Datenschutz, Informationssicherheit, Qualitätsmanagement
Dr. Andrea Zocholl

Bestellung als externer Datenschutzbeauftragter

Wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Nach der EU-DSGVO (und auch bereits vor dem 25. Mai 2018) ist die Bestellung eines Datenschutzbeauftragten Pflicht, wenn mindestens zehn Mitarbeiter (Angestellte, freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Teilzeitkräfte) ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt sind. Doch auch kleine Unternehmen mit weniger als 10 Mitarbeitern sind häufig zur Bestellung eines Datenschutzbeauftragten verpflichtet. So muss jedes Unternehmen, dessen Kerntätigkeit darin besteht, besondere Kategorien von Daten zu verarbeiten, einen Datenschutzbeauftragten bestellen. Zusätzlich können Art, Umfang und/oder Zwecke der Verarbeitung dazu führen, dass die Bestellung notwendig wird. Werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet, dann muss ein Datenschutzbeauftragter, extern oder betrieblich, benannt werden, auch wenn weniger als 10 Personen mit der Verarbeitung beschäftigt sind.

Bestellung Datenschutzbeauftragter notwendig?

Ob eine Bestellung notwendig ist, muss im Einzelfall geklärt werden. Auch Unternehmen, die nicht verpflichtet sind, einen Datenschutzbeauftragten zu benennen, können dies jedoch freiwillig tun. Die freiwillige Benennung des DSB schafft zusätzlich Vertrauen bei den Kunden und entlastet nebenbei die Geschäftsführung. Ist ein betrieblicher Datenschutzbeauftragter nicht verfügbar, dann ist ein externer Datenschutzbeauftragter oft eine gute Lösung. Dieser bringt bereits Fachwissen, Erfahrung und Kompetenzen für die Tätigkeit mit, Weiterbildungskosten werden so gespart, die Freistellung eines produktiven Mitarbeiters ist nicht nötig. Auch ist eine bessere Absicherung bezüglich der Haftung gegeben. Ein externer Datenschutzbeauftragter ist unabhängig, da er nicht in bestimmte Unternehmensbereiche involviert ist und so Interessenskonflikte nicht entstehen können. Er ist im Gegensatz zum betrieblichen Datenschutzbeauftragten durch einen Vertrag gebunden, der unter Beachtung der vereinbarten Kündigungsfristen aufgelöst werden kann.

Unterschiede zwischen der Bestellung eines betrieblichen und externen Datenschutzbeauftragten

Datenschutzbeauftragter betrieblich

Datenschutzbeauftragter extern

Kosten für Weiterbildung und regelmäßige Fortbildungen trägt das Unternehmen

Fortbildungskosten trägt der Datenschutzbeauftragte selbst

Mitarbeiter kann nur aus "wichtigem Grund" abberufen werden und genießt umfassenden Kündigungsschutz

Bestellung widerrufbar, vertragliche Kündigung mit Einhaltung der Kündigungsfristen jederzeit möglich

Kennt sich mit Abläufen im Unternehmen besser aus, jedoch Interessenskonflikt möglich

Kennt das Unternehmen weniger gut, kein Interessenskonflikt

Umfang der Tätigkeit bei weiteren Aufgaben des Datenschutzbeauftragten oft unklar, Datenschutztätigkeit und andere Aufgaben stehen in Konkurrenz

Umfang und Kosten der Tätigkeit vertraglich genau festgelegt

Kein Versicherungsschutz, Verantwortlichkeit im Unternehmen

Umfangreicher Versicherungsschutz gegenüber Unternehmen

"Umfangreiche Verarbeitung" von personenbezogenen Daten

Die Kerntätigkeit einer "umfangreichen Verarbeitung" von personenbezogenen Daten wird angenommen bei Unternehmen wie

  • Banken
  • Versicherungen
  • Marktforschungsinstitute
  • Social-Media-Unternehmen etc.

Bei der Verarbeitung z. B. von Patienten- oder Mandantendaten durch einen einzelnen Arzt oder Rechtsanwalt ist eine Bestellungspflicht in der Regel nicht gegeben. Oft reicht die Inanspruchnahme einer Datenschutzberatung aus, um bei der Erfüllung gesetzlicher Pflichten auf der sicheren Seite zu sein.

Aufgaben Datenschutzbeauftragter

Die Aufgaben des Datenschutzbeauftragten umfassen

  • Beratung des Verantwortlichen und seiner Beschäftigten hinsichtlich ihrer Pflichten nach der DSGVO;
  • die Überwachung der Einhaltung der Vorschriften laut DSGVO;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde;
  • ggfs. Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung.

Bestellung oder Beratung?

Sie benötigen einen externen Datenschutzbeauftragten oder möchten sich über Beratungsmöglichkeiten informieren? Sprechen Sie uns an.