Externer Datenschutzbeauftragter

Halten Sie interne Ressourcen für Ihr Kerngeschäft frei. Unsere externen Datenschutzbeauftragten übernehmen alle DSGVO-Belange für Sie.

Kostenloses Beratungsgespräch vereinbaren Unverbindliches Angebot anfordern

Schnellnavigation

Vorteile Aufgaben Kosten Notwendigkeit Qualifikationen Abberufung/Regress Fazit

Wann braucht ein Unternehmen einen (externen oder internen) Datenschutzbeauftragten?

Im §38 des Bundesdatenschutzgesetzes ist geregelt, wer einen Datenschutzbeauftragten bestellen muss. Vereinfacht bedeutet die Regelung: Jedes Unternehmen, in dem mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, benötigt einen internen oder externen Datenschutzbeauftragten.

Bei der genannten Grenze von 20 Personen kommt es tatsächlich auf die Regelmäßigkeit und den Umfang der Verarbeitung in den jeweiligen Funktionen an. Haben Sie eine klassische Steuerkanzlei, können Sie davon ausgehen, dass jeder Ihrer Mitarbeiter ständig mit personenbezogenen Daten zu tun hat, von der Sekretärin bis zum Experten für Gewerbesteuer. Aufgepasst: Hier zählen Köpfe und nicht Vollzeitstellen! Dagegen werden Bauunternehmen mit eigenen Handwerkern auch bei einer Gesamtzahl von 50 Mitarbeitern durchaus unter der Grenze liegen können.

Die Mitarbeiterzahl ist aber nicht das einzige Kriterium: Wenn Sie beispielsweise in der Hauptsache sensible Daten („besondere Kategorien personenbezogener Daten“, also etwa Gesundheitsdaten) verarbeiten und deshalb eine Datenschutzfolgeabschätzung durchführen müssen, besteht ebenfalls eine Benennungspflicht – auch wenn Sie nur ein 3-Mann-Unternehmen sind. Gerade in solchen Situationen ist es unwahrscheinlich, dass Sie eine Ihrer hoch ausgelasteten internen Ressourcen auch noch zum Datenschutzbeauftragten machen. Hier dürfte der externe Datenschutzbeauftragte das Mittel der Wahl sein.

Weitere Bestellfplichten eines Datenschutzbeauftragten – losgelöst von der Anzahl an Personen – im Unternehmen sind:

Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der (anonymisierten) Übermittlung
Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Markt- und Meinungsforschung

ANMERKUNG: Falls Ihr Unternehmen nicht unter diese Regelungen fällt und daher keinen Datenschutzbeauftragten benennt, so muss all dessen Aufgaben automatisch die Geschäftsführung übernehmen, da auch in diesem Fall der Datenschutz gewahrt sein muss. Deshalb entscheiden sich viele Unternehmen trotzdem für die Beauftragung eines externen Datenschutzbeauftragten.

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube immer entsperren

Zum Interview >>>

EXTERNER DATENSCHUTZBEAUFTRAGTER

Florian Padberg im Experteninterview zum Thema Externer Datenschutzbeauftragter

Externer Datenschutzbeauftragter auf den Punkt: Aufgaben, Qualifikationen, Kosten & mehr

Welche Aufgaben hat ein externer Datenschutzbeauftragter?

Alle Unternehmen sind unter der EU-DSGVO gesetzlich dazu verpflichtet, ihre Datenschutzkonformität nachweisen zu können. Der Datenschutzbeauftragte unterstützt das Unternehmen dabei, die gesetzlichen Anforderungen zu erfüllen. Er berät bei allen datenschutzrechtlichen Fragen, überwacht den Datenschutz und die datenschutzkonforme Dokumentation. Er trägt dabei eine große Verantwortung und muss über ein tiefes Fachwissen verfügen, um das Unternehmen kompetent beraten zu können.

