Datenschutzbeauftragter gesucht?

Sie sind gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen? Oder haben sich entschieden, die Umsetzung der Vorgaben des Datenschutzes aus DSGVO und BDSG auch ohne gesetzliche Verpflichtung in die Hand eines Datenschutzbeauftragten zu geben? Dann beantworten wir Ihnen hier gern die damit verbundenen Fragen:

I. Welche Aufgaben muss ein Datenschutzbeauftragter erfüllen?

  • Die Pflichten und Aufgaben eines betrieblichen Datenschutzbeauftragten sind in Art. 39 DSGVO näher bestimmt und umfassen
  • Die Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten
  • Die Beurteilung von Aufbau, Funktionsweise und Anforderungen der im unternehmensinternen Ablauf eingesetzten Datenverarbeitungssysteme und -verfahren
  • Die Überwachung der Einhaltung der DSGVO und nationalen Sonderregelungen
  • Die Sensibilisierung und Schulung datenschutzrelevanter Themen
  • Die Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung
  • Die Zusammenarbeit mit den Aufsichtsbehörden

II. Welche Eigenschaften muss ein Datenschutzbeauftragter mitbringen?

Fachkunde

Der Datenschutzbeauftragte muss über die notwendige Fachkunde verfügen, um die  ihm übertragenen Aufgaben erfüllen zu können.

Die Anforderungen an die Fachkunde hängen vom jeweiligen Unternehmen ab. Der Datenschutzbeauftragte muss daher stets entsprechend des Umfangs der Datenverarbeitung der verantwortlichen Stelle und des Schutzbedarfs der personenbezogenen Daten geschult und qualifiziert sein.

Dies betrifft im besonderen Maße juristische und organisatorische Kenntnisse, insbesondere in der DSGVO sowie den nationalen Datenschutzvorschriften. Daneben muss der Datenschutzbeauftragte auch über Grundlagen in den Bereichen EDV / IT verfügen.

Unabhängigkeit

Zudem muss stets die Unabhängigkeit des Datenschutzbeauftragten gewährleistet sein. Dieser soll ja bei der Erfüllung seiner Aufgaben von der Geschäftsleitung unabhängig agieren können. Es ist daher insbesondere auf die Vermeidung einer Interessenkollision zu achten. Die Tätigkeit als Datenschutzbeauftragter darf daher nicht im Konflikt mit dem sonstigen Aufgabenbereich im Unternehmen führen.

Ausgeschlossen für die Position als interner Datenschutzbeauftragter sind deshalb regelmäßig Inhaber, Geschäftsführer, Prokurist, Personalleiter, Leiter der IT-Abteilung, sämtliche  Administratoren, Mitarbeiter der EDV-Abteilung, Vertriebsleiter des Unternehmens. Aber auch bei der Ehefrau oder den Kindern des Inhabers wird es regelmäßig an der notwendigen Unabhängigkeit mangeln.

Da schon bei der Bestellung des Datenschutzbeauftragten Beanstandungen der Aufsichtsbhörde und auch Bußgelder drohen, ist hier besondere Vorsicht geboten.

III. Ist für mein Unternehmen ein interner oder ein externer Datenschutzbeauftragter besser geeignet?

Es ist nicht pauschal zu beantworten, ob ein interner oder ein externer Datenschutzbeauftragter für Ihr Unternehmen die richtige Wahl ist. Beide Varianten haben jeweils ihre Vor- und Nachteile, die im Folgenden vorgestellt werden:

Interner Datenschutzbeauftragter Externer Datenschutzbeauftragter
Vorteile

  • Kenntnis der betriebsinternen Prozesse
    Der Vorteil eines internen Datenschutz-beauftragen liegt in der direkten Einbindung in die Unternehmensprozesse. Der Verantwortliche Mitarbeiter ist meistens bereits mit den zahlreichen, datenschutzrechtlich relevanten Prozessen vertraut.

Nachteile

  • Freistellung von sonstiger Arbeit
    Ein interner Datenschutzbeauftragter muss bei der Übernahme dieser Funktion erfahrungsgemäß mindestens teilweise von seiner bisherigen Aufgaben freigestellt werden, um die umfangreichen Tätigkeiten im Datenschutz pflichtbewusst ausführen zu können.
  • Notwendige Ressourcen
    Für die Tätigkeit als interner Datenschutzbeauftragter ist in der Regel mit einer 0,25 bis 1,0 Vollzeitstelle zu planen. Gerade im Hinblick auf die bevorstehende Umsetzung der Datenschutzgrundverordnung ist der Arbeitsaufwand im Jahr 2018 noch höher. Für ein Mindestmaß an Schulungen und Fortbildungen sind erfahrungsgemäß zwei Tage pro Jahr zu ca. 1500€ Seminarkosten einzuplanen. Weiterhin fallen regelmäßige Kosten für die Bereitstellung von Fachzeitschriften und -literatur an.
  • Durchsetzungsfähigkeit / Unabhängigkeit von GF
    Aufgrund der Weisungsabhängigkeit jedes Mitarbeiters vom Geschäftsführer oder Inhaber ist es in der Regel schwierig die völlige Unabhängigkeit des internen Datenschutzbeauftragten zu gewährleisten.
  • Sonderkündigungsschutz
    Interne, verpflichtend bestellte Datenschutzbeauftragte genießen einen besonderen Kündigungsschutz. Sie können während der Dauer ihrer Benennung und auch für die Dauer von einem Jahr danach aus wichtigem Grund gekündigt werden. Zudem kann die Benennung selbst auch nur aus wichtigem Grund zurückgenommen werden.
 Vorteile

  • Regelmäßige Fortbildung und Zertifikate
    Ein externer Datenschutzbeauftragter hat selbst für dessen regelmäßige Fort- und Weiterbildung zu sorgen, die dieser auch stets nachzuweisen hat. Externe Datenschutzbeauftragte sind in der Regel nach einheitlichen Standards ausgebildet und zertifiziert und gewährleisten damit ein durchweg hohes Beratungsniveau.
  • Interdisziplinäre und branchenübergreifende Erfahrungen
    Ein externer Datenschutzbeauftragter betreut in der Regel mehrere Unternehmen aus verschiedenen Branchen. Dadurch gewinnt er Einblicke in unterschiedlichste Prozesse und ist mit einer Vielzahl von datenschutzrechtlichen Problemen sowie deren Lösung vertraut.
  • Unabhängigkeit
    Ein externer Datenschutzbeauftragter ist regelmäßig unabhängig, da er nicht in den sonstigen betrieblichen Ablauf integriert ist und sich fokussiert dem Thema Datenschutz widmen kann.
  • Versicherungsschutz
    Für den Fall, dass es zu einem verschuldeten Fehler durch den Datenschutzbeauftragten kommen sollte, ist ein externer Datenschutzbeauftragter mit einer umfangreichen Versicherungspolice abgesichert.

Nachteile

  • Betriebsfremd
    Der externe Datenschutzbeauftragte ist zu Beginn seiner Tätigkeit nicht im Bilde über die aktuellen Strukturen und Prozesse im Unternehmen. Eine umfassende und tiefgründige Erstaufnahme ist daher unerlässlich.

Unabhängig davon müssen sowohl interne wie auch externe Datenschutzbeauftragte, die nicht als Rechtsanwalt oder Rechtsanwältin zugelassen sind, stets im Blick haben, dass sich ihre Tätigkeit auf der Grenze zur unerlaubten Rechtsberatung bewegt.

Zusammenfassung

Sie haben Sich nach Abwägung aller Vor- und Nachteile dafür entschieden, einen Ihrer Mitarbeiter als internen Datenschutzbeauftragten zu bestellen? Zur Vorbereitung der notwendigen Meldung an die zuständigen Aufsichtsbehörden haben wir hier das Muster einer Benennungsurkunde für Sie vorbereitet.
Sie sind zu dem Entschluss gekommen, dass ein externer Datenschutzbeauftragter die bessere Wahl für Ihr Unternehmen ist? Gerne bietet wir Ihnen diesen Service an. Wir können Ihnen neben den genannten Vorteilen noch weitere Mehrwerte anbieten und für eine individuelle und datenschutzkonforme Betreuung sorgen:

Softwarelösung mit web-Zugriff

Wir nutzen für das umfangreiche und vielschichtige Datenschutzmanagement ihres Unternehmens OTRIS PRIVACY – die Softwarelösung für strategischen Datenschutz.
Die Einhaltung von Standards wird systematisch kontrolliert, analysiert und durch die gezielte Umsetzung von Maßnahmen optimiert. Sicherheitslücken werden erkannt und bewertet, Datenschutzprozesse kontrolliert und dokumentiert.
Sie erhalten einen eigenen Web-Zugriff und können sämtliche Funktionen der Software wahlweise über eine lokale Installation oder über die Weboberfläche im Browser nutzen.

Qualifizierte(r) Rechtsanwalt/-anwältin

Unsere externen Datenschutzbeauftragten sind qualifizierte und langjährig erfahrene Rechtsanwälte. Wir können daher sämtliche Aufgaben des Datenschutzbeauftragten ohne Verstoß gegen das Rechtsberatungsgesetz erfüllen.

4-Augen Prinzip

Wir können Ihnen eine datenschutzrechtliche Betreuung jederzeit garantieren. In Abstimmung mit unseren Mandanten stehen regelmäßig zwei Personen als Ansprechpartner zur Verfügung, um eine qualitativ hochwertige Aufgabenerfüllung ebenso sicherzustellen wie die Vertretung, beispielsweise im Urlaub. Nur so können beispielsweise die Meldepflichten nach der DSGVO erfüllt werden.

Wenn wir ihr Interesse geweckt haben, vereinbaren Sie doch einen individuellen Beratungstermin.

Beratung