Der Datenschutzbeauftragte – intern oder extern?

Datenschutz

Welche Aufgaben haben interne oder externe Datenschutzbeauftragte? Welche Besonderheiten im Kündigungsschutz müssen beachtet werden und wer haftet bei Verstößen? Diese und weitere interessante Fragen werden im folgenden Artikel eingehend beantwortet.

Unternehmen, die mit personenbezogenen Daten arbeiten und eine bestimmte Größe überschreiten, müssen einen Datenbeauftragten bestellen. (Bild: geralt-pixabay)

Datenschutzbeauftragte (DSB) haben die Aufgabe dafür zu sorgen, dass Unternehmen oder Behörden die datenschutzrechtlichen Bestimmungen in Bezug auf den Umgang mit personenbezogenen Daten einhalten. Wenn öffentliche und nicht öffentliche Stellen mit sensiblen Daten zu tun haben, diese speichern und verarbeiten, sind sie verpflichtet einen Datenschutzbeauftragten zu bestellen. Als unabhängiges Kontrollorgan prüft er Arbeitsabläufe, damit der Datenschutz gewährleistet ist. Verstöße gegen Regelungen des Bundesdatenschutzgesetzes (BDSG) oder der Datenschutz-Grundverordnung (DSGVO) müssen evaluiert werden. Gegebenenfalls sind Maßnahmen zu ergreifen, um für die Zukunft solche Verstöße zu verhindern.

Welche Aufgaben haben Datenschutzbeauftragte nach BDSG und DSGVO?

Der DSB hat eine wichtige Funktion im Unternehmen und ist über Veränderungen in Arbeitsabläufen umgehend zu informieren. (Bild: silvion-pixabay) 


Datenschutzbeauftragte kontrollieren und überwachen Abläufe, um sicherzustellen, dass die entsprechenden gesetzlichen Bestimmungen eingehalten werden. Tauchen Unregelmäßigkeiten auf, ist dies unverzüglich der Geschäftsleitung anzuzeigen. Um stets up-to-date zu sein, muss der Datenschutzbeauftragte nach DSGVO sich regelmäßig weiterbilden. Eine weitere Aufgabe ist es, eine Datenschutzorganisation aufzubauen. Damit informieren Unternehmen oder Behörden intern das Personal über Bekanntmachungen, Datenschutzrichtlinien und Ähnliches. Zudem sind sie Ansprechpartner, wenn jemand Fragen oder Bedenken zum Datenschutz hat

Jeder im Unternehmen ist dazu verpflichtet, dem Datenschutzbeauftragten frühzeitig Veränderungen oder neue Arbeitsabläufe anzuzeigen. So kann er schon in der Planungsphase in Bezug auf datenschutzrechtliche Aspekte analysieren und bewerten. Werden personenbezogene Daten erhoben, hat er das Recht zur Vorabkontrolle. Das gilt insbesondere für den Umgang mit Daten zu Ordnungswidrigkeiten oder Straftaten.

Wann ist ein Datenschutzbeauftragter notwendig?

Für Behörden gilt: Öffentliche Stellen müssen immer einen DSB stellen. Für Unternehmen gilt dies nicht regelmäßig. Entscheidend dabei ist, ob im Unternehmen automatisiert Daten verarbeitet werden. Ist dies der Fall, muss das Unternehmen ab zehn Personen einen Datenschutzbeauftragten stellen. Wenn die Datenverarbeitung nicht automatisiert ist, sondern nur allgemeine Datenerhebungs- und -verarbeitungsaufgaben zu erfüllen sind, ist ein Datenschutzbeauftragter ab 20 Personen notwendig.

Dabei kann ein Datenschutzbeauftragter auch extern tätig sein. Diese Externen sind dann allerdings meistens nicht nur für ein Unternehmen zuständig. Rechtliche Grundlage für einen externen Mitarbeiter ist Art. 38 Abs. 6 DSGVO. Der Abschluss eines Dienstleistungsvertrags ist für diese Tätigkeit zulässig.

Besonderer Kündigungsschutz für unternehmensinterne Datenschutzbeauftragte

Ein interner Datenschutzbeauftragter hat den Vorteil, dass er immer zu Stelle ist. Er ist dazu verpflichtet, die Mitarbeiter regelmäßig zu schulen, beispielsweise über das Datengeheimnis. Aufgrund seiner besonderen Stellung unterliegt er der Verschwiegenheitspflicht und er hat Zeugnisverweigerungsrecht. Außerdem profitiert er von einem besonderen Kündigungsschutz. Das liegt daran, dass er im Unternehmen eine Sonderstellung einnimmt. Er ist immer direkt der Geschäftsleitung unterstellt, arbeitet jedoch weitgehend unabhängig von dieser.

Wer haftet bei Verstößen?

Die Unternehmensführung trifft datenschutzrechtliche Entscheidungen, weshalb sie auch in der Regel für Datenschutzverstöße haftet. Der DSB ist nicht durch die BDSG-Bußgeldbestimmungen erfasst. Im Einzelfall, wenn er grob fahrlässig oder vorsätzlich handelt, kann dies seine Haftung dennoch begründen. Dabei ist es so, dass Unternehmen und Behörden externe Dienstleister eher in die Haftung nehmen als interne Beauftragte.

Externe Datenschutzbeauftragte - die Lösung für KMU

Grundlage für die Bestellung eines Datenschutzbeauftragten ist die Europäische Datenschutz-Grundverordnung. (Bild: BenediktGeyer-pixabay)

Voraussetzungen für einen externen DSB

Um die Aufgabe des externen DSB ordnungsgemäß erfüllen zu können, muss er bestimmte Voraussetzungen erfüllen. Er muss nicht nur in der Lage sein, die rechtlichen und technischen Bestimmungen zum Datenschutz einzuhalten und anzuwenden. Er braucht auch konkrete Kenntnisse zur Datenverarbeitung im jeweiligen Unternehmen, zu den Arten und Verfahren.

Seine Verpflichtung, den Datenschutz und seine Einhaltung zu gewährleisten, darf nicht von wirtschaftlichen Interessen überlagert sein. Wenn der Datenschutzbeauftragte im Unternehmen noch weitere Aufgaben wahrnimmt, könnte dadurch ein Interessenkonflikt entstehen. Das lässt sich allerdings gerade in kleineren Unternehmen häufig nicht vermeiden. Das gilt insbesondere für interne DSB. Ein externer DSB sieht sich mit dieser Gefahr nur sehr selten konfrontiert. Denn er bietet diese Funktion als Dienstleistung an, ist ansonsten jedoch nicht in die unternehmerischen Tätigkeiten einbezogen. Der externe DSB arbeitet nicht nur formal, sondern tatsächlich unabhängig.

Der Vertrag mit einem externen DSB

Einen externen Datenschutzbeauftragten müssen die Unternehmen bestellen oder benennen. Das erfolgt in der Regel schriftlich. Dabei sind auch die Aufgaben schriftlich festgehalten. Da ein externer DSB kein Unternehmenszugehöriger ist, müssen Unternehmen und DSB einen Dienstleistungsvertrag abschließen. Darin sind alle Bedingungen festgehalten, die die Leistung des Dienstleisters betreffen. In diesem Vertrag sind neben den Leistungen auch die Preise vereinbart.

Den externen Datenschutzbeauftragten abberufen

Ein interner DSB genießt besonderen Kündigungsschutz. Das gilt nicht für einen externen DSB, denn er ist nicht beim Unternehmen angestellt. Auf der Grundlage von § 627 Bürgerliches Gesetzbuch darf ein externer DSB jederzeit von seinen vertraglich vereinbarten Aufgaben entbunden werden - aufgrund der Vertrauensstellung. Das kann im Einzelfall dazu führen, dass der DSB nicht mehr unabhängig ist. Deshalb sind hier Vertragslaufzeiten von wenigstens zwei Jahren empfohlen.

Was kostet ein externer DSB?

Bei der Entscheidung für oder gegen einen externen DSB spielen die Kosten eine wesentliche Rolle. Die Abrechnung kann in Form einer Pauschale oder auf der Grundlage eines Stundensatzes vereinbart sein. Deshalb lässt sich die Frage nach den Kosten nur individuell beantworten. Die Kosten hängen von Unternehmensgröße, Art und Umfang der Datenverarbeitung und auch von den vertraglich vereinbarten Leistungen ab. Außerdem unterscheiden sich die Preise von Anbieter zu Anbieter.

Veröffentlicht am: 25.03.2020

 

Kommentare (0)

Keine Kommentare gefunden!

Neuen Kommentar schreiben

Kommentare geben ausschließlich die Meinung ihrer Verfasser wieder. Die Redaktion behält sich vor, Kommentare nicht oder gekürzt zu veröffentlichen. Das gilt besonders für themenfremde, unsachliche oder herabwürdigende Kommentare sowie für versteckte Eigenwerbung.

Über CONSULTING.de

consulting.de ist das zentrale Informationsportal für Unternehmensberatungen. Unser breites Informationsangebot rund um Consulting richtet sich sowohl an Management- und Strategieberatungen, Personalberatungen, Controlling- und Finanzberatungen, Wirtschaftsprüfungen, Marketing- und Kommunikationsberatung und IT-Beratungen als auch deren Kunden aus Industrie, Handel sowie Dienstleistung.

facebook twitter xing linkedin linkedin