Externen Datenschutzbeauftragten bestellen

Ratgeber: Externer Datenschutzbeauftragter

(Lesezeit: 16 Minuten)

Auch wenn das Thema Datenschutz schon seit geraumer Zeit an Wichtigkeit gewinnt, ist es spätestens seit dem 25. Mai 2018 aufgrund der Datenschutzgrundverordnung (DSGVO) in aller Munde. Insbesondere aufgrund der extrem hohen Bußgelder stellt sich in vielen Unternehmen die Frage, welche Pflichten bezüglich des Datenschutzes bestehen, um den gesetzlichen Anforderungen zu entsprechen und Bußgelder in Höhe von bis zu 20.000.000 € zu verhindern. Dieser Ratgeber verschafft Ihnen einen Überblick über den Datenschutz und erläutert zunächst unter welchen Voraussetzungen ein*e Datenschutzbeauftragte*r benannt werden muss und anschließend, welche Anforderungen an eine*n solche*n zu stellen sind und welche Aufgaben diese*r trägt.

Das Wichtigste in Kürze

• Der Schutz der personenbezogenen Daten ist ein Grundrecht, welches aus dem Grundrecht auf informationelle Selbstbestimmung abgeleitet wird (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG).

• Unter personenbezogene Daten fallen alle Daten, die den Schluss auf eine Person ermöglichen, wie z. B. Name, Anschrift oder Telefonnummer.

• Seit dem 25. Mai 2018 gilt die DSGVO und das neue Bundesdatenschutzgesetz (BDSG). Seitdem drohen bei Verstößen Geldbußen in Höhe von bis zu 20.000.000 € oder 4 % des weltweit erzielten Jahresumsatzes.

• Die Pflicht eine*n Datenschutzbeauftragte*n zu benennen, besteht schneller als gedacht: Zum Beispiel, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden. Hierzu können neben Vollzeitbeschäftigten auch Teilzeitbeschäftigte, Praktikanten und Auszubildende gehören.

• Die*Der externe Datenschutzbeauftragte unterstützt Sie dabei, die datenschutzrechtlichen Anforderungen zu erfüllen, um die horrenden Geldbußen für Ihr Unternehmen zu vermeiden.

Inhalt

1. Was versteht man unter Datenschutz?
2. Was sind personenbezogene Daten?
3. Warum ist Datenschutz so wichtig?
4. Umsetzung des Datenschutzes
   1. Gesetzliche Regelung bis zum 25. Mai 2018
   2. Gesetzliche Regelung seit dem 25. Mai 2018
5. Aufgaben der*des Datenschutzbeauftragten
6. Wann muss ein*e Datenschutzbeauftragte*r benannt werden?
7. Interne*r (betriebliche*r) vs. externe*r Datenschutzbeauftragte*r
   1. Interne*r Datenschutzbeauftragte*r
      1. Gefahr des Interessenkonflikts
      2. Schutz gegen Abberufung
      3. Kündigungsschutz für interne Datenschutzbeauftragte
      4. Volle Haftung für die*den interne*n Datenschutzbeauftragte*n
   2. Externe*r Datenschutzbeauftragte*r
      1. Einarbeitung
      2. Haftung
      3. Kündigungsschutz
   3. Übersicht der Vor- und Nachteile einer*eines internen bzw. externen Datenschutzbeauftragten
   4. Zusammenfassung
8. Wer kann alles Datenschutzbeauftragte*r werden?
9. Welche Sanktionen drohen bei Verstößen?
10. Fazit

Was versteht man unter Datenschutz?

Die mediale Präsenz des Themas Datenschutz seit dem 25. Mai 2018 vermittelt den Eindruck, dass Datenschutz eine neue Thematik sei. Dabei ist Datenschutz insbesondere in Deutschland schon lange ein Grundrecht aller Bürgerinnen und Bürger. Grundlage des Datenschutzes ist das Grundgesetz. Mit dem „Grundrecht auf informationelle Selbstbestimmung“ wird dem Einzelnen das Recht eingeräumt, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Dieses Recht findet sich zwar nicht explizit im Grundgesetz, wird aber aus dem allgemeinen Persönlichkeitsrecht (Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG) abgeleitet. Die Tatsache, dass der Datenschutz also unmittelbar aus dem Grundgesetz abgeleitet wird, verdeutlicht dessen gesetzlichen Stellenwert. In dieses Grundrecht darf nur unter ganz bestimmten Voraussetzungen eingegriffen werden. Daher dürfen personenbezogene Daten nicht ohne Weiteres preisgegeben oder verwendet werden. Ziel des Datenschutzes ist, dass im Grundgesetz verankerte Recht auf informationelle Selbstbestimmung zu wahren und jede Bürgerin und jeden Bürger vor der missbräuchlichen Verarbeitung von personenbezogenen Daten zu schützen. Aus diesem Grund dürfen diese Daten nur preisgegeben oder verwendet werden, wenn es hierfür eine rechtliche Grundlage gibt oder eine ausdrückliche Einwilligung der betroffenen Personen vorliegt.

Was sind personenbezogene Daten?

Die DSGVO enthält nach Art. 1 Abs. 1 DSGVO „Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“. Doch was genau ist unter dem Begriff „personenbezogener Daten“ zu verstehen? Dies ist gesetzlich definiert und zwar in Art. 4 Nr. 1 DSGVO. Danach sind „personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen". Demnach genügt es, wenn es sich um Daten handelt, die es ermöglichen auf eine Person zu schließen. Beispiele für personenbezogene Daten, die der Datenschutz vor Missbrauch schützen soll, sind:

• Name

• Anschrift

• Telefonnummer

• E-Mail-Adresse

• Anschrift

• IBAN-Nummer

• IP-Adresse

• Standortdaten

• Bild einer Person

Da es häufig schwierig zu beurteilen ist, ob anhand gewisser Daten auf eine Person geschlossen werden kann oder nicht, ist im Zweifel davon auszugehen, dass es sich um personenbezogene Daten handelt, falls die Daten irgendeinen Bezug zu Personen haben.

Warum ist Datenschutz so wichtig?

Um sich bewusst zu werden, weshalb Datenschutz so wichtig ist, ist es notwendig einen Blick auf die heutige Zeit zu werfen. Personenbezogene Daten haben in den letzten Jahrzehnten erheblich an Bedeutung gewonnen. Unternehmen, die diese enormen Datenmengen richtig aufbereiten, haben große Wettbewerbsvorteile. Indem die Daten gesammelt und analysiert werden, können immer detailliertere Kundenprofile angelegt werden, aufgrund derer die Produkte immer genauer an die Wünsche der Kunden angepasst werden können. Durch die fortschreitende Digitalisierung und die damit einhergehenden Möglichkeiten wird es für Unternehmen zunehmend einfacher, an immer größere Datenmengen zu gelangen. Auch wenn die neuen Möglichkeiten aufgrund von Datenanalysen für die Bürgerinnen und Bürger Vorteile mit sich bringen können, dürfen die Risiken der Datensammlung nicht außer Acht gelassen werden. Je mehr Daten über einzelne Personen gesammelt werden, desto größer wird die Furcht zum „gläsernen Menschen“ zu werden, dessen Informationen für jeden zugänglich sind, ohne dass sich betroffene Personen dagegen wehren können.

An dieser Stelle wird klar, dass es ein schmaler Grat zwischen den Chancen der Datensammlung und den Risiken des Datenmissbrauchs ist. Genau an diesem Punkt setzt der Datenschutz ein, dessen Ziel es ist, dieser Furcht vorzubeugen und diejenigen Personen zu schützen, deren Daten gesammelt und anschließend verarbeitet werden. Also ist der Datenschutz essentiell wichtig, um das Grundrecht der Bürgerinnen und Bürger zu wahren und ihnen zu ermöglichen über die Verwendung ihrer persönlichen Daten selbst zu bestimmen.

Umsetzung des Datenschutzes

Gesetzliche Regelung bis zum 25. Mai 2018

Bis zum 25. Mai 2018 war die Grundlage des Datenschutzes in Deutschland die „Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr“. Diese Datenschutzrichtlinie galt wie alle Richtlinien der EG-Mitgliedstaaten nicht unmittelbar, aber verpflichtete die Mitgliedstaaten dazu, die Regelungen im nationalen Recht umzusetzen. Dies wurde in Deutschland durch das BDSG getan.

Gesetzliche Regelung seit dem 25. Mai 2018

Seit dem 25. Mai 2018 gelten zwei neue gesetzliche Regelungen. Die neue EU- DSGVO ist zwar schon am 24. Mai 2016 in Kraft getreten, entfaltet ihre volle Wirkung aber erst seit dem 25. Mai 2018. Im Gegensatz zur Datenschutzrichtlinie muss die neue EU-DSGVO nicht durch nationales Recht umgesetzt werden, sondern gilt – wie alle Verordnungen der EU – unmittelbar. Gleichzeitig mit der EU-DSGVO trat am 25. Mai 2018 auch ein neues Bundesdatenschutzgesetz in Kraft, das BDSG-neu. Vielen stellt sich hier die Frage, warum ein neues Bundesdatenschutzgesetz erlassen werden muss, wenn die EU-DSGVO unmittelbar in den EU-Mitgliedstaaten wirkt. Hierbei ist zu beachten, dass die EU-DSGVO zwar unmittelbar wirkt, aber zeitgleich sogenannte Öffnungsklauseln enthält. Das bedeutet, dass in der Verordnung die Grundsätze zum Datenschutz geregelt werden, welche durch nationale Regelungen – wie dem BDSG-neu – konkretisiert werden können. Zu beachten ist hierbei stets, dass die EU-DSGVO Vorrang vor der nationalen Regelung im BDSG-neu hat, was auch in § 1 Abs. 5 BDSG-neu explizit festgehalten ist.

Aufgaben der*des Datenschutzbeauftragten

Um den soeben erläuterten Datenschutz zu gewährleisten, kann bzw. muss ein*e Datenschutzbeauftragte*r (DSB) benannt werden. Doch was genau sind die Aufgaben einer*eines Datenschutzexpert*in? Die genauen Aufgaben der*des Datenschutzbeauftragten sind in Art. 39 Abs. 1 DSGVO aufgeführt und werden in § 7 BDSG-neu ergänzt. Danach hat die*der Datenschutzexper*in die Verantwortlichen über deren Pflichten nach der DSGVO zu unterrichten und bezüglich dieser zu beraten. Des Weiteren hat sie*er die Pflicht die Einhaltung der DSGVO und anderer Datenschutzvorschriften zu überwachen. Somit wird im Gesetz verdeutlicht, dass der*dem Datenschutzbeauftragten eine unterstützende Funktion zukommt, er aber nicht für die Umsetzung der Datenschutzvorschriften verantwortlich ist.

Zu Beginn seiner Tätigkeit ermittelt ein*e Datenschutzbeauftragte*r das aktuelle Datenschutzniveau innerhalb des Unternehmens im Rahmen des Datenschutz-Audits. Hierfür wird zusammen mit den Verantwortlichen ein Fragenkatalog abgearbeitet, anhand dessen der aktuelle Stand bewertet werden kann. Dieser ermittelte "Ist-Zustand" im Unternehmen wird mit dem "Soll-Zustand", der alle gesetzlichen Anforderungen erfüllt, verglichen. Somit fallen der*dem Datenschutzbeauftragten schon in diesem Schritt mögliche datenschutzrechtliche Lücken bzw. Verbesserungsmöglichkeiten im Unternehmen auf. Anhand dieser Bewertung gibt die*der Datenschutzexpert*in den Verantwortlichen Handlungsempfehlungen zur Verbesserung des Datenschutzniveaus. Nach Erstellung des Datenschutz-Audits begleitet ein*e Datenschutzexpert*in die Verantwortlichen während der gesamten Vertragslaufzeit, um den "Ist-Zustand" peu à peu an den "Soll-Zustand" anzupassen, um am Ende sämtliche Anforderungen zu erfüllen. Weitere Aufgaben der*des Datenschutzexperten sind:

• Zusammenarbeit mit der Aufsichtsbehörde (Ansprechpartner*in für sämtliche Anfragen)

• Erstellung und Aktualisierung von Verarbeitungsverzeichnissen

• Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (notwendig, wenn bei der Datenverarbeitung neue Technologien eingesetzt werden und hierdurch ein hohes Risiko für die Rechte von Personen und deren Daten besteht.)

• Mitarbeiterverpflichtung

• Prüfung und Aktualisierung Ihrer AGB und des Impressums

• Beratung für die korrekte Durchführung einer Datenschutz-Folgenabschätzung

• Ansprechpartner*in für datenschutzrechtliche Fragen von Kund*innen, Mitarbeiter*innen und der Geschäftsführung

• Prüfung und Anpassung der Datenschutzerklärung Ihrer Internetseite

• Jährliche Tätigkeitsberichte für die Verantwortlichen (auch zum Nachweis gegenüber der Aufsichtsbehörde und eventuellen Abmahnern)

Wann muss ein*e Datenschutzbeauftragte*r benannt werden?

Häufig wird irrtümlich behauptet, die Benennung eines*einer Datenschutzbeauftragten sei freiwillig. Allerdings gibt es gesetzlich viele normierte Fälle, in denen die Pflicht besteht, eine*n Datenschutzbeauftragte*n zu bestellen. Diese Fälle sind in Art. 37 Abs. 1 lit. a) – c) DSGVO geregelt und werden über Art. 37 Abs. 4 DSGVO in den §§ 5 Abs. 1, 38 Abs. 1 BDSG-neu konkretisiert bzw. ergänzt. Die Benennung einer*eines Datenschutzbeauftragten ist unter Anderem verpflichtend, wenn:

• die Datenverarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (Art. 37 Abs. 1 lit. a) DSGVO, § 5 Abs. 1 BDSG-neu).

• die Kerntätigkeit der*des Verantwortlichen oder der*des Auftragsverarbeiter*in in der Datenverarbeitung besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. B DSGVO).

• die Kerntätigkeit der*des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten (besonders sensible Daten, aus denen beispielsweise die ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, usw. hervorgeht) gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht (Art. 37 Abs. 1 lit. c) DSGVO).

• mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden (Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 Satz 1 BDSG-neu). Automatisiert ist die Verarbeitung bereits, wenn sie durch Einsatz von IT-Technik erfolgt. Zum Personenkreis der "beschäftigten Personen" zählen Voll- und Teilzeitbeschäftigte, aber auch Auszubildende, Praktikant*innen und freie Mitarbeiter*innen.

• die*der Verantwortliche personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung bearbeitet (Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 Satz 2 BDSG-neu).

Sobald eine dieser Voraussetzungen erfüllt ist, besteht bereits die Pflicht, eine*n Datenschutzbeauftragte*n zu benennen. Aufgrund der weiten Auslegung des Begriffs "personenbezogene Daten" ist festzuhalten, dass nahezu jedes Unternehmen solche Daten verarbeitet. Dadurch, dass auch Praktikant*innen in den Kreis der beschäftigten Personen gehören und somit schnell die Anzahl von zehn Beschäftigten erreicht ist, besteht die Pflicht zur Bestellung einer*eines Datenschutzbeauftragten schneller und häufiger als gedacht. Sicherheit über die Frage, ob diese Pflicht bei Ihnen besteht oder nicht, können Sie im Rahmen unserer kostenlosen telefonischen Erstberatung erlangen.

Interne (betriebliche) vs. externe Datenschutzbeauftragte

Wenn entweder die Pflicht besteht, oder die*der Verantwortliche sich freiwillig dazu entscheidet einen Datenschutzbeauftragten zu benennen, stellt sich im nächsten Schritt die Frage, ob ein*e interne*r (betriebliche*r) oder ein externer Datenschutzbeauftragte*r benannt werden soll. Grundsätzlich ist beides möglich, dennoch sollten die Unterschiede bekannt sein, um die richtige Entscheidung zu treffen.

Interne Datenschutzbeauftragte

Von internen Datenschutzbeauftragten spricht man, wenn die Datenschutzbeauftragten zugleich Beschäftigte des Verantwortlichen - also in der Regel Beschäftigte im Unternehmen - sind, was durch Art. 37 Abs. 6 DSGVO auch ausdrücklich erlaubt ist. Bei internen Datenschutzbeauftragten sind allerdings einige Besonderheiten zu beachten:

Gefahr des Interessenkonflikts

Wenn man die beschäftigte Person gleichzeitig als interne Datenschutzbeauftragte einsetzen möchte, sollte man sich des Risikos eines Interessenkonflikts bewusst sein. Dieses Risiko kann dazu führen, dass die Berufung des Datenschutzbeauftragten fehlerhaft ist und damit ins Leere geht. Das Risiko des Interessenkonfliktes rührt daher, dass die*der Beschäftigte in seiner Funktion als Angestellte*r im Interesse der*des Verantwortlichen (z. B. des Unternehmens) handelt, während der*dem Datenschutzbeauftragten eine neutrale Funktion zukommen soll. Sobald nun eine Entscheidung ansteht, die entweder im Interesse der Verantwortlichen oder im Sinne des Datenschutzes gefällt werden kann, kann es dazu kommen, dass ein Interessenkonflikt besteht, welcher unter Umständen die Einhaltung der datenschutzrechtlichen Vorschriften gefährdet. Ein Interessenkonflikt kann insbesondere vorliegen, wenn die*der Datenschutzbeauftragte sich selbst oder seine eigene Arbeit datenschutzrechtlich kontrollieren müsste oder wenn sie*er ein wirtschaftliches Interesse am Erfolg des Unternehmens hat. Ein Interessenkonflikt liegt in der Regel bei der Berufung dieser Personen vor:

• Vorstand

• Geschäftsführer*in

• Betriebsleiter*in

• Personalleiter*in

• Leiter*in der IT-Abteilung

Da die*der Verantwortliche nach Art. 38 Abs. 6 Satz 2 DSGVO gesetzlich dazu verpflichtet ist, einen solchen Interessenkonflikt zu vermeiden, kann für die Praxis geschlussfolgert werden, dass es den obenstehenden Personen im Normalfall nicht möglich ist, zeitgleich die Position der*des internen Datenschutzbeauftragten zu übernehmen. Soweit ein solcher Interessenkonflikt besteht, kann die Berufung fehlerhaft sein, woraus wiederum Haftungsrisiken entstehen können.

Schutz gegen Abberufung

Die*der interne Datenschutzbeauftragte ist nach § 6 Abs. 4 BDSG-neu gegen eine Abberufung geschützt. Genauer gesagt, kann ein*e Datenschutzbeauftragte*r in entsprechender Anwendung des § 626 BGB nur aus einem „wichtigen Grund“ abberufen werden. Diese Regelung gilt nach § 38 Abs. 2 BDSG auch für Datenschutzbeauftragte nichtöffentlicher Stellen, sofern die Benennung der*des Datenschutzbeauftragten verpflichtend war. Dieser besondere Schutz der*des internen Datenschutzbeauftragten hat seinen Grund insbesondere darin, dass es nicht möglich sein soll, eine*n Datenschutzbeauftragten abzuberufen, nur weil sie*er auf die Einhaltung des Datenschutzstandards beharrt.

Kündigungsschutz für Datenschutzbeauftragte

Zusätzlich zu dem soeben erläuterten Schutz vor einer Abberufung wird die*der interne Datenschutzbeauftragte auch vor einer Kündigung geschützt, § 6 Abs. 5 Satz 2, 3 BDSG-neu (für Datenschutzbeauftragte nichtöffentlicher Stellen auch anwendbar, § 38 Abs. 2 BDSG-neu). Wenn keine Tatsachen vorliegen, die zur Kündigung aus einem wichtigem Grund berechtigen, ist die Kündigung unwirksam. Sogar nach der Tätigkeit als Datenschutzbeauftragte*r bleibt die*der Beschäftigte ein weiteres Jahr gegen Kündigungen geschützt, § 6 Abs. 4 Satz 3 BDSG-neu.

Volle Haftung für die*den interne*n Datenschutzbeauftragte*n

Etwas komplexer gestaltet sich die Haftung der*des internen Datenschutzbeauftragten. Grundsätzlich besteht ein Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO nur gegen die*den Verantwortliche*n, die*der über die Verarbeitung von personenbezogenen Daten entscheidet. Absatz 2 erweitert diese Haftung auf jede*n Verantwortliche*n, die*der an einer Datenverarbeitung beteiligt ist. Da die*der Datenschutzbeauftragte die Einhaltung der datenschutzrechtlichen Vorschriften lediglich unterstützt und überwacht, ohne allerdings selbst Verantwortliche*r im Sinne der DSGVO zu sein, ist eine persönliche Haftung der*des Datenschutzbeauftragten nach Art. 82 Abs. 1, 2 DSGVO zu verneinen. Hieraus folgt aber, dass bei einer*einem internen Datenschutzbeauftragten die*der Arbeitgeber*in haftet, da diese*r Verantwortliche*r im Sinne der DSGVO ist. Unter gewissen Umständen kann die*der Arbeitgeber*in allerdings seine*n Arbeitnehmer*in (interne*r Datenschutzbeauftragte*r) in Regress nehmen. Da Arbeitnehmer*innen im Schadensersatzrecht allerdings im Rahmen eines sogenannten "innerbetrieblichen Schadensausgleichs" besonders geschützt sind, haftet ein*e interne*r Datenschutzbeauftragte*r in der Regel nur, wenn ihr*ihm grobe Fahrlässigkeit oder gar Vorsatz vorzuwerfen ist. Insofern hält sich die Haftung der*des internen Datenschutzbeauftragten sehr stark in Grenzen und die*der Arbeitgeber*in ist voll haftbar.

