77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO: Pflichtenkatalog mit Nachweisstruktur
Datenschutz & Privacy

Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO: Pflichtenkatalog mit Nachweisstruktur

8. Juli 202612 Min. LesezeitVon Lena Vogt
CIVAC

Art. 39 DSGVO listet fünf Kernaufgaben des Datenschutzbeauftragten. Dieser Leitfaden zerlegt jede Pflicht in operative Schritte, beschreibt die nötige Nachweisstruktur und zeigt, wie CIVAC Bestellung, Berichtslinie und Dokumentation in einem Workspace bündelt.

Art. 39 DSGVO definiert seit dem 25. Mai 2018 die Mindestaufgaben jedes benannten Datenschutzbeauftragten und bindet diese unmittelbar an die Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 DSGVO. Der Wortlaut nennt fünf Aufgabenfelder: Unterrichtung und Beratung, Überwachung der Einhaltung, Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung, Zusammenarbeit mit der Aufsichtsbehörde und Funktion als Anlaufstelle für Betroffene. Wer eine dieser Pflichten nicht belegen kann, gerät bei einer Prüfung nach Art. 58 DSGVO sofort in Erklärungsnot. Die Aufsichtsbehörden in Deutschland prüfen seit 2024 vermehrt anlassunabhängig, häufig per Fragebogen mit 30 bis 60 Detailpunkten.

Dieser Artikel zerlegt jede Aufgabe in operative Bausteine, ordnet ihr eine Nachweisform zu und beschreibt, wie sich die Pflichten ohne Mehraufwand parallel zum Tagesgeschäft führen lassen. Behandelt werden Wortlaut, Systematik mit Art. 37 und 38 DSGVO, Schnittstellen zu § 38 BDSG, Risikoorientierung nach Art. 39 Abs. 2 sowie die Berichtslinie an die Leitung. CIVAC versteht sich als Compliance-Plattform und Officer-as-a-Service: Sie erhalten entweder einen Workspace, in dem Ihr interner Beauftragter Art. 39 strukturiert abarbeitet, oder bestellen einen externen Datenschutzbeauftragten, der die Pflichten übernimmt und Bestellurkunde, Berichtslinie und Tätigkeitsdokumentation mitbringt. Beide Wege liefern dasselbe: prüffähige Nachweise statt loser Aktivitäten.

Auf einen Blick

  • Art. 39 Abs. 1 DSGVO benennt fünf Kernaufgaben des DSB und macht sie zur prüfbaren Pflicht des Verantwortlichen.
  • Jede der fünf Aufgaben benötigt eine eigene Nachweisform: Schulungsregister, Audit-Ticket, DSFA-Begleitprotokoll, Behördenkorrespondenz und Anfragenlog.
  • Ohne dokumentierte Berichtslinie an die höchste Leitungsebene nach Art. 38 Abs. 3 DSGVO verliert die operative Arbeit ihre Audit-Festigkeit.

Wortlaut und Systematik von Art. 39 DSGVO

Art. 39 Abs. 1 DSGVO formuliert den Pflichtenkatalog in fünf Buchstaben a bis e und ergänzt in Abs. 2 die Risikoorientierung: Der Datenschutzbeauftragte trägt seinen Aufgaben gebührend Rechnung und berücksichtigt das mit den Verarbeitungsvorgängen verbundene Risiko sowie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung. Diese Risikoorientierung ist kein Beiwerk, sondern entscheidet darüber, welche Verarbeitungen vorrangig geprüft werden und welche Beratungen vertieft erfolgen müssen. Wer alle Verarbeitungen gleich behandelt, verstößt nicht direkt gegen die Norm, verschwendet aber Prüfkapazität und vernachlässigt im Zweifel hohe Risiken, etwa Beschäftigtendaten in HR-Cloudsystemen oder Gesundheitsdaten in betrieblicher Vorsorge.

