Externen Datenschutzbeauftragten bestellen

Ratgeber: Externer Datenschutzbeauftragter

(Lesezeit: 16 Minuten)

Auch wenn das Thema Datenschutz schon seit geraumer Zeit an Wichtigkeit gewinnt, ist es spätestens seit dem 25. Mai 2018 aufgrund der Datenschutzgrundverordnung (DSGVO) in aller Munde. Insbesondere aufgrund der extrem hohen Bußgelder stellt sich in vielen Unternehmen die Frage, welche Pflichten bezüglich des Datenschutzes bestehen, um den gesetzlichen Anforderungen zu entsprechen und Bußgelder in Höhe von bis zu 20.000.000 € zu verhindern. Dieser Ratgeber verschafft Ihnen einen Überblick über den Datenschutz und erläutert zunächst unter welchen Voraussetzungen ein Datenschutzbeauftragter benannt werden muss und anschließend welche Anforderungen an einen solchen zu stellen sind und welche Aufgaben dieser trägt.

Das Wichtigste in Kürze

• Der Schutz der personenbezogenen Daten ist ein Grundrecht, welches aus dem Grundrecht auf informationelle Selbstbestimmung abgeleitet wird (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG).

• Unter personenbezogenen Daten fallen alle Daten, die den Schluss auf eine Person ermöglichen, wie z.B. Name, Anschrift oder Telefonnummer.

• Seit dem 25. Mai 2018 gilt die DSGVO und das neue Bundesdatenschutzgesetz (BDSG). Seitdem drohen bei Verstößen Geldbußen in Höhe von bis zu 20.000.000 € oder 4% des weltweit erzielten Jahresumsatzes.

• Die Pflicht einen Datenschutzbeauftragten zu benennen, besteht schneller als gedacht: Beispielsweise sobald mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden. Hierzu gehören neben Vollzeitbeschäftigten auch Teilzeitbeschäftigte, Praktikanten und Auszubildende.

• Der externe Datenschutzbeauftragte unterstützt Sie dabei, die datenschutzrechtlichen Anforderungen zu erfüllen, um die horrenden Geldbußen für Ihr Unternehmen zu vermeiden.

Inhalt

1. Was versteht man unter Datenschutz?
2. Was sind personenbezogene Daten?
3. Warum ist Datenschutz so wichtig?
4. Umsetzung des Datenschutzes
   1. Gesetzliche Regelung bis zum 25. Mai 2018
   2. Gesetzliche Regelung seit dem 25. Mai 2018
5. Was sind die Aufgaben des Datenschutzbeauftragten?
6. Wann muss ein Datenschutzbeauftragter benannt werden?
7. Interner (betrieblicher) vs. externer Datenschutzbeauftragter
   1. Interner Datenschutzbeauftragter
      1. Gefahr des Interessenkonflikts
      2. Schutz gegen Abberufung
      3. Kündigungsschutz
      4. Haftung
   2. Externer Datenschutzbeauftragter
      1. Einarbeitung
      2. Haftung
      3. Kündigungsschutz
   3. Übersicht der Vor- und Nachteile eines internen bzw. externen Datenschutzbeauftragten
   4. Zusammenfassung
8. Wer kann alles Datenschutzbeauftragter werden?
9. Welche Sanktionen drohen bei Verstößen?
10. Fazit

Was versteht man unter Datenschutz?

Die mediale Präsenz des Themas Datenschutz seit dem 25. Mai 2018 vermittelt den Eindruck, dass Datenschutz eine neue Thematik sei. Dabei ist Datenschutz insbesondere in Deutschland schon lange ein Grundrecht aller Bürgerinnen und Bürger. Grundlage des Datenschutzes ist das Grundgesetz. Mit dem „Grundrecht auf informationelle Selbstbestimmung“ wird dem Einzelnen das Recht eingeräumt, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Dieses Recht findet sich zwar nicht explizit im Grundgesetz, wird aber aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG) abgeleitet. Die Tatsache, dass der Datenschutz also unmittelbar aus dem Grundgesetz abgeleitet wird, verdeutlicht dessen gesetzlichen Stellenwert. In dieses Grundrecht darf nur unter ganz bestimmten Voraussetzungen eingegriffen werden. Daher dürfen personenbezogene Daten nicht ohne Weiteres preisgegeben oder verwendet werden. Ziel des Datenschutzes ist, dass im Grundgesetz verankerte Recht auf informationelle Selbstbestimmung zu wahren und jede Bürgerin und jeden Bürger vor der missbräuchlichen Verarbeitung von personenbezogenen Daten zu schützen. Aus diesem Grund dürfen diese Daten nur preisgegeben oder verwendet werden, wenn es hierfür eine rechtliche Grundlage gibt oder eine ausdrückliche Einwilligung der betroffenen Personen vorliegt.

Was sind personenbezogene Daten?

Die DSGVO enthält nach Art. 1 Abs. 1 DSGVO „Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“. Doch was genau ist unter dem Begriff „personenbezogener Daten“ zu verstehen? Dies ist gesetzlich definiert und zwar in Art. 4 Nr. 1 DSGVO. Danach sind „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen". Demnach genügt es, wenn es sich um Daten handelt, die es ermöglichen auf eine Person zu schließen. Beispiele für personenbezogene Daten, die der Datenschutz vor Missbrauch schützen soll, sind:

• Name

• Anschrift

• Telefonnummer

• E-Mail Adresse

• Anschrift

• IBAN Nummer

• IP-Adresse

• Standortdaten

• Bild einer Person

Da es häufig schwierig zu beurteilen ist, ob anhand gewisser Daten auf eine Person geschlossen werden kann oder nicht, ist im Zweifel davon auszugehen, dass es sich um personenbezogene Daten handelt, falls die Daten irgendeinen Bezug zu Personen haben.

Warum ist Datenschutz so wichtig?

Um sich dessen bewusst zu werden, weshalb der Datenschutz so wichtig ist, ist es notwendig einen Blick auf die heutige Zeit zu werfen. Personenbezogene Daten haben in den letzten Jahrzehnten erheblich an Bedeutung gewonnen. Unternehmen, die diese enormen Datenmengen richtig aufbereiten, haben allein dadurch schon einen großen Wettbewerbsvorteil. Indem die Daten gesammelt und analysiert werden, können immer detailliertere Kundenprofile angelegt werden, aufgrund derer die Produkte immer genauer an die Wünsche des Kunden angepasst werden können. Durch die fortschreitende Digitalisierung und die damit einhergehenden Möglichkeiten wird es für Unternehmen zunehmend einfacher an immer größere Datenmengen zu gelangen. Auch wenn die neuen Möglichkeiten aufgrund von Datenanalysen für die Bürgerinnen und Bürger enorme Vorteile mit sich bringen, dürfen die Risiken der Datensammlung nicht außer Acht gelassen werden. Je mehr Daten über einzelne Personen gesammelt werden, desto größer wird die Furcht zum „gläsernen Menschen“ zu werden, dessen Informationen für jeden zugänglich sind, ohne dass sich betroffene Personen dagegen wehren können.

An dieser Stelle wird klar, dass es ein schmaler Grat zwischen den Chancen der Datensammlung und den Risiken des Datenmissbrauchs ist. Genau an diesem Punkt setzt der Datenschutz ein, dessen Ziel es ist, dieser Furcht vorzubeugen und diejenigen Personen zu schützen, deren Daten gesammelt und anschließend verarbeitet werden. Also ist der Datenschutz essentiell wichtig, um das Grundrecht der Bürgerinnen und Bürger zu wahren und ihnen zu ermöglichen über die Verwendung ihrer persönlichen Daten selbst zu bestimmen.

Umsetzung des Datenschutzes

Gesetzliche Regelung bis zum 25. Mai 2018

Bis zum 25. Mai 2018 war die Grundlage des Datenschutzes in Deutschland die „Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr“. Diese Datenschutzrichtlinie galt wie alle Richtlinien der EG-Mitgliedstaaten nicht unmittelbar, aber verpflichtete die Mitgliedstaaten dazu, die Regelungen im nationalen Recht umzusetzen. Dies wurde in Deutschland durch das BDSG getan.

