externer Datenschutzbeauftragter

Externer Datenschutzbeauftragter – 10 großartige Gründe für eine externe Lösung

Ab wann muss ich einen Datenschutzbeauftragten benennen?

Nicht jedes Unternehmen muss einen Datenschutzbeauftragten benennen.
Es kommt nämlich drauf an. Hierzu gibt es in der DSGVO als auch im BDSG Regelungen dazu.
Zum einem hängt es davon ab um was für personenbezogene Daten es sich handelt, die in deinem Business verarbeitet werden. Zum anderen ist auch die Größe deines Unternehmens entscheidend.

externer Datenschutzbeauftragter
Was genau macht eigentlich ein Datenschutzbeauftragter und wann brauche ich einen?

Datenschutzbeauftragter nach Art. 37 DSGVO

Die Datenschutzgrundverordnung formuliert das wie folgt:

Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Kurzum:

  1. öffentliche Stellen
  2. bei überwachenden Verarbeitungstätigkeiten
  3. bei den „besonderen Kategorien“ nach Art. 9, wie zB Gesundheitsdaten, Gewerkschaftsdaten, religiöse oder weltanschauliche Überzeugungen, politische Meinung, …
  4. und bei Verurteilungen wegen Straftaten

Datenschutzbeauftragter nach §38 BDSG

Nach § 38 Abs. 1 Satz 1 BDSG n.F. ist ergänzend zur DSGVO ein Datenschutzbeauftragter dann zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Gemäß § 38 Abs. 1 Satz 2 BDSG n.F. ist schwellenwertunabhängig ein Datenschutzbeauftragter zu benennen, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Der Sinn und Zweck dahinter leuchtet schnell ein. Hier werden besonders oft und besonders intensiv personenbezogene Daten verarbeitet.

Wo gehobelt wird, da fallen Späne.
Dieses Sprichwort ist uns allen bekannt. In den oben genannten Fällen ist das Drama, wenn beim Hobeln was schiefgeht, besonders groß. Der Datenschutzbeauftragte soll dabei helfen Fehler zu vermeiden und die Risiken zu minimieren. Dafür sind dem Datenschutzbeauftragten spezielle Aufgaben zugeteilt.

Aufgaben als Datenschutzbeauftragter

Der Datenschutzbeauftragte ist der Geschäftsführung direkt unterstellt und berichtet an diese. Hierbei ist der Datenschutzbeauftragte nicht weisungsgebunden und damit unabhängig. Hintergrund ist, dass der Datenschutzbeauftragte frei in seiner Tätigkeit ist, oder sein soll. Er „schwebt quasi über den Dingen“. Er soll damit die Datenverarbeitungsvorgänge überwachen, die Geschäftsführung unterrichten & beraten und wirkt auf die Einhaltung des Datenschutzrechts hin.
Gibt es eine Beschwerde, so ist der Datenschutzbeauftragte auch immer die erste Anlaufstelle für die Datenschutzbehörde.
Um die Unabhängigkeit zu wahren, sollte die Stelle des Datenschutzbeauftragten nicht vom Leiter der IT-Abteilung besetzt werden.

In der deutschen Gesetzgebung haben Datenschutzbeauftragte innerhalb eines Unternehmens auch besondere Privilegien. Sie genießen einen besonderen Kündigungsschutz. Warum? Ganz einfach. Datenschutzbeauftragte sollen den Finger in die Wunde legen und die Geschäftsführung darauf hinweisen. Es ist also gerade Aufgabe des Datenschutzbeauftragten immer wieder an die Einhaltung zu erinnern. Für manche Geschäftsführungen ist das nervig. Ja, das mag sein. Aber genau das ist die Aufgabe des Datenschutzbeauftragten.
Damit er daraus keinen Nachteil erleidet, darf er nicht wegen seiner Tätigkeit als Datenschutzbeauftragter gekündigt werden.

Wer kann Datenschutzbeauftragter sein?

Es gibt die Möglichkeit intern die Stelle des Datenschutzbeauftragten zu besetzen oder einen externen Datenschutzbeauftragen damit zu beauftragen. Beides hat seine Vor- und Nachteile.
Entscheidend ist, dass der Datenschutzbeauftragte in seiner Rolle Unabhängig ist und das nötige Fachwissen mitbringt. Genau hier gehen die Probleme los.

Interner vs. Externer Datenschutzbeauftragter – Das sind die Vor- und Nachteile

Datenschutzbeauftragter - Intern vs. Extern - Pro/Contra

Interner DSB

Ein interner Datenschutzbeauftragter kommt aus dem Unternehmen selbst. Oft läuft das so ob, dass innerhalb eines Betriebs nach einem „Freiwilligen“ geschaut wird, der diese Position ausübt.

~Vorteil:~

Weil diese Person „aus den eigenen Reihen“ kommt, kennt sie daher die internen Prozesse, die jeweiligen Ansprechpartner, Abteilungsleiter usw. Dies hat durchaus seine Vorteile. Arbeitnehmer schätzen vor allem, dass sie in ihrer Rolle weisungsfrei und nur schwer kündbar sind.

Für einen internen Datenschutzbeauftragten spricht unter anderem:

  • kennt die Betriebsabläufe
  • kennt die Unternehmenskultur
  • kennt das Personal
  • aus Arbeitnehmersicht: ist unabhängig und genießt damit erhöhten Kündigungsschutz

~Nachteil:~

Wo es Vorteile gibt, da gibt es auch Nachteile. Denn für das Unternehmen fällt damit ein Teil der regulären Arbeitskraft weg, denn der Datenschutzbeauftragte muss für seine Tätigkeit ausreichend freigestellt werden (ca. 20% der regulären Arbeitszeit) und erstmal für seine neue Aufgabe „fit gemacht werden“. Unternehmen sind angehalten, den interenen Datenschutzbeauftragten sorgfältig auszuwählen, denn dieser genießt einen besonderen Kündigungsschutz. Dies soll die Unabhängigkeit seiner Rolle gewährleisten. Auch muss sich der interne Datenschutzbeauftragte regelmäßig fortbilden. In dieser Zeit steht er für das Unternehmen als Arbeitskraft nicht zur Verfügung und es fallen Fortbildungskosten an. Ein interner Datenschutzbeauftragter haftet nicht für seine Empfehlungen – im Gegensatz zu einem externen Datenschutzbeauftragten.

Gegen einen internen Datenschutzbeauftragen spricht:

  • muss von regulärer Arbeitszeit freigestellt werden
  • normalerweise „fachfremd“
  • regelmäßige Weiterbildungskosten
  • dynamisches Rechtsgebiet erfordert viel Aufmerksamkeit auf Änderungen
  • keine Haftung bei Beratung
  • aus Arbeitgebersicht: ist unabhängig und genießt damit erhöhten Kündigungsschutz

Externer Datenschutzbeauftragter

Ein externer Datenschutzbeauftragter kommt von außerhalb. Er wird von dem Unternehmen für diese Tätigkeit bestellt und auch gegenüber der Datenschutzbehörde namentlich angemeldet. Er ist damit auch der erste Ansprechpartner für die Aufsichtsbehörde.

~Vorteil:~

Ein externer Datenschutzbeauftragter ist Wahl-Experte auf diesem Gebiet und hat seinen Schwerpunkt auf diesen Bereich gelegt, sodass er sich selbst und (zumindest in meinem Fall) auch mit Leidenschaft fortbildet, sodass er stets up-to-date ist. Ihm fallen auch Sachen auf, die für interne schon „normal“ geworden sind. Die Distanz macht es leichter die Führungsetage auf konkrete Baustellen anzusprechen und zielführend zu beraten. Dementsprechend ist es auch leichter einen externen Dienstleister zu wechseln ohne arbeitsrechtliche Aspekte beachten zu müssen. Die Kosten sind in der Regel überschaubarer, da auch die interne Arbeitskraft weiterhin zur Verfügung steht.

Für eine externe Lösung spricht:

  • Wahl-Experte auf dem Gebiet
  • identifiziert eher Baustellen, wo andere „betriebsblind“ geworden sind
  • ist nicht Teil des Unternehmens -> neutraler Blick aufs Unternehmen
  • leichter austauschbar
  • Kosten überschaubar
  • meist günstigere Kostenmodelle
  • haftet für fehlerhafte Beratung
  • bildet sich regelmäßig weiter
  • ist auf das Gebiet spezialisiert
  • informiert die Geschäftsführung rechtzeitig über etwaige Änderungen

~Nachteile:~

Natürlich hat auch das Modell externer Datenschutzbeauftragter Nachteile, denn dieser ist als externe gerade nicht Teil des Unternehmens. Er kennt das Unternehmen und die internen Prozesse nicht so gut wie einer aus den eigenen Reihen. Auch braucht es für den externen Datenschutzbeauftragten erstmal ein kostenpflichtiges Onboarding für die Einarbeitung.

  • ist nicht Teil des Unternehmens -> kennt das Unternehmen nicht so gut wie die Mitarbeiter selbst
  • meist einmalige Onboardingkosten für die Einarbeitung

Welches Modell für dein Business vorteilhafter ist, hängt von deinem Business ab. Dabei ist auch die Personalfluktation zu beachten. Denn auch interne Datenschutzbeauftragte können sich mal nach anderen Stellen umsehen. Dann stehen wieder die Investitionskosten für die Fortbildung für eine * n interne *n Mitarbeiter *in an. Allein der Kurs zum betrieblichen Datenschutzbeauftragten kostet gerne mal 2.000€ aufwärts und dauert mehrere Tage, an denen der/die Mitarbeiter *in nicht zur Verfügung steht.

Ich persönlich arbeite sehr gerne mit einem hybriden Modell. Das heißt ich favorisiere eine gemischte Lösung. Ohne einen offiziellen internen Datenschutzbeauftragten zu benennen, so ist es für meine Tätigkeit sehr hilfreich, einen konkreten Ansprechpartner zu haben. Am besten hat diese Person einen allgemeinen guten Überblick über das Unternehmen und die Prozessen, wie zB das Controlling, oder die Assistenz der Geschäftsführung. Ich nenne solche Menschen gerne „Datenschutzkoordinator“. Soweit diese kein Vorwissen mitbringen, werden diese von mir so geschult. So können Informationen gut fließen, die Unternehmensführung bleibt entlastet und das Budget geschont.

Gerne stehe ich auch als externer Datenschutzbeauftragter für dein Unternehmen zur Verfügung. Die konkreten Kosten hängen von verschiedenen Faktoren ab. Dazu gehören Unternehmensgröße, betroffene personenbezogene Daten, Datenpannen in der Vergangenheit, laufende Verfahren mit der Datenschutzbehörde, Vorwissen auf dem Gebiet, …

Gerne erstelle ich auf Anfrage ein konkretes Angebot. Meld dich einfach!

Hier gehts zum Kontakt:


Externer Datenschutzbeauftragter - 10 großartige Gründe für eine externe Lösung

„Datenschutz macht Spaß.
Denn bei mir bekommst du Datenschutz mit Humor.
Praxisnah?
Na logo!“


Johannes Rauchfuss,
Rechtsanwalt für Datenschutz