Datenschutzbeauftragter

Datenschutzbeauftragter

Informationen zum externen Datenschutzbeauftragten

Auf Grundlage mehrfacher Zertifizierung (TÜV Nord / datenschutz.com Akademie) und umfassender Praxiserfahrung im Datenschutzrecht bin ich für Unternehmen in Leipzig, Sachsen und ganz Deutschland als externer Datenschutzbeauftragter tätig. Einige allgemeine Informationen dazu, wann Sie einen Datenschutzbeauftragten bestellen müssen, wer bestellt werden darf, welche Aufgaben ein Datenschutzbeauftragter zu erfüllen hat und welche Leistungen ich in diesem Bereich biete, finden Sie nachfolgend kurz zusammengefasst.

Sollten Sie weiterführende Fragen zum Thema haben oder eine individuelle Beratung wünschen, sprechen Sie mich gern telefonisch, per Mail oder über mein Kontaktformular an.

Informationen zum externen Datenschutzbeauftragten

Auf Grundlage mehrfacher Zertifizierung (TÜV Nord / datenschutz.com Akademie) und umfassender Praxiserfahrung bin ich für Unternehmen in Leipzig, Sachsen und ganz Deutschland auch als externer Datenschutzbeauftragter tätig. Einige allgemeine Informationen zum Thema Datenschutzbeauftragter finden Sie nachfolgend kurz zusammengefasst.

Sollten Sie weiterführende Fragen zum Thema haben oder eine individuelle Beratung wünschen, sprechen Sie mich gern telefonisch, per Mail oder über mein Kontaktformular an.

Wann ein Unternehmen gesetzlich verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, ergibt sich im Wesentlichen aus Art 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG. Entscheidend sind demnach zwei Kriterien:

Laut §38 Abs. 1 BDSG muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ständig entsprechend beschäftigt ist ein Mitarbeiter bspw. bereits dann, wenn er über einen geschäftlichen Mail-Account verfügt, über den er regelmäßig mit Kunden, Lieferanten oder anderen Mitarbeitern kommuniziert. Eine automatisierte Verarbeitung liegt immer dann vor, wenn die Verarbeitung mit EDV-Geräten, also etwa einem PC oder einem Smartphone erfolgt.
Bei Bestimmung der benannten Schwellenwerte von 10 Personen sind sämtliche Personen einzubeziehen, die (auch nur zeitweise) mit der Verarbeitung personenbezogener Daten beschäftigt sind. Auch jeder Teilzeitbeschäftigte zählt jeweils voll. Darüber hinaus macht es keinerlei Unterschied, ob es sich um eigene Angestellte, freie Mitarbeiter, Zeitarbeiter, Praktikanten oder Auszubildende etc. handelt.
Werden personenbezogene Daten automatisiert verarbeitet und haben mindestens 10 Personen Zugriff auf die Unternehmens-EDV (Computerarbeitsplatz, Mitarbeiteraccount, geschäftliche Mail-Adresse, geschäftliches Handy o.ä.), kann nach meiner Erfahrung regelmäßig davon ausgegangen werden, dass eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht.
Auch ohne gesetzliche Verpflichtung kann ein betrieblicher Datenschutzbeauftragter sinnvoll sein. Das Datenschutzrecht muss ein Unternehmen immer beachten; unabhängig von Größe und Tätigkeitsschwerpunkt. Deshalb sollte hierfür auch stets ein kompetenter Ansprechpartner vorhanden sein. Bestellt man diesen gleichzeitig als Datenschutzbeauftragten, zeigt man damit, dass dem Thema Datenschutz ein hoher Stellenwert zukommt. Das stärkt regelmäßig das Vertrauen von Kunden und Geschäftspartnern und verbessert somit die Reputation des Unternehmens.
Unabhängig von der Beschäftigtenzahl (also auch bei weniger als 10 Personen) muss ein Datenschutzbeauftragter bestellt werden, wenn im Unternehmen Verarbeitungstätigkeiten vorgenommen werden, die der Datenschutz-Folgenabschätzung unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der (auch anonymisierten) Übermittlung oder der Markt- oder Meinungsforschung verarbeitet werden.
Außerdem ist ein Datenschutzbeauftragter unabhängig von der Unternehmensgröße immer erforderlich, wenn eine Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler personenbezogener Daten (vgl. Art. 9 DSGVO) besteht oder Verarbeitungen vorgenommen werden, in deren Rahmen Personen umfangreich regelmäßig und systematisch überwacht werden.