Gesetzliche Regelung seit dem 25. Mai 2018

Seit dem 25. Mai 2018 gelten zwei neue gesetzliche Regelungen. Die neue EU- DSGVO ist zwar schon am 24. Mai 2016 in Kraft getreten, entfaltet ihre volle Wirkung aber erst seit dem 25. Mai 2018. Im Gegensatz zur Datenschutzrichtlinie muss die neue EU-DSGVO nicht durch nationales Recht umgesetzt werden, sondern gilt – wie alle Verordnungen der EU – unmittelbar. Gleichzeitig mit der EU-DSGVO trat am 25. Mai 2018 auch ein neues Bundesdatenschutzgesetz in Kraft, das BDSG-neu. Vielen stellt sich hier die Frage, warum ein neues Bundesdatenschutzgesetz erlassen werden muss, wenn die EU-DSGVO unmittelbar in den EU-Mitgliedstaaten wirkt. Hierbei ist zu beachten, dass die EU-DSGVO zwar unmittelbar wirkt, aber zeitgleich sogenannte Öffnungsklauseln enthält. Das bedeutet, dass in der Verordnung die Grundsätze zum Datenschutz geregelt werden, welche durch nationale Regelungen – wie dem BDSG-neu – konkretisiert werden können. Zu beachten ist hierbei stets, dass die EU-DSGVO Vorrang vor der nationalen Regelung im BDSG-neu hat, was auch in § 1 Abs. 5 BDSG-neu explizit festgehalten ist.

Was sind die Aufgaben des Datenschutzbeauftragten?

Um den soeben erläuterten Datenschutz zu gewährleisten, kann bzw. muss ein Datenschutzbeauftragter (DSB) benannt werden. Doch was genau sind die Aufgaben eines Datenschutzexperten? Die genauen Aufgaben des Datenschutzbeauftragten sind in Art. 39 Abs. 1 DSGVO aufgeführt und werden in § 7 BDSG-neu ergänzt. Danach hat der Datenschutzexperte den Verantwortlichen über dessen Pflichten nach der DSGVO zu unterrichten und bezüglich dieser zu beraten. Des Weiteren hat er die Pflicht die Einhaltung der DSGVO und anderer Datenschutzvorschriften zu überwachen. Somit wird im Gesetz verdeutlicht, dass dem Datenschutzbeauftragten eine unterstützende Funktion zukommt, er aber nicht für die Umsetzung der Datenschutzvorschriften verantwortlich ist.

Zu Beginn seiner Tätigkeit ermittelt der Datenschutzbeauftragte das aktuelle Datenschutzniveau innerhalb des Unternehmens im Rahmen des Datenschutz-Audits. Hierfür wird zusammen mit dem Verantwortlichen ein Fragenkatalog abgearbeitet, anhand dessen der aktuelle Stand bewertet werden kann. Dieser ermittelte "Ist-Zustand" im Unternehmen wird mit dem "Soll-Zustand", der alle gesetzlichen Anforderungen erfüllt, verglichen. Somit fallen dem Datenschutzbeauftragten schon in diesem Schritt mögliche datenschutzrechtliche Lücken bzw. Verbesserungsmöglichkeiten im Unternehmen auf. Anhand dieser Bewertung gibt der Datenschutzexperte dem Verantwortlichen Handlungsempfehlungen zur Verbesserung des Datenschutzniveaus. Nach Erstellung des Datenschutz-Audits begleitet der Datenschutzexperte den Verantwortlichen während der gesamten Vertragslaufzeit, um den "Ist-Zustand" peu à peu an den "Soll-Zustand" anzupassen, um am Ende sämtliche Anforderungen zu erfüllen. Weitere Aufgaben des Datenschutzexperten sind:

• Zusammenarbeit mit der Aufsichtsbehörde (Ansprechpartner für sämtliche Anfragen)

• Erstellung und Aktualisierung von Verarbeitungsverzeichnissen

• Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (notwendig, wenn bei der Datenverarbeitung neue Technologien eingesetzt werden und hierdurch eine hohes Risiko für die Rechte von Personen und deren Daten besteht.)

• Mitarbeiterverpflichtung

• Prüfung und Aktualisierung Ihrer AGB und des Impressums

• Beratung für die korrekte Durchführung einer Datenschutz-Folgenabschätzung

• Ansprechpartner für datenschutzrechtliche Fragen für Kunden, Mitarbeiter und Geschäftsführung

• Prüfung und Anpassung der Datenschutzerklärung Ihrer Internetseite

• Jährliche Tätigkeitsberichte für den Verantwortlichen (auch zum Nachweis gegenüber der Aufsichtsbehörde und eventuellen Abmahnern)

Wann muss ein Datenschutzbeauftragter benannt werden?

Häufig wird behauptet, dass die Benennung eines Datenschutzbeauftragten freiwillig sei. Dies ist im Grundsatz auch richtig, allerdings gibt es gesetzlich normierte Fälle, in denen die Pflicht besteht einen Datenschutzbeauftragten zu bestellen. Diese Fälle sind in Art. 37 Abs. 1 lit. a) – c) DSGVO geregelt und werden über Art. 37 Abs. 4 DSGVO in den §§ 5 Abs. 1, 38 Abs. 1 BDSG-neu konkretisiert bzw. ergänzt. Die Benennung eines Datenschutzbeauftragten ist danach verpflichtend, wenn:

• die Datenverarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (Art. 37 Abs. 1 lit. a) DSGVO, § 5 Abs. 1 BDSG-neu).

• die Kerntätigkeit des Verantwortlichen in der Datenverarbeitung besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. B DSGVO).

• die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten (besonders sensible Daten, aus denen beispielsweise die ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, usw. hervorgeht) gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht (Art. 37 Abs. 1 lit. c) DSGVO).

• mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden (Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 Satz 1 BDSG-neu). Automatisiert ist die Verarbeitung bereits, wenn sie durch Einsatz von IT-Technik erfolgt. Zum Personenkreis der "beschäftigten Personen" zählen Voll- und Teilzeitbeschäftigte, aber auch Auszubildende, Praktikanten und freie Mitarbeiter.

• der Verantwortliche personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung bearbeitet (Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 Satz 2 BDSG-neu).

Sobald eine dieser Voraussetzungen erfüllt ist, besteht bereits die Pflicht einen Datenschutzbeauftragten zu benennen. Aufgrund der weiten Auslegung des Begriffs "personenbezogene Daten" ist festzuhalten, dass nahezu jedes Unternehmen solche Daten verarbeitet. Dadurch, dass auch Praktikanten in den Kreis der beschäftigten Personen gehören und somit schnell die Anzahl von zehn Beschäftigten erreicht ist, besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten sehr viel schneller und häufiger als gedacht. Ob diese Pflicht bei bei Ihnen besteht oder nicht, können Sie gerne im Rahmen unserer kostenlosen telefonischen Erstberatung erfragen.

Interner (betrieblicher) vs. externer Datenschutzbeauftragter

Wenn entweder die Pflicht besteht oder der Verantwortliche sich freiwillig dazu entscheidet einen Datenschutzbeauftragten zu benennen, stellt sich im nächsten Schritt die Frage, ob ein interner (betrieblicher) oder ein externer Datenschutzbeauftragter benannt werden soll. Grundsätzlich ist beides möglich, dennoch sollten die Unterschiede bekannt sein, um die richtige Entscheidung zu treffen.

Interner Datenschutzbeauftragter

Von einem internen Datenschutzbeauftragten spricht man, wenn der Datenschutzbeauftragte zugleich Beschäftigter des Verantwortlichen - also in der Regel Beschäftigter im Unternehmen - ist, was durch Art. 37 Abs. 6 DSGVO auch ausdrücklich erlaubt ist. Bei einem internen Datenschutzbeauftragten sind allerdings einige Besonderheiten zu beachten:

Gefahr des Interessenkonflikts

Wenn man einen Beschäftigten gleichzeitig als internen Datenschutzbeauftragten einsetzen möchte, sollte man sich des Risikos eines Interessenkonflikts bewusst sein. Das Risiko rührt daher, dass der Beschäftigte in seiner Funktion als Angestellter im Interesse des Verantwortlichen (z.B. des Unternehmens) handelt, während dem Datenschutzbeauftragten eine neutrale Funktion zukommen soll. Sobald nun eine Entscheidung ansteht, die entweder im Interesse des Verantwortlichen oder im Sinne des Datenschutzes gefällt werden kann, kann es dazu kommen, dass ein Interessenkonflikt besteht, welcher unter Umständen die Einhaltung der datenschutzrechtlichen Vorschriften zumindest gefährdet. Der Datenschutzbeauftragte soll gerade nicht im Interesse des Verantwortlichen, sondern zur Wahrung des Datenschutzes handeln. Ein Interessenkonflikt kann insbesondere vorliegen, wenn der Datenschutzbeauftragte sich selbst oder seine eigene Arbeit datenschutzrechtlich kontrollieren müsste oder wenn er ein wirtschaftliches Interesse am Erfolg des Unternehmens hat. Ein Interessenkonflikt muss nicht zwangsläufig entstehen, kommt allerdings insbesondere bei folgenden Positionen von Beschäftigten in Betracht:

• Vorstand

• Geschäftsführer

• Betriebsleiter

• Personalleiter

• Leiter der IT-Abteilung

Da der Verantwortliche nach Art. 38 Abs. 6 Satz 2 DSGVO gesetzlich dazu verpflichtet ist, einen solchen Interessenkonflikt zu vermeiden kann für die Praxis geschlussfolgert werden, dass es den obenstehenden Personen im Normalfall nicht möglich ist zeitgleich die Position des internen Datenschutzbeauftragten zu übernehmen.

Schutz gegen Abberufung

Der interne Datenschutzbeauftragte ist nach § 6 Abs. 4 BDSG-neu gegen eine Abberufung geschützt. Genauer gesagt, kann ein Datenschutzbeauftragter in entsprechender Anwendung des § 626 BGB nur aus einem „wichtigen Grund“ abberufen werden. Diese Regelung gilt nach § 38 Abs. 2 BDSG auch für Datenschutzbeauftragte nichtöffentlicher Stellen, sofern die Benennung des Datenschutzbeauftragten verpflichtend war. Dieser besondere Schutz des internen Datenschutzbeauftragten hat seinen Grund insbesondere darin, dass es nicht möglich sein soll, einen Datenschutzbeauftragten abzuberufen, nur weil er auf die Einhaltung des Datenschutzstandards beharrt.

Kündigungsschutz

Zusätzlich zu dem soeben erläuterten Schutz vor einer Abberufung wird der interne Datenschutzbeauftragte auch vor einer Kündigung geschützt, § 6 Abs. 5 Satz 2, 3 BDSG-neu (für Datenschutzbeauftragte nichtöffentlicher Stellen auch anwendbar, § 38 Abs. 2 BDSG-neu). Wenn keine Tatsachen vorliegen, die zur Kündigung aus einem wichtigem Grund berechtigen, ist die Kündigung unwirksam. Sogar nach der Tätigkeit als Datenschutzbeauftragter bleibt der Beschäftigte ein weiteres Jahr gegen Kündigungen geschützt, § 6 Abs. 4 Satz 3 BDSG-neu.

Haftung

Etwas komplexer gestaltet sich die Haftung des internen Datenschutzbeauftragten. Grundsätzlich besteht ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO nur gegen den Verantwortlichen, der über die Verarbeitung von personenbezogenen Daten entscheidet. Absatz 2 erweitert diese Haftung auf jeden Verantwortlichen, der an einer Datenverarbeitung beteiligt ist. Da der Datenschutzbeauftragte die Einhaltung der datenschutzrechtlichen Vorschriften lediglich unterstützt und überwacht, ohne allerdings selbst Verantwortlicher im Sinne der DSGVO zu sein, ist eine Haftung nach Art. 82 Abs. 1, 2 DSGVO zu verneinen. Hieraus folgt, dass bei einem internen Datenschutzbeauftragten der Arbeitgeber haftet, da dieser Verantwortlicher im Sinne der DSGVO ist. Unter gewissen Umständen kann der Arbeitgeber allerdings seinen Arbeitnehmer (interner Datenschutzbeauftragter) in Regress nehmen. Da Arbeitnehmer im Schadensersatzrecht allerdings im Rahmen eines sogenannten "innerbetrieblichen Schadensausgleichs" besonders geschützt sind, haftet ein interner Datenschutzbeauftragter in der Regel nur, wenn ihm grobe Fahrlässigkeit oder gar Vorsatz vorzuwerfen ist. Insofern hält sich die Haftung des internen Datenschutzbeauftragten sehr stark in Grenzen und der Arbeitgeber ist zumindest teilweise, wenn nicht sogar alleine in der Haftung für eventuell entstandene Schäden.

Externer Datenschutzbeauftragter

Alternativ kann auch ein externer Datenschutzbeauftragter benannt werden, dessen Tätigkeitsbereich sich nicht von dem des internen Datenschutzbeauftragten unterscheidet. Beim externen Datenschutzbeauftragten sind folgende Besonderheiten zu beachten:

Einarbeitung

Ein externer Datenschutzbeauftragter ist – wie der Name schon sagt – nicht Teil des Unternehmens und kennt somit weder die Unternehmensstrukturen noch die Betriebsabläufe. Somit ist ein externer Datenschutzbeauftragter im Vergleich zu einem internen auf eine sorgfältige Einarbeitung in sämtliche Prozesse angewiesen.

Haftung

Aus Sicht des Verantwortlichen ist ein externer Datenschutzbeauftragter haftungstechnisch wesentlich interessanter. Denn im Gegensatz zum internen Datenschutzbeauftragten ist ein externer nicht beim Auftraggeber angestellt, sondern selbstständig oder Angesteller eines anderen Unternehmens. Somit kommt ein externer Datenschutzbeauftragter nicht in den Genuss des innerbetrieblichen Schadensausgleichs und der Auftraggeber kann die vollen Haftungsansprüche geltend machen, ohne selber als Arbeitgeber einen Teil davon übernehmen zu müssen.

Kündigungsschutz

Im Gegensatz zum internen Datenschutzbeauftragten genießt der externe - abgesehen von der Vertragslaufzeit - keinen besonderen Schutz gegen eine Abberufung bzw. Kündigung. Somit ist der externe Datenschutzbeauftragte auch aus dieser Sicht attraktiver für den Verantwortlichen.

Übersicht der Vor- und Nachteile eines internen bzw. externen Datenschutzbeauftragten

Zusammenfassend bieten wir Ihnen mit der Übersicht einen Überblick über die Vor- und Nachteile eines internen bzw. externen Datenschutzbeauftragten

Zusammenfassung

Als Ergebnis lässt sich festhalten, dass die Vorteile eines externen Datenschutzbeauftragten in der Regel überwiegen. Dass ein interner Datenschutzbeauftragter mit den Unternehmensabläufen bereits vertraut ist, stellt ohne Zweifel – insbesondere bei großen Unternehmen, die sehr komplexe Strukturen aufweisen – einen erheblichen Vorteil dar. Dies lässt sich aber durch eine sorgfältige Einarbeitung eines externen Datenschutzbeauftragten beheben, sodass dieser Nachteil nicht von Dauer ist. Die Kombination aus einem geringeren Haftungsrisikos und gleichzeitig einer höheren Kostentransparenz auf Seiten des Unternehmens ist ein starkes Argument für einen externen Datenschutzbeauftragten. Da zudem keine Gefahr eines Interessenkonflikts besteht und zusätzlich vom externen Know-How profitiert werden kann, ist grundsätzlich zur Benennung eines externen Datenschutzbeauftragten zu raten.

Wer kann alles Datenschutzbeauftragter werden?

Welche Voraussetzungen erfüllt sein müssen, um zum Datenschutzbeauftragten benannt zu werden, ist in Art. 37 Abs. 5 DSGVO geregelt:

„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgaben.“

Das erforderliche Maß an Fachkunde soll sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen verarbeiteten personenbezogenen Daten richten. Hieraus lässt sich ableiten, dass die Anforderungen an das Fachwissen steigen, je anspruchsvoller die zu bewältigenden Aufgaben und je sensibler die verarbeiteten Daten sind. Beispielsweise steigen die Anforderungen bei der Verarbeitung von besonders sensiblen Daten nach den Art. 9, 10 DSGVO. Abgesehen von Art. 37 Abs. 5 DSGVO gibt es keine gesetzlichen Anforderungen an einen Datenschutzbeauftragten, sodass keine Ausbildung absolviert werden muss und auch keine Zertifizierung nachgewiesen werden muss.

Dennoch sollten die gesetzlichen Anforderungen an einen Datenschutzbeauftragen nicht unterschätzt werden. Ein Datenschutzbeauftragter muss die sehr komplexen Datenschutzvorschriften der DSGVO und des BDSG-neu kennen und vor allen Dingen auch anwenden können. Allein aufgrund der Systematik und Komplexität dieser Vorschriften, kommt die Tätigkeit der eines Volljuristen sehr nahe. Des Weiteren wird eine Weiterbildung auf dem Gebiet des Datenschutzrechtsrechts unumgänglich sein, um den Anforderungen vollumfänglich zu genügen. Abschließend benötigt ein Datenschutzbeauftragter auch IT-Kenntnisse. Daher kann für die Praxis festgehalten werden, dass zwar abgesehen von Art. 37 Abs. 5 DSGVO keine gesetzlichen Anforderungen an einen Datenschutzbeauftragten gestellt werden, es allerdings von den Aufgabenfeldern empfehlenswert ist, wenn ein Datenschutzexperte beide juristische Staatsexamina und eine Ausbildung zum zertifizierten Datenschutzbeauftragten (bspw. TÜV oder DEKRA) absolviert hat.

Welche Sanktionen drohen bei Verstößen?

Von großer Bedeutung für viele Unternehmen sind die Sanktionen, die drohen, wenn kein Datenschutzbeauftragter bestellt wird oder auf andere Art und Weise gegen die DSGVO verstoßen wird. Auf diese Frage hat die DSGVO seit dem 25. Mai 2018 eine ziemlich eindeutige Antwort. Nach Art. 83 Abs. 1 und Art. 84 Abs. 1 Satz 2 DSGVO müssen Geldbußen und Sanktionen in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ sein. An dieser Formulierung merkt man, wie wichtig es dem Gesetzgeber geworden ist, gegen Datenschutzverstöße vorzugehen. Dies verdeutlicht auch die Höhe der zu verhängenden Bußgelder. Nach Art. 83 Abs. 5 DSGVO werden Geldbußen von bis zu 20.000.000 € oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt. Die Höhe des Bußgeldes bemisst sich nach vielen Faktoren, Art. 83 Abs. 2 DSGVO. Hierzu gehören beispielsweise:

• Art, Schwere und Dauer des Verstoßes

• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes

• Maßnahmen zur Minderung des Schadens

• frühere Verstöße

• Zusammenarbeit mit der Aufsichtsbehörde

• Kategorien der personenbezogenen Daten

Während die Bußgelder in Höhe von bis zu 4% des Jahresumsatzes insbesondere Großkonzerne empfindlich treffen werden, ist die Strafandrohung von bis zu 20.000.000 € vor allem an kleine und mittelständische Unternehmen gerichtet.

Fazit

Der erste Schritt zur Besserung des Datenschutzes ist durch Inkrafttreten der DSGVO und des neuen BDSG getan. Der zweite Schritt liegt nun an Ihnen. Finden Sie in unserer kostenlosen telefonischen Erstberatung heraus, ob auch Sie dazu verpflichtet sind einen Datenschutzbeauftragten zu bestellen. Gerade in Anbetracht der Höhe der Bußgelder raten wir Ihnen, sich datenschutzrechtlich bestmöglich abzusichern. Um von Anfang an einen potentiellen Interessenkonflikt zu vermeiden und das Haftungsrisiko so gering zu halten wie möglich, haben sich bereits viele Unternehmen dazu entschieden, einen externen Datenschutzbeauftragten zu einem transparenten Festpreis zu bestellen. Wenn der Datenschutzbeauftragte zudem sowohl Volljurist, als auch zertifizierter Datenschutzbeauftragter ist, steht dem Schutz der Daten nicht mehr im Wege. Wenn auch Sie sich für den empfehlenswerten Weg eines externen Datenschutzbeauftragten entscheiden, nehmen Sie die Chance der kostenlosen telefonischen Erstberatung wahr und profitieren von unseren erfahrenen Datenschutzexperten!

Ihr externer Datenschutzbeauftragter bei yourXpert: