Externer Datenschutzbeauftragter

Gemäß der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) ist ein Unternehmen in folgenden Fällen verpflichtet, einen Datenschutzbeauftragten zu bestellen:

1. Wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
2. Wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
3. Wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO (z.B. Gesundheitsdaten, biometrische Daten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO besteht.
4. Wenn das Unternehmen verpflichtet ist, eine Datenschutz-Folgenabschätzung durchzuführen.
5. Wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.Es ist wichtig zu beachten, dass diese Kriterien unabhängig voneinander sind. Sobald eines dieser Kriterien erfüllt ist, besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten. Auch wenn keine gesetzliche Pflicht besteht, kann es für Unternehmen sinnvoll sein, freiwillig einen Datenschutzbeauftragten zu bestellen, um die Einhaltung der DSGVO sicherzustellen und sich haftungsrechtlich zu entlasten.

Es ist wichtig zu beachten, dass diese Kriterien unabhängig voneinander sind. Sobald eines dieser Kriterien erfüllt ist, besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten. Auch wenn keine gesetzliche Pflicht besteht, kann es für Unternehmen sinnvoll sein, freiwillig einen Datenschutzbeauftragten zu bestellen, um die Einhaltung der DSGVO sicherzustellen und sich haftungsrechtlich zu entlasten.

Bei Nichtbestellung eines Datenschutzbeauftragten, obwohl eine gesetzliche Pflicht dazu besteht, drohen einem Unternehmen folgende Sanktionen:

1. Bußgelder:  Gemäß der DSGVO können Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes verhängt werden. In der Praxis wurden bereits Bußgelder zwischen 10.000 und 64.000 Euro für die Nichtbestellung eines Datenschutzbeauftragten verhängt.
2. Ordnungswidrigkeit: Die Nichtbestellung stellt eine Ordnungswidrigkeit dar, die mit einem Bußgeld geahndet werden kann.
3. Wirtschaftliche Nachteile: Das Bußgeld soll den wirtschaftlichen Vorteil übersteigen, den das Unternehmen durch die Nichtbestellung erzielt hat.
4. Imageschäden und Vertrauensverlust: Neben den finanziellen Sanktionen können auch Reputationsschäden und ein Vertrauensverlust bei Kunden und Geschäftspartnern drohen.
5. Verschärfte Kontrollen: Aufsichtsbehörden können verstärkte Kontrollen durchführen, insbesondere bei Unternehmen, die ihrer Pflicht nicht nachkommen.
6. Ungültige Datenverarbeitungen: Ohne einen qualifizierten Datenschutzbeauftragten besteht das Risiko, dass Datenverarbeitungen nicht rechtskonform durchgeführt werden.

Es ist wichtig zu beachten, dass die Sanktionen nicht nur bei völliger Nichtbestellung drohen, sondern auch wenn ein Datenschutzbeauftragter zu spät bestellt wird, nicht die erforderlichen Qualifikationen aufweist oder nicht ordnungsgemäß in seiner Funktion unterstützt wird. Unternehmen sollten daher die gesetzlichen Vorgaben ernst nehmen und bei Bedarf einen qualifizierten Datenschutzbeauftragten bestellen, um rechtliche und finanzielle Risiken zu vermeiden.

Der Datenschutzbeauftragte übernimmt im Unternehmen folgende zentrale Aufgaben:

Unterrichtung und Beratung

• Unterrichtung und Beratung des Verantwortlichen (meist der Unternehmer) und der Beschäftigten zu ihren Pflichten nach der DSGVO und anderen Datenschutzvorschriften
• Frühzeitige Einbindung in alle datenschutzrelevanten Fragen

Überwachung und Kontrolle

• Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften sowie unternehmensinterner Datenschutzstrategien
• Durchführung von Überprüfungen und Kontrollen zur Einhaltung des Datenschutzes
• Risikobasierte Priorisierung der Tätigkeitsschwerpunkte

Schulung und Sensibilisierung

• Sensibilisierung und Schulung der an Datenverarbeitungen beteiligten Mitarbeiter
• Durchführung von datenschutzrechtlichen Mitarbeiterschulungen

Dokumentation und Richtlinien

• Unterstützung bei der Erstellung gesetzlich erforderlicher Dokumentationen (z.B. Verzeichnis von Verarbeitungstätigkeiten)
• Beratung bei der Erstellung von Richtlinien und internen Regelungen zum Datenschutz

Datenschutz-Folgenabschätzung

• Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung

Ansprechpartner

• Funktion als Anlaufstelle für Aufsichtsbehörden in datenschutzrelevanten Fragen
• Ansprechpartner für betroffene Personen zu Fragen der Datenverarbeitung

Zusammenarbeit mit Aufsichtsbehörden

• Zusammenarbeit mit den Datenschutz-Aufsichtsbehörden
• Koordination bei Datenschutzverstößen oder Meldepflichten

Der Datenschutzbeauftragte erfüllt diese Aufgaben weisungsfrei, hat aber keine eigene Weisungsbefugnis im Unternehmen. Er berät, kontrolliert und unterstützt das Unternehmen bei der Umsetzung des Datenschutzes, bleibt dabei aber unabhängig.