Als grobe Orientierung für privatwirtschaftliche Unternehmen gilt, dass ein Datenschutzbeauftragter immer dann bestellt werden muss, wenn mindestens 10 Personen regelmäßig elektronisch personenbezogene Daten verarbeiten. Unterhalb der 10-Personen-Schwelle ist ein Datenschutzbeauftragter nur dann Pflicht, wenn die eingesetzten Verarbeitungsprozesse – bspw. weil besonders sensible Daten in großem Umfang verarbeitet werden – mit einem hohen Risiko für die davon betroffenen Personen verbunden sind.

Wann ein Unternehmen gesetzlich verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, ergibt sich im Wesentlichen aus Art 37 Abs. 1 DSGVO und § 38 Abs. 1 BDSG. Entscheidend sind demnach zwei Kriterien:

Laut §38 Abs. 1 BDSG muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ständig entsprechend beschäftigt ist ein Mitarbeiter bspw. bereits dann, wenn er über einen geschäftlichen Mail-Account verfügt, über den er regelmäßig mit Kunden, Lieferanten oder anderen Mitarbeitern kommuniziert. Eine automatisierte Verarbeitung liegt immer dann vor, wenn die Verarbeitung mit EDV-Geräten, also etwa einem PC oder einem Smartphone erfolgt.
Bei Bestimmung der benannten Schwellenwerte von 10 Personen sind sämtliche Personen einzubeziehen, die (auch nur zeitweise) mit der Verarbeitung personenbezogener Daten beschäftigt sind. Auch jeder Teilzeitbeschäftigte zählt jeweils voll. Darüber hinaus macht es keinerlei Unterschied, ob es sich um eigene Angestellte, freie Mitarbeiter, Zeitarbeiter, Praktikanten oder Auszubildende etc. handelt.
Werden personenbezogene Daten automatisiert verarbeitet und haben mindestens 10 Personen Zugriff auf die Unternehmens-EDV (Computerarbeitsplatz, Mitarbeiteraccount, geschäftliche Mail-Adresse, geschäftliches Handy o.ä.), kann nach meiner Erfahrung regelmäßig davon ausgegangen werden, dass eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht.
Auch ohne gesetzliche Verpflichtung kann ein betrieblicher Datenschutzbeauftragter sinnvoll sein. Das Datenschutzrecht muss ein Unternehmen immer beachten; unabhängig von Größe und Tätigkeitsschwerpunkt. Deshalb sollte hierfür auch stets ein kompetenter Ansprechpartner vorhanden sein. Bestellt man diesen gleichzeitig als Datenschutzbeauftragten, zeigt man damit, dass dem Thema Datenschutz ein hoher Stellenwert zukommt. Das stärkt regelmäßig das Vertrauen von Kunden und Geschäftspartnern und verbessert somit die Reputation des Unternehmens.
Unabhängig von der Beschäftigtenzahl (also auch bei weniger als 10 Personen) muss ein Datenschutzbeauftragter bestellt werden, wenn im Unternehmen Verarbeitungstätigkeiten vorgenommen werden, die der Datenschutz-Folgenabschätzung unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der (auch anonymisierten) Übermittlung oder der Markt- oder Meinungsforschung verarbeitet werden.
Außerdem ist ein Datenschutzbeauftragter unabhängig von der Unternehmensgröße immer erforderlich, wenn eine Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler personenbezogener Daten (vgl. Art. 9 DSGVO) besteht oder Verarbeitungen vorgenommen werden, in deren Rahmen Personen umfangreich regelmäßig und systematisch überwacht werden.

Als grobe Orientierung für privatwirtschaftliche Unternehmen gilt, dass ein Datenschutzbeauftragter immer dann bestellt werden muss, wenn mindestens 10 Personen regelmäßig elektronisch personenbezogene Daten verarbeiten. Unterhalb der 10-Personen-Schwelle ist ein Datenschutzbeauftragter nur dann Pflicht, wenn die eingesetzten Verarbeitungsprozesse – bspw. weil besonders sensible Daten in großem Umfang verarbeitet werden – mit einem hohen Risiko für die davon betroffenen Personen verbunden sind.

