WUSSTEN SIE, DASS…

  • … Unternehmen mit 20 oder mehr Mitarbeitern, die mit personenbezogenen Daten arbeiten, gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu bestellen?
  • … in Bonn bereits ein Bußgeld über 10.000 Euro für die Nichtbestellung eines Datenschutzbeauftragten verhängt wurde?
  • … die gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten auch bestehen kann, wenn man gar keine Mitarbeiter beschäftigt?
  • … ein externer Datenschutzbeauftragter viele Vorteile gegenüber einem internen Mitarbeiter hat, weil er z.B. nicht ausgebildet werden muss und flexible Kündigungsmöglichkeiten hat?
  • …ein Datenschutzbeauftragter als organisatorische Maßnahme auch benannt werden kann, ohne dass eine gesetzliche Pflicht zur Benennung besteht?

Tätigkeit als externer Datenschutzbeauftragter

Arbeiten in Ihrem Unternehmen mehr als neunzehn Personen regelmäßig und automatisiert mit personenbezogenen Daten oder sind Sie in einem speziellen Geschäftsfeld tätig, müssen Sie gesetzlich einen Datenschutzbeauftragten (DSB) bestellen. Aufgabe des Datenschutzbeauftragten ist es, die Einhaltung der datenschutzrechtlichen Vorgaben in Ihrem Unternehmen zu prüfen und zu überwachen. Diese Aufgabe kann sowohl von einem internen Mitarbeiter als auch von einem externen Dienstleister übernommen werden. Ein externer Dienstleister hat als Datenschutzbeauftragter gegenüber einem internen Mitarbeiter, dessen Kernaufgabe nicht der Datenschutz ist, einige Vorteile:

Interne Datenschutzbeauftragte müssen für die Tätigkeit als DSB zunächst ausgebildet und stetig weitergebildet werden. Das Datenschutzrecht setzt sich aus einer Vielzahl unterschiedlichster Rechtsvorschriften zusammen. Neben der DS-GVO gibt es noch etliche nationale Gesetze wie etwa das Bundesdatenschutzgesetz (BDSG), das Strafgesetzbuch (StGB) oder das Sozialgesetzbuch (SGB) sowie verschiedenste länderrechtliche Spezialvorschriften zum Datenschutz. Allein die DS-GVO enthält neben sechs bis sieben zentralen Grundsätzen zum Da-tenschutz auch rund 50 Einzelpflichten, deren Inhalt der Datenschutzbeauftragte kennen muss.

Ein externer Datenschutzbeauftragter hingegen ist bereits mit dem Datenschutzrecht vertraut und weiß aus Erfahrung, wie die Umsetzung der DS-GVO und anderer Rechtsvorschriften zum Datenschutz in Unternehmen gestaltet werden muss. Er ist für die Datenschutzarbeit zertifiziert und kann auf Kenntnisse zurückgreifen, die er während seiner Tätigkeit als externer Datenschutzbeauftragter bereits in zahlreichen anderen Unternehmen gesammelt hat. Im Gegensatz zum internen Datenschutzbeauftragten kann der externe DSB daher sofort mit seiner Arbeit beginnen und sich unverzüglich um den Schutz personenbezogener Daten in Ihrem Unternehmen kümmern.

Die Aus- und Weiterbildung eines internen Datenschutzbeauftragten ist nicht nur zeitintensiv, sondern auch mit hohen Kosten verbunden. Da ein externer Datenschutzbeauftragter bereits über eine hohe Expertise im Datenschutz verfügt und für Weiterbildungen selbst aufkommt, fallen hier keine weiteren Kosten für Sie an. Ein interner Datenschutzbeauftragter muss dagegen zunächst auf mehrere Lehrgänge zum Datenschutz geschickt werden, um mit der Materie des Datenschutzes vertraut zu werden, und hat anschließend einen gesetzlichen Anspruch auf den Besuch weiterer Fortbildungen im Datenschutzrecht.

Bei einem externen Datenschutzbeauftragten werden zu Beginn der Datenschutzarbeit die Zahlungskonditionen vertraglich geregelt und stehen damit fest. Welche Kosten für die Ausbildung eines internen Datenschutzbeauftragten und die Ausstattung des internen DSB mit Räumlichkeiten und anderen Ressourcen anfallen, ist nur bedingt absehbar. Hinzu kommen beim internen Datenschutzbeauftragten die Kosten seiner eigentlichen Arbeit, die dann ggf. teilweise von Kollegen übernommen werden muss.

Ob ein interner Datenschutzbeauftragter am Ende tatsächlich günstiger ist als ein externer DSB, ist zu bezweifeln. Seine Kosten sind jedenfalls bei Weitem nicht so transparent wie diejenigen eines externen Dienstleisters. Hinzu kommt, dass der externe Datenschutzbeauftragte mit seinen umfangreichen Kenntnissen im Datenschutzrecht und seiner jahrelangen Erfahrung auf zahlreiche Muster zurückgreifen und viele datenschutzrechtlichen Fragen deutlich schneller beantworten kann als ein interner Datenschutzbeauftragter.

Die Tätigkeit als externer Datenschutzbeauftragter basiert auf der schriftlichen Bestellung und auf einem Dienstleistungsvertrag, dessen Laufzeit individuell vereinbart und angepasst werden kann. Demgegenüber besteht bei einem internen Datenschutzbeauftragten und dessen Unternehmen neben der schriftlichen Bestellung ein Arbeitsvertrag, der strengeren Vorschriften unterliegt.

Da der Datenschutzbeauftragte verpflichtet ist, die Einhaltung des Datenschutzes aktiv zu überwachen, muss er die Geschäftsführung folglich über Missstände aufklären und Empfehlungen für deren Behebung aussprechen. Damit der interne Datenschutzbeauftragte diese Aufgabe uneingeschränkt wahrnehmen kann, genießt er arbeitsrechtlich einen hohen Sonderkündigungsschutz. Ein interner Datenschutzbeauftragter kann nur noch gekündigt werden, wenn er in so eklatanter Weise gegen seine arbeitsvertraglichen Pflichten verstößt, dass eine außerordentliche Kündigung gerechtfertigt ist.

Das Gleiche gilt für die Abberufung eines internen DSB: Interne Datenschutzbeauftragte können – im Gegensatz zu externen Dienstleistern – nur aus wichtigem Grund abberufen werden und sind durch das absolute Benachteiligungsverbot (Art. 38 Abs. 3 DS-GVO) geschützt.

Bei einem externen Dienstleister sind Sie in der Gestaltung des Beratungsvertrags deutlich freier und können für eine mögliche Beendigung des Vertragsverhältnisses flexible Bedingungen mit Ihrem Vertragspartner vereinbaren.

Datenschutzbeauftragte sind für eine ordnungsgemäße Beratung und Aufklärung der Geschäftsführung verantwortlich. Datenschutzbeauftragte müssen und können zwar keinerlei Maßnahmen durchführen, da die Verantwortung für die Umsetzung datenschutzrechtlich erforderlicher Maßnahmen vollständig bei der Geschäftsführung liegt. Es fällt aber unter die Verantwortung eines Datenschutzbeauftragten, sicherzustellen, dass die Geschäftsführung ihre datenschutzrechtlichen Pflichten kennt sowie notwendige Handlungsbedarfe aufgezeigt bekommt und über bestehende Risiken aufgeklärt wird. Dementsprechend haften Datenschutzbeauftragte grundsätzlich für Schäden einer Datenschutzverletzung, wenn sie ihrer datenschutzrechtlichen Beratungspflicht nicht ordnungsgemäß nachgekommen sind.

