Ir al contenido

Wirtschaftsglossar

Datenschutzbeauftragter (DSB/DPO)

Ein Datenschutzbeauftragter (DSB) ist eine benannte Person, die für die Überwachung der Datenschutzstrategie einer Organisation und die Sicherstellung der Compliance mit der DSGVO und Spaniens LOPD-GDD verantwortlich ist. Der DSB fungiert als interne Anlaufstelle für Betroffene und die AEPD, arbeitet mit garantierter Unabhängigkeit und darf für die Ausübung seiner Aufgaben nicht benachteiligt werden.

Digital

Was ist ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte (DSB) — auf Englisch Data Protection Officer (DPO) — ist die Person, die gesetzlich verpflichtet sein kann oder freiwillig benannt werden kann, um die Einhaltung der Datenschutzvorschriften einer Organisation zu überwachen, zu beraten und zu koordinieren. Die DSGVO gibt dem DSB besondere Unabhängigkeit: er berichtet an das höchste Management, darf für die Ausübung seiner Aufgaben nicht benachteiligt oder abgesetzt werden.

Wann ist ein DSB verpflichtend?

Nach Artikel 37 DSGVO ist ein DSB verpflichtend für: öffentliche Stellen und Behörden; Organisationen, deren Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung von Betroffenen erfordert; und Organisationen, deren Kerntätigkeit die umfangreiche Verarbeitung besonderer Datenkategorien oder von Daten über strafrechtliche Verurteilungen umfasst.

Die spanische LOPDGDD (Artikel 34) erweitert diese Liste erheblich auf spezifische Branchen.

Kernaufgaben des DSB

Der DSB berät die Organisation und ihre Mitarbeiter zu Datenschutzpflichten; überwacht die Einhaltung der DSGVO und der internen Datenschutzrichtlinien; berät bei und überwacht DSFA-Durchführungen; fungiert als Kontaktstelle für die AEPD; und fungiert als Anlaufstelle für Betroffene.

Unabhängigkeitsanforderungen

Der DSB muss: keine Anweisungen zur Ausführung seiner Aufgaben erhalten; Zugang zu allen Ressourcen haben, die für die Ausübung seiner Aufgaben benötigt werden; direkt auf der höchsten Managementebene berichten; und nicht für die Ausübung seiner Aufgaben benachteiligt werden.

Das ausgelagerte DSB-Modell (DPO-as-a-Service)

Viele spanische Unternehmen — insbesondere KMU und mittelgroße Unternehmen — entscheiden sich für einen ausgelagerten DSB, der die Funktion auf Basis eines externen Dienstleistungsvertrags erfüllt. Dieser Ansatz ermöglicht Zugang zu spezialisiertem Datenschutz-Know-how zu niedrigeren Kosten als ein Vollzeit-DSB.

AEPD-Registrierung

Sowohl interne als auch externe DSBs müssen mit der AEPD über das Registro de Delegados de Protección de Datos registriert werden. Die Kontaktdaten des DSB müssen in allen Datenschutzhinweisen veröffentlicht werden.

Wie BMC helfen kann

Wir bieten DSB-als-Dienstleistung für spanische und auslandsgeführte Unternehmen an: Übernahme der DSB-Funktion, Registrierung bei der AEPD, Einbeziehung in DSFA und Datenschutzverletzungsreaktionen und laufende Beratung zu DSGVO-Compliance-Fragen.

Häufig gestellte Fragen

Wann ist ein DSB in Spanien verpflichtend?
Nach Artikel 37 DSGVO ist ein DSB verpflichtend für öffentliche Stellen, Organisationen, deren Kerntätigkeit eine umfangreiche systematische Überwachung von Personen erfordert, und Organisationen, deren Kerntätigkeit eine umfangreiche Verarbeitung besonderer Datenkategorien umfasst. Artikel 34 der spanischen LOPDGDD erweitert diese Liste erheblich auf Kredit- und Versicherungsunternehmen, Energie- und Telekommunikationsanbieter, Glücksspielanbieter, Bildungseinrichtungen, Werbeagenturen und Pharmaunternehmen.
Kann ein spanisches Unternehmen einen externen ausgelagerten DSB benennen?
Ja. Artikel 37 Abs. 6 DSGVO erlaubt ausdrücklich eine DSB-als-Dienstleistung-Vereinbarung, bei der ein externer Anbieter als DSB auf Basis eines Dienstleistungsvertrags fungiert. Der ausgelagerte DSB darf mehrere Organisationen betreuen (vorbehaltlich fehlender Interessenkonflikte), muss unter denselben Bedingungen wie ein interner DSB bei der AEPD registriert sein und muss für Mitarbeiter und Betroffene tatsächlich erreichbar sein.
Was sind die Unabhängigkeitsanforderungen für den DSB nach der DSGVO in Spanien?
Der DSB muss funktional unabhängig sein, direkt auf der höchsten Managementebene berichten und keine Anweisungen zur Ausführung seiner Datenschutzaufgaben erhalten. Er darf nicht abgesetzt oder benachteiligt werden. Die AEPD hat Fälle untersucht, in denen DSBs nach dem Einwand der Organisation entlassen wurden, und dies als DSGVO-Verstoß eingestuft.
Was sind die Sanktionen für die Nichtbenennung eines verpflichtenden DSB in Spanien?
Das Versäumnis der Benennung eines verpflichtenden DSB ist selbst ein Verstoß nach Artikel 37 DSGVO, der Bußgelder von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes nach sich zieht. Die AEPD hat Organisationen speziell für diesen Verstoß sanktioniert.
Was muss ein spanisches Unternehmen nach der Benennung eines DSB tun?
Nach der Benennung eines DSB muss das Unternehmen dessen Kontaktdaten bei der AEPD registrieren und in allen Datenschutzhinweisen veröffentlichen. Der DSB muss in alle Datenschutzangelegenheiten einbezogen werden, einschließlich DSFA, Reaktion auf Datenschutzverletzungen und Bearbeitung von Betroffenenrechtsanfragen.

Verwandte Leistung

Legal

Entdecken Sie unsere Leistungen in diesem Bereich

Verwandte Branchen

Technologie & Startups Finanzdienstleistungen

Verwandte Begriffe

DSGVO in Spanien (LOPD-GDD) Datenschutz-Folgenabschätzung (DSFA/DPIA) Datenschutz durch Technikgestaltung (Privacy by Design) Standardvertragsklauseln (SCC)

Verwandte Artikel

Juni 2024

Finanzsektor: Compliance-Landschaft 2024

Dez. 2024

Logistiksektor: Lieferkette und Compliance 2024

Feb. 2025

KI-Gesetz: Pflichten für Hochrisikosysteme

Mai 2024

EU-KI-Gesetz veröffentlicht: Was Unternehmen wissen müssen

Zurück zum Glossar

Fordern Sie eine persönliche Beratung an

Unsere Experten analysieren Ihre Situation und bieten maßgeschneiderte Lösungen.

Kostenlose Erstberatung
Anrufen Kontakt