Systematisch gehört Art. 39 zum Trias der Beauftragten-Vorschriften: Art. 37 regelt die Benennungspflicht und ihre Schwellen, Art. 38 die Stellung und Unabhängigkeit, Art. 39 den Aufgabenkatalog. Wer Art. 39 isoliert liest, verfehlt die Verzahnung mit § 38 BDSG, der für nicht-öffentliche Stellen in Deutschland ergänzt: Ein DSB ist zu benennen, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hinzu kommen Sonderfälle wie umfangreiche Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO oder die regelmäßige und systematische Überwachung Betroffener im großen Umfang. Auch öffentliche Stellen sind nach Art. 37 Abs. 1 lit. a DSGVO unabhängig von Mitarbeiterzahlen benennungspflichtig. Wer die Benennungsschwelle prüfen will, findet Details unter dem externen Datenschutzbeauftragten sowie in der CIVAC-FAQ. Die Aufgaben aus Art. 39 entfalten ihre Wirkung erst, wenn Bestellung, Bestellurkunde und Berichtslinie sauber dokumentiert sind. Bestellurkunde, unterschrieben, abgelegt, belegbar. Ohne diese drei Belege liest der Prüfer im Fragebogen Nr. 1 bereits Stirnrunzeln. Mit ihnen beginnt das Audit auf solider Grundlage, das in der Regel mit Fragen zu Bestellung, Aufgabenfeld und Berichtslinie eröffnet wird, bevor inhaltliche Themen auf den Tisch kommen.

Unterrichtung und Beratung (Art. 39 Abs. 1 lit. a)

Die erste Aufgabe verpflichtet den DSB, den Verantwortlichen, den Auftragsverarbeiter und die Beschäftigten über ihre Pflichten aus der DSGVO und anderen Datenschutzvorschriften zu unterrichten und zu beraten. In der Praxis zerfällt diese Pflicht in vier Bausteine: regelmäßige Datenschutzschulungen für alle Beschäftigten mit Datenverarbeitungsberührung, anlassbezogene Beratung bei neuen Verarbeitungen, schriftliche Stellungnahmen zu Verträgen nach Art. 28 DSGVO sowie Update-Briefings nach jeder Leitlinie des Europäischen Datenschutzausschusses oder relevanten Rechtsprechung des EuGH und BGH. Wer diese vier Bausteine getrennt führt, kommt schnell an die Grenze der eigenen Übersicht.

Die Nachweisform ist ein Schulungs- und Beratungsregister mit Datum, Empfängerkreis, Inhalt, Quellverweis und Lernkontrolle. Wer Unterrichtung nur mündlich praktiziert, kann später nicht belegen, dass Beschäftigte über die 72-Stunden-Meldepflicht nach Art. 33 DSGVO oder die Informationspflichten nach Art. 13 DSGVO informiert wurden. Wir empfehlen jährliche Pflichtschulungen mit Teilnahmenachweis sowie Rolle-spezifische Vertiefungen für HR, IT, Vertrieb und Marketing, ergänzt um Onboarding-Module für neue Mitarbeitende innerhalb der ersten 30 Tage. Bei besonderen Anlässen, etwa der Einführung eines neuen CRM oder einer Microsoft-365-Migration, ist eine anlassbezogene Beratungsnotiz Pflicht: Welches Risiko wurde besprochen, welche Maßnahme empfohlen, welche Entscheidung getroffen? Im CIVAC-Workspace liegen Schulungsvorlagen, Teilnahmelisten und Beratungsprotokolle als verknüpfte Datensätze; Suchanfragen wie alle Beratungen zu Microsoft 365 in Q3 liefern Treffer in Sekunden statt nach stundenlanger Ordnerdurchsicht. Auch Auftragsverarbeitungsverträge nach Art. 28 DSGVO werden gegen eine Prüf-Checkliste mit 18 Punkten geprüft und mit Datum, Prüfer und Befund abgelegt. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. So lässt sich gegenüber der Aufsicht jeder einzelne Beratungsvorgang in Sekunden zeigen.

Überwachung der Einhaltung (Art. 39 Abs. 1 lit. b)

Die Überwachungspflicht ist die umfangreichste Aufgabe und umfasst nach dem Wortlaut die Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union beziehungsweise der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der Mitarbeiter sowie der diesbezüglichen Überprüfungen. Das ist im Klartext: Audits. Und zwar nicht einmalig, sondern in einem rollierenden Zyklus, dessen Frequenz sich aus dem Risiko der jeweiligen Verarbeitung ableitet. Wer Überwachung mit jährlicher Stichprobe gleichsetzt, unterschätzt die kontinuierliche Beobachtungs- und Berichtspflicht aus Art. 39 Abs. 1 lit. b deutlich.

