Externer Datenschutzbeauftragter – 10 großartige Gründe für eine externe Lösung

By RA RauchfussGrundlagen DSGVO

Ab wann muss ich einen Datenschutzbeauftragten benennen?

Nicht jedes Unternehmen muss einen Datenschutzbeauftragten benennen.
Es kommt nämlich drauf an. Hierzu gibt es in der DSGVO als auch im BDSG Regelungen dazu.
Zum einem hängt es davon ab um was für personenbezogene Daten es sich handelt, die in deinem Business verarbeitet werden. Zum anderen ist auch die Größe deines Unternehmens entscheidend.

Datenschutzbeauftragter
Was genau macht eigentlich ein Datenschutzbeauftragter und wann brauche ich einen?

Datenschutzbeauftragter nach Art. 37 DSGVO

Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Kurzum:

  1. öffentliche Stellen
  2. bei überwachenden Verarbeitungstätigkeiten
  3. bei den „besonderen Kategorien“ nach Art. 9, wie zB Gesundheitsdaten, Gewerkschaftsdaten, religiöse oder weltanschauliche Überzeugungen, politische Meinung, …
  4. und bei Verurteilungen wegen Straftaten

Datenschutzbeauftragter nach §38 BDSG

Nach § 38 Abs. 1 Satz 1 BDSG n.F. ist ergänzend zur DSGVO ein Datenschutzbeauftragter dann zu benennen, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Gemäß § 38 Abs. 1 Satz 2 BDSG n.F. ist schwellenwertunabhängig ein Datenschutzbeauftragter zu benennen, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Der Sinn und Zweck dahinter leuchtet schnell ein. Hier werden besonders oft und besonders intensiv personenbezogene Daten verarbeitet.

Wo gehobelt wird, da fallen Späne.
Dieses Sprichwort ist uns allen bekannt. In den oben genannten Fällen ist das Drama, wenn beim Hobeln was schiefgeht, besonders groß. Der Datenschutzbeauftragte soll dabei helfen Fehler zu vermeiden und die Risiken zu minimieren. Dafür sind dem Datenschutzbeauftragten spezielle Aufgaben zugeteilt.

Aufgaben als Datenschutzbeauftragter

Der Datenschutzbeauftragter ist der Geschäftsführung direkt unterstellt und berichtet an diese. Hierbei ist der Datenschutzbeauftragte nicht weisungsgebunden und damit unabhängig. Hintergrund ist, dass der Datenschutzbeauftragte frei in seiner Tätigkeit ist, oder sein soll. Er „schwebt quasi über den Dingen“. Er soll damit die Datenverarbeitungsvorgänge überwachen, die Geschäftsführung unterrichten & beraten und wirkt auf die Einhaltung des Datenschutzrechts hin.
Gibt es eine Beschwerde, so ist der Datenschutzbeauftragte auch immer die erste Anlaufstelle für die Datenschutzbehörde.
Um die Unabhängigkeit zu wahren, sollte die Stelle des Datenschutzbeauftragten nicht vom Leiter der IT-Abteilung besetzt werden.

In der deutschen Gesetzgebung haben Datenschutzbeauftragte innerhalb eines Unternehmens auch besondere Privilegien. Sie genießen einen besonderen Kündigungsschutz. Warum? Ganz einfach. Datenschutzbeauftragte sollen den Finger in die Wunde legen und die Geschäftsführung darauf hinweisen. Es ist also gerade Aufgabe des Datenschutzbeauftragten immer wieder an die Einhaltung zu erinnern. Für manche Geschäftsführungen ist das nervig. Ja, das mag sein. Aber genau das ist die Aufgabe des Datenschutzbeauftragten.
Damit er daraus keinen Nachteil erleidet, darf er nicht wegen seiner Tätigkeit als Datenschutzbeauftragter gekündigt werden.

Wer kann Datenschutzbeauftragter sein?

Es gibt die Möglichkeit intern die Stelle des Datenschutzbeauftragten zu besetzen oder externe damit zu beauftragen. Beides hat seine Vor- und Nachteile.
Entscheidend ist, dass der Datenschutzbeauftragte in seiner Rolle Unabhängig ist und das nötige Fachwissen mitbringt. Genau hier gehen die Probleme los.

Interner vs. Externer Datenschutzbeauftragter

Datenschutzbeauftragter - Intern vs. Extern - Pro/Contra

Interner DSB

~Vorteil:~

  • kennt die Betriebsabläufe
  • Kennt die Unternehmenskultur
  • kennt das Personal
  • aus Arbeitnehmersicht: ist unabhängig und genießt damit erhöhten Kündigungsschutz

~Nachteil:~

  • muss von regulärer Arbeitszeit freigestellt werden
  • normalerweise „fachfremd“
  • regelmäßige Weiterbildungskosten
  • dynamisches Rechtsgebiet erfordert viel Aufmerksamkeit auf Änderungen
  • keine Haftung bei Beratung
  • aus Arbeitgebersicht: ist unabhängig und genießt damit erhöhten Kündigungsschutz

Externer DSB

~Vorteil:~

  • Wahl-Experte auf dem Gebiet
  • identifiziert eher Baustellen, wo andere „betriebsblind“ geworden sind
  • ist nicht Teil des Unternehmens -> neutraler Blick aufs Unternehmen
  • leichter austauschbar
  • Kosten überschaubar
  • Meist günstigere Kostenmodelle
  • Haftet für fehlerhafte Beratung
  • bildet sich regelmäßig weiter
  • ist auf das Gebiet spezialisiert
  • informiert die Geschäftsführung rechtzeitig über etwaige Änderungen

~Nachteile:~

  • ist nicht Teil des Unternehmens -> kennt das Unternehmen nicht so gut wie die Mitarbeiter selbst
  • Meist einmalige Onboardingkosten für die Einarbeitung

Welches Modell für dein Business vorteilhafter ist, hängt von deinem Business ab. Dabei ist auch die Personalfluktation zu beachten. Denn auch interne Datenschutzbeauftragte können sich mal nach anderen Stellen umsehen. Dann stehen wieder die Investitionskosten für die Fortbildung für eine * n interne *n Mitarbeiter *in an. Allein der Kurs zum betrieblichen Datenschutzbeauftragten kostet gerne mal 2.000€ aufwärts und dauert mehrere Tage, an denen der/die Mitarbeiter *in nicht zur Verfügung steht.

Gerne stehe ich auch als externer Datenschutzbeauftragter für dein Unternehmen zur Verfügung. Die konkreten Kosten hängen von verschiedenen Faktoren ab. Dazu gehören Unternehmensgröße, betroffene personenbezogene Daten, Datenpannen in der Vergangenheit, laufende Verfahren mit der Datenschutzbehörde, Vorwissen auf dem Gebiet, …

Gerne erstelle ich auf Anfrage ein konkretes Angebot.

Hier gehts zum Kontakt:

Kontakt
zurück