Externer Datenschutzbeauftragter

Alle Unternehmen sind unter der EU-DSGVO gesetzlich dazu verpflichtet, ihre Datenschutzkonformität nachweisen zu können. Der Datenschutzexperte unterstützt das Unternehmen bei der Einhaltung der Anforderungen des Gesetzgebers. Er berät bei allen datenschutzrechtlichen Fragen, überwacht pragmatisch den Datenschutz und die datenschutzkonforme Dokumentation. Er trägt dabei eine große Verantwortung und muss über ein tiefes Fachwissen verfügen, um das Unternehmen kompetent beraten zu können.

Der externe Datenschutzbeauftragte ist zuallererst einmal also der „Kümmerer“ wenn es um das Thema Datenschutz geht. Er berät die Geschäftsleitung in allen wesentlichen Fragestellungen der Konzeption und Umsetzung des Datenschutzmanagements im Unternehmen. Er ist darüber hinaus die zentrale Ansprechstation für Stakeholder zum Thema Datenschutz: Mitarbeiter, Lieferanten, Kunden, sowie natürlich die Aufsichtsbehörde. Er ist zwar nicht der operative Ersteller sämtlicher Datenschutzdokumentationen, hat aber einige wichtige Tools in seiner Verantwortung. Beispielsweise führt er ein bestehendes Verzeichnis der Verarbeitungen weiter und ist bei der Vertragserstellung aktiv beteiligt.

Im Rahmen seiner Kontrollfunktion muss der externe DSB als neutrale Stelle überwachen, dass die unternommenen Maßnahmen zur Sicherstellung des Datenschutzniveaus auch wirklich greifen. Dazu muss er recht weitgehende Einsichtsbefugnisse gewährt bekommen, sonst kann er diese Kontrollrolle natürlich nicht wahrnehmen.

Schließlich sorgt er für die nötige Sensibilisierung der Mitarbeiter beim Thema Datenschutz; er weist die Mitarbeiter ins Thema ein und organisiert und führt effektiv eine Schulung für die Mitarbeiter durch.

Eine Aufgabe hat er aber – für manche Auftraggeber „leider“ – nicht: Er steigt nicht in die rechtliche Verantwortung anstelle der Geschäftsführung ein, und er besitzt auch kein Weisungsrecht – diese Managementaufgabe bleibt natürlich bei der Leitung des Unternehmens.

Das Unternehmen muss in erster Linie natürlich keine wichtigen Kapazitäten für ein nicht offensichtlich wertschöpfendes Thema abziehen. Mit einem externen Profi holt es sich die aktuelle Fachkompetenz zum Thema EU-DSGVO, BDSG usw. ins Haus und muss keine Freiräume für Fortbildungen und Schulungen schaffen. Mitarbeitern muss nicht zugemutet werden, je nach gerade ausgeübter Rolle mal rechts und mal links zu denken und zu beschäftigen. Auch die Gedanken über etwaige arbeitsrechtliche Folgen einer internen Lösung entfallen. In vielen Fällen sind auch die Kostenvorteile bei einer externen Lösung besser zu bewerten als bei Lösung im eigenen Unternehmen.

Vorteile auf einen Blick

Profi im Geschäft
Der externe Datenschutzbeauftragte ist ein Profi im Geschäft und hat sich auf diese Aufgabe spezialisiert. Des Weiteren hat der externe Beauftragte in der Regel langjährige Praxiserfahrung, da er normalerweise mehrere Mandanten betreut, was ein effektiveres Arbeiten aus der Praxis heraus bedeutet.

Kosten / Risiken
Durch die Bestellung eines externen Datenschutzbeauftragten werden verschiedene Kostenpunkte und Risiken auf Unternehmensseite minimiert. Auf der einen Seite entstehen keine Kosten für Weiterbildung und Literatur eines Beauftragten aus dem eigenen Unternehmen. Auf der anderen Seite werden Risiken in Bezug auf die mangelnde Fachkunde oder auf die Zuverlässigkeit hinsichtlich etwaiger Interessenkonflikte ausgeschlossen. Des Weiteren kann das Haftungsrisiko für Entscheidungen im Datenschutz in Teilen auf den externen DSB ausgelagert werden, wenn dieser seinen Pflichten nicht ausreichend nachgekommen ist.

Kündigung
Der interne Datenschutzbeauftragte unterliegt nach dem BDSG §4f Abs. 3 Satz 5 einem Kündigungsschutz und kann nur schwer wieder entfernt oder ausgetauscht werden. Für den externen Datenschutzexperten gelten keine solche Schutzfristen. Es gelten die vertraglichen Vereinbarungen des Geschäftsbesorgungsvertrages.

Mitbestimmung Betriebsrat
Falls es im Unternehmen einen Betriebsrat gibt, so ist dieser bzgl. der Bestellung eines internen Datenschutzbeauftragten zustimmungspflichtig, wogegen dieser bei der Auswahl und Beauftragung von jemand externem kein direktes Mitspracherecht hat.

Vertretung im Krankheitsfall / Urlaub
Falls der eigene Beauftragte auf Grund von Krankheit oder auf Grund des verdienten Urlaubs ausfällt, muss intern für Ersatz gesorgt werden, was wiederum mit Kosten und Zeit verbunden ist. Bei einem Geschäftsbesorgungsvertrag mit einem externen Datenschutzbeauftragten kann dies vertraglich geregelt werden und ein qualifizierter Vertreter benannt werden.

Kosten des externen Datenschutzbeauftragten
Die Kosten für die externe Bestellung sind für das Unternehmen kalkulierbar. Die zu erbringende Leistung wird definiert, woraus sich für viele Unternehmen eine faktisch kostengünstigere Variante bietet.

Tipps: Darauf sollten Sie bei der Auswahl eines externen Datenschutzbeauftragten besonders achten

Nachweis der Fachkunde

Der externe Experte muss sich eigenständig darum kümmern, seine Fachkunde regelmäßig zu aktualisieren und muss dies auch bei langjähriger Erfahrung nachweisen können. Eine vorliegende „Zertifizierung nach DSGVO“ ist schnell behauptet. Wichtig sind Details, etwa die Zertifizierungsstelle und welche konkrete Zertifizierungsstufe derjenige erreicht hat.

Referenzen

Auftraggeber sollten Referenzen aktiv nutzen und einsehen können. Fragen Sie beispielsweise den externen Datenschutzexperten, den Sie beschäftigen, wen er Ihnen konkret benennen kann, damit Sie Kontakt aufnehmen und nachfragen können, wie kompetent er oder sie denn im tatsächlichen Kundeneinsatz ist. Hier geht es nicht nur um die fachliche, sondern auch um die persönliche Kompetenz des Beraters, denn am Ende des Tages handelt es sich um ein „People Business“.

Branchenexpertise (optional)

Auch die Branchenexpertise kann ein entscheidender Faktor beim externen Beauftragten für den Datenschutz sein, schließlich kennt er ja Ihr Unternehmen noch nicht (da wäre jemand aus dem eigenen Unternehmen ggf. zu Beginn im Vorteil).  Es ist wichtig, dass er zumindest weiß, wie der Hase in Ihrer Branche oder zumindest in Ihrer Unternehmensgröße läuft, auch wenn er sich nicht rundum auskennt. Ansonsten besteht das Risiko, dass er sich zunächst gezwungenermaßen auf eine enge formale Auslegung des Datenschutzes, ohne kreative Seitenblicke in die Gepflogenheiten Ihrer Industrie, beschränkt.

Inhaltliche Ausrichtung

Da wäre zum einen der fachliche Hintergrund des Dienstleisters zu beachten: Kommt er aus der juristischen Richtung, ist er eher technisch orientiert, oder ist er klassischer Consultant mit Managementberatungs-Erfahrung. Je nach Ausrichtung Ihres Unternehmens kann es hilfreich sein, die ein oder andere Fokussierung Ihres Dienstleisters zu nutzen.

Generell sollte der Datenschutzbeauftragte aber nicht „zu weit weg“ von Ihren alltäglichen Themen sein, sonst besteht die Gefahr, dass Sie immer wieder die Zusammenhänge Ihrer Prozesse erläutern müssen, um eine pragmatische Beratung zu erhalten.

Größe des Dienstleisters

Des Weiteren kann es von Bedeutung sein, ob es sich bei Ihrem engagierten Berater um eine Ein-Mann-Armee handelt oder um einen Mitarbeiter eines Datenschutzunternehmens mit mehreren qualifizierten Mitarbeitern. Bei letzterem ist es meistens üblich, dass Sie zumindest einen Vertreter benannt bekommen, wenn Ihr externer Datenschutzbeauftragter persönlich verhindert ist, etwa wegen Krankheit oder Urlaub. Der Einzelkämpfer hat meist kein Backup.

Weitere wichtige Mehrwerte

Bei der Auswahl sollte auch eine Rolle spielen, ob der externe Datenschutzbeauftragte zusätzliche Mehrwerte einbringen kann, wie etwa ein effektives Datenschutzmanagement-Tool. Es gibt immer noch eine Menge Vertreter im Markt, die mit selbstgestrickten Excel-Listen und Leitz-Ordnern bewaffnet durch die Lande ziehen. Die Innovativität bleibt da manchmal auf der Strecke. Wir etwa nutzen die Web-basierte Lösung „DSM-Online“, bei der sowohl wir wie auch unsere Klienten stets den Überblick haben, wo wir mit dem Datenschutzmanagement stehen, wo noch offene Punkte sind usw.  Alles rundum in einem Tool und nicht verteilt über diverse Systeme, sodass auch eine Datenschutz-Folgenabschätzung oder Einhaltung des BDSG kein Problem darstellt.

Zu den Kosten kann man natürlich keine allgemeingültige Aussage treffen, denn bei einer solchen externen Dienstleistung handelt es sich um einen Service im freien Markt. Angebot und Nachfrage bestimmen den Preis.

Wir empfehlen eine kleine Rechnung:
Wenn Sie das monatliche Regel-Honorar des externen Datenschutzexperten kennen und es durch einen angemessenen Stundensatz für externe Beratung teilen (Sie können den Berater durchaus danach fragen), kommen Sie auf ein Zeitkontingent, dass der externe Datenschutzbeauftragte für Sie „reserviert“ hat. Reicht Ihnen diese Zeit? Diese Kalkulation hilft, um einzuschätzen, welchen Kostenaufwand Sie bei einer angemessenen Betreuung haben werden.

Beachten Sie bei der Kostenfrage auch die richtige Vergleichsbasis:
Für einen Berater aus dem eigenen Unternehmen fallen nicht nur die anteiligen Lohn- und Lohnnebenkosten, sondern auch Gebühren für Fortbildungen, Arbeitsmittel usw. Vergleichen Sie Äpfel mit Äpfeln, nicht mit Birnen.

Weitere Anhaltspunkte zur Berechnung:
Es gibt durchaus gewisse Benchmarks, nach denen Sie sich je nach Unternehmensgröße richten können: „Billig-Angebote“ etwa für 99 EUR oder 149 EUR pro Monat „all-in mit Software“ sollten Sie sehr genau prüfen. Denn mit mehr als ein paar Standard-Vorlagen und einem einfachen Dokumentenablage-System dürfen Sie dann nicht rechnen. Wenn Sie die o.g. Kalkulation ansetzen, können bei geringer Komplexität Ihres Geschäfts bereits ca. 300 - 400 EUR Monatshonorar einen guten und halbwegs realistischen Preis bedeuten, für den Sie auch eine gewisse stabile Beratungsqualität mit langjähriger Erfahrung erwarten können.

Als grobe Orientierung können Sie beispielweise Ihre Mitarbeiter- und Filialanzahl heranziehen: Je höher diese Zahl, desto eher steigt die zu erwartende Betreuungsintensität und damit die Bestellungsgebühr.

Durchgängig sollten Sie zudem noch beachten, dass ein ehrlicher Datenschutzbeauftragter Ihnen im Vorfeld mitteilt, welche Leistungsarten NICHT im Basishonorar enthalten sind, wie etwa die Begleitung bei einer größeren Datenschutzpanne inkl. Meldung, Analyse, Maßnahmenplanung etc.

Wenn sie also ein Angebot mit 150 EUR im Monat für einen externen Datenschutzbeauftragten vorliegen haben, bekommen Sie realistisch gesehen nicht mehr als 1 Stunde seiner Zeit, wenn überhaupt. Und mal ehrlich, was kann man in einer Stunde erledigen? Wir können Ihnen fast garantieren, dass Sie damit nach einem Jahr mit Ihrem Datenschutz nicht viel weiter sind als jetzt.

Besser: Datenschutz ist immer ein Projekt, das erst einmal abgearbeitet werden muss. Wenn die Basis steht und Sie auch wissen auf was Sie achten müssen, können Sie die Unterstützung eines externen Datenschutzexperten besser einschätzen. Wir beraten Sie dazu gerne.

Die DSGVO sagt hier nichts Spezifisches, aber grundsätzlich kann das möglich sein. Dazu müssen Sie dem externen Datenschutzbeauftragten allerdings nachweisen, dass er seine gesetzlichen Pflichten verletzt hat, Sie also unrichtig oder schlecht beraten hat, dass er nicht die nötige Neutralität an den Tag gelegt hat, oder dass er schlicht nichts getan hat und seinen Aufgaben nicht angemessen nachgekommen ist.

Da es bei all den im Gesetz genannten Aufgaben des Datenschutzbeauftragten keine festen Werte oder Benchmarks gibt, wird dies aber nur in relativ offensichtlichen Fällen erfolgversprechend sein.

Zielführender ist da eher eine für beide Seiten passende zeitliche Ausgestaltung des Geschäftsbesorgungsvertrags, den Sie im Rahmen der Benennung des externen Beraters abschließen. Typische Beauftragungszyklen liegen da bei 1-2 Jahren. So stellen Sie zum einen sicher, dass der Externe ausreichend Zeit hat, Ihr Unternehmen kennen zu lernen, zugleich kann ein aus Ihrer Sicht nicht mehr passender Vertrag dann auf absehbare Perspektive wieder gelöst werden. Diesen Vorteil haben Sie bei einem Beauftragten aus den eigenen Reihen nicht, er ist auf Dauer bestellt und eine Abberufung ist nicht ohne weiteres möglich.

Üblicherweise wird aber mit der Zeit eher der Nutzen eines externen Datenschutzbeauftragten deutlich, so dass eine solche Beauftragung meist länger als kürzer andauert. Denn der externe Beauftragte kontrolliert ja nicht nur, er dient auch als organisatorischer Sparringspartner, der Sie dabei unterstützen kann, Ihre Prozesse zu optimieren und Transparenz auch im Unternehmen zu schaffen.

Sollten Sie mit Ihrem Datenschutzbeauftragten nicht zufrieden sein, weil Sie das Gefühl haben, dass Sie nach einem oder zwei Jahren Zusammenarbeit mit Ihrem Datenschutz noch nicht weiter gekommen sind, sollten Sie über einen Wechsel des Dienstleisters nachdenken. Der Markt konsolidiert sich gerade und die Spreu trennt sich vom Weizen. Gerade die günstigen Beauftragungen ohne genaue Leistungsbeschreibungen und echte Maßnahmenpakete werden stärker hinterfragt. Viele Kunden bekommen nicht mehr als den Namen des Datenschutzbeauftragten, den Sie verwenden können und bestenfalls ein paar Vorlagen, die Sie selbst abarbeiten können.

Empfehlenswert dagegen sind konkrete Pläne zum Start der Zusammenarbeit. Ein gegenseitiges Kennenlernen ist oft von Vorteil, bevor man sich bindet. Im Rahmen unseres Beratertages werden bei uns beispielsweise Teile des Datenschutzes abgearbeitet und konkrete Maßnahmenpakete gemeinsam festgelegt. (Mehr erfahren >>>)