Wann braucht ein Unternehmen einen Datenschutzbeauftragten?
Im §38 des Bundesdatenschutzgesetzes ist geregelt, wer einen Datenschutzbeauftragten bestellen muss. Vereinfacht bedeutet die Regelung: Jedes Unternehmen, in dem mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, benötigt einen internen oder externen Datenschutzbeauftragten.
Bei der genannten Grenze von 20 Personen kommt es tatsächlich auf die Regelmäßigkeit und den Umfang der Verarbeitung in den jeweiligen Funktionen an. Haben Sie eine klassische Steuerkanzlei, können Sie davon ausgehen, dass jeder Ihrer Mitarbeiter ständig mit personenbezogenen Daten zu tun hat, von der Sekretärin bis zum Experten für Gewerbesteuer. Aufgepasst: Hier zählen Köpfe und nicht Vollzeitstellen! Dagegen werden Bauunternehmen mit eigenen Handwerkern auch bei einer Gesamtzahl von 50 Mitarbeitern durchaus unter der Grenze liegen können.
Die Mitarbeiterzahl ist aber nicht das einzige Kriterium: Wenn Sie beispielsweise in der Hauptsache sensible Daten („besondere Kategorien personenbezogener Daten“, also etwa Gesundheitsdaten) verarbeiten und deshalb eine Datenschutzfolgeabschätzung durchführen müssen, besteht ebenfalls eine Benennungspflicht – auch wenn Sie nur ein 3-Mann-Unternehmen sind. Gerade in solchen Situationen ist es unwahrscheinlich, dass Sie eine Ihrer hoch ausgelasteten internen Ressourcen auch noch zum Datenschutzbeauftragten machen. Hier dürfte der externe Datenschutzbeauftragte das Mittel der Wahl sein.
Weitere Bestellfplichten eines Datenschutzbeauftragten – losgelöst von der Anzahl an Personen – im Unternehmen sind:
- Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der (anonymisierten) Übermittlung
- Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Markt- und Meinungsforschung
ANMERKUNG: Falls Ihr Unternehmen nicht unter diese Regelungen fällt und daher keinen Datenschutzbeauftragten benennt, so muss all dessen Aufgaben automatisch die Geschäftsführung übernehmen, da auch in diesem Fall der Datenschutz gewahrt sein muss. Deshalb entscheiden sich viele Unternehmen trotzdem für die Beauftragung eines externen Datenschutzbeauftragten.
EXTERNER DATENSCHUTZBEAUFTRAGTER
Florian Padberg im Experteninterview zum Thema Externer Datenschutzbeauftragter
Externer Datenschutzbeauftragter auf den Punkt: Aufgaben, Qualifikationen, Kosten & mehr
Welche Aufgaben hat ein externer Datenschutzbeauftragter?
Alle Unternehmen sind unter der EU-DSGVO gesetzlich dazu verpflichtet, ihre Datenschutzkonformität nachweisen zu können. Der Datenschutzbeauftragte unterstützt das Unternehmen dabei, die gesetzlichen Anforderungen zu erfüllen. Er berät bei allen datenschutzrechtlichen Fragen, überwacht den Datenschutz und die datenschutzkonforme Dokumentation. Er trägt dabei eine große Verantwortung und muss über ein tiefes Fachwissen verfügen, um das Unternehmen kompetent beraten zu können.
Der externe Datenschutzbeauftragte ist zuallererst einmal also der „Kümmerer“ wenn es um das Thema Datenschutz geht. Er berät die Geschäftsleitung in allen wesentlichen Fragestellungen der Konzeption und Umsetzung des Datenschutzmanagements im Unternehmen. Er ist darüber hinaus die zentrale Ansprechstation für interne und externe Stakeholder zum Thema Datenschutz: Mitarbeiter, Lieferanten, Kunden, sowie natürlich die Aufsichtsbehörde. Er ist zwar nicht der operative Ersteller sämtlicher Datenschutzdokumentationen, hat aber einige wichtige Tools in seiner Verantwortung, bspw. führt er ein bestehendes Verzeichnis der Verarbeitungen weiter und ist bei der Vertragserstellung aktiv beteiligt.
Im Rahmen seiner Kontrollfunktion muss der externe DSB als neutrale Stelle überwachen, dass die unternommenen Maßnahmen zur Sicherstellung des Datenschutzniveaus auch wirklich greifen. Dazu muss er recht weitgehende Einsichtsbefugnisse gewährt bekommen, sonst kann er diese Kontrollrolle natürlich nicht wahrnehmen.
Schließlich sorgt er für die nötige Sensibilisierung der Mitarbeiter beim Thema Datenschutz; er weist die Mitarbeiter ins Thema ein und organisiert und führt effektive Mitarbeiterschulungen durch.
Eine Aufgabe hat er aber – für manche Auftraggeber „leider“ – nicht: Er steigt nicht in die rechtliche Verantwortung anstelle der Geschäftsführung ein, und er besitzt auch kein Weisungsrecht – diese Managementaufgabe bleibt natürlich bei der Leitung des Unternehmens.
Welche Vorteile bietet ein externer Datenschutzbeauftragter?
Das Unternehmen muss in erster Linie natürlich keine wichtigen Kapazitäten für ein nicht offensichtlich wertschöpfendes Thema abziehen. Mit einem externen Profi holt es sich die aktuelle Fachkompetenz zum Thema EU-DSGVO, BDSG usw. ins Haus und muss keine Freiräume für Fortbildungen schaffen. Mitarbeitern muss nicht zugemutet werden, je nach gerade ausgeübter Rolle mal rechts und mal links zu denken und zu argumentieren, und auch die Gedanken über etwaige arbeitsrechtliche Folgen einer internen Lösung entfallen. In vielen Fällen ist auch die finanzielle Seite bei einer externen Lösung besser zu bewerten als bei einer internen.
Vorteile auf einen Blick
Profi im Geschäft
Der externe Datenschutzbeauftragte ist ein Profi im Geschäft und hat sich auf diese Aufgabe spezialisiert. Des Weiteren hat der externe Datenschutzbeauftragte in der Regel mehr Praxiserfahrung, da er normalerweise mehrere Mandaten betreut, was ein effektiveres Arbeiten aus der Praxis heraus bedeutet.
Kosten / Risiken
Durch die Bestellung eines externen Datenschutzbeauftragten werden verschiedene Kostenpunkte und Risiken auf Unternehmensseite minimiert. Auf der einen Seite entstehen keine Kosten für Weiterbildung und Literatur eines internen Datenschutzbeauftragten, und auf der anderen Seite werden Risiken in Bezug auf die mangelnde Fachkunde oder auf die Zuverlässigkeit hinsichtlich etwaiger Interessenkonflikte ausgeschlossen. Des Weiteren kann das Haftungsrisiko für Entscheidungen im Datenschutz in Teilen auf den externen DSB ausgelagert werden, wenn dieser seinen Pflichten nicht ausreichend nachgekommen ist.
Kündigung intern / extern
Der interne Datenschutzbeauftragte unterliegt nach dem BDSG §4f Abs. 3 Satz 5 einem Kündigungsschutz und kann nur schwer wieder entfernt oder ausgetauscht werden. Für den externen Datenschutzbeauftragten gelten keine solche Schutzfristen. Es gelten die vertraglichen Vereinbarungen des Geschäftsbesorgungsvertrages.
Mitbestimmung Betriebsrat
Falls es im Unternehmen einen Betriebsrat gibt, so ist dieser bezgl. der Bestellung eines internen Datenschutzbeauftragten zustimmungpflichtig, wogegen dieser bei der Auswahl und Beauftragung eines externen Datenschutzbeauftragten kein direktes Mitspracherecht hat.
Vertretung im Krankheitsfall / Urlaub
Falls der interne Datenschutzbeauftragte auf Grund von Krankheit oder auf Grund des verdienten Urlaubs ausfällt, muss intern für Ersatz gesorgt werden, was wiederum mit Kosten und Zeit verbunden ist. Bei einem Geschäftsbesorgungsvertrag mit einem externen Datenschutzbeauftragten kann dies vertraglich geregelt werden und ein qualifizierter Vertreter benannt werden.
Kosten des externen Datenschutzbeauftragten
Die Kosten für die externe Bestellung sind für das Unternehmen kalkulierbar. Die zu erbringende Leistung wird definiert, woraus sich für viele Unternehmen eine faktisch kostengünstigere Variante bietet.
Welche Qualifikationen sollte ein externer Datenschutzbeauftragter mitbringen?
Tipps: Darauf sollten Sie bei der Auswahl eines externen Datenschutzbeauftragten besonders achten
Nachweis der Fachkunde
Der externe Datenschutzbeauftragte muss sich eigenständig darum kümmern, seine Fachkunde regelmäßig zu aktualisieren und muss dies auch nachweisen können. Eine vorliegende „Zertifizierung nach DSGVO“ ist schnell behauptet. Wichtig sind Details, etwa die Zertifizierungsstelle und welche konkrete Zertifizierungsstufe derjenige erreicht hat.
Referenzen
Auftraggeber sollten Referenzen aktiv nutzen und einsehen können. Fragen Sie beispielsweise den externen Datenschutzbeauftragten, wen er Ihnen konkret benennen kann, damit Sie Kontakt aufnehmen und nachfragen können, wie kompetent er oder sie denn im tatsächlichen Kundeneinsatz ist. Hier geht es nicht nur um die fachliche sondern auch um die persönliche Kompetenz des Beraters, denn am Ende des Tages handelt es sich um ein „People Business“.
Branchenexpertise (optional)
Auch die Branchenexpertise kann ein entscheidender Faktor beim externen Datenschutzbeauftragten sein, schließlich kennt er ja Ihr Unternehmen noch nicht (da wäre ein interner ggf. zu Beginn der Tätigkeit im Vorteil). Es ist wichtig, dass er zumindest weiß, wie der Hase in Ihrer Branche oder zumindest in Ihrer Unternehmensgröße läuft. Ansonsten besteht das Risiko, dass er sich zunächst gezwungenermaßen auf eine enge formale Auslegung des Datenschutzes, ohne kreative Seitenblicke in die Gepflogenheiten Ihrer Industrie, beschränkt.
Inhaltliche Ausrichtung
Da wäre zum einen der fachliche Hintergrund des Dienstleisters zu beachten: Kommt er aus der juristischen Richtung, ist er eher technisch orientiert, oder ist er klassischer Consultant mit Managementberatungs-Erfahrung. Je nach Ausrichtung Ihres Unternehmens kann es hilfreich sein, die ein oder andere Fokussierung Ihres externen Datenschutzbeauftragten zu nutzen.
Generell sollte der Datenschutzbeauftragte aber nicht „zu weit weg“ von Ihren alltäglichen Themen sein, sonst besteht die Gefahr, dass Sie immer wieder die Zusammenhänge Ihrer Prozesse erläutern müssen um eine pragmatische Beratung zu erhalten.
Größe des Dienstleisters
Des weiteren kann es von Bedeutung sein, ob es sich bei Ihrem Datenschutzbeauftragten um eine Ein-Mann-Armee handelt oder um einen Mitarbeiter eines auf den Datenschutz ausgerichteten Unternehmens mit mehreren qualifizierten Mitarbeitern. Bei letzterem ist es meistens üblich, dass Sie zumindest einen Vertreter benannt bekommen, wenn Ihr externer Datenschutzbeauftragter persönlich verhindert ist, etwa wegen Krankheit oder Urlaub. Der Einzelkämpfer hat meist keinen Backup.
Weitere wichtige Mehrwerte
Bei der Auswahl sollte auch eine Rolle spielen, ob der externe Datenschutzbeauftragte zusätzliche Mehrwerte einbringen kann, wie etwa ein effektives Datenschutzmanagement-Tool. Es gibt immer noch eine Menge Vertreter im Markt, die mit selbstgestrickten Excel-Listen und Leitz-Ordnern bewaffnet durch die Lande ziehen. Die Innovativität bleibt da manchmal auf der Strecke. Wir etwa nutzen die Web-basierte Lösung „DSM-Online“, bei der sowohl wir wie auch unsere Klienten stets den Überblick haben, wo wir mit dem Datenschutzmanagement stehen, wo noch offene Punkte sind usw. Alles in einem Tool und nicht verteilt über diverse Systeme.
Kundenstimmen
„Es war die richtige Entscheidung damals uns für Herrn Tasch als Datenschutzbeauftragen zu entscheiden und wir wurden nicht enttäuscht…“
Norbert Reichentrog,
Haferkamp Immobilien GmbH
„ituso hat uns dabei unterstützt innerhalb kürzester Zeit ein Datenschutzmanagementsystem aufzubauen, das bei Audits im Datenschutzbereich sehr gut bestehen konnte…“
Rudolf Kulzer,
Schienen Güter Logistik GmbH
„Ich arbeite schon seit längerer Zeit mit ituso im Datenschutz zusammen und kann hier nur von besten Erfahrungen berichten […] sie sind volle Profis auf diesem Gebiet!“
Gerhard Fischermeier,
K&F Immobilien Ingolstadt
Was kostet ein externer Datenschutzbeauftragter?
Zu den Kosten kann man natürlich keine allgemeingültige Aussage treffen, denn bei einer solchen externen Dienstleistung handelt es sich um einen Service im freien Markt. Angebot und Nachfrage bestimmen den Preis.
Wir empfehlen eine kleine Rechnung:
Wenn Sie das monatliche Regel-Honorar des externen Datenschutzbeauftragten kennen und es durch einen angemessenen Stundensatz für externe Beratung teilen (Sie können den Berater durchaus danach fragen), kommen Sie auf ein Zeitkontingent, dass der externe Datenschutzbeauftragte für Sie „reserviert“ hat. Reicht Ihnen diese Zeit? Diese Kalkulation hilft um einzuschätzen, welchen Kostenaufwand Sie bei einer angemessenen Betreuung haben werden.
Beachten Sie bei der Kostenfrage auch die richtige Vergleichsbasis:
Für einen internen Datenschutzbeauftragten fallen nicht nur die anteiligen Lohn- und Lohnnebenkosten der für seine Rolle aufgewendeten Arbeitszeit an, sondern auch Gebühren für Fortbildungen, Arbeitsmittel usw. Vergleichen Sie Äpfel mit Äpfeln, nicht mit Birnen.
Weitere Anhaltspunkte:
Es gibt durchaus gewisse Benchmarks, nach denen Sie sich je nach Unternehmensgröße richten können: „Billig-Angebote“ etwa für 99 oder 149 EUR pro Monat „all-in mit Software“ sollten Sie sehr genau prüfen, denn mit mehr als ein paar Standard-Vorlagen und einem einfachen Dokumentenablage-System dürfen Sie dann nicht rechnen. Wenn Sie die o.g. Kalkulation ansetzen, können bei geringer Komplexität Ihres Geschäfts bereits ca. 300-400 EUR Monatshonorar einen guten und halbwegs realistischen Preis bedeuten, für den Sie auch eine gewisse stabile Beratungsqualität erwarten können.
Als grobe Orientierung können Sie beispielweise Ihre Mitarbeiter- und Filialanzahl heranziehen: Je höher diese Zahl, desto eher steigt die zu erwartende Betreuungsintensität und damit die Bestellungsgebühr.
Durchgängig sollten Sie zudem noch beachten, dass ein ehrlicher Datenschutzbeauftragter Ihnen im Vorfeld mitteilt, welche Leistungsarten NICHT im Basishonorar enthalten sind, wie etwa die Begleitung bei einer größeren Datenschutzpanne inkl. Meldung, Analyse, Maßnahmenplanung etc.
Darf ich einen externen Datenschutzbeauftragten in Regress nehmen, wenn ich mit ihm unzufrieden bin?
Die DSGVO sagt hier nichts Spezifisches, aber grundsätzlich kann das möglich sein. Dazu müssen Sie dem externen Datenschutzbeauftragten allerdings nachweisen, dass er seine gesetzlichen Pflichten verletzt hat, Sie also unrichtig oder schlecht beraten hat, dass er nicht die nötige Neutralität an den Tag gelegt hat, oder dass er schlicht nichts getan hat und seinen Aufgaben nicht angemessen nachgekommen ist.
Da es bei all den im Gesetz genannten Aufgaben des Datenschutzbeauftragten keine festen Werte oder Benchmarks gibt, wird dies aber nur in relativ offensichtlichen Fällen erfolgversprechend sein.
Zielführender ist da eher eine für beide Seiten passende zeitliche Ausgestaltung des Geschäftsbesorgungsvertrags, den Sie im Rahmen der Benennung des externen Datenschutzbeauftragten abschließen. Typische Beauftragungszyklen liegen da bei 1-2 Jahren. So stellen Sie zum einen sicher, dass der Externe ausreichend Zeit hat, Ihr Unternehmen kennen zu lernen, zugleich kann ein aus Ihrer Sicht nicht mehr passender Vertrag dann auf absehbare Perspektive wieder gelöst werden. Diesen Vorteil haben Sie bei einem internen Datenschutzbeauftragten übrigens nicht, er ist auf Dauer bestellt und eine Abberufung ist ohne Weiteres nicht möglich.
Üblicherweise wird aber mit der Zeit eher der Nutzen eines externen Datenschutzbeauftragten deutlich, so dass eine solche Beauftragung meist länger als kürzer andauert. Denn der externe Datenschutzbeauftragte kontrolliert ja nicht nur, er dient auch als organisatorischer Sparringspartner, der Sie dabei unterstützen kann, Ihre Prozess zu optimieren und Transparenz auch im Unternehmen zu schaffen.
Fazit
- Ein externer Datenschutzbeauftragter ist Vertrauenssache: Achten Sie auf ein integres Auftreten, gelebte Neutralität und erwiesene Qualifikationen. Referenzen helfen bei der Einschätzung.
- Ein externer Datenschutzbeauftragter soll sich für Sie lohnen. Beziehen Sie bei Ihrer Berechnung aber nicht nur direkte und monetäre Kosten mit ein, sondern bewerten Sie auch andere Faktoren wie Flexibilität, Erfahrungsschatz und Verfügbarkeit. Das Ergebnis wird manchmal durchaus überraschen.
- Ein externer Datenschutzbeauftragter ist Ihr Partner und Verbündeter, nicht Ihr Gegner. Unterstützen Sie ihn durch Bereitstellung von Informationen und Zugang zu Mitarbeitern und Führungskräften, und er wird Ihnen wertvolle Hinweise geben können, wie Sie Ihr Unternehmen besser aufstellen können, und er steht Ihnen zur Seite wenn dann doch einmal die Aufsichtsbehörde an die Tür klopft.
Ihr Unternehmen braucht einen externen Datenschutzbeauftragten? Sprechen Sie mit uns!
Lernen Sie auch unsere Kollegen für Ihre Region kennen: Externer Datenschutzbeauftragter München – Externer Datenschutzbeauftragter Stuttgart – Externer Datenschutzbeauftragter Schweiz und Liechtenstein – Datenschutz bundesweit
Haben Sie noch Fragen? Wir helfen gerne!
Schreiben Sie uns eine Nachricht!