Schnellnavigation
ANMERKUNG: Falls Ihr Unternehmen nicht unter diese Regelungen fällt und daher keinen Datenschutzbeauftragten benennt, so muss all dessen Aufgaben automatisch die Geschäftsführung übernehmen, da auch in diesem Fall der Datenschutz gewahrt sein muss. Deshalb entscheiden sich viele Unternehmen trotzdem für die Beauftragung eines externen Datenschutzbeauftragten.
EXTERNER DATENSCHUTZBEAUFTRAGTER
Florian Padberg im Experteninterview zum Thema Externer Datenschutzbeauftragter
Externer Datenschutzbeauftragter auf den Punkt: Aufgaben, Qualifikationen, Kosten & mehr
Welche Vorteile bietet ein externer Datenschutzbeauftragter?
Das Unternehmen muss in erster Linie natürlich keine wichtigen Kapazitäten für ein nicht offensichtlich wertschöpfendes Thema abziehen. Mit einem externen Profi holt es sich die aktuelle Fachkompetenz zum Thema EU-DSGVO, BDSG usw. ins Haus und muss keine Freiräume für Fortbildungen schaffen. Mitarbeitern muss nicht zugemutet werden, je nach gerade ausgeübter Rolle mal rechts und mal links zu denken und zu argumentieren, und auch die Gedanken über etwaige arbeitsrechtliche Folgen einer internen Lösung entfallen. In vielen Fällen ist auch die finanzielle Seite bei einer externen Lösung besser zu bewerten als bei einer internen.
Vorteile auf einen Blick
Profi im Geschäft
Der externe Datenschutzbeauftragte ist ein Profi im Geschäft und hat sich auf diese Aufgabe spezialisiert. Des Weiteren hat der externe Datenschutzbeauftragte in der Regel mehr Praxiserfahrung, da er normalerweise mehrere Mandaten betreut, was ein effektiveres Arbeiten aus der Praxis heraus bedeutet.
Kosten / Risiken
Durch die Bestellung eines externen Datenschutzbeauftragten werden verschiedene Kostenpunkte und Risiken auf Unternehmensseite minimiert. Auf der einen Seite entstehen keine Kosten für Weiterbildung und Literatur eines internen Datenschutzbeauftragten, und auf der anderen Seite werden Risiken in Bezug auf die mangelnde Fachkunde oder auf die Zuverlässigkeit hinsichtlich etwaiger Interessenkonflikte ausgeschlossen. Des Weiteren kann das Haftungsrisiko für Entscheidungen im Datenschutz in Teilen auf den externen DSB ausgelagert werden, wenn dieser seinen Pflichten nicht ausreichend nachgekommen ist.
Kündigung intern / extern
Der interne Datenschutzbeauftragte unterliegt nach dem BDSG §4f Abs. 3 Satz 5 einem Kündigungsschutz und kann nur schwer wieder entfernt oder ausgetauscht werden. Für den externen Datenschutzbeauftragten gelten keine solche Schutzfristen. Es gelten die vertraglichen Vereinbarungen des Geschäftsbesorgungsvertrages.
Mitbestimmung Betriebsrat
Falls es im Unternehmen einen Betriebsrat gibt, so ist dieser bezgl. der Bestellung eines internen Datenschutzbeauftragten zustimmungpflichtig, wogegen dieser bei der Auswahl und Beauftragung eines externen Datenschutzbeauftragten kein direktes Mitspracherecht hat.
Vertretung im Krankheitsfall / Urlaub
Falls der interne Datenschutzbeauftragte auf Grund von Krankheit oder auf Grund des verdienten Urlaubs ausfällt, muss intern für Ersatz gesorgt werden, was wiederum mit Kosten und Zeit verbunden ist. Bei einem Geschäftsbesorgungsvertrag mit einem externen Datenschutzbeauftragten kann dies vertraglich geregelt werden und ein qualifizierter Vertreter benannt werden.
Kosten des externen Datenschutzbeauftragten
Die Kosten für die externe Bestellung sind für das Unternehmen kalkulierbar. Die zu erbringende Leistung wird definiert, woraus sich für viele Unternehmen eine faktisch kostengünstigere Variante bietet.
Welche Qualifikationen sollte ein externer Datenschutzbeauftragter mitbringen?
Tipps: Darauf sollten Sie bei der Auswahl eines externen Datenschutzbeauftragten besonders achten
Nachweis der Fachkunde
Der externe Datenschutzbeauftragte muss sich eigenständig darum kümmern, seine Fachkunde regelmäßig zu aktualisieren und muss dies auch nachweisen können. Eine vorliegende „Zertifizierung nach DSGVO“ ist schnell behauptet. Wichtig sind Details, etwa die Zertifizierungsstelle und welche konkrete Zertifizierungsstufe derjenige erreicht hat.
Referenzen
Auftraggeber sollten Referenzen aktiv nutzen und einsehen können. Fragen Sie beispielsweise den externen Datenschutzbeauftragten, wen er Ihnen konkret benennen kann, damit Sie Kontakt aufnehmen und nachfragen können, wie kompetent er oder sie denn im tatsächlichen Kundeneinsatz ist. Hier geht es nicht nur um die fachliche sondern auch um die persönliche Kompetenz des Beraters, denn am Ende des Tages handelt es sich um ein „People Business“.
Branchenexpertise (optional)
Auch die Branchenexpertise kann ein entscheidender Faktor beim externen Datenschutzbeauftragten sein, schließlich kennt er ja Ihr Unternehmen noch nicht (da wäre ein interner ggf. zu Beginn der Tätigkeit im Vorteil). Es ist wichtig, dass er zumindest weiß, wie der Hase in Ihrer Branche oder zumindest in Ihrer Unternehmensgröße läuft. Ansonsten besteht das Risiko, dass er sich zunächst gezwungenermaßen auf eine enge formale Auslegung des Datenschutzes, ohne kreative Seitenblicke in die Gepflogenheiten Ihrer Industrie, beschränkt.
Inhaltliche Ausrichtung
Da wäre zum einen der fachliche Hintergrund des Dienstleisters zu beachten: Kommt er aus der juristischen Richtung, ist er eher technisch orientiert, oder ist er klassischer Consultant mit Managementberatungs-Erfahrung. Je nach Ausrichtung Ihres Unternehmens kann es hilfreich sein, die ein oder andere Fokussierung Ihres externen Datenschutzbeauftragten zu nutzen.
Generell sollte der Datenschutzbeauftragte aber nicht „zu weit weg“ von Ihren alltäglichen Themen sein, sonst besteht die Gefahr, dass Sie immer wieder die Zusammenhänge Ihrer Prozesse erläutern müssen um eine pragmatische Beratung zu erhalten.
Größe des Dienstleisters
Des weiteren kann es von Bedeutung sein, ob es sich bei Ihrem Datenschutzbeauftragten um eine Ein-Mann-Armee handelt oder um einen Mitarbeiter eines auf den Datenschutz ausgerichteten Unternehmens mit mehreren qualifizierten Mitarbeitern. Bei letzterem ist es meistens üblich, dass Sie zumindest einen Vertreter benannt bekommen, wenn Ihr externer Datenschutzbeauftragter persönlich verhindert ist, etwa wegen Krankheit oder Urlaub. Der Einzelkämpfer hat meist keinen Backup.
Weitere wichtige Mehrwerte
Bei der Auswahl sollte auch eine Rolle spielen, ob der externe Datenschutzbeauftragte zusätzliche Mehrwerte einbringen kann, wie etwa ein effektives Datenschutzmanagement-Tool. Es gibt immer noch eine Menge Vertreter im Markt, die mit selbstgestrickten Excel-Listen und Leitz-Ordnern bewaffnet durch die Lande ziehen. Die Innovativität bleibt da manchmal auf der Strecke. Wir etwa nutzen die Web-basierte Lösung „DSM-Online“, bei der sowohl wir wie auch unsere Klienten stets den Überblick haben, wo wir mit dem Datenschutzmanagement stehen, wo noch offene Punkte sind usw. Alles in einem Tool und nicht verteilt über diverse Systeme.
Kundenstimmen
„Es war die richtige Entscheidung damals uns für Herrn Tasch als Datenschutzbeauftragen zu entscheiden und wir wurden nicht enttäuscht…“
Norbert Reichentrog,
Haferkamp Immobilien GmbH
„ituso hat uns dabei unterstützt innerhalb kürzester Zeit ein Datenschutzmanagementsystem aufzubauen, das bei Audits im Datenschutzbereich sehr gut bestehen konnte…“
Rudolf Kulzer,
Schienen Güter Logistik GmbH
„Ich arbeite schon seit längerer Zeit mit ituso im Datenschutz zusammen und kann hier nur von besten Erfahrungen berichten […] sie sind volle Profis auf diesem Gebiet!“
Gerhard Fischermeier,
K&F Immobilien Ingolstadt
Darf ich einen externen Datenschutzbeauftragten in Regress nehmen, wenn ich mit ihm unzufrieden bin? Und wie einfach ist ein Wechsel?
Die DSGVO sagt hier nichts Spezifisches, aber grundsätzlich kann das möglich sein. Dazu müssen Sie dem externen Datenschutzbeauftragten allerdings nachweisen, dass er seine gesetzlichen Pflichten verletzt hat, Sie also unrichtig oder schlecht beraten hat, dass er nicht die nötige Neutralität an den Tag gelegt hat, oder dass er schlicht nichts getan hat und seinen Aufgaben nicht angemessen nachgekommen ist.
Da es bei all den im Gesetz genannten Aufgaben des Datenschutzbeauftragten keine festen Werte oder Benchmarks gibt, wird dies aber nur in relativ offensichtlichen Fällen erfolgversprechend sein.
Zielführender ist da eher eine für beide Seiten passende zeitliche Ausgestaltung des Geschäftsbesorgungsvertrags, den Sie im Rahmen der Benennung des externen Datenschutzbeauftragten abschließen. Typische Beauftragungszyklen liegen da bei 1-2 Jahren. So stellen Sie zum einen sicher, dass der Externe ausreichend Zeit hat, Ihr Unternehmen kennen zu lernen, zugleich kann ein aus Ihrer Sicht nicht mehr passender Vertrag dann auf absehbare Perspektive wieder gelöst werden. Diesen Vorteil haben Sie bei einem internen Datenschutzbeauftragten übrigens nicht, er ist auf Dauer bestellt und eine Abberufung ist ohne Weiteres nicht möglich.
Üblicherweise wird aber mit der Zeit eher der Nutzen eines externen Datenschutzbeauftragten deutlich, so dass eine solche Beauftragung meist länger als kürzer andauert. Denn der externe Datenschutzbeauftragte kontrolliert ja nicht nur, er dient auch als organisatorischer Sparringspartner, der Sie dabei unterstützen kann, Ihre Prozess zu optimieren und Transparenz auch im Unternehmen zu schaffen.
Sollten Sie mit Ihrem Datenschutzbeauftragten nicht zufrieden sein, weil Sie das Gefühl haben, dass Sie nach einem oder zwei Jahren Zusammenarbeit mit Ihrem Datenschutz noch nicht weiter gekommen sind, sollten Sie über einen Wechsel des Dienstleisters nachdenken. Der Markt konsolidiert sich gerade und die Spreu trennt sich vom Weizen. Gerade die günstigen Beauftragungen ohne genaue Leistungsbeschreibungen und echte Maßnahmenpakete werden stärker hinterfragt. Viele Kunden bekommen nicht mehr als den Namen des Datenschutzbeauftragten den Sie verwenden können und bestenfalls ein paar Vorlagen, die Sie selbst abarbeiten können.
Empfehlenswert dagegen sind konkrete Pläne zum Start der Zusammenarbeit. Ein gegenseitiges Kennenlernen ist oft von Vorteil bevor man sich bindet. Im Rahmen unseres Beratertages werden bei uns bespielsweise Teile des Datenschutzes abgearbeitet und konkrete Maßnahmenpakete gemeinsam festgelegt. (Mehr erfahren >>>)
Fazit
- Ein externer Datenschutzbeauftragter ist Vertrauenssache: Achten Sie auf ein integres Auftreten, gelebte Neutralität und erwiesene Qualifikationen. Referenzen helfen bei der Einschätzung.
- Ein externer Datenschutzbeauftragter soll sich für Sie lohnen. Beziehen Sie bei Ihrer Berechnung aber nicht nur direkte und monetäre Kosten mit ein, sondern bewerten Sie auch andere Faktoren wie Flexibilität, Erfahrungsschatz und Verfügbarkeit. Das Ergebnis wird manchmal durchaus überraschen.
- Ein externer Datenschutzbeauftragter ist Ihr Partner und Verbündeter, nicht Ihr Gegner. Unterstützen Sie ihn durch Bereitstellung von Informationen und Zugang zu Mitarbeitern und Führungskräften, und er wird Ihnen wertvolle Hinweise geben können, wie Sie Ihr Unternehmen besser aufstellen können, und er steht Ihnen zur Seite wenn dann doch einmal die Aufsichtsbehörde an die Tür klopft.
Ihr Unternehmen braucht einen externen Datenschutzbeauftragten? Sprechen Sie mit uns!
Lernen Sie auch unsere Kollegen für Ihre Region kennen: Externer Datenschutzbeauftragter München – Externer Datenschutzbeauftragter Stuttgart – Externer Datenschutzbeauftragter Schweiz und Liechtenstein – Datenschutz bundesweit
Haben Sie noch Fragen? Wir helfen gerne!
Schreiben Sie uns eine Nachricht!