Der externe Datenschutzbeauftragte ist zuallererst einmal also der „Kümmerer“ wenn es um das Thema Datenschutz geht. Er berät die Geschäftsleitung in allen wesentlichen Fragestellungen der Konzeption und Umsetzung des Datenschutzmanagements im Unternehmen. Er ist darüber hinaus die zentrale Ansprechstation für interne und externe Stakeholder zum Thema Datenschutz: Mitarbeiter, Lieferanten, Kunden, sowie natürlich die Aufsichtsbehörde. Er ist zwar nicht der operative Ersteller sämtlicher Datenschutzdokumentationen, hat aber einige wichtige Tools in seiner Verantwortung, bspw. führt er ein bestehendes Verzeichnis der Verarbeitungen weiter und ist bei der Vertragserstellung aktiv beteiligt.

Im Rahmen seiner Kontrollfunktion muss der externe DSB als neutrale Stelle überwachen, dass die unternommenen Maßnahmen zur Sicherstellung des Datenschutzniveaus auch wirklich greifen. Dazu muss er recht weitgehende Einsichtsbefugnisse gewährt bekommen, sonst kann er diese Kontrollrolle natürlich nicht wahrnehmen.

Schließlich sorgt er für die nötige Sensibilisierung der Mitarbeiter beim Thema Datenschutz; er weist die Mitarbeiter ins Thema ein und organisiert und führt effektive Mitarbeiterschulungen durch.

Eine Aufgabe hat er aber – für manche Auftraggeber „leider“ – nicht: Er steigt nicht in die rechtliche Verantwortung anstelle der Geschäftsführung ein, und er besitzt auch kein Weisungsrecht – diese Managementaufgabe bleibt natürlich bei der Leitung des Unternehmens.

Welche Vorteile bietet ein externer Datenschutzbeauftragter?

Das Unternehmen muss in erster Linie natürlich keine wichtigen Kapazitäten für ein nicht offensichtlich wertschöpfendes Thema abziehen. Mit einem externen Profi holt es sich die aktuelle Fachkompetenz zum Thema EU-DSGVO, BDSG usw. ins Haus und muss keine Freiräume für Fortbildungen schaffen. Mitarbeitern muss nicht zugemutet werden, je nach gerade ausgeübter Rolle mal rechts und mal links zu denken und zu argumentieren, und auch die Gedanken über etwaige arbeitsrechtliche Folgen einer internen Lösung entfallen. In vielen Fällen ist auch die finanzielle Seite bei einer externen Lösung besser zu bewerten als bei einer internen.

Vorteile auf einen Blick

Profi im Geschäft
Der externe Datenschutzbeauftragte ist ein Profi im Geschäft und hat sich auf diese Aufgabe spezialisiert. Des Weiteren hat der externe Datenschutzbeauftragte in der Regel mehr Praxiserfahrung, da er normalerweise mehrere Mandaten betreut, was ein effektiveres Arbeiten aus der Praxis heraus bedeutet.

Kosten / Risiken
Durch die Bestellung eines externen Datenschutzbeauftragten werden verschiedene Kostenpunkte und Risiken auf Unternehmensseite minimiert. Auf der einen Seite entstehen keine Kosten für Weiterbildung und Literatur eines internen Datenschutzbeauftragten, und auf der anderen Seite werden Risiken in Bezug auf die mangelnde Fachkunde oder auf die Zuverlässigkeit hinsichtlich etwaiger Interessenkonflikte ausgeschlossen. Des Weiteren kann das Haftungsrisiko für Entscheidungen im Datenschutz in Teilen auf den externen DSB ausgelagert werden, wenn dieser seinen Pflichten nicht ausreichend nachgekommen ist.

Kündigung intern / extern
Der interne Datenschutzbeauftragte unterliegt nach dem BDSG §4f Abs. 3 Satz 5 einem Kündigungsschutz und kann nur schwer wieder entfernt oder ausgetauscht werden. Für den externen Datenschutzbeauftragten gelten keine solche Schutzfristen. Es gelten die vertraglichen Vereinbarungen des Geschäftsbesorgungsvertrages.

Mitbestimmung Betriebsrat
Falls es im Unternehmen einen Betriebsrat gibt, so ist dieser bezgl. der Bestellung eines internen Datenschutzbeauftragten zustimmungpflichtig, wogegen dieser bei der Auswahl und Beauftragung eines externen Datenschutzbeauftragten kein direktes Mitspracherecht hat.

Vertretung im Krankheitsfall / Urlaub
Falls der interne Datenschutzbeauftragte auf Grund von Krankheit oder auf Grund des verdienten Urlaubs ausfällt, muss intern für Ersatz gesorgt werden, was wiederum mit Kosten und Zeit verbunden ist. Bei einem Geschäftsbesorgungsvertrag mit einem externen Datenschutzbeauftragten kann dies vertraglich geregelt werden und ein qualifizierter Vertreter benannt werden.

Kosten des externen Datenschutzbeauftragten
Die Kosten für die externe Bestellung sind für das Unternehmen kalkulierbar. Die zu erbringende Leistung wird definiert, woraus sich für viele Unternehmen eine faktisch kostengünstigere Variante bietet.

Welche Qualifikationen sollte ein externer Datenschutzbeauftragter mitbringen?

Tipps: Darauf sollten Sie bei der Auswahl eines externen Datenschutzbeauftragten besonders achten

Nachweis der Fachkunde

Der externe Datenschutzbeauftragte muss sich eigenständig darum kümmern, seine Fachkunde regelmäßig zu aktualisieren und muss dies auch nachweisen können. Eine vorliegende „Zertifizierung nach DSGVO“ ist schnell behauptet. Wichtig sind Details, etwa die Zertifizierungsstelle und welche konkrete Zertifizierungsstufe derjenige erreicht hat.

Referenzen

Auftraggeber sollten Referenzen aktiv nutzen und einsehen können. Fragen Sie beispielsweise den externen Datenschutzbeauftragten, wen er Ihnen konkret benennen kann, damit Sie Kontakt aufnehmen und nachfragen können, wie kompetent er oder sie denn im tatsächlichen Kundeneinsatz ist. Hier geht es nicht nur um die fachliche sondern auch um die persönliche Kompetenz des Beraters, denn am Ende des Tages handelt es sich um ein „People Business“.

Branchenexpertise (optional)

Auch die Branchenexpertise kann ein entscheidender Faktor beim externen Datenschutzbeauftragten sein, schließlich kennt er ja Ihr Unternehmen noch nicht (da wäre ein interner ggf. zu Beginn der Tätigkeit im Vorteil). Es ist wichtig, dass er zumindest weiß, wie der Hase in Ihrer Branche oder zumindest in Ihrer Unternehmensgröße läuft. Ansonsten besteht das Risiko, dass er sich zunächst gezwungenermaßen auf eine enge formale Auslegung des Datenschutzes, ohne kreative Seitenblicke in die Gepflogenheiten Ihrer Industrie, beschränkt.

Inhaltliche Ausrichtung

Da wäre zum einen der fachliche Hintergrund des Dienstleisters zu beachten: Kommt er aus der juristischen Richtung, ist er eher technisch orientiert, oder ist er klassischer Consultant mit Managementberatungs-Erfahrung. Je nach Ausrichtung Ihres Unternehmens kann es hilfreich sein, die ein oder andere Fokussierung Ihres externen Datenschutzbeauftragten zu nutzen.

Generell sollte der Datenschutzbeauftragte aber nicht „zu weit weg“ von Ihren alltäglichen Themen sein, sonst besteht die Gefahr, dass Sie immer wieder die Zusammenhänge Ihrer Prozesse erläutern müssen um eine pragmatische Beratung zu erhalten.

