Datenschutzbeauftragter: Welcher ist der Richtige?
Sie meinen, in Ihrem Unternehmen wird ein Datenschutzbeauftragter (DSB) gebraucht? In diesem Beitrag erklären wir Ihnen alles, was Sie wissen müssen, um hierzu die richtigen Entscheidungen zu treffen.
Welche Unternehmen brauchen einen Datenschutzbeauftragten?
Ihr Unternehmen ist in den folgenden Fällen verpflichtet, einen Datenschutzbeauftragten zu bestellen:
- Ihr Unternehmen beschäftigt mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten.
- Ihr Unternehmen verarbeitet besonders sensible Daten wie Bonitäts- oder Gesundheitsdaten.
- Ihr Unternehmen muss(te) eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchführen.
Wie treffen Sie die richtige Entscheidung?
Wenn Ihr Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, werden Sie schnell feststellen, dass es verschiedene Möglichkeiten gibt. Zentrale Frage in diesen Fällen ist regelmäßig, ob Sie besser einen internen oder einen externen Datenschutzbeauftragten bestellen. Beide Varianten haben Vor- und Nachteile. Doch zunächst einmal sollten Sie genauer verstehen, was genau die Aufgaben des Datenschutzbeauftragten sind.
Die wesentlichen Aufgaben des Datenschutzbeauftragten sind die Unterrichtung und Beratung des Unternehmens (des sog. „Verantwortlichen“) in Bezug auf den Datenschutz, die Überwachung und Einhaltung der DSGVO, die Beratung um Zusammenhang mit der Datenschutz-Folgenabschätzung und die Zusammenarbeit mit der zuständigen Aufsichtsbehörde (gleichzeitig auch deren Anlaufstelle). Diese Tätigkeiten führt der DSB weisungsfrei aus. Stellt der Datenschutzbeauftragte einen Verstoß gegen die geltenden Regelungen fest, weist er die Geschäftsleitung des Unternehmens, also Sie, darauf hin. Ihre Aufgabe ist es dann, diese Regelungen ordnungsgemäß umzusetzen.
Externer oder Interner Datenschutzbeauftragter?
Die Kosten
Vergleicht man die beiden Formen, externer und interner Datenschutzbeauftragter, fällt der Blick meist zunächst auf die Kosten. Externe Datenschutzbeauftragte verlangen für Ihre Arbeit ein Honorar. Logischer Reflex ist daher häufig die Frage, ob Sie diese Aufgaben auf einen bereits vorhandenen Mitarbeiter des Unternehmens übertragen können. Auf den ersten Blick erscheint dies kostengünstiger: Denn die laufenden Personalkosten tragen Sie ja ohnehin. Zu den Personalkosten kommen aber noch diverse weitere Kosten: Ihr interner Mitarbeiter muss sich laufend fortbilden, das kostet Geld. Lehrgänge dauern meist mehrere Tage, sind sehr zeitintensiv und teuer; hinzu kommen dann meist noch Reisekosten. Außerdem wird ihr Mitarbeiter Literatur zum Thema benötigen und in den Zeiten der Weiterbildung nicht für seine sonstige Arbeit zur Verfügung stehen. Preislich dürften Sie dann schnell an die Kosten eines externen Datenschutzbeauftragten rankommen, mit dem Sie einen vertraglich festgelegten Preis vereinbaren.
Die Ressourcen und das Know-How
Zudem wird der interne Datenschutzbeauftrage seine Ressourcen aufteilen müssen. Er steht nicht mehr zu 100 % mit seiner Arbeitskraft zur Verfügung. Mindestens 10 bis 15 % seiner Arbeitszeit wird er für den Datenschutz opfern müssen. Je größer und „datenschutzintensiver“ das Unternehmen, umso höher ist diese Quote. Der externe Datenschutzbeauftrage nutzt seine Ressourcen hingegen zu 100 % für den Datenschutz und steht mit seinem kompletten Know-How zur Verfügung, welches er bereits in anderen Unternehmen erworben hat. Dieses Know-How wird dem internen Datenschutzbeauftragten dagegen oftmals fehlen.
Die Betriebsabläufe
Ein wesentlicher Vorteil hat dagegen der interne Datenschutzbeauftragte bei den Betriebsabläufen. Er kennt Ihr Unternehmen, seine Abläufe und Verfahren. Der externe Datenschutzbeauftragte benötigt dagegen meist eine gewisse Einarbeitungszeit, in der er von den Informationen, die Sie ihm liefern müssen, abhängig ist. Dafür hat der externe Datenschutzbeauftragte stets eine unvoreingenommene Herangehensweise, was Ihre Betriebsabläufe betrifft. Ihr interner Datenschutzbeauftragter ist hingegen im Hinblick auf die Datenverarbeitung in Ihrem Unternehmen womöglich etwas „betriebsblind“.
Die Unabhängigkeit
Von außenstehenden Dritten wird der interne Datenschutzbeauftragte oft als jemand Parteiisches angesehen, der das Unternehmen nicht neutral berät. Beachten Sie auch, dass nicht jeder Mitarbeiter interner Datenschutzbeauftragter werden darf. Dies betrifft vor allem Mitarbeiter, die über Mittel und Zweck der Datenverarbeitung entscheiden. Denn hat der interne Datenschutzbeauftragte eine Doppelrolle als „Hüter des Datenschutzes“ einerseits und „Entscheider“ andererseits, müsste er in der Rolle des Datenschutzbeauftragten womöglich seine eigenen Entscheidungen prüfen. Dass hierbei ein Interessenkonflikt vorprogrammiert ist, liegt auf der Hand. Daher dürfen beispielsweise IT-Leiter, Geschäftsführer oder Vorstände, nicht zum internen Datenschutzbeauftragten bestellt werden. Der externe Datenschutzbeauftragte ist hingegen in jedem Fall unabhängig.
Beauftragung und Kündigung
Sie entscheiden, welchen externen DSB Sie bestellen wollen. Beachten Sie aber, dass der externe Datenschutzbeauftragte nur dann von den Aufsichtsbehörden als unabhängig eingestuft wird, wenn eine vorzeitige Beendigung der Beauftragung (für ca. zwei bis drei Jahre) ausgeschlossen ist. Darüber hinaus dürfen Sie einen internen Datenschutzbeauftragten nur aus wichtigen Gründen abberufen. Diese liegen beispielsweise bei Geheimnisverrat oder der Verletzung von Kernaufgaben als Datenschutzbeauftragter vor. Darüber hinaus genießen interne Datenschutzbeauftragte weitestgehend Kündigungsschutz. Beachten Sie außerdem, dass der Betriebsrat bei der Entscheidung bzgl. des internen Datenschutzbeauftragten ein Mitspracherecht hat. Das hat er beim externen Datenschutzbeauftragten hingegen nicht.
Die Haftung
Im Rahmen der beschränkten Arbeitnehmerhaftung haftet der Geschäftsführer vollumfänglich (inkl. seinem Privatvermögen) für Verstöße gegen den Datenschutz. Dieses Risiko kann er minimieren, indem ein externer Datenschutzbeauftragter bestellt wird. In einem solchen Fall haftet dieser im Innenverhältnis für eine Falschberatung. Eine persönliche Haftung kommt allerdings dann wieder ins Spiel, wenn der Geschäftsführer vom DSB empfohlene und nach der DSGVO erforderliche Maßnahmen ignoriert oder ablehnt.
Jurist oder IT-ler?
Datenschutz ist ein rechtlich und technisch geprägtes Thema. Deshalb haben Datenschutzbeauftragte meist einen entsprechenden beruflichen Hintergrund. Entscheiden Sie sich eher für einen Juristen oder einen IT-ler? Im Falle des internen Datenschutzbeauftragten wird Ihre Wahl wohl eher auf einen IT-ler fallen. Externe Datenschutzbeauftragte sind häufig (aber nicht zwingend) Juristen. Auch hier haben beide Varianten Vor- und Nachteile. IT-ler kennen sich bezogen auf technische Maßnahmen zur Datensicherheit vermutlich wesentlich besser als Juristen. Sie verfügen allerdings häufig nicht über das unter Umständen nötige rechtliche Wissen.
Bei diesem Punkt sollten Sie sich auch die Frage stellen, was bei einem drohenden Bußgeld oder der Kontrolle durch die zuständigen Datenschutzbehörden geschieht: Sie werden vermutlich juristische Beratung suchen (wollen). Ist der Datenschutzbeauftragte gleichzeitig auch Jurist, kennt er bereits die Problematik Ihres Falls und kann Ihnen direkt Ihre Fragen beantworten und bei der Problemlösung helfen. Die Einarbeitungszeit, die er anfangs benötigt hat, wird sich hier wieder auszahlen. Denn Sie haben sich viele und lange Gespräche zur Sachverhaltsaufklärung gespart.
Wie entscheiden Sie sich?
Ob Sie sich letztendlich für einen externen oder internen Datenschutzbeauftragten entscheiden, bleibt Ihnen überlassen. Der wesentliche Vorteil beim internen Datenschutzbeauftragten dürfte die größere Prozesskenntnis des Betriebs sein, wogegen der externe Datenschutzbeauftragte mit einem höheren Maß an Spezialisierung und der Konzentration seiner Ressourcen punkten dürfte. Auch die Haftungsfrage kann Ihre Entscheidung wesentlich beeinflussen.
Wie arbeiten wir als externe Datenschutzbeauftragte (DSB)?
Als TÜV-zertifizierte externe DSB sind wir Ihre erste Anlaufstelle bei allen Fragen rund um das Thema Datenschutz und Datenschutzrecht – sowohl innerhalb Ihres Unternehmens als auch für Außenstehende (Aufsichtsbehörde, Betroffene). Ihnen kommt die Aufgabe zu, auf die Umsetzung der datenschutzrechtlichen Vorgaben in Ihrem Unternehmen hinzuwirken.
Selbstverständlich bilden wir uns regelmäßig und umfangreich zum Thema fort. Außerdem erhalten Sie von uns regelmäßige Statusberichte, damit sie sehen können, wie Ihr Unternehmen datenschutzrechtlich aufgestellt ist.
Brauchen Sie Hilfe?
Sind Sie unsicher, welche Form des Datenschutzbeauftragten Sie sich entscheiden sollen? Wollen Sie prüfen lassen, ob Sie einen Datenschutzbeauftragten bestellen müssen und welcher für Sie der Richtige ist? Dann sprechen Sie uns an, wir helfen Ihnen gerne weiter!
Sie möchten mehr über uns und unsere Leistungen im IT- und Datenschutzrecht erfahren? Das geht ganz einfach:
- Abonnieren Sie unsere Tipps und Tricks.
- Lesen Sie unsere kostenlosen E-Books.
- Informieren Sie sich über unsere Leistungen.
- Werfen Sie einen Blick in unseren Wegweiser. Darin finden Sie alle unsere Blog-Beiträge thematisch geordnet.
- Haben Sie noch ein anderes Anliegen? Nehmen Sie jederzeit gerne Kontakt zu uns auf.
Ihre Ansprechperson
Dr. Sonja Detlefsen
Lesen Sie hier weiter:
Unsere DSGVO-Checkliste für IT-Unternehmen
Was muss Ihr IT-Unternehmen tun, um DSGVO-konform aufgestellt zu sein? Wir erklären es Ihnen!
Ist Ihr IT-Unternehmen rechtlich professionell aufgestellt?
Viele IT-Unternehmen vernachlässigen ihre rechtliche Aufstellung. Wie es rechtlich um Ihr Unternehmen steht, können Sie mit unserer IT-Recht-Checkliste ganz einfach selbst überprüfen – damit Sie sich entspannt auf Ihre Geschäfte konzentrieren können.
Unsere Top-Artikel:
- Preisanpassungsklauseln wirksam vereinbaren
- Konfliktsituationen: Fünf Tipps zum richtigen Verhalten
- Regelungen zur Freistellung bei Verletzung von Rechten Dritter in IT-Verträgen – was soll das?
- IT-Verträge in der Krise, Teil 2: Was tun, wenn der Kunde den Vertrag beenden will?
- AGB oder Nutzungsbedingungen – das brauchen Sie wirklich