Laut Gesetz ist ein Datenschutzbeauftragter insbesondere anhand seines Fachwissens auf den Gebieten des Datenschutzrechts und der Datenschutzpraxis sowie auf Grundlage seiner Fähigkeit zur Erfüllung seiner gesetzlichen Aufgaben auszuwählen (vgl. Art. 37 Abs. 5 DSGVO). Die deutschen Datenschutz-Aufsichtsbehörden haben in diesem Zusammenhang bereits vor Geltung der DSGVO die Kriterien der persönlichen und der fachlichen Eignung definiert:

Zur persönlicher Eignung zählen Punkte wie Zuverlässigkeit, Neutralität und (Weisungs-)Unabhängigkeit. Persönlich ungeeignet als Datenschutzbeauftragter sind Personen, bei denen aufgrund ihrer Position im bzw. zum Unternehmen bei der Tätigkeit als Datenschutzbeauftragter ein Interessenkonflikt auftreten kann. Ein solcher Interessenkonflikt wird laut Rechtsprechung und Aufsichtsbehörden regelmäßig angenommen bei Inhabern, Vorständen, Geschäftsführern und sonstigen Leitungspersonen bzw. -organen sowie bei EDV- oder IT-Verantwortlichen. Auch bei Personalleiter und Personen mit leitenden Aufgaben in Organisationseinheiten mit besonders umfangreicher Verarbeitung von personenbezogenen Daten können aufgrund eines darauf folgenden Interessenkonflikts als Datenschutzbeauftragter persönlich ungeeignet sein.
Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben sich in ihrem Beschluss vom 24./25.11.2010 zur persönlichen Eignung geäußert. Vorrangig in Bezug auf interne DSB heißt es dort
1. DSB sind dem Leiter/der Leiterin der verantwortlichen Stelle organisatorisch unmittelbar zu unterstellen (§ 4f Abs. 3 Satz 1 BDSG). Sie müssen in der Lage sein, ihre Verpflichtungen ohne lnteressenkonflikte erfüllen zu können. Dieses ist durch entsprechende Regelungen innerhalb der verantwortlichen Stelle bzw. vertragliche Regelungen sicher zu stellen und sowohl innerhalb der verantwortlichen Stelle als auch nach außen hin publik zu machen. Den DSB ist ein unmittelbares Vortragsrecht beim Leiter der Stelle einzuräumen.

 

Fachliche Eignung meint ausreichende Kenntnisse insbesondere im rechtlichen und technischen Bereich. Diese müssen auf Nachfrage der Aufsichtsbehörde auch nachweisbar sein (bspw. durch Teilnahme- und Prüfungsbescheinigungen von entsprechenden Schulungsveranstaltungen).
Die DSGVO befasst sich in Artikel 37 mit der fachlichen Eignung des Datenschutzbeauftragten. Dort heißt es:
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
Was dies konkret bedeutet, haben die obersten deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) bereits unter der Geltung des früheren Bundesdatenschutzgesetzes definiert. Festgeschrieben sind die geforderten Qualifikationen in einem Beschluss vom 24./25.11.2010. Demnach hat ein Datenschutzbeauftragter bereits zum Zeitpunkt seiner Bestellung folgendes Fachwissen
  • Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle,
  • umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
  • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der DatensicherheitsanforderungenUmfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften,
    die für das eigene Unternehmen relevant sind,
  • Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.),betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
  • Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und
  • Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

Kurz zusammengefasst kommt als Datenschutzbeauftragter also nur in Betracht, wer fachlich – insbesondere datenschutzrechtlich – qualifiziert ist und die gesetzlich vorgesehenen Aufgaben ohne Interessenkonflikte erfüllen kann.

Laut Gesetz ist ein Datenschutzbeauftragter insbesondere anhand seines Fachwissens auf den Gebieten des Datenschutzrechts und der Datenschutzpraxis sowie auf Grundlage seiner Fähigkeit zur Erfüllung seiner gesetzlichen Aufgaben auszuwählen (vgl. Art. 37 Abs. 5 DSGVO). Die deutschen Datenschutz-Aufsichtsbehörden haben in diesem Zusammenhang bereits vor Geltung der DSGVO die Kriterien der persönlichen und der fachlichen Eignung definiert:

Zur persönlicher Eignung zählen Punkte wie Zuverlässigkeit, Neutralität und (Weisungs-)Unabhängigkeit. Persönlich ungeeignet als Datenschutzbeauftragter sind Personen, bei denen aufgrund ihrer Position im bzw. zum Unternehmen bei der Tätigkeit als Datenschutzbeauftragter ein Interessenkonflikt auftreten kann. Ein solcher Interessenkonflikt wird laut Rechtsprechung und Aufsichtsbehörden regelmäßig angenommen bei Inhabern, Vorständen, Geschäftsführern und sonstigen Leitungspersonen bzw. -organen sowie bei EDV- oder IT-Verantwortlichen. Auch bei Personalleiter und Personen mit leitenden Aufgaben in Organisationseinheiten mit besonders umfangreicher Verarbeitung von personenbezogenen Daten können aufgrund eines darauf folgenden Interessenkonflikts als Datenschutzbeauftragter persönlich ungeeignet sein.
Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben sich in ihrem Beschluss vom 24./25.11.2010 zur persönlichen Eignung geäußert. Vorrangig in Bezug auf interne DSB heißt es dort
1. DSB sind dem Leiter/der Leiterin der verantwortlichen Stelle organisatorisch unmittelbar zu unterstellen (§ 4f Abs. 3 Satz 1 BDSG). Sie müssen in der Lage sein, ihre Verpflichtungen ohne lnteressenkonflikte erfüllen zu können. Dieses ist durch entsprechende Regelungen innerhalb der verantwortlichen Stelle bzw. vertragliche Regelungen sicher zu stellen und sowohl innerhalb der verantwortlichen Stelle als auch nach außen hin publik zu machen. Den DSB ist ein unmittelbares Vortragsrecht beim Leiter der Stelle einzuräumen.

 

Fachliche Eignung meint ausreichende Kenntnisse insbesondere im rechtlichen und technischen Bereich. Diese müssen auf Nachfrage der Aufsichtsbehörde auch nachweisbar sein (bspw. durch Teilnahme- und Prüfungsbescheinigungen von entsprechenden Schulungsveranstaltungen).
Die DSGVO befasst sich in Artikel 37 mit der fachlichen Eignung des Datenschutzbeauftragten. Dort heißt es:
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
Was dies konkret bedeutet, haben die obersten deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) bereits unter der Geltung des früheren Bundesdatenschutzgesetzes definiert. Festgeschrieben sind die geforderten Qualifikationen in einem Beschluss vom 24./25.11.2010. Demnach hat ein Datenschutzbeauftragter bereits zum Zeitpunkt seiner Bestellung folgendes Fachwissen
  • Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle,
  • umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
  • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der DatensicherheitsanforderungenUmfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften,
    die für das eigene Unternehmen relevant sind,
  • Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.),betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
  • Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und
  • Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

Kurz zusammengefasst kommt als Datenschutzbeauftragter also nur in Betracht, wer fachlich – insbesondere datenschutzrechtlich – qualifiziert ist und die gesetzlich vorgesehenen Aufgaben ohne Interessenkonflikte erfüllen kann.

Nach der DSGVO ist ein Datenschutzbeauftragter vorwiegend Kontrollorgan, das Informations-, Beratungs- und Überwachungsaufgaben erfüllt. Hier unterscheidet sich die DSGVO teils deutlich von dem früher geltenden BDSG. Schulung von Mitarbeitern sowie die Erstellung der vorgeschriebenen Datenschutzunterlagen etwa sind überwiegend Aufgaben des Unternehmens selbst. Diese können dem Datenschutzbeauftragten allerdings vertraglich übertragen werden. Nach der gesetzlichen Ausgangssituation sind Aufgaben des Datenschutzbeauftragten:

Nach der DSGVO ist ein Datenschutzbeauftragter vorwiegend Kontrollorgan, das Informations-, Beratungs- und Überwachungsaufgaben erfüllt. Hier unterscheidet sich die DSGVO teils deutlich von dem früher geltenden BDSG. Schulung von Mitarbeitern sowie die Erstellung der vorgeschriebenen Datenschutzunterlagen etwa sind überwiegend Aufgaben des Unternehmens selbst. Diese können dem Datenschutzbeauftragten allerdings vertraglich übertragen werden. Nach der gesetzlichen Ausgangssituation sind Aufgaben des Datenschutzbeauftragten:

Gesetzliche Vorgaben für Form und Verfahren der Bestellung eines Datenschutzbeauftragtem existieren nicht. Allerdings ist eine schriftliche Benennung ratsam. Für das benennende Unternehmen folgt dies bspw. aus der Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO.

Zu beachten ist im Zusammenhang mit der Bestellung eines Datenschutzbeauftragten zudem die „Publikationspflicht“ in Bezug auf dessen Kontaktdaten: Um entsprechend der gesetzlichen Vorgaben als Anlaufstelle für Beschäftigte, Betroffene und die Aufsichtsbehörde dienen zu können, muss er diesen bekannt sein. Art. 37 Abs. 7 DSGVO sieht daher vor, dass die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen sind. Die Veröffentlichung erfolgt üblicherweise im Rahmen der Informationspflichten gem. Art. 13 und Art. 14 DSGVO , wie bspw. in der Datenschutzerklärung der Internetpräsenz des Unternehmens.

Gesetzliche Vorgaben für Form und Verfahren der Bestellung eines Datenschutzbeauftragtem existieren nicht. Allerdings ist eine schriftliche Benennung ratsam. Für das benennende Unternehmen folgt dies bspw. aus der Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO.

Zu beachten ist im Zusammenhang mit der Bestellung eines Datenschutzbeauftragten zudem die „Publikationspflicht“ in Bezug auf dessen Kontaktdaten: Um entsprechend der gesetzlichen Vorgaben als Anlaufstelle für Beschäftigte, Betroffene und die Aufsichtsbehörde dienen zu können, muss er diesen bekannt sein. Art. 37 Abs. 7 DSGVO sieht daher vor, dass die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen sind. Die Veröffentlichung erfolgt üblicherweise im Rahmen der Informationspflichten gem. Art. 13 und Art. 14 DSGVO , wie bspw. in der Datenschutzerklärung der Internetpräsenz des Unternehmens.

Sonstige häufige Fragen zum Datenschutzbeauftragten

Ein betrieblicher Datenschutzbeauftragter wird durch die Geschäftsführung des Unternehmens bestellt. Die Bestellung sollte schriftlich erfolgen.
Für externe Datenschutzbeauftragte wird diesbzgl. alles Wesentliche in einem entsprechenden Geschäftsbesorgungsvertrag geregelt. Dabei gilt, dass ein Datenschutzbeauftragter direkt an die Geschäftsführung des Unternehmens berichtet. Er erfüllt seine Aufgaben weisungsfrei. Zudem gilt ein Benachteiligungsverbot.
Bei internen Datenschutzbeauftragten bedarf es aufgrund der bereits vorhandenen Einbindung in die Unternehmensorganisation regelmäßig einer Anpassung des bestehenden Anstellungsvertrages. Organisatorisch ist ein interner Datenschutzbeauftragter direkt unterhalb der Geschäftsführung anzusiedeln. Zu beachten ist zudem, dass ein interner Datenschutzbeauftragter – ähnlich wie Betriebsräte – einen besonderen Kündigungsschutz genießt. In seinem Beschluss vom 24./25.11.2010 äußert sich der Düsseldorfer Kreis zu der Thematik wie folgt:
DSB dürfen wegen der Erfüllung ihrer Aufgaben in Hinblick auf ihr sonstiges Beschäftigungsverhältnis, auch für den Fall, dass die Bestellung zum DSB widerrufen wird, nicht benachteiligt werden (vgl. § 4f Abs. 3 Satz 3 ff BDSG). Analog muss bei der Bestellung von externen DSB der Dienstvertrag so ausgestaltet sein, dass eine unabhängige Erfüllung der gesetzlichen Aufgaben durch entsprechende Kündigungsfristen, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten gewährleistet wird. § 4f Abs. 3 BDSG schränkt insoweit die grundsätzliche Vertragsfreiheit ein. (…)
Eine bestimmte Laufzeit ist gesetzlich nicht vorgeschrieben. Die Bestellung eines Datenschutzbeauftragten kann daher zeitlich nach freiem Belieben ausgestaltet werden. Regelmäßig wird aber eine langfristige Zusammenarbeit angestrebt. Mindestlaufzeiten von mindestens einem Jahr sind daher üblich. Für die effektive und effiziente Erfüllung der anfallenden Aufgaben ist zudem eine gewisse Einarbeitung erforderlich. Auch vor diesem Hintergrund empfiehlt sich eine langfristige Bestellung. Der Düsseldorfer Kreis empfiehlt in seinem Beschluss vom 24./25.11.2010
grundsätzlich eine Mindestvertragslaufzeit von 4 Jahren, bei Erstverträgen wird wegen der Notwendigkeit der Überprüfung der Eignung grundsätzlich eine Vertragslaufzeit von 1 – 2 Jahren empfohlen.

