftragten erstreckt.

  Der Kündigungsschutz ist somit an gesetzlich bestehende Sonderkündigungsschutztatbestände ähnlicher Funktionsträger, wie zum Beispiel von Betriebsratsmitgliedern, angeglichen worden.

  Selbst nach Widerruf (für den ein wichtiger Grund vorliegen muss) der Bestellung gilt der Kündigungsschutz noch ein Jahr.

• Externer Datenschutzbeauftragter:

  Eine ordentliche Kündigung ist jederzeit innerhalb der vertraglich vereinbarten Kündigungsfrist möglich.

Vorteile externer Datenschutzbeauftragter (DSB)

Risiken und Strafen bei Nichtbestellung

Welche beispielhaften Risiken bestehen für Unternehmen ohne bestellten Datenschutzbeauftragten?

• Sofern das Unternehmen verpflichtet ist / war, einen Datenschutzbeauftragten zu bestellen, besteht das Risiko eines Bußgeldes durch die zuständige Datenschutzaufsichtsbehörde.
• Der mögliche Reputationsverlust, der durch einen fahrlässig oder vorsätzlich im Unternehmen verursachten Datenschutzvorfall entstehen kann, ist in der heutigen Zeit immens. Hierbei ist es letztlich für die Außenwirkung des betroffenen Unternehmens irrelevant, ob der Datenschutzvorfall durch einen Mitarbeiter oder einen externen Dienstleister ausgelöst wurde.
• Der Verlust oder Diebstahl von verarbeiteten und / oder verwalteten persönlichen Daten führt neben allen anderen rechtlichen Konsequenzen auch dazu, dass gegebenenfalls die Benachrichtigungspflicht gegenüber den Betroffenen, der zuständigen Aufsichtsbehörde und schlimmstenfalls der Öffentlichkeit mittels „einer öffentlichen Bekanntmachung“ erfolgen muss.
• Ohne bestellten Datenschutzbeauftragten wenden sich die betroffenen Mitarbeiter, Kunden und Vertragspartner unter Umständen direkt mit möglichen Anliegen und Beschwerden bezüglich des Datenschutzes des betroffenen Unternehmens an die zuständige Aufsichtsbehörde. Dies kann zur Prüfung des Unternehmens vor Ort durch die Aufsichtsbehörde führen.
• Ein nicht datenschutzkonform gestalteter Internetauftritt kann zu kostenpflichtigen Abmahnungen durch Wettbewerber und zur Einschaltung der zuständigen Aufsichtsbehörde führen.
• Fehlende, unvollständige oder falsche Informationen zur Erhebung und Verarbeitung von Daten wie Bewerberdaten, Kundendaten und Videoüberwachungsdaten sind bußgeldbewährt.

Nach Artikel 83 DSGVO  stellt  jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Geldbußen können je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen verhängt werden. Bei Verstößen gegen die Bestellpflicht werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.