Konkret bedeutet das mindestens fünf wiederkehrende Prüfschritte: Pflege und Stichprobenkontrolle des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO, Prüfung von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO, Kontrolle der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO, Reaktionsfähigkeit auf Betroffenenrechte nach Art. 15 bis 22 DSGVO sowie Prüfung von Drittlandtransfers nach Art. 44 ff. DSGVO. Hinzu treten anlassbezogene Prüfungen bei jeder organisatorischen Veränderung, bei jedem neuen Tool und bei jedem ungewöhnlichen Vorfall. Jede Prüfung erzeugt einen Bericht mit Datum, Prüfumfang, Befund, Risikoeinstufung, Maßnahmenempfehlung, Verantwortlichem und Wiedervorlagedatum. CIVAC liefert 490 einsatzbereite Audit-Vorlagen, die diese Prüfungen entlang Art. 39 strukturieren und die Befunde direkt in das zentrale Maßnahmenregister einspielen. Befund-Schweregrade folgen einer vierstufigen Skala von beobachtet bis kritisch, jede Maßnahme erhält eine Frist und einen Verantwortlichen. Wer wissen will, wie sich Überwachung mit ISO/IEC 27001:2022-Controls verzahnt, findet die Brücke unter ISO 27001:2022 Übergang. Die 93 Controls der Norm liefern den technischen Unterbau, der Art. 32 DSGVO operationalisiert und damit die Überwachungspflicht aus Art. 39 stützt. Der Prüfer ruft an, der Nachweis liegt bereit. Wenige Klicks zeigen letzten Audit-Termin, Befund, Maßnahmenstand und Verantwortlichkeit, ergänzt um die Versionshistorie geänderter Dokumente.

Beratung zur Datenschutz-Folgenabschätzung (Art. 39 Abs. 1 lit. c)

Der DSB berät auf Anfrage im Zusammenhang mit der Datenschutz-Folgenabschätzung und überwacht ihre Durchführung gemäß Art. 35 DSGVO. Diese Pflicht ist eng formuliert: Der DSB führt die DSFA nicht selbst durch, denn das ist Aufgabe des Verantwortlichen. Er begleitet, prüft und kommentiert. Genau diese Begleitung muss dokumentiert sein, sonst lässt sich später nicht belegen, dass der DSB einbezogen wurde. Die Trennung sichert die Unabhängigkeit nach Art. 38 Abs. 3 DSGVO und vermeidet Interessenkonflikte nach Art. 38 Abs. 6 DSGVO, in denen der DSB sich quasi selbst prüfen würde.

Eine vollständige DSFA-Akte enthält neun Bestandteile: systematische Verarbeitungsbeschreibung, Notwendigkeits- und Verhältnismäßigkeitsprüfung, Risikobewertung für die Rechte und Freiheiten der betroffenen Personen, Abhilfemaßnahmen, Stellungnahme des DSB nach Art. 35 Abs. 2 DSGVO, gegebenenfalls Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO, Genehmigungsstand, Reviewdatum sowie Versionshistorie. Typische DSFA-pflichtige Verarbeitungen sind biometrische Zugangskontrollen, KI-gestützte Bewerberauswahl, umfassende Profilbildung, Scoring-Verfahren sowie Videoüberwachung öffentlich zugänglicher Bereiche; die Positivliste der jeweiligen Aufsichtsbehörde ist verbindliche Lesepflicht und unterscheidet sich zwischen den Bundesländern. Die DSK-Kurzpapiere Nr. 5 und Nr. 18 sowie die EDPB-Leitlinie WP248 rev.01 liefern das Methodengerüst. Im CIVAC-Workspace ist die DSFA als Workflow mit Pflichtfeldern angelegt; ein DSFA-Schwellwerttest entscheidet vor Beginn, ob eine vollständige Folgenabschätzung erforderlich ist. Sie können den Workspace lizenzieren, damit Ihr interner DSB die DSFA strukturiert führt, oder Sie lassen unsere Beauftragten bestellen, die DSFA-Begleitung und Stellungnahme inklusive Reviewzyklus übernehmen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege erfüllen Art. 39 Abs. 1 lit. c vollständig und liefern eine Akte, die der Aufsicht im Konsultationsfall ohne Nacharbeit übergeben werden kann.