Interner oder Externer Datenschutzbeauftragter?

Soll ein betrieblicher Datenschutzbeauftragter bestellt werden, ist zunächst zu klären, ob eine im Unternehmen beschäftigte Person oder ein externer Dritter diese Aufgabe übernimmt. Für und gegen beide Optionen können im konkreten Einzelfall verschiedene Argumente sprechen. Einige dieser Argumente sind nachfolgend aufgeführt.

Bei der internen Lösung (Beschäftigter als Datenschutzbeauftragter) ist die Fach- und Sachkunde der gewählten Person sicherzustellen. Dem Beschäftigten müssen auf den einschlägigen Fachgebieten vorab alle Kenntnisse und Fähigkeit zur Erfüllung seiner Aufgaben vermittelt werden. Dazu zählen insbesondere:

  • Datenschutzrecht und Datenschutzpraxis,
  • Verfahren und Techniken der automatisierten Datenverarbeitung,
  • betriebswirtschaftliche Grundlagen und Zusammenhänge sowie
  • Organisation des Betriebes sowie dessen fachliche Aufgaben und Abläufe

Entsprechende Aus- und Weiterbildungsmaßnahmen verursachen Kosten. Zudem muss der Beschäftigte hierfür freigestellt werden und steht in dieser Zeit nicht zur Erfüllung seiner sonstigen Aufgaben zur Verfügung. Gerade in der Anlaufphase entsteht ein erheblicher Aufwand. Da die Fachkenntnisse kontinuierlich aufrechterhalten werden müssen, entstehen auch fortlaufende Kosten. Ein externer Datenschutzbeauftragter hat hingegen selbst und auf eigene Kosten für die erforderlichen Qualifikationen zu sorgen.

Ganz wesentlicher Vorteil eines internen Datenschutzbeauftragten ist es regelmäßig, dass er bereits im Unternehmen integriert ist. Oft kennt er die organisatorischen und technischen Abläufe. Deshalb ist die Einarbeitungszeit in Bezug auf technische und organisatorische Themen oft geringer. Allerdings kann eine vorhandenen Integration sich auch negativ auswirken. Eine zu wenig kritische Auseinandersetzung mit bestehenden Prozessen und Strukturen oder unzureichende Autorität zur Erledigung seiner Aufgaben sind Beispiele dafür.

Ein externer Datenschutzbeauftragter hat sich in aller Regel auf diese Aufgabe spezialisiert. Auf Grundlage dessen verfügt er umfangreich über einschlägiges Fachwissen und Praxiskenntnisse. Daraus folgen von Beginn an professionelle, effiziente und sichere Arbeitsabläufe. Zudem profitiert das Unternehmen, indem Konzepte und Prozesse implementiert werden, die bereits in der Praxis erprobt sind und sich dort bewährt haben.

Auf den ersten Blick scheint der interne DSB die günstigere Option: Seine Lohnkosten fallen ja ohnehin an. Bereits bei Berücksichtigung der Kosten für die erforderliche Ausbildung und Prüfung sowie die regelmäßig nötigen Fortbildungen und die Anschaffung von Fachliteratur geht diese Rechnung aber nicht mehr auf. Und schließlich steht der interne DSB in der Zeit, in der er sich seinen diesbzgl. Pflichten widmet, auch nicht für seine bisherigen Aufgaben zur Verfügung.

Kostentreiber können Vertretungsregelungen für den Fall von Krankheit und Urlaub sein: Ein fachkundiger Ansprechpartner muss nach den gesetzlichen Vorgaben in Datenschutzangelegenheiten immer verfügbar sein. Dies kann bei einer internen Lösung die Ausbildung mehrerer Personen erforderlich machen. Bei einer externen Lösung hingegen muss sich der Auftraggeber mit derartigen Problemen nicht auseinandersetzen.

Ein weiterer Vorteil der externen Lösung besteht darin, dass für die üblichen Leistungen feste Preise vereinbart werden können, mit denen sich kalkulieren lässt.

Ein interner DSB haftet für Schäden und Nachteile, die dem Arbeitgeber wegen fehlerhafter oder unzureichender Erfüllung der Pflichten des DSB entstehen, aufgrund eines vermilderten Haftungsmaßstabes in Arbeitsverhältnissen meist nur eingeschränkt oder gar nicht. Soll das Schadensrisiko von Pflichtverletzungen beseitigt werden, sind regelmäßig zusätzliche Versicherungsverträge erforderlich. Mit einem externer DSB hingegen bedarf es einer solchen zusätzlichen Absicherung üblicherweise nicht.

Für obligatorische interne DSB sieht das Gesetz einen besonderen Kündigungsschutz vor: Während ihrer Tätigkeit als DSB und für einen Zeitraum von einem Jahr nach Abberufung ist eine ordentliche Kündigung des Arbeitsverhältnisses nicht zulässig. Eine Kündigung kommt nur in Betracht, wenn ein wichtiger Grund zur fristlosen Kündigung vorliegt. Zugunsten eines externer DSB besteht ein solches besonderes Kündigungsrecht nicht.

Die Bestellung eines internen DSB stellt regelmäßig eine personelle Einzelmaßnahme im Sinne des Betriebsverfassungsrechts dar und begründet deshalb ein Mitbestimmungsrecht des Betriebsrates. Dadurch wird zusätzlicher Organisations- und Abstimmungsaufwand begründet. Bei der Bestellung eines externen DSB ist ein solches Mitspracherecht des Betriebsrates nicht vorhanden.

Leistungsumfang
und Kosten

Die pauschale Frage nach den Kosten eines externen Datenschutzbeauftragten lässt sich ähnlich präzise beantworten wie die Fragen, was ein Auto oder der nächste Urlaub kosten werden. Entscheidend sind die Anforderungen und Bedürfnisse im konkreten Einzelfall. Und die variieren je nach Unternehmensgröße, Geschäftsgegenstand und Organisationsstruktur sehr stark. Echte Pauschalangebote für einen externen Datenschutzbeauftragten sollten deshalb immer kritisch hinterfragt werden. Dies gilt insbesondere, wenn ein Angebot ohne jegliche Kenntnis von Größe, Tätigkeit und Organisation eines Unternehmens unterbreitet wird.

Ich biete Unternehmen aus Leipzig, Sachsen und ganz Deutschland meine Leistungen als externer Datenschutzbeauftragter modular – im Baukastensystem – an. Jeder Mandant erhält die generell benötigten bzw. gewünschten Leistungen als Paket zu einem pauschalen monatlichen Preis. Temporär benötigte Zusatzleistungen können jederzeit optional hinzugebucht werden. Die Abrechnung hierfür erfolgt nach individuellem Zeitaufwand. Sollten Zusatzleistungen dauerhaft benötigt werden, kann das gebuchte Paket entsprechend angepasst werden.

Mein Angebotsspektrum beginnt beim Paket „DSB-Basic“ zu monatlichen Kosten ab 150,00 EUR. Hierbei werde ich als Datenschutzbeauftragter Ihres Unternehmens bestellt. Gegenüber der zuständigen Aufsichtsbehörde zeige ich mich entsprechend an. Damit ist zunächst die gesetzliche Benennungspflicht erfüllt. Alle weiteren Leistungen zum Aufbau Ihrer Datenschutzorganisation – etwa die Erstellung des gesetzlich vorgeschriebenen Verarbeitungsverzeichnisses, einer Datenschutzrichtlinie oder eines Löschkonzepts – werden bei Bedarf zusätzlich bestellt. Die Abrechnung dafür erfolgt separat nach individuellem Zeitaufwand oder zu einem zuvor vereinbarten Festpreis. Enthalten ist ein festes jährliches Zeitkontingent für solche Zusatzleistungen bereits im Angebot „DSB-Professional“. Unternehmen, die die Erfüllung aller Pflichten und Vorgaben zum Datenschutz zum Festpreis delegieren möchten, biete ich darüber hinaus das Paket „DSB-Premium“ an. Damit werden sämtliche Aufgaben zum Thema Datenschutz zu festen monatlichen Kosten wie beim Outsourcing vollständig aus dem Unternehmen ausgelagert.