Für die Haftung spielt es im deutschen Recht grundsätzlich keine Rolle, wie groß die Schuld des Datenschutzbeauftragten an dem Schaden ist. Er haftet daher grundsätzlich unbegrenzt für leicht fahrlässige Beratungsfehler genauso wie für grob fahrlässige Beratungsfehler. Eine Ausnahme von diesem Grundprinzip der vollen Schadensersatzpflicht gibt es aber im Arbeitsrecht für Arbeitnehmer. Hier gilt die sog. milde Arbeitnehmerhaftung. Diese besagt, dass Arbeitnehmer für leicht fahrlässig verursachte Schäden gar nicht haften und ansonsten nur einen Teil des Schadens ersetzen müssen. Die genaue Haftungsquote hängt von verschiedenen Faktoren wie dem exakten Verschuldensgrad oder dem Gehalt des Arbeitnehmers ab. Diese mildere Haftung gilt auch für interne Datenschutzbeauftragte.

Für einen externen Datenschutzbeauftragten gilt dieses Haftungsprivileg hingegen nicht. Wird der externe Datenschutzbeauftragte seiner Aufgabe nicht gerecht und erfüllt seine Pflichten nicht ordnungsgemäß, so haftet er daher unbegrenzt für den entstandenen Scha-den, den in der Regel seine Versicherung übernimmt.

Insbesondere Arbeitnehmer, die schon länger in einem Unternehmen tätig sind, werden „betriebsblind“ und sind dadurch in ihrer Bewertung interner Abläufe und Verfahren beeinflusst. Ein externer Datenschutzbeauftragter hat hingegen eine neutrale Sichtweise von außen auf die Unternehmensabläufe und kann die Einhaltung der datenschutzrechtlichen Vorschriften objektiv bewerten und entsprechend beraten. Durch seine neutrale Sicht von außen erfährt der externe Datenschutzbeauftragte zudem oft eine höhere Akzeptanz innerhalb der Belegschaft als ein Kollege, der die Aufgabe eines internen DSB wahrnimmt.

Bestellen Sie uns zu Ihrem externen Datenschutzberater!

Wir werden gern für Sie als externer Datenschutzbeauftragter tätig. Als Ihr externer DSB übernehmen wir alle vorgeschriebenen Aufgaben eines Datenschutzbeauftragten und unterstützen Sie bei der Umsetzung der umfangreichen Anforderungen der DS-GVO:

  • Wir prüfen und überwachen aktiv die Datenschutzsituation in Ihrem Unternehmen.
  • Wir unterstützen Sie bei der Erfüllung Ihrer Datenschutzaufgaben.
  • Wir klären die Geschäftsführung über ihre Datenschutzpflichten und bestehende Datenschutzrisiken auf.
  • Wir führen eine umfangreiche datenschutztechnische Bestandsaufnahme durch.
  • Wir erstellen für Sie einen individuell zugeschnittenen Maßnahmenplan.
  • Als externer Datenschutzbeauftragter fungieren wir als Anlaufstelle für die Aufsichtsbehörde und Betroffene.
  • Wir schulen und sensibilisieren Ihre Mitarbeiter in Bezug auf den Umgang mit personenbezogenen Daten und den Datenschutz.

Um die Datenschutzarbeit möglichst effektiv zu gestalten, arbeiten wir mit einem digitalen Datenschutz-Management-Tool. Zudem erhalten Sie ein umfangreiches Datenschutzhandbuch mit vielen Erklärungen und Mustern sowie Hinweisen zur aktuellen Rechtsprechung.

Sie haben noch Fragen?

Unser Datenschutzteam steht Ihnen für Fragen rund um das Thema Datenschutz gern telefonisch (0911 / 148986-50) und per E-Mail (info@ascon-datenschutz.de) zur Verfügung.

Außerdem haben wir Ihnen die wichtigsten Meilensteine im Datenschutzprojekt zusammengestellt, den groben Ablauf unserer Datenschutzberatung skizziert und mit den Datenschutzfacts einen umfangreichen Wissenspool mit einem Datenschutz-ABC, den größten Datenschutz-Mythen und aktuellen Datenschutztipps eingerichtet! Außerdem bieten wir sowohl für interne Datenschutzbeauftragte als auch für Geschäftsführer eine Reihe interessanter Seminare an.