Der Datenschutzbeauftragte

Wann brauche ich einen?

DSGVO-Tipps vom Fachanwalt

 

Der Datenschutzbeauftragte: Wann brauche ich einen, was macht er eigentlich und wie teuer ist er?

 

Seit Einführung der DSGVO im Mai 2018 ist das Thema Datenschutz in aller Munde. Datenschutzbeauftragte gab es zwar auch schon vor der DSGVO – die Bedeutung und Funktion des Datenschutzbeauftragten hat sich durch die EU-Verordnung jedoch stark verändert. Trotzdem herrscht bis heute in vielen Unternehmen Unsicherheit: Wann macht die Benennung eines Datenschutzbeauftragten Sinn? Besteht vielleicht sogar die gesetzliche Verpflichtung, einen Datenschutzbeauftragten zu benennen? Und was sind eigentlich die Aufgaben des Datenschutzbeauftragten?

 

Funktion des Datenschutzbeauftragten

Der Datenschutzbeauftragte ist eine unabhängige Beratungs- und Kontrollinstanz für den Schutz personenbezogener Daten im Unternehmen. Er ist Ansprechpartner für Fragen zum Datenschutz sowohl für die Geschäftsführung und die Mitarbeiter des Unternehmens als auch für Kunden und andere externe Personen, deren Daten vom Unternehmen verarbeitet werden (z.B. Webseitenbesucher oder Geschäftspartner). Auch für die Datenschutzbehörden ist der Datenschutzbeauftragte der erste Ansprechpartner. Außerdem muss er die Geschäftsführung darauf hinweisen, wenn er der Meinung ist, dass ein Vorhaben oder ein Vorgehen des Unternehmens gegen den Datenschutz verstoßen könnte. In seiner Tätigkeit als Datenschutzbeauftragter ist er nicht weisungsgebunden und genießt – wenn es sich um einen Mitarbeiter des Unternehmens handelt – einen besonderen Kündigungsschutz, ähnlich wie Betriebsratsmitglieder. Um einen Interessenkonflikt zu vermeiden, darf der Geschäftsführer oder eine Person in einer vergleichbaren Position nicht Datenschutzbeauftragter sein.

Ein Datenschutzbeauftragter unterstützt und berät also die Geschäftsführung bei der Umsetzung des Datenschutzes im Unternehmen. Er ist jedoch im Rahmen seiner Kontrollfunktion auch verpflichtet, auf (mögliche) Datenschutz-Verstöße hinzuweisen.

 

Interner oder externer Datenschutzbeauftragter?

Grundsätzlich können Unternehmen sich zwischen zwei verschiedenen Modellen entscheiden: Entweder, sie benennen einen Mitarbeiter des Unternehmens als Datenschutzbeauftragten (interner Datenschutzbeauftragter), oder sie greifen auf einen spezialisierten Dienstleister zurück. Beide Modelle haben Vor- und Nachteile.

Wird ein eigener Mitarbeiter zum Datenschutzbeauftragten benannt, muss dieser zunächst persönlich geeignet und fachlich qualifiziert sein. Am Anfang steht daher zunächst in der Regel eine Schulung, die der Mitarbeiter absolvieren muss. Diese muss ihm als Arbeitszeit angerechnet und vom Arbeitgeber bezahlt werden. Der Wissensstand des Datenschutzbeauftragten muss laufend aktuell gehalten werden, weshalb immer wieder (sinnvoller Weise alle ein bis drei Jahre, evtl. auch anlassbezogen) Schulungen und Weiterbildungen vom Arbeitgeber ermöglicht und finanziert werden müssen. Zudem muss dem Mitarbeiter während seiner Arbeitszeit genügend Zeit für die Erfüllung seiner Aufgaben als Datenschutzbeauftragter eingeräumt werden. Der konkrete Zeitbedarf kann hier je nach Unternehmensart und -größe stark schwanken und ist in den ersten Monaten meist etwas höher, da der Datenschutzbeauftragte sich einarbeiten und offene Datenschutz-Aufgaben erledigen muss.

Ein externer Dienstleister ist in der Regel bereits entsprechend ausgebildet und selbst für seine Weiterbildung verantwortlich. Er kennt jedoch das Unternehmen nicht und muss sich zunächst einen umfassenden Überblick verschaffen. Das geschieht meist in Form eines ausführlichen Datenschutz-Audits, das gesondert berechnet wird. Dabei wird der aktuelle Umsetzungsstand des Datenschutzes im Unternehmen geprüft und notwendige Maßnahmen zur Vervollständigung des Datenschutzes erarbeitet. So entsteht ein klares Bild, wie das Unternehmen datenschutzrechtlich aufgestellt ist. Auf dieser Basis können die weiteren notwendigen Schritte auf dem Weg zur vollständigen DSGVO-Sicherheit effizient geplant werden. Anschließend steht der Datenschutzbeauftragte üblicherweise für ein bestimmtes Stundenkontingent im Monat zur Verfügung, wobei in den ersten Monaten die im Audit festgestellten offenen Aufgaben abgearbeitet werden müssen, weshalb auch hier in den ersten Monaten meist etwas mehr, später dann weniger Zeit benötigt wird.

Die einmaligen Kosten sind daher beim internen und externen Datenschutzbeauftragten häufig ähnlich – entweder ist eine Schulung oder ein Audit zu finanzieren. Anschließend steht der interne Datenschutzbeauftragte vor der Aufgabe, die das Audit bereits erfüllt hat, nämlich den aktuellen Umsetzungsstand des Datenschutzes im Unternehmen festzustellen und die nächsten Schritte zu planen. Für einen frisch ausgebildeten Datenschutzbeauftragten ist das eine kaum lösbare Aufgabe, weshalb auch hier die Durchführung eines Datenschutz-Audits durch einen spezialisierten Dienstleister empfehlenswert ist. Hinzu kommen laufende Kosten für die Weiterbildung des internen Datenschutzbeauftragen, der infolgedessen mit der Zeit höhere Gehaltsansprüche geltend machen kann. Da zudem die arbeitsrechtlichen und versicherungstechnischen Besonderheiten sowie der besondere Kündigungsschutz bei internen Datenschutzbeauftragten nicht unerheblich sind, ist ein externer Dienstleister gerade für kleine und mittlere Unternehmen meist nicht nur die kostengünstigere, sondern auch die einfachere und flexiblere Lösung.

 

Wer braucht einen Datenschutzbeauftragten?

Viele Unternehmen sind gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, z.B. wenn sie sensible Daten verarbeiten (unabhängig von der Unternehmensgröße und Mitarbeiteranzahl), wenn mindestens 20 Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten betraut sind (dafür genügt schon, dass der Mitarbeiter über ein dienstliches E-Mail-Postfach verfügt), wenn Personen systematisch überwacht werden (z.B. Sicherheitsdienste) oder wenn personenbezogene Daten zur Markt- oder Meinungsforschung erhoben werden.

Doch auch Unternehmen, die gesetzlich nicht dazu verpflichtet sind, einen Datenschutzbeauftragten zu benennen, können von einem Datenschutzbeauftragten profitieren. Der Wert eines kompetenten Ansprechpartners für die Geschäftsführung ist nicht nur in kritischen Situationen, z.B. wenn wegen eines möglichen Datenschutzverstoßes innerhalb von 72 Stunden gehandelt werden muss, zu unterschätzen. Das Vorhandensein eines Datenschutzbeauftragten kann sich auch mildernd auf Bußgelder und generell positiv beim Kontakt mit Datenschutzbehörden auswirken. Auch Kunden und Mitarbeiter sind zufriedener, wenn sie für Datenschutz-Belange einen konkreten Ansprechpartner haben, der die Anliegen sofort richtig einschätzen und besorgten oder verärgerten Personen auf einer sachlich-professionellen Ebene begegnen kann. Nicht zuletzt entlastet der Datenschutzbeauftragte Geschäftsleitung, Personal- und IT-Abteilung, die sich ansonsten allein mit Datenschutz-Fragen auseinandersetzen müssten, wofür in der Regel keine ausreichenden Kapazitäten vorhanden sind.

Unternehmen, die bislang noch nicht mit den Datenschutzbehörden in Kontakt gekommen sind, glauben häufig, es sei schon alles in Ordnung und sie hätten nichts zu befürchten. Was vielen nicht bewusst ist: Die Datenschutzbehörden müssen jeder einzelnen Beschwerde nachgehen. Beschweren kann sich jeder, dessen Daten Sie vermeintlich verarbeiten – vom Webseitenbesucher über Kunden und Geschäftspartner bis hin zu unzufriedenen ehemaligen Mitarbeitern. Auch, wenn sich die Beschwerde möglicherweise als unbegründet erweisen sollte, müssen Sie der Behörde Rede und Antwort stehen. Wenn dabei etwas auffällt – fehlende oder lückenhafte Verarbeitungsverzeichnisse, fehlende oder unvollständige AV-Verträge, unzureichende Sensibilisierung der Mitarbeiter oder Fehler in der Datenschutzerklärung usw. – wird die Behörde nachforschen und im schlimmsten Fall ein Bußgeld verhängen.

Man kann also sagen: Nicht jedes Unternehmen muss einen Datenschutzbeauftragten haben – aber jedes Unternehmen braucht einen Datenschutzbeauftragten!

Angebot für unsere Leser

Wenn Sie für Ihr Unternehmen einen externen Datenschutzbeauftragten bestellen wollen, können Sie von unserer Partnerschaft mit der PRIVE Datenschutz GmbH profitieren:

Sie erhalten mit PRIVE eine umfangreiche Datenschutz-Komplettlösung mit allen notwendigen Datenschutz-Generatoren und Dokumenten und einen externen Datenschutzbeauftragten für nur 14,80 € / Mo. (bei Jahreszahlung). Damit sparen Sie 85% auf den Normalpreis. Das ist eine Ersparnis von 1.000 € im Jahr.

    >>> Ich möchte einen Datenschutzbeauftragten für 14,80 € im Monat    

 

Artikel teilen

Weitere Artikel von Alex Goldberg:

Whistleblowing im Überblick Die neuen gesetzlichen Anforderungen

Das Hinweisgeberschutzgesetz dient der Umsetzung der EU Whistleblower- Richtlinie und bezweckt den Schutz von Personen. Für mittelständische Unternehmen mit 50 bis 249 Angestellten gilt eine letzte Übergangsfrist bis zum 17. Dezember 2023. Nach Ablauf dieser Fristen können Unternehmen, die keine Meldestelle eingerichtet haben oder den Betrieb einer solchen vernachlässigen, mit Bußgeldern bis zu 20.000 Euro belangt werden.

| weiter |

Vorschaubild Whistleblowing im Überblick

Das anwaltliche Datenschutz-Audit Der DSGVO-Rundum-Schutz von Bußgeldern und Abmahnungen

Datenschutz ist wie Steuern: Keiner will, aber jeder muss! In dieser Aufzeichnung erfahren  Sie, wie ein DSGVO-Audit vor Abmahungen und Bußgeldern schützt.

| weiter |

Vorschaubild Das anwaltliche Datenschutz-Audit

ChatGPT im Einsatz Wie Sie das KI-Tool im Alltag rechtskonform einsetzen können

Die Verwendung von ChatGPT im Marketing, z. B. für die Erstellung von Texten für Newsletter, Instagram und Google Ads, ist grundsätzlich akzeptabel. Es ist jedoch wichtig, die Richtigkeit der KI-generierten Inhalte zu überprüfen. Aus urheberrechtlichen Gründen sollten die Produkte des AI-Tools nur als Inspiration für eigene Texte dienen. Eine direkte Übernahme von Texten ist nicht ratsam, da Sie nicht als Urheber gelten und kein Urheberrecht beanspruchen können.

| weiter |

Vorschaubild ChatGPT im Einsatz

Datenschutzverstöße diesen Sommer Millionenschwere Bußgelder treffen Spotify, Amazon und weitere Unternehmen!

Diesen Sommer wurden bedeutsame Bußgelder gegen mehrere namhafte Unternehmen verhängt, die Datenschutzverstöße begangen hatten. Die Strafen fielen im Millionenbereich aus und wurden von den Datenschutzbehörden wegen unzureichender Auskunftserteilung, fehlender Abmeldemöglichkeiten, und Verstößen bei der Datennutzung verhängt.

| weiter |

Vorschaubild Datenschutzverstöße diesen Sommer

Datentransfer in die USA Verbesserter Datenschutz bringt mehr Rechtssicherheit für Unternehmen!

Am 10. Juli 2023 hat die EU-Kommission den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (EU-US DPF) veröffentlicht. Das bedeutet, dass bei der Übermittlung von Daten an ein zertifiziertes US-Unternehmen ein angemessenes Datenschutzniveau in den USA gegeben ist.

| weiter |

Vorschaubild Datentransfer in die USA

Rekordstrafe für Facebook 1,2 Milliarden Euro Bußgeld wegen Datenschutz-Verstößen

Seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung vor fünf Jahren hat Meta mehr Bußgelder kassiert als jedes andere Internetunternehmen. Der Facebook-Mutterkonzern steht nun erneut vor einer Rekordstrafe.

| weiter |

Vorschaubild Rekordstrafe für Facebook

Den Datenschutz und die DSGVO schnell umsetzen Ein Leitfaden in 6 einfachen Schritten

Die Beachtung des Datenschutzes auf Ihrer Website ist von entscheidender Bedeutung und bildet die Grundlage für einen rechtssicheren Auftritt. Die Webseite ist nämlich öffentlich und auch die Behörden können darauf zugreifen. Es gibt hier zahlreiche Aspekte, die berücksichtigt werden müssen.

| weiter |

Vorschaubild Den Datenschutz und die DSGVO schnell umsetzen

Die 7 größten Abmahnrisiken auf Ihrer Webseite Rechtsanwälte klären auf

Falsch bezeichnete Bildrechte, fehlerhafte Datenschutzerklärungen, irreführende Werbeaussagen etc. etc. Die Erfahrung zeigt, dass sich kaum jemand frühzeitig um die rechtliche Absicherung der Webseite kümmert. Erst wenn die erste Abmahnung, das erste Gerichtsverfahren oder das erste Bußgeld kommt, geht einem ein Licht auf. Dann ist es aber meistens schon zu spät – es drohen im Ernstfall nämlich Kosten von mehreren 10.000 Euro.

| weiter |

Vorschaubild Die 7 größten Abmahnrisiken auf Ihrer Webseite

Die 7 gefährlichsten Abmahnfallen auf Webseiten Webinar von Alex Goldberg

75 % der Firmen haben die gesetzlichen Vorschriften noch nicht richtig umgesetzt. Wo die teuersten Abmahnfallen sind, zeigt Rechtsanwalt Alex Goldberg in diesem Vortrag.

| weiter |

Vorschaubild Die 7 gefährlichsten Abmahnfallen auf Webseiten

DSGVO: Das Verarbeitungsverzeichnis Tipps vom Datenschutz-Anwalt

Wer als Unternehmer personenbezogene Daten verarbeitet, also im Grunde jeder Unternehmer,muss ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen. Erfahren Sie hier, warum sich ein ordentlich gepflegtes Verarbeitungsverzeichnis lohnt.

| weiter |

Vorschaubild DSGVO: Das Verarbeitungsverzeichnis