Externe Datenschutzbeauftragte

Alternativ kann auch ein*e externe*r Datenschutzbeauftragte*r benannt werden, deren*dessen Tätigkeitsbereich sich nicht von dem der*des internen Datenschutzbeauftragten unterscheidet. Bei externen Datenschutzbeauftragten sind folgende Besonderheiten zu beachten:

Einarbeitung

Ein*e externe*r Datenschutzbeauftragte*r ist – wie der Name schon sagt – nicht Teil des Unternehmens und kennt somit weder die Unternehmensstrukturen noch die Betriebsabläufe. Somit ist ein*e externe*r Datenschutzbeauftragte*r im Vergleich zu einer*einem internen auf eine sorgfältige Einarbeitung in sämtliche Prozesse angewiesen.

Haftung

Aus Sicht der*des Verantwortlichen ist ein*e externe*r Datenschutzbeauftragte*r haftungstechnisch wesentlich interessanter. Denn im Gegensatz zur*zum internen Datenschutzbeauftragten ist ein*e Externe*r nicht bei der*dem Auftraggeber*in angestellt, sondern selbstständig oder Angestellte*r eines anderen Unternehmens. Somit kommt ein*e externe*r Datenschutzbeauftragte*r nicht in den Genuss arbeitsrechtlicher Haftungserleichterungen und die*der Auftraggeber*in kann die*den Datenschutzbeauftragte*n in Regress nehmen und sich so gegebenenfalls schadlos halten.

Kündigungsschutz

Im Gegensatz zu internen Datenschutzbeauftragten genießen externe keinen arbeitsrechtlichen Kündigungsschutz. Somit ist die*der externe Datenschutzbeauftragte auch aus dieser Sicht attraktiver für die*den Verantwortliche*n.

Übersicht der Vor- und Nachteile interner bzw. externer Datenschutzbeauftragten

Nachfolgend finden Sie einen Überblick über die Vor- und Nachteile einer*eines internen bzw. externen Datenschutzbeauftragten

Zusammenfassung

Als Ergebnis lässt sich festhalten, dass die Vorteile einer*eines externen Datenschutzbeauftragten in der Regel überwiegen. Dass ein*e interne*r Datenschutzbeauftragte*r mit den Unternehmensabläufen bereits vertraut ist, kann einen Vorteil darstellen. Dies lässt sich aber durch eine Einarbeitung einer*eines externen Datenschutzbeauftragten in die Unternehmensstruktur in der Regel schnell beheben. Die Kombination aus einem geringeren Haftungsrisiko und gleichzeitig einer höheren Kostentransparenz, größerer Flexibilität und dem entfallen arbeitsrechtlichen Kündigungsschutzes auf Seiten des Unternehmens, ist ein starkes Argument für eine*n externe*n Datenschutzbeauftragte*n. Da zudem keine Gefahr eines Interessenkonflikts besteht und zusätzlich vom externen Know-How profitiert werden kann, ist grundsätzlich die Benennung einer*eines externen Datenschutzbeauftragten ratsam.

Wer kann Datenschutzbeauftragte*r werden?

Welche Voraussetzungen erfüllt sein müssen, um zur*zum Datenschutzbeauftragten benannt zu werden, ist in Art. 37 Abs. 5 DSGVO geregelt:

„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgaben.“

Das erforderliche Maß an Fachkunde soll sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von der*dem Verantwortlichen verarbeiteten personenbezogenen Daten richten. Hieraus lässt sich ableiten, dass die Anforderungen an das Fachwissen steigen, je anspruchsvoller die zu bewältigenden Aufgaben und je sensibler die verarbeiteten Daten sind. Beispielsweise steigen die Anforderungen bei der Verarbeitung von besonders sensiblen Daten nach dem Art. 9, 10 DSGVO. Abgesehen von Art. 37 Abs. 5 DSGVO gibt es keine gesetzlichen Anforderungen an eine*n Datenschutzbeauftragte*n, sodass keine Ausbildung absolviert werden muss und auch keine Zertifizierung nachgewiesen werden muss.

Dennoch sollten die gesetzlichen Anforderungen an Datenschutzbeauftragte nicht unterschätzt werden.  Datenschutzbeauftragte müssen die sehr komplexen Datenschutzvorschriften der DSGVO und des BDSG-neu kennen und vor allen Dingen auch anwenden können. Allein aufgrund der Systematik und Komplexität dieser Vorschriften, ist die Tätigkeit durch Volljurist*innen naheliegend. Des Weiteren wird eine Weiterbildung auf dem Gebiet des Datenschutzrechtsrechts unumgänglich sein, um den Anforderungen vollumfänglich zu genügen. Abschließend benötigt ein*e Datenschutzbeauftragte*r auch IT-Kenntnisse. Daher kann für die Praxis festgehalten werden, dass zwar abgesehen von Art. 37 Abs. 5 DSGVO keine gesetzlichen Anforderungen an eine*n Datenschutzbeauftragte*n gestellt werden, es allerdings von den Aufgabenfeldern empfehlenswert ist, wenn ein*e Datenschutzexpert*in beide juristische Staatsexamina und eine Ausbildung zur*zum zertifizierten Datenschutzbeauftragten (bspw. TÜV oder DEKRA) absolviert hat.

Welche Sanktionen drohen bei Verstößen?

Von großer Bedeutung für viele Unternehmen sind die Sanktionen, die drohen, wenn kein*e Datenschutzbeauftragte*r bestellt wird oder auf andere Art und Weise gegen die DSGVO verstoßen wird. Auf diese Frage hat die DSGVO seit dem 25. Mai 2018 eine ziemlich eindeutige Antwort. Nach Art. 83 Abs. 1 und Art. 84 Abs. 1 Satz 2 DSGVO müssen Geldbußen und Sanktionen in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ sein. An dieser Formulierung merkt man, wie wichtig es dem Gesetzgeber geworden ist, gegen Datenschutzverstöße vorzugehen. Dies verdeutlicht auch die Höhe der zu verhängenden Bußgelder. Nach Art. 83 Abs. 5 DSGVO werden Geldbußen von bis zu 20.000.000 € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt. Die Höhe des Bußgeldes bemisst sich nach vielen Faktoren, Art. 83 Abs. 2 DSGVO. Hierzu gehören beispielsweise:

• Art, Schwere und Dauer des Verstoßes

• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes

• Maßnahmen zur Minderung des Schadens

• frühere Verstöße

• Zusammenarbeit mit der Aufsichtsbehörde

• Kategorien der personenbezogenen Daten

Während die Bußgelder in Höhe von bis zu 4 % des Jahresumsatzes insbesondere Großkonzerne empfindlich treffen werden, ist die Strafandrohung von bis zu 20.000.000 € vor allem an kleine und mittelständische Unternehmen gerichtet.

Fazit

Der erste Schritt zur Besserung des Datenschutzes ist durch Inkrafttreten der DSGVO und des neuen BDSG getan. Der zweite Schritt liegt nun an Ihnen. Finden Sie in unserer kostenlosen telefonischen Erstberatung heraus, ob auch Sie dazu verpflichtet sind eine*n Datenschutzbeauftragte*n zu bestellen. Gerade in Anbetracht der Höhe der Bußgelder raten wir Ihnen, sich datenschutzrechtlich bestmöglich abzusichern. Um von Anfang an einen potentiellen Interessenkonflikt zu vermeiden und das Haftungsrisiko so gering zu halten wie möglich, haben sich bereits viele Unternehmen dazu entschieden, eine*n externe*n Datenschutzbeauftragte*n zu einem transparenten Festpreis zu bestellen. Wenn die datenschutzbeauftragte Person zudem sowohl volljuristisch qualifiziert, als auch zertifizierte*r Datenschutzbeauftragte*r ist, steht dem Schutz der Daten nichts mehr im Wege. Wenn auch Sie sich für den empfehlenswerten Weg eine*r externen Datenschutzbeauftragten entscheiden, nehmen Sie die Chance der kostenlosen telefonischen Erstberatung wahr und profitieren von unseren erfahrenen Datenschutzexpert*innen!

Ihr*e externe*r Datenschutzbeauftragte*r bei yourXpert: