Datenschutzbeauftragter nach dem Bundesdatenschutzgesetz (BDSG)

Wann Sie zu einer Benennung verpflichtet sind und wann eine freiwillige Bestellung auch bei kleinen Unternehmen Sinn macht

Welche Unternehmen benötigen einen Datenschutzbeauftragten?

Nach §38 BDSG benötigen alle Unternehmen einen Datenschutzbeauftragten, in welchen mind. 20 Personen regelmäßig personenbezogene Daten automatisiert verarbeiten, also am Computer. Es spielt dabei keine Rolle, ob es sich um den Auszubildenden oder eine Teilzeitkraft handelt. Alle Personen werden voll gezählt.

Des Weiteren müssen alle Unternehmen, die besonders sensitive Daten wie Gesundheitsdaten, Daten über das Sexualleben, biometrische Daten usw. verarbeiten verpflichtenend einen Datenschutzbeauftragten benennen, sowie Unternehmen die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder zum Zweck der Markt- und Meinungsforschung verarbeiten.

Und natürlich bestellen auch kleinere Unternehmen, die einfach einen „Kümmerer„ für den Datenschutz brauchen, jemanden, der das Thema und die Umsetzung im Unternehmen vorantreibt, einen Datenschutzbeauftragten bestellen. Dies ist das in aller Regel ein externer Datenschutzbeauftragter.

Kleine Unternehmen benötigen keinen Datenschutzbeauftragten. Wann macht es Sinn trotzdem einen zu benennen?

In vielen kleinen Unternehmen macht es durchaus Sinn auf freiwilliger Basis einen Datenschutzbeauftragten zu bestellen. Die Beauftragung bei vielen unserer kleineren Kunden erfolgt aus den folgenden Gründen:

Es gibt einen Kümmerer um den Datenschutz, der offiziell benannt ist. In vielen Unternehmen gibt es diese offizielle Benennung nicht und es wird sich auch nicht um das Thema Datenschutz gekümmert, was mit Risiken verbunden ist. Unternehmen, die freiwillig einen Datenschutzbeauftragten benennen, haben einen Ansprechpartner zur korrekten Umsetzung der DSGVO und allen Datenschutzthemen.
Die Geschäftsführung wird durch einen „Kümmerer“, der das Thema fachkundig vorantreibt, unterstützt. Ansonsten ist Datenschutz grundsätzlich die Aufgabe der Geschäftsleitung. Die Verantwortung bleibt bei der Geschäftsführung des Unternehmens.
Datenschutz wird als ein Marketing-Faktor gesehen. Datenschutz ist in aller Munde und wenn man gegenüber Kunden zeigen kann, dass man einen Datenschutzbeauftragten benannt hat, den Datenschutz ernst nimmt und seine Daten sicher sind, dann hat das in zahlreichen Branchen einen positiven Effekt.

Zum Interview >>>

DATENSCHUTZBEAUFTRAGTER

Mirko Tasch im Experteninterview zum Thema Datenschutzbeauftragter

Datenschutzbeauftragter: Aufgaben, Qualifikationen & Kosten

Was sind speziell die Aufgaben eines Datenschutzbeauftragten nach der EU-Datenschutzgrundverordnung (EU-DSGVO)?

Die Aufgaben des Datenschutzbeauftragten sind klar in der Datenschutzgrundverordnung geregelt. Beispielsweise ist ein Datenschutzbeauftragter für die

Schulung und Beratung der Geschäftsführung und der Beschäftigten zuständig,
er überwacht die Einhaltung der DSGVO, des BDSG und weiterer Gesetze, die den Datenschutz beinhalten.
Er unterstützt bei der Durchführung von Datenschutzfolge-Abschätzungen, also wenn ein Risiko für den Betroffenen besteht.
Er ist Ansprechpartner in Datenschutzfragen für Mitarbeiter, Kunden, Interessenten und
ist der Ansprechpartner für die Aufsichtsbehörde und auch zur Zusammenarbeit mit dieser verpflichtet.

Ein guter Datenschutzbeauftragter sollte aber unbedingt auch pragmatisch vorgehen und sollte hier und da auch über den Tellerrand hinwegsehen können, um dem Unternehmen zu helfen. Auch sollte er sich nicht ausschließlich darauf beschränken, Dokumente und Excel-Files zu verteilen und sich ausschliesslich auf die beratende Funktion berufen. Ein guter Datenschutzbeauftragter packt auch selbst mit an. Er ist nicht nur Berater, sondern ein echter Kümmerer im Datenschutz.

Datenschutzbeauftragter_intern_oder_extern

Kann jeder im Unternehmen zum (internen) Datenschutzbeauftragten bestellt werden?

Hier ein ganz klares Jein. Die Person, die benannt werden soll, muss gewisse Voraussetzungen erfüllen. Sie muss

die berufliche Qualifikation haben und natürlich
auch das Fachwissen im Datenschutz und der Datenschutzpraxis.
Dazu kommt ein gutes Wissen in den Themen IT und IT-Sicherheit, ohne die es nicht geht.

Verfügt die ausgewählte Person nicht darüber, muss dieses Wissen aufgebaut werden.

Ein weiterer wichtiger Punkt, der zwar nicht im Gesetz steht, aber essentiell ist ist, die Einstellung des benannten Datenschutzbeauftragten. Der Datenschutzbeauftagte im Unternehmen sollte loyal, ehrlich und konfliktfähig sein und immer versuchen einen pragmatischen aber datenschutzkonformen Weg für das Unternehmen zu finden.

Es ist sicher nicht gut, jemanden als internen Datenschutzbeauftragten zu benennen, der gerade im „falschen Moment über den Flur läuft“ oder jemanden auszuwählen, der schon immer einmal einen „Sheriff-Stern“ auf der Brust haben wollte und gerne Kollegen kontrollieren möchte. Ein Datenschutzbeauftragter muss den Job wollen, aber nicht der Kontrolle wegen, sondern wegen der Aufgabe.

Hinzu kommt dann noch die Thematik der Interessenskonflikte. Bestehen diese zwischen der normalen Tätigkeit im Unternehmen und der Position als Datenschutzbeauftragter, ist diese Person als DSB ungeeignet. Dies kann soweit gehen, dass die Bestellung durch die Aufsichtsbehörde entzogen wird.

Was können Interessenskonflikte sein?

Gewisse Positionen im Unternehmen oder verwandtschaftliche Verhältnisse könnten Interessenskonflikte auslösen. Grundsätzlich scheiden aber bei der Auswahl zum Datenschutzbeauftragten alle Personen aus, die in einer führenden Position sind und Prozesse selbst bestimmen in denen personenbezogene Daten verarbeitet werden.

Also die Geschäftsführung per se fällt aus, genauso wie der Leiter Personal, Vertrieb, IT und Marketing, in denen die meisten Prozesse sind, in denen personenbezogene Daten verarbeitet werden. Interessenskonflikte sind hier abzusehen. Auch Verwandte, wie z.B. die Ehefrau, der Ehemann oder Kinder der Geschäftsführung werden kritisch von der Aufsichtsbehörde gesehen, eine Bestellung dieser Personenkreise kann zu Problemen führen.

Kann man einen Datenschutzbeauftragten extern bestellen?

Man kann einen Datenschutzbeauftragten intern wie extern bestellen. Für viele Unternehmen macht es auch mehr Sinn einen externen Datenschutzbeauftragten damit zu beauftragen als die Position intern zu vergeben. Auch bei einer externen Bestellung gelten die gleichen Voraussetzungen wie bei einer internen Bestellung. Natürlich fallen automatisch verschiedene Schwierigkeiten mit der externen Bestellung weg, aber auch hier sollte es keine verwandtschaftlichen Verhältnisse geben.

Geht man den Weg der externen Bestellung, sollte man sich auf jeden Fall die Qualifikationen und auch die Praxiserfahrung zeigen lassen und in einem Gespräch klären, wie der ggf. zukünftige externe Datenschutzbeauftragte den Datenschutz im Unternehmen angehen will, schließlich ist die Position des Datenschutzbeauftragten eine sehr sensible Position und man muss Vertrauen zu seinem DSB als Unternehmen haben.

Externer Datenschutzbeauftagter

Was sind die wesentlichen Unterschiede zwischen einem internen oder einem externen Datenschutzbeauftragten? Gibt es Vor- und Nachteile?

Die wesentlichen Unterschiede die Vor- und Nachteile bei der jeweiligen Bestellung.

In der Regel hat der externe Datenschutzbeauftragte das Wissen über die Fachkunde und entsprechende Praxiserfahrung, wogegen der neu benannte interne DSB dies erst lernen und erarbeiten muss.
Dazu kommt, dass der externe DSB schon entsprechende Vorlagen und Templates hat und ggf. auf ein strukturiertes Datenschutzmanagement-System zurückgreifen kann. All dies muss der interne DSB kaufen bzw. erarbeiten.
Ein weiterer Vorteil des externen Datenschutzbeauftragten ist, dass keine Kosten für Weiterbildung entstehen.
Die Kosten des externen Datenschutzbeauftragten sind klar und kalkulierbar, wogegen bei vielen internen Bestellungen mit den so genannten „Eh da-Kosten“ gerechnet wird, was intransparent und nicht kaufmännisch ist.

Ein Nachteil des externen Datenschutzbeauftragten kann sein, dass er das Unternehmen nicht so gut kennt wie der interne Kollege. Der externe Datenschutz-Profi muss sich erst einarbeiten und die internen Abläufe und Prozesse verstehen lernen, was aber in der Regel bei einem guten Datenschutzbauftragten auch schnell geht.

Worauf man bei beiden Arten der Bestellung achten sollte, ist die Backup-Regelung. Was passiert, wenn der bestellte Datenschutzbeauftragte krank oder im Urlaub ist, wer übernimmt dann und kümmert sich um die Datenschutz-Themen in der Zeit der Abwesenheit. Darauf muss auf jeden Fall geachtet werden. Ein guter externen Datenschutzbeauftragter hat dieses Thema bereits in seinem Geschäftsbesorgungsvertrag geregelt.

Was kostet ein externer Datenschutzbeauftragter?

Die Kosten eines externen Datenschutzbeauftragten kann man für das Unternehmen nicht pauschalisieren. Für ein Angebot sollte der externe Datenschutzbeauftragte sich schon einige Informationen des Unternehmens besorgen. Eine solche Bestellung sollte dann individuell auf die Branche, Größe des Unternehmens, Art der zu verarbeitenden Daten und natürlich auch der Stand des Datenschutzes im Unternehmen berücksichtigen. Was muss ggf. noch alles getan werden, um eine Datenschutzkonformität herzustellen.

Der Range beginnt bei ca. 200,- € monatlich für die Bestellung und ist natürlich nach oben hin erst einmal offen. Angebote unter 200,- € sind meist Basis-Angebote, wobei oft nicht viel mehr als nur der Name als Datenschutzbeauftragter gegeben wird. Weitere Leistungen werden gesondert berechnet. Vergleichen Sie deshalb unbedingt die angebotenen Leistungen.

Weitere Informationen zu den Kosten des externen Datenschutzbeauftragten

Zusammenfassung

1. Klären Sie für Ihr Unternehmen ab, ob eine Bestellung gesetzlich vorgeschrieben ist. Ist dies der Fall und Sie haben noch keinen Datenschutzbeauftragten, dann raten wir Ihnen dies schnellstens nachzuholen, da ansonsten Geldbußen drohen können. Sie können diesen sowohl intern wie extern bestellen, obwohl ich immer zum externen Datenschutzbeauftragten raten würde.

2. Machen Sie sich Gedanken, wer das Thema Datenschutz in Ihrem Unternehmen bearbeitet, wer der Kümmerer ist. Vielleicht macht es Sinn einen Datenschutzbeauftragten freiwillig zu bestellen, um diesen Kümmerer für dieses wichtige Thema zu benennen.

3. Es gibt im Datenschutz sehr viele Themen, die beachtet werden müssen und die Ihr Unternehmen umsetzen muss. Achten Sie darauf, dass Ihr Datenschutzbeauftragter das entsprechende Wissen und die entsprechende Zeit hat, all diese Themen strukturiert und pragmatisch anzugehen. Der Datenschutzbeauftragter sollte dabei nicht der Verhinderer Ihres Geschäftes sein, sondern Sie dabei unterstützen datenschutzkonform zu arbeiten. Machen Sie sich auch bzgl. des Wissens und des Zeitfaktors Gedanken, ob eine externe Bestellung nicht mehr Sinn macht.

Ihr Unternehmen braucht einen externen Datenschutzbeauftragten, Ihr interner Kollege braucht Unterstützung oder Sie sind noch in der Überlegung zwischen intern und extern?

Sprechen Sie mit uns!

Jetzt unverbinliches Beratungsgespräch vereinbaren

Lernen Sie auch unsere Kollegen für Ihre Region kennen: Externer Datenschutzbeauftragter München – Externer Datenschutzbeauftragter Stuttgart – Externer Datenschutzbeauftragter Schweiz und Liechtenstein – Datenschutz bundesweit

Haben Sie noch Fragen? Wir helfen gerne!

Kontaktformular

Firma*
Name*
Vorname Nachname
Ihre E-Mail-Adresse*
Betreff
Ihre Nachricht
Hinweis auf Datenspeicherung*
- Hiermit bestätige ich die Datenschutzerklärung auf dieser Internetseite.
Phone
Dieses Feld dient zur Validierung und sollte nicht verändert werden.