Zusammenarbeit mit der Aufsichtsbehörde (Art. 39 Abs. 1 lit. d)

Die vierte Aufgabe verlangt vom DSB die Zusammenarbeit mit der Aufsichtsbehörde. Das umfasst aktive Pflichten und reaktive Pflichten. Aktive Pflichten sind beispielsweise die vorherige Konsultation nach Art. 36 DSGVO bei hohem Restrisiko sowie die Übermittlung von Meldungen nach Art. 33 DSGVO bei Datenschutzverletzungen, sofern dies in der Organisation auf den DSB übertragen wurde. Reaktive Pflichten sind die Beantwortung behördlicher Anfragen, die Begleitung von Vor-Ort-Prüfungen nach Art. 58 Abs. 1 lit. f DSGVO sowie die Bereitstellung angeforderter Unterlagen innerhalb der gesetzten Frist, die in der Praxis oft nur 14 Tage beträgt.

Die 72-Stunden-Frist aus Art. 33 DSGVO ist hier der harte Taktgeber. Frist läuft ab Kenntnis. Wer nicht innerhalb dieser Frist meldet, riskiert Bußgelder nach Art. 83 Abs. 4 lit. a DSGVO von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Hinzu treten Folgeauflagen nach Art. 58 Abs. 2 DSGVO, die in der Praxis empfindlicher sein können als das Bußgeld selbst, weil sie laufende Geschäftsprozesse unterbrechen. Im CIVAC-Workspace ist ein Meldepfad hinterlegt, der binnen Minuten Verletzung, betroffene Datenkategorien, Anzahl betroffener Personen, mögliche Folgen und ergriffene Maßnahmen erfasst und automatisch Vorlage und Eskalationspfad an die zuständige Aufsicht generiert. Für NIS-2-pflichtige Unternehmen läuft parallel der 24/72-Meldepfad mit Frühwarnung an das BSI und Folgemeldung nach 72 Stunden. Die Korrespondenz mit der Aufsicht wird vollständig im Workspace abgelegt, jede Anfrage erhält ein Ticket mit Frist, Verantwortlichem und Statushistorie. Vor-Ort-Prüfungen laufen über ein eigenes Prüfungsmodul mit Vorbereitungs-Checkliste, Übergabeprotokoll und Nachbereitungstermin. Audit-fest, dokumentiert, Art. 33-fest. Die Geschäftsführung erhält bei jeder behördlichen Anfrage ohne Verzögerung eine knappe Lageeinschätzung, sodass interne Entscheidungen synchron zur externen Kommunikation laufen.

Anlaufstelle für Betroffene (Art. 39 Abs. 1 lit. e)

Der DSB ist Anlaufstelle für Betroffene zu allen Fragen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten und der Wahrnehmung ihrer Rechte aus der DSGVO. Dies bedeutet praktisch: ein eigener Kommunikationskanal, eine veröffentlichte Kontaktadresse nach Art. 37 Abs. 7 DSGVO und ein Verfahren, das Betroffenenanfragen innerhalb der Monatsfrist aus Art. 12 Abs. 3 DSGVO bearbeitet. Die Bearbeitungszeit darf in komplexen Fällen um zwei weitere Monate verlängert werden; dies muss aber begründet und dem Betroffenen innerhalb der ersten Monatsfrist mitgeteilt werden, sonst läuft die Verlängerung ins Leere.

Die Bearbeitung von Betroffenenrechten ist ein eigener Prozess mit klaren Eingangskanälen, Identitätsprüfung, Recherche, Antwortentwurf, Vier-Augen-Freigabe und Ablage. Häufige Anfragen sind Auskunft nach Art. 15, Berichtigung nach Art. 16, Löschung nach Art. 17, Einschränkung nach Art. 18 sowie Datenübertragbarkeit nach Art. 20 DSGVO. Hinzu kommen Widersprüche nach Art. 21 DSGVO, die in vertriebsnahen Organisationen den größten Teil der Eingänge ausmachen. Ohne Ticketsystem und Fristcontrolling verliert jede Organisation hier Übersicht; bereits 50 Anfragen pro Jahr sprengen ein Postfach. Im CIVAC-Workspace laufen Betroffenenanfragen über ein eigenes Modul mit Eingangsbestätigung, Fristampel und Antwortvorlagen; Antworten werden mit Datum, Bearbeiter, Freigeber und Versandkanal dokumentiert. Identitätsprüfung erfolgt risikobasiert: bei Auskunftsanfragen über sensible Daten eine vertiefte Prüfung, bei Standardanfragen das Bestätigungslink-Verfahren. Wer prüfen will, wie die Anlaufstellenfunktion in der Praxis aussieht, findet eine Übersicht der angebotenen Rollen unter CIVAC-Rollen. Die Bestellung als externer DSB beinhaltet immer die Anlaufstellenfunktion, inklusive deutschsprachiger Erreichbarkeit und EU-Datenresidenz im Workspace. Anfragen aus Vertretungsverhältnissen sowie aus Konzernstrukturen werden über vordefinierte Rollenprofile geleitet, damit keine Anfrage zwischen Konzerngesellschaften versickert.

Risikoorientierung nach Art. 39 Abs. 2 DSGVO

Art. 39 Abs. 2 DSGVO legt fest: Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt. Diese Risikoorientierung verlangt vom DSB eine priorisierte Aufgabenplanung statt einer linearen Abarbeitung. Sie ist die Antwort der DSGVO auf die schlichte Tatsache, dass Beauftragten-Kapazität endlich ist und nicht jede Verarbeitung dieselbe Prüftiefe verträgt oder benötigt.

Operativ heißt das: Der DSB führt ein Risikoregister, in dem alle Verarbeitungen nach Schadenspotenzial und Eintrittswahrscheinlichkeit eingestuft sind. Hochrisikoverarbeitungen werden quartalsweise auditiert, mittlere jährlich, niedrige im Zweijahresturnus. Diese Priorisierung muss nachvollziehbar dokumentiert sein, weil sie sonst als Willkür interpretierbar wäre. Die Risikoeinstufung folgt typischerweise vier Dimensionen: Datenkategorie nach Art. 9 und 10 DSGVO, betroffener Personenkreis einschließlich vulnerabler Gruppen wie Minderjähriger oder Arbeitnehmer, Verarbeitungsumfang sowie eingesetzte Technologien wie Profiling, KI oder Cloud-Dienste außerhalb der EU. Wer nur DSGVO-Texte zitiert, ohne diese Priorisierung zu zeigen, fällt bei der ersten Schwerpunktprüfung der Aufsicht auf, weil die behördlichen Fragebögen explizit nach dem Risikoansatz fragen. Im CIVAC-Workspace verbindet das Risikoregister Verarbeitungstätigkeit, DSFA-Status, letzte Auditfeststellung und nächsten Reviewtermin in einer Sicht. Die ISO/IEC 27001:2022 mit ihren 93 Controls liefert dabei den technisch-organisatorischen Unterbau, der die Risikoorientierung des Art. 39 stützt und Art. 32 DSGVO konkretisiert. Jede Risikoänderung, etwa durch Einführung einer neuen Software oder durch einen neuen Datenstrom in ein Drittland, löst eine automatische Reviewaufgabe für den DSB aus. So bleibt die Risikoorientierung lebendig statt einmal jährlich aktualisiert.

Berichtslinie, Stellung und Nachweis nach Art. 38 DSGVO

Die Aufgaben aus Art. 39 wirken nur, wenn die Stellung des DSB nach Art. 38 DSGVO eingehalten ist. Art. 38 Abs. 3 DSGVO verlangt: Der Verantwortliche stellt sicher, dass der DSB keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält. Er darf nicht abberufen oder benachteiligt werden, weil er seine Aufgaben erfüllt. Er berichtet unmittelbar der höchsten Managementebene. Diese drei Sätze sind das Fundament; ohne sie sind alle Tätigkeiten aus Art. 39 angreifbar, weil das Vier-Augen-Prinzip zwischen Verantwortlichem und Beauftragtem fehlt.

Diese Berichtslinie ist mehr als ein Organigrammkasten. Sie braucht ein dokumentiertes Format: regelmäßige Jahresberichte, anlassbezogene Eskalationen und ein klares Eskalationsverfahren. Der Jahresbericht enthält typischerweise zehn Bestandteile: Stand der Verarbeitungstätigkeiten, durchgeführte Audits, festgestellte Risiken, behandelte Datenschutzverletzungen, bearbeitete Betroffenenanfragen, durchgeführte Schulungen, Stellungnahmen zu DSFA, Korrespondenz mit der Aufsicht, offene Maßnahmen sowie Empfehlungen an die Leitung. Ohne diesen Bericht fehlt das zentrale Nachweisstück, das die Erfüllung des Art. 39 belegt. CIVAC liefert eine Berichtsvorlage als Workspace-Modul; sie wird aus den dort gepflegten Datensätzen automatisch befüllt, der DSB ergänzt nur Bewertung und Empfehlungen. Der Bericht wird signiert an die Geschäftsführung übergeben und im Workspace versioniert abgelegt. Anlassbezogene Eskalationen, etwa bei einer Datenschutzverletzung mit hohem Risiko, laufen über einen separaten 24-Stunden-Pfad an Geschäftsführung und Compliance-Funktion. So entsteht aus Art. 39 keine Sammlung loser Aktivitäten, sondern eine prüfbare Linie von Aufgabe zu Nachweis zu Bericht zu Entscheidung. Die Aufsicht erkennt sofort, ob die Leitung tatsächlich eingebunden war oder ob der DSB allein gelassen wurde, was nach EuGH-Rechtsprechung als organisatorischer Verstoß gegen Art. 38 gilt.

Aus Art. 39 einen Auftrag machen: Workspace oder Officer-as-a-Service

Art. 39 DSGVO ist keine Liste, die man einmal abhakt. Die fünf Aufgaben laufen parallel, ständig und nachweisbedürftig. Wer sie ohne Plattform führt, verliert irgendwann den Überblick über Schulungsstände, Audit-Zyklen, DSFA-Fortschritte, Behördenfristen und Betroffenenanfragen. CIVAC versteht sich genau als die Plattform, die diese Pflichten in einen kontinuierlichen Betrieb übersetzt. Compliance-Plattform und Officer-as-a-Service in einer Umgebung, mit EU-Datenresidenz, ISO/IEC 27001:2022-konformen Prozessen und dokumentierter Berichtslinie an die Geschäftsführung. 25 Beauftragten-Rollen sind live, der DSB ist eine davon und nahtlos mit ISB, Compliance-Beauftragtem und Hinweisgeberschutz verzahnt.

Sie haben zwei Wege: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, dann arbeitet Ihr DSB mit 490 Audit-Vorlagen, Schulungsregister, DSFA-Modul, Meldepfad und Berichtsvorlage in einer einzigen Umgebung. Oder lassen Sie unsere Beauftragten bestellen, dann übernehmen wir Bestellung, Bestellurkunde, Berichtslinie und die operative Erfüllung aller fünf Aufgaben nach Art. 39 DSGVO, mit einer SLA von zwei Werktagen statt der branchenüblichen zwei bis sechs Wochen für Rückmeldungen. Beide Wege liefern dasselbe Ergebnis: Bestellurkunde, unterschrieben, abgelegt, belegbar. Wir bauen die Berichtslinie passgenau zu Ihrer Aufbauorganisation auf, integrieren bestehende Tools über klar definierte Schnittstellen und vermeiden Doppelpflege zwischen DSB, IT-Sicherheit und Compliance-Funktion. Ein erstes Strukturgespräch klärt in 45 Minuten, welcher Weg zu Ihrer Organisationsgröße, Branche, internationalen Aufstellung und Risikolage passt. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten innerhalb von zwei Werktagen eine konkrete Empfehlung mit Aufwandsschätzung und Bestellurkunde-Entwurf. Im Anschluss übergeben wir einen Onboarding-Plan mit Meilensteinen, der die Erfüllung aller fünf Aufgaben aus Art. 39 binnen 30 Tagen prüffähig macht. Aus dem Lesen einen Auftrag machen.

FAQ

Welche fünf Aufgaben listet Art. 39 Abs. 1 DSGVO konkret auf?

Art. 39 Abs. 1 DSGVO nennt Unterrichtung und Beratung, Überwachung der Einhaltung, Beratung zur Datenschutz-Folgenabschätzung, Zusammenarbeit mit der Aufsichtsbehörde und die Funktion als Anlaufstelle für Betroffene. Jede dieser Aufgaben ist nachweisbedürftig und muss in einem prüffähigen Format dokumentiert werden, damit die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfüllbar bleibt.

Muss der DSB die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO selbst durchführen?

Nein. Nach Art. 39 Abs. 1 lit. c DSGVO berät und überwacht der DSB die DSFA, durchgeführt wird sie vom Verantwortlichen. Die Stellungnahme des DSB nach Art. 35 Abs. 2 DSGVO ist Teil der DSFA-Akte. Die Trennung sichert die Unabhängigkeit nach Art. 38 Abs. 3 DSGVO und vermeidet einen Interessenkonflikt im Sinne von Art. 38 Abs. 6 DSGVO.

Wie weist der DSB die Erfüllung des Pflichtenkatalogs aus Art. 39 DSGVO nach?

Über ein Tätigkeitsregister mit Schulungslisten, Audit-Berichten, DSFA-Stellungnahmen, Meldevorgängen nach Art. 33 DSGVO und Bearbeitungsprotokollen zu Betroffenenrechten. Der Jahresbericht an die Geschäftsführung bündelt diese Nachweise und macht die Erfüllung aller fünf Aufgaben gegenüber der Leitung und der Aufsichtsbehörde prüfbar nachvollziehbar. Ohne dieses gebündelte Nachweisstück bleibt die Erfüllung von Art. 39 für externe Prüfer schwer rekonstruierbar, selbst wenn alle Einzelaktivitäten stattgefunden haben.

Welche Folgen drohen, wenn Aufgaben aus Art. 39 DSGVO nicht erfüllt werden?

Verstöße gegen die DSB-Pflichten werden über Art. 83 Abs. 4 lit. a DSGVO sanktioniert, also bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes. Hinzu kommen Anordnungen nach Art. 58 DSGVO, Reputationsschäden sowie persönliche Haftungsrisiken der Leitung nach § 130 OWiG bei fehlender Aufsicht über den DSB. In der Praxis kosten begleitende Auflagen, etwa eine externe Datenschutzprüfung über zwölf Monate, häufig mehr als das Bußgeld selbst.

Gilt Art. 39 DSGVO auch für den externen Datenschutzbeauftragten?

Ja. Art. 37 Abs. 6 DSGVO stellt klar, dass der DSB Beschäftigter oder externer Dienstleister sein kann. Der Aufgabenkatalog des Art. 39 gilt in beiden Fällen identisch. Bei externer Bestellung wird der Leistungsumfang in einem Vertrag fixiert, der die Aufgaben aus Art. 39 vollständig abbildet und die Berichtslinie an die Geschäftsführung verankert.

Wie lange dauert die Einrichtung der Art.-39-Strukturen mit CIVAC?

Die Bestellung eines externen Datenschutzbeauftragten ist innerhalb von zwei Werktagen abgeschlossen, inklusive Bestellurkunde, Berichtslinie und Workspace-Zugang. Für interne Beauftragte ist der lizenzierte Workspace ebenfalls binnen zwei Werktagen einsatzbereit. Schulungsregister, Audit-Vorlagen und Meldepfade sind vorkonfiguriert und müssen nur an Ihre Aufbauorganisation angepasst werden. Ein Migrationspfad aus bestehenden Aktenstrukturen wird im Onboarding mit klaren Verantwortlichkeiten und Meilensteinen festgelegt.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge