LR pixel

Der Datenschutzbeauftragte

Wann brauche ich einen?

DSGVO-Tipps vom Fachanwalt

 

Der Datenschutzbeauftragte: Wann brauche ich einen, was macht er eigentlich und wie teuer ist er?

 

Seit Einführung der DSGVO im Mai 2018 ist das Thema Datenschutz in aller Munde. Datenschutzbeauftragte gab es zwar auch schon vor der DSGVO – die Bedeutung und Funktion des Datenschutzbeauftragten hat sich durch die EU-Verordnung jedoch stark verändert. Trotzdem herrscht bis heute in vielen Unternehmen Unsicherheit: Wann macht die Benennung eines Datenschutzbeauftragten Sinn? Besteht vielleicht sogar die gesetzliche Verpflichtung, einen Datenschutzbeauftragten zu benennen? Und was sind eigentlich die Aufgaben des Datenschutzbeauftragten?

 

Funktion des Datenschutzbeauftragten

Der Datenschutzbeauftragte ist eine unabhängige Beratungs- und Kontrollinstanz für den Schutz personenbezogener Daten im Unternehmen. Er ist Ansprechpartner für Fragen zum Datenschutz sowohl für die Geschäftsführung und die Mitarbeiter des Unternehmens als auch für Kunden und andere externe Personen, deren Daten vom Unternehmen verarbeitet werden (z.B. Webseitenbesucher oder Geschäftspartner). Auch für die Datenschutzbehörden ist der Datenschutzbeauftragte der erste Ansprechpartner. Außerdem muss er die Geschäftsführung darauf hinweisen, wenn er der Meinung ist, dass ein Vorhaben oder ein Vorgehen des Unternehmens gegen den Datenschutz verstoßen könnte. In seiner Tätigkeit als Datenschutzbeauftragter ist er nicht weisungsgebunden und genießt – wenn es sich um einen Mitarbeiter des Unternehmens handelt – einen besonderen Kündigungsschutz, ähnlich wie Betriebsratsmitglieder. Um einen Interessenkonflikt zu vermeiden, darf der Geschäftsführer oder eine Person in einer vergleichbaren Position nicht Datenschutzbeauftragter sein.

Ein Datenschutzbeauftragter unterstützt und berät also die Geschäftsführung bei der Umsetzung des Datenschutzes im Unternehmen. Er ist jedoch im Rahmen seiner Kontrollfunktion auch verpflichtet, auf (mögliche) Datenschutz-Verstöße hinzuweisen.

 

Interner oder externer Datenschutzbeauftragter?

Grundsätzlich können Unternehmen sich zwischen zwei verschiedenen Modellen entscheiden: Entweder, sie benennen einen Mitarbeiter des Unternehmens als Datenschutzbeauftragten (interner Datenschutzbeauftragter), oder sie greifen auf einen spezialisierten Dienstleister zurück. Beide Modelle haben Vor- und Nachteile.

Wird ein eigener Mitarbeiter zum Datenschutzbeauftragten benannt, muss dieser zunächst persönlich geeignet und fachlich qualifiziert sein. Am Anfang steht daher zunächst in der Regel eine Schulung, die der Mitarbeiter absolvieren muss. Diese muss ihm als Arbeitszeit angerechnet und vom Arbeitgeber bezahlt werden. Der Wissensstand des Datenschutzbeauftragten muss laufend aktuell gehalten werden, weshalb immer wieder (sinnvoller Weise alle ein bis drei Jahre, evtl. auch anlassbezogen) Schulungen und Weiterbildungen vom Arbeitgeber ermöglicht und finanziert werden müssen. Zudem muss dem Mitarbeiter während seiner Arbeitszeit genügend Zeit für die Erfüllung seiner Aufgaben als Datenschutzbeauftragter eingeräumt werden. Der konkrete Zeitbedarf kann hier je nach Unternehmensart und -größe stark schwanken und ist in den ersten Monaten meist etwas höher, da der Datenschutzbeauftragte sich einarbeiten und offene Datenschutz-Aufgaben erledigen muss.

Ein externer Dienstleister ist in der Regel bereits entsprechend ausgebildet und selbst für seine Weiterbildung verantwortlich. Er kennt jedoch das Unternehmen nicht und muss sich zunächst einen umfassenden Überblick verschaffen. Das geschieht meist in Form eines ausführlichen Datenschutz-Audits, das gesondert berechnet wird. Dabei wird der aktuelle Umsetzungsstand des Datenschutzes im Unternehmen geprüft und notwendige Maßnahmen zur Vervollständigung des Datenschutzes erarbeitet. So entsteht ein klares Bild, wie das Unternehmen datenschutzrechtlich aufgestellt ist. Auf dieser Basis können die weiteren notwendigen Schritte auf dem Weg zur vollständigen DSGVO-Sicherheit effizient geplant werden. Anschließend steht der Datenschutzbeauftragte üblicherweise für ein bestimmtes Stundenkontingent im Monat zur Verfügung, wobei in den ersten Monaten die im Audit festgestellten offenen Aufgaben abgearbeitet werden müssen, weshalb auch hier in den ersten Monaten meist etwas mehr, später dann weniger Zeit benötigt wird.

Die einmaligen Kosten sind daher beim internen und externen Datenschutzbeauftragten häufig ähnlich – entweder ist eine Schulung oder ein Audit zu finanzieren. Anschließend steht der interne Datenschutzbeauftragte vor der Aufgabe, die das Audit bereits erfüllt hat, nämlich den aktuellen Umsetzungsstand des Datenschutzes im Unternehmen festzustellen und die nächsten Schritte zu planen. Für einen frisch ausgebildeten Datenschutzbeauftragten ist das eine kaum lösbare Aufgabe, weshalb auch hier die Durchführung eines Datenschutz-Audits durch einen spezialisierten Dienstleister empfehlenswert ist. Hinzu kommen laufende Kosten für die Weiterbildung des internen Datenschutzbeauftragen, der infolgedessen mit der Zeit höhere Gehaltsansprüche geltend machen kann. Da zudem die arbeitsrechtlichen und versicherungstechnischen Besonderheiten sowie der besondere Kündigungsschutz bei internen Datenschutzbeauftragten nicht unerheblich sind, ist ein externer Dienstleister gerade für kleine und mittlere Unternehmen meist nicht nur die kostengünstigere, sondern auch die einfachere und flexiblere Lösung.

 

Wer braucht einen Datenschutzbeauftragten?

Viele Unternehmen sind gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, z.B. wenn sie sensible Daten verarbeiten (unabhängig von der Unternehmensgröße und Mitarbeiteranzahl), wenn mindestens 20 Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten betraut sind (dafür genügt schon, dass der Mitarbeiter über ein dienstliches E-Mail-Postfach verfügt), wenn Personen systematisch überwacht werden (z.B. Sicherheitsdienste) oder wenn personenbezogene Daten zur Markt- oder Meinungsforschung erhoben werden.

Doch auch Unternehmen, die gesetzlich nicht dazu verpflichtet sind, einen Datenschutzbeauftragten zu benennen, können von einem Datenschutzbeauftragten profitieren. Der Wert eines kompetenten Ansprechpartners für die Geschäftsführung ist nicht nur in kritischen Situationen, z.B. wenn wegen eines möglichen Datenschutzverstoßes innerhalb von 72 Stunden gehandelt werden muss, zu unterschätzen. Das Vorhandensein eines Datenschutzbeauftragten kann sich auch mildernd auf Bußgelder und generell positiv beim Kontakt mit Datenschutzbehörden auswirken. Auch Kunden und Mitarbeiter sind zufriedener, wenn sie für Datenschutz-Belange einen konkreten Ansprechpartner haben, der die Anliegen sofort richtig einschätzen und besorgten oder verärgerten Personen auf einer sachlich-professionellen Ebene begegnen kann. Nicht zuletzt entlastet der Datenschutzbeauftragte Geschäftsleitung, Personal- und IT-Abteilung, die sich ansonsten allein mit Datenschutz-Fragen auseinandersetzen müssten, wofür in der Regel keine ausreichenden Kapazitäten vorhanden sind.

Unternehmen, die bislang noch nicht mit den Datenschutzbehörden in Kontakt gekommen sind, glauben häufig, es sei schon alles in Ordnung und sie hätten nichts zu befürchten. Was vielen nicht bewusst ist: Die Datenschutzbehörden müssen jeder einzelnen Beschwerde nachgehen. Beschweren kann sich jeder, dessen Daten Sie vermeintlich verarbeiten – vom Webseitenbesucher über Kunden und Geschäftspartner bis hin zu unzufriedenen ehemaligen Mitarbeitern. Auch, wenn sich die Beschwerde möglicherweise als unbegründet erweisen sollte, müssen Sie der Behörde Rede und Antwort stehen. Wenn dabei etwas auffällt – fehlende oder lückenhafte Verarbeitungsverzeichnisse, fehlende oder unvollständige AV-Verträge, unzureichende Sensibilisierung der Mitarbeiter oder Fehler in der Datenschutzerklärung usw. – wird die Behörde nachforschen und im schlimmsten Fall ein Bußgeld verhängen.

Man kann also sagen: Nicht jedes Unternehmen muss einen Datenschutzbeauftragten haben – aber jedes Unternehmen braucht einen Datenschutzbeauftragten!

Angebot für unsere Leser

Wenn Sie für Ihr Unternehmen einen externen Datenschutzbeauftragten bestellen wollen, können Sie von unserer Partnerschaft mit der PRIVE Datenschutz GmbH profitieren:

Sie erhalten mit PRIVE eine umfangreiche Datenschutz-Komplettlösung mit allen notwendigen Datenschutz-Generatoren und Dokumenten und einen externen Datenschutzbeauftragten für nur 14,80 € / Mo. (bei Jahreszahlung). Damit sparen Sie 85% auf den Normalpreis. Das ist eine Ersparnis von 1.000 € im Jahr.

    >>> Ich möchte einen Datenschutzbeauftragten für 14,80 € im Monat    

 

Artikel teilen

Weitere Artikel von Alex Goldberg:

DSGVO: Das Verarbeitungsverzeichnis Tipps vom Datenschutz-Anwalt

Wer als Unternehmer personenbezogene Daten verarbeitet, also im Grunde jeder Unternehmer,muss ein Verarbeitungsverzeichnis nach Art. 30 DSGVO führen. Erfahren Sie hier, warum sich ein ordentlich gepflegtes Verarbeitungsverzeichnis lohnt.

| weiter |

Vorschaubild DSGVO: Das Verarbeitungsverzeichnis



Ihre Firma
eintragen
  • Ihre kostenlose Web-Visitenkarte
  • in fünf Minuten angelegt
  • noch besser gefunden werden
  • einfach neue Kunden gewinnen
der