Größe des Dienstleisters

Des weiteren kann es von Bedeutung sein, ob es sich bei Ihrem Datenschutzbeauftragten um eine Ein-Mann-Armee handelt oder um einen Mitarbeiter eines auf den Datenschutz ausgerichteten Unternehmens mit mehreren qualifizierten Mitarbeitern. Bei letzterem ist es meistens üblich, dass Sie zumindest einen Vertreter benannt bekommen, wenn Ihr externer Datenschutzbeauftragter persönlich verhindert ist, etwa wegen Krankheit oder Urlaub. Der Einzelkämpfer hat meist keinen Backup.

Weitere wichtige Mehrwerte

Bei der Auswahl sollte auch eine Rolle spielen, ob der externe Datenschutzbeauftragte zusätzliche Mehrwerte einbringen kann, wie etwa ein effektives Datenschutzmanagement-Tool. Es gibt immer noch eine Menge Vertreter im Markt, die mit selbstgestrickten Excel-Listen und Leitz-Ordnern bewaffnet durch die Lande ziehen. Die Innovativität bleibt da manchmal auf der Strecke. Wir etwa nutzen die Web-basierte Lösung „DSM-Online“, bei der sowohl wir wie auch unsere Klienten stets den Überblick haben, wo wir mit dem Datenschutzmanagement stehen, wo noch offene Punkte sind usw. Alles in einem Tool und nicht verteilt über diverse Systeme.

Kundenstimmen

„Es war die richtige Entscheidung damals uns für Herrn Tasch als Datenschutzbeauftragen zu entscheiden und wir wurden nicht enttäuscht…“

Norbert Reichentrog,
Haferkamp Immobilien GmbH

„ituso hat uns dabei unterstützt innerhalb kürzester Zeit ein Datenschutzmanagementsystem aufzubauen, das bei Audits im Datenschutzbereich sehr gut bestehen konnte…“

Rudolf Kulzer,
Schienen Güter Logistik GmbH

„Ich arbeite schon seit längerer Zeit mit ituso im Datenschutz zusammen und kann hier nur von besten Erfahrungen berichten […] sie sind volle Profis auf diesem Gebiet!“

Gerhard Fischermeier,
K&F Immobilien Ingolstadt

Was kostet ein externer Datenschutzbeauftragter?

Zu den Kosten kann man natürlich keine allgemeingültige Aussage treffen, denn bei einer solchen externen Dienstleistung handelt es sich um einen Service im freien Markt. Angebot und Nachfrage bestimmen den Preis.

Wir empfehlen eine kleine Rechnung:
Wenn Sie das monatliche Regel-Honorar des externen Datenschutzbeauftragten kennen und es durch einen angemessenen Stundensatz für externe Beratung teilen (Sie können den Berater durchaus danach fragen), kommen Sie auf ein Zeitkontingent, dass der externe Datenschutzbeauftragte für Sie „reserviert“ hat. Reicht Ihnen diese Zeit? Diese Kalkulation hilft um einzuschätzen, welchen Kostenaufwand Sie bei einer angemessenen Betreuung haben werden.

Beachten Sie bei der Kostenfrage auch die richtige Vergleichsbasis:
Für einen internen Datenschutzbeauftragten fallen nicht nur die anteiligen Lohn- und Lohnnebenkosten der für seine Rolle aufgewendeten Arbeitszeit an, sondern auch Gebühren für Fortbildungen, Arbeitsmittel usw. Vergleichen Sie Äpfel mit Äpfeln, nicht mit Birnen.

Weitere Anhaltspunkte zur Berechnung:
Es gibt durchaus gewisse Benchmarks, nach denen Sie sich je nach Unternehmensgröße richten können: „Billig-Angebote“ etwa für 99 oder 149 EUR pro Monat „all-in mit Software“ sollten Sie sehr genau prüfen, denn mit mehr als ein paar Standard-Vorlagen und einem einfachen Dokumentenablage-System dürfen Sie dann nicht rechnen. Wenn Sie die o.g. Kalkulation ansetzen, können bei geringer Komplexität Ihres Geschäfts bereits ca. 300-400 EUR Monatshonorar einen guten und halbwegs realistischen Preis bedeuten, für den Sie auch eine gewisse stabile Beratungsqualität erwarten können.

Als grobe Orientierung können Sie beispielweise Ihre Mitarbeiter- und Filialanzahl heranziehen: Je höher diese Zahl, desto eher steigt die zu erwartende Betreuungsintensität und damit die Bestellungsgebühr.

Durchgängig sollten Sie zudem noch beachten, dass ein ehrlicher Datenschutzbeauftragter Ihnen im Vorfeld mitteilt, welche Leistungsarten NICHT im Basishonorar enthalten sind, wie etwa die Begleitung bei einer größeren Datenschutzpanne inkl. Meldung, Analyse, Maßnahmenplanung etc.

Wenn sie also ein Angebot mit 150€ im Monat für einen externen Datenschutzbeauftragten vorliegen haben, bekommen Sie realistisch gesehen nicht mehr als 1 Stunde seiner Zeit, wenn überhaupt. Und ehrlich, was kann man in einer Stunde erledigen? Wir können Ihnen fast garantieren, dass Sie damit nach einem Jahr mit Ihrem Datenschutz nicht viel weiter sind als jetzt.

Besser: Datenschutz ist immer ein Projekt, das erst einmal abgearbeitet werden muss. Wenn die Basis steht und Sie auch wissen auf was Sie achten müssen können Sie die Unterstützung eines externen Datenschutzbeauftragten besser einschätzen. Wir beraten Sie dazu gerne.

Darf ich einen externen Datenschutzbeauftragten in Regress nehmen, wenn ich mit ihm unzufrieden bin? Und wie einfach ist ein Wechsel?

Die DSGVO sagt hier nichts Spezifisches, aber grundsätzlich kann das möglich sein. Dazu müssen Sie dem externen Datenschutzbeauftragten allerdings nachweisen, dass er seine gesetzlichen Pflichten verletzt hat, Sie also unrichtig oder schlecht beraten hat, dass er nicht die nötige Neutralität an den Tag gelegt hat, oder dass er schlicht nichts getan hat und seinen Aufgaben nicht angemessen nachgekommen ist.

Da es bei all den im Gesetz genannten Aufgaben des Datenschutzbeauftragten keine festen Werte oder Benchmarks gibt, wird dies aber nur in relativ offensichtlichen Fällen erfolgversprechend sein.

Zielführender ist da eher eine für beide Seiten passende zeitliche Ausgestaltung des Geschäftsbesorgungsvertrags, den Sie im Rahmen der Benennung des externen Datenschutzbeauftragten abschließen. Typische Beauftragungszyklen liegen da bei 1-2 Jahren. So stellen Sie zum einen sicher, dass der Externe ausreichend Zeit hat, Ihr Unternehmen kennen zu lernen, zugleich kann ein aus Ihrer Sicht nicht mehr passender Vertrag dann auf absehbare Perspektive wieder gelöst werden. Diesen Vorteil haben Sie bei einem internen Datenschutzbeauftragten übrigens nicht, er ist auf Dauer bestellt und eine Abberufung ist ohne Weiteres nicht möglich.

Üblicherweise wird aber mit der Zeit eher der Nutzen eines externen Datenschutzbeauftragten deutlich, so dass eine solche Beauftragung meist länger als kürzer andauert. Denn der externe Datenschutzbeauftragte kontrolliert ja nicht nur, er dient auch als organisatorischer Sparringspartner, der Sie dabei unterstützen kann, Ihre Prozess zu optimieren und Transparenz auch im Unternehmen zu schaffen.

Sollten Sie mit Ihrem Datenschutzbeauftragten nicht zufrieden sein, weil Sie das Gefühl haben, dass Sie nach einem oder zwei Jahren Zusammenarbeit mit Ihrem Datenschutz noch nicht weiter gekommen sind, sollten Sie über einen Wechsel des Dienstleisters nachdenken. Der Markt konsolidiert sich gerade und die Spreu trennt sich vom Weizen. Gerade die günstigen Beauftragungen ohne genaue Leistungsbeschreibungen und echte Maßnahmenpakete werden stärker hinterfragt. Viele Kunden bekommen nicht mehr als den Namen des Datenschutzbeauftragten den Sie verwenden können und bestenfalls ein paar Vorlagen, die Sie selbst abarbeiten können.

Empfehlenswert dagegen sind konkrete Pläne zum Start der Zusammenarbeit. Ein gegenseitiges Kennenlernen ist oft von Vorteil bevor man sich bindet. Im Rahmen unseres Beratertages werden bei uns bespielsweise Teile des Datenschutzes abgearbeitet und konkrete Maßnahmenpakete gemeinsam festgelegt. (Mehr erfahren >>>)

Fazit

Ein externer Datenschutzbeauftragter ist Vertrauenssache: Achten Sie auf ein integres Auftreten, gelebte Neutralität und erwiesene Qualifikationen. Referenzen helfen bei der Einschätzung.
Ein externer Datenschutzbeauftragter soll sich für Sie lohnen. Beziehen Sie bei Ihrer Berechnung aber nicht nur direkte und monetäre Kosten mit ein, sondern bewerten Sie auch andere Faktoren wie Flexibilität, Erfahrungsschatz und Verfügbarkeit. Das Ergebnis wird manchmal durchaus überraschen.
Ein externer Datenschutzbeauftragter ist Ihr Partner und Verbündeter, nicht Ihr Gegner. Unterstützen Sie ihn durch Bereitstellung von Informationen und Zugang zu Mitarbeitern und Führungskräften, und er wird Ihnen wertvolle Hinweise geben können, wie Sie Ihr Unternehmen besser aufstellen können, und er steht Ihnen zur Seite wenn dann doch einmal die Aufsichtsbehörde an die Tür klopft.

Ihr Unternehmen braucht einen externen Datenschutzbeauftragten? Sprechen Sie mit uns!

Jetzt Beratungsgespräch vereinbaren

Lernen Sie auch unsere Kollegen für Ihre Region kennen: Externer Datenschutzbeauftragter München – Externer Datenschutzbeauftragter Stuttgart – Externer Datenschutzbeauftragter Schweiz und Liechtenstein – Datenschutz bundesweit

Dienstleistungen und Standorte in Deutschland

Mit unserem erfahrenem Team unterstützen wir bundesweit kleine und mittelständische Unternehmen sowie Fachabteilungen sowohl im strategischen als auch im operativen Datenschutz. Wir sind Ihr Partner rund um den Datenschutz – von der Beratung bis zur Umsetzung der Datenschutzvorgaben.

Unsere Dienstleistungen im Überblick

Dienstleistungen und Standorte in der Schweiz und Lichtenstein

Das neue Datenschutzgesetz (DSG) Schweiz tritt voraussichtlich 2022 in Kraft. Für Unternehmen ist es wichtig sich strukturiert und rechtzeitig mit der Thematik zu beschäftigen -und es damit besser zu machen als die Unternehmen in der EU bei der Umstellung auf die EU-DSGVO. Unser erfahrener schweizer Experte unterstützt Sie gerne bei allen Fragestellungen rund um den Datenschutz.

Unsere Dienstleistungen im Überblick

Haben Sie noch Fragen? Wir helfen gerne!

Schreiben Sie uns eine Nachricht!

Kontaktformular

Firma*
Name*
Vorname Nachname
Ihre E-Mail-Adresse*
Betreff
Ihre Nachricht
Hinweis auf Datenspeicherung*
- Hiermit bestätige ich die Datenschutzerklärung auf dieser Internetseite.
Name
Dieses Feld dient zur Validierung und sollte nicht verändert werden.