Externer Datenschutzbeauftragter

Rechtliche Grundlagen für die Benennungspflicht sind Art. 37 DSGVO sowie § 38 BDSG. Die Pflicht zur Benennung des Datenschutzbeauftragten (DSB) besteht demnach, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen befasst sind. Unternehmen, die diesen Schwellenwert erreichen sind somit verpflichtet, wenn personenbezogene Daten nicht nur "gelegentlich" verarbeitet werden.

Unabhängig vom Schwellenwert ist nach der DSGVO ein Datenschutzbeauftragter zu benennen, wenn eine umfassende, regelmäßige und systematische Überwachung Betroffener stattfindet oder wenn eine umfassende Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt (Art. 9 DSGVO). Gleiches gilt nach der Vorschrift für Daten der Strafverfolgung. Konkretisiert geht das BDSG für die Benennungspflicht vom Erfordernis der sog. "Datenschutz-Folgeabschätzung" aus (Art. 35 DSGVO).

Weiterhin legt die ergänzende Vorschrift das BDSG fest, dass Markt- und Meinungsforschungsinstitute sowie Unternehmen, die Daten zum Zweck der Übermittlung verarbeiten, stets eine(n) Datenschutzbeauftragte(n) zu benennen haben. Unabhängig einer direkten, gesetzlichen Verpflichtung kann zudem eine freiwillige Bestellung erfolgen. Dies kann unter Umständen sinnvoll sein, wenn Rechtsunsicherheiten über die Benennungspflicht oder spezielle Compliance-Anforderungen bestehen, die etwa seitens Kunden und Geschäftspartnern auferlegt werden. Auch vertragliche Verpflichtungen kommen in Betracht, wie z. B. im Rahmen von Cyber-Versicherungen.

Zu beachten ist, dass auch abseits der offensichtlichen Benennungspflicht eine Verpflichtung im Einzelfall bestehen kann, wie etwa bei einer sehr hohen Datenmasse von Online-Shops oder Anbietern von Tracking- und Analyse-Technologien. Die Benennungspflicht gilt unabhängig davon, ob die Benennung als externer Datenschutzbeauftragter oder interner Datenschutzbeauftragter erfolgt.

Die Mindestaufgaben des Datenschutzbeauftragten sind gesetzlich in Art. 39 DSGVO festgelegt. Nach der Vorschrift obliegen Datenschutzbeauftragten zumindest die folgenden Aufgaben:

1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

2. Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

4. Zusammenarbeit mit der Aufsichtsbehörde;

5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

In einfachen Worten: Datenschutzbeauftragte beraten 360-Grad zur Einhaltung von Datenschutzvorschriften, wirken auf die Einhaltung des Datenschutzes hin und stehen Unternehmen, Betroffenen und Behörden als Ansprechpartner zur Seite. Im Mittelpunkt der Tätigkeit steht hierbei der sog. "risikobasierte Ansatz", bei dem Risiken für die Rechte und Freiheiten Betroffener "aus Sicht der Betroffenen" zu evaluieren sind (vgl. ErwG 75 DSGVO).

In der Praxis können nach dem Wortlaut des Art. 39 DSGVO auch zusätzliche Aufgaben übernommen und beauftragt werden, um Verantwortliche von bestimmten Aufgaben zu entlasten oder fehlende Expertise im Unternehmen zu kompensieren.

Die gesetzlichen Vorschriften zur Stellung des Datenschutzbeauftragten im Unternehmen sind in Art. 38 DSGVO zu finden. DSB sind vom bestellenden Unternehmen ordnungsgemäß und frühzeitig bei allen Fragen des Datenschutzes einzubeziehen sowie vom Unternehmen und allen Beschäftigten in der Ausübung ihrer Tätigkeit zu unterstützen. Insbesondere sind die zur Aufgabenerfüllung erforderlichen Ressourcen sowie der Zugang zu Verarbeitungen und Informationen vom Unternehmen zu gewähren. Hierzu zählen etwa auch finanziellen und zeitliche Ressourcen zu Fortbildungszwecken im Datenschutz, die wir als Externe selbst tragen.

In Ihrer Stellung im Unternehmen sind Datenschutzbeauftragte der höchsten Leitungsebene unterstellt, berichten an diese und sind in der Ausübung ihrer Tätigkeit und Fachkunde weisungsfrei. Datenschutzbeauftragte haben jedoch keine Weisungsbefugnis und sind somit nicht berechtigt, Beschäftigten des Unternehmens Weisungen zu erteilen. Sie sprechen i. d. R. Empfehlungen aus.

Der Datenschutzbeauftragte ist darüber hinaus Vertrauensperson für alle von der Verarbeitung personenbezogener Daten Betroffenen und unterliegt der Geheimhaltungspflicht. Diese kann grundsätzlich nur mit schriftlicher Entbindung von der Verschwiegenheit aufgehoben werden. Datenschutzbeauftragte dürfen zudem in ihrer fachlichen Unabhängigkeit und Kontrollfunktion keine Interessenkonflikte aufweisen, beispielsweise dürfen sie nicht gleichzeitig die Position der Geschäftsführung, der IT-Leitung oder der Personalleitung besetzen.

Die Benennung des Datenschutzbeauftragten kann grundsätzlich formlos mit Vertragsschluss erfolgen, da ein Schriftformerfordernis seit der Datenschutzreform im Jahr 2018, mithin das Erfordernis einer schriftlichen Bestellungsurkunde, (§ 4f BDSG a. F.) seitdem nicht mehr besteht.

Die Benennung sollte aus Gründen der Nachweis- und Rechenschaftspflichten jedoch zumindest in Textform festgehalten werden und die wesentlichen Rechtsgrundlagen der Tätigkeit und Benennung enthalten (z. B. per E-Mail). Eine Benennungsurkunde bietet sich somit nach wie vor an, um die verpflichtende Benennung gegenüber Behörden, Kunden und Geschäftspartnern nachweisen zu können und für mehr Rechtssicherheit zu sorgen. Wir fügen jedem Vertrag bzw. jeder Benennung als externer Datenschutzbeauftragter eine schriftliche Benennungsurkunde bei.

Die Benennung ist anschließend vom Verantwortlichen Unternehmen der im jeweiligen Bundesland zuständigen Datenschutz-Aufsichtsbehörde verpflichtend zu melden. Von behördlicher Seite werden für die Meldung i. d. R. Online-Formulare auf der Webseite bereitgestellt. Die Kontaktangaben des Datenschutzbeauftragten sind anschließend den Beschäftigten sowie im Außenauftritt in dafür geeigneter Weise bekanntzugeben, gem. Art. 13 und 14 DSGVO (Informationspflichten).

Mit unserem Leistungsportfolio genießen Sie viele Vorteile, vermindern Ihr unternehmerisches Risiko und haben bei voller Expertise und Unabhängigkeit i. d. R. geringere Fixkosten. Interne Datenschutzbeauftragte müssen für die Übernahme der Tätigkeit als Datenschutzbeauftragte erst ausgebildet, regelmäßig fortgebildet und eingearbeitet werden. Sie werden meist für die Ausübung der Tätigkeit von anderen Verpflichtungen freigestellt.

Neben den oft fachlich schwierigen Herausforderungen kommen häufig personelle/betriebliche Interessenkonflikte sowie rechtliche Erwägungen zum Tragen, wie z. B. der gesonderte Kündigungsschutz eines internen Datenschutzbeauftragten bei der verpflichtenden Benennung (§ 6 Abs. 4 BDSG, die Regelung gilt somit für nicht-öffentliche Stellen analog). Eine Kündigung / Abberufung der Tätigkeit ist danach grundsätzlich nur aus wichtigem Grund möglich (§ 626 BGB). Entsprechend unterliegen intern Beschäftigte einem grundlegenden Kündigungs- und Abberufungsverbot, was sich bei einem externen Dienstleister nach den vertraglichen Kündigungsmodalitäten richtet.

Datenschutzbeauftragte dürfen wegen der Ausübung ihrer Tätigkeit zudem nicht benachteiligt werden und unterliegen einem umfassenden Benachteiligungsverbot, Art. 38 Abs. 3 DSGVO, was insbesondere für die Stellung als Beschäftigter im Unternehmen relevant ist. Nicht zuletzt kann die Haftung bei Pflichtverstößen des Externen sich im Falle des Falles als positiv für das beauftragende Unternehmen erweisen. Für intern Beschäftigte gelten hingegen die Grundsätze der sog. "Arbeitnehmerhaftung", die in der Praxis meist problematischer durchzusetzen ist.

Die Benennung des Externen ist somit in rechtlicher, organisatorischer und wirtschaftlicher Hinsicht meist effizienter. Ungeachtet dessen ist auch die fachliche Unterstützung des intern benannten Datenschutzbeauftragten durch uns als Externer möglich.

Die Kosten des externern Datenschutzbeauftragten setzen sich zunächst aus der monatlichen Basis-Pauschale inklusive eines Mindestvolumens an Tätigkeits- und Beratungsaufwand für den Datenschutz im Unternehmen zusammen.

Die Basis-Pauschale ist hierbei durch mehrere Faktoren bedingt. Dazu zählen insbesondere die Unternehmensgröße, Branche sowie das vorhandene Unternehmensrisiko im Datenschutz. Mit der Basis-Pauschale gelten - soweit nicht anders vereinbart - die folgenden Leistungen bereits als abgegolten:

- Benennung zum externen Datenschutzbeauftragten

- Vereinbarter Mindestaufwand (in Stunden)

- Gemeinkosten (z. B. Versicherung, Fortbildung, Personal, Büro etc.)

- Bis zu 4 monatliche Webseiten-Scans

- Datenschutz-Managementsystem/Vorlagen

Darüber hinaus bemessen sich die Kosten nach dem zusätzlich angefallenen Aufwand sowie dem vereinbarten Stundensatz. Dieser zusätzliche Aufwand kann entstehen für eine Bestandsaufnahme, für die jährlichen oder anlassbezogenen Folge-Audits (vor Ort oder Remote) sowie die Tätigkeit über den pauschalen Mindestaufwand hinaus. 

Den zusätzlich anfallenden Beratungsaufwand berechnen wir erst ab der 1. vollen Stunde und darüber hinaus je begonnene 15min. Sie finden auf dieser Seite eine Übersicht mit aktuellen Preis-Beispielen.