Ein Datenschutzbeauftragter muss gemäß der DSGVO und den Empfehlungen von Aufsichtsbehörden folgende Qualifikationen und Fachkenntnisse besitzen:

Rechtliche Fachkenntnisse:

• Nachweislich umfassendes Verständnis der DSGVO und nationaler Datenschutzgesetze
• Kenntnisse in datenschutzrelevanten Bereichen des Zivil-, Straf-, Steuer-, Sozial-, Arbeits- und Verwaltungsrechts

IT- und technische Kenntnisse:

• Verständnis von IT-Systemen und Datensicherheit
• Kenntnisse zu Computer-Hardware, System- und Anwendersoftware

Branchenkenntnisse:

• Verständnis der spezifischen Datenverarbeitungsvorgänge im Unternehmen
• Kenntnis der jeweiligen Branche und Einrichtung

Organisatorische Fähigkeiten:

• Fähigkeit, Überprüfungen, Konsultationen und Dokumentationen durchzuführen
• Fähigkeit, eine Datenschutzkultur im Unternehmen zu fördern

Pädagogische Fähigkeiten:

• Kompetenz zur Durchführung von Mitarbeiterschulungen und Sensibilisierungsmaßnahmen

Kommunikative Fähigkeiten:

• Fähigkeit zur Zusammenarbeit mit Arbeitnehmervertretungen und Aufsichtsbehörden

Die erforderliche Qualifikation richtet sich nach der Komplexität und dem Risiko der Datenverarbeitungsvorgänge im Unternehmen. Je sensibler die verarbeiteten Daten und je umfangreicher die Verarbeitungen, desto höher sind die Anforderungen an die Fachkunde des Datenschutzbeauftragten.

Der Datenschutzbeauftragte kann in bestimmten Fällen haften, wobei sich die Haftung für interne und externe Datenschutzbeauftragte unterscheidet:

Haftung des internen Datenschutzbeauftragten

Der interne Datenschutzbeauftragte unterliegt als Arbeitnehmer der beschränkten Arbeitnehmerhaftung:

• Bei leichter Fahrlässigkeit haftet er in der Regel nicht.
• Bei normaler/mittlerer Fahrlässigkeit erfolgt meist eine Schadensteilung zwischen Arbeitgeber und Arbeitnehmer.
• Bei grober Fahrlässigkeit oder Vorsatz haftet er in der Regel allein.

Haftung des externen Datenschutzbeauftragten

Der externe Datenschutzbeauftragte haftet grundsätzlich umfassender:

• Er haftet auch bei leichter Fahrlässigkeit, sofern die Haftung nicht vertraglich beschränkt wurde.
• Seine Haftung richtet sich nach den vertraglichen Vereinbarungen und den allgemeinen zivilrechtlichen Haftungsregeln.

Haftungsfälle

Der Datenschutzbeauftragte kann in folgenden Fällen haften:

1. Gegenüber dem Unternehmen:

• Bei Falschberatung, die zu Schäden (z.B. Bußgeldern) führt.
• Bei Verletzung seiner Überwachungs- und Hinwirkungspflichten.

2. Gegenüber betroffenen Personen:

• Bei deliktischer Haftung nach § 823 BGB, wenn durch eine unrechtmäßige Maßnahme des Datenschutzbeauftragten ein Schaden entsteht.

Es ist wichtig zu beachten, dass primär das Unternehmen als Verantwortlicher für Datenschutzverstöße haftet. Der Datenschutzbeauftragte haftet in der Regel nur bei Pflichtverletzungen im Rahmen seiner spezifischen Aufgaben.

Die Vorteile eines externen Datenschutzbeauftragten sind vielfältig:

Objektivität und Unabhängigkeit:

• Ein externer DSB kann eine unvoreingenommene Perspektive einnehmen, da er nicht in interne Unternehmensstrukturen eingebunden ist.
• Er kann Entscheidungen unparteiisch treffen, basierend auf datenschutzrechtlichen Erfordernissen und nicht auf internen Interessen.

Fachwissen und Erfahrung:

• Externe DSBs verfügen oft über umfangreiche Erfahrungen aus verschiedenen Branchen und Unternehmen.
• Sie sind stets auf dem aktuellen Stand der Datenschutzgesetze und Best Practices.

Kosteneffizienz:

• Insbesondere für kleinere und mittlere Unternehmen kann ein externer DSB kostengünstiger sein als ein Vollzeitmitarbeiter.
• Es fallen keine zusätzlichen Kosten für Schulungen oder Weiterbildungen an.

Flexibilität:

• Externe DSBs können flexibel eingesetzt werden und sich an die spezifischen Bedürfnisse des Unternehmens anpassen.

Rechtssicherheit:

• Sie gewährleisten die Einhaltung der DSGVO und anderer relevanter Datenschutzvorschriften.

Keine Interessenkonflikte:

• Im Gegensatz zu internen Mitarbeitern haben externe DSBs keine eigenen Interessen im Unternehmen.

Effektive Beratung:

• Eine Beratung auf Augenhöhe ist eher möglich, da das typische Abhängigkeitsverhältnis aus einem Arbeitsverhältnis fehlt.

Kritische Perspektive:

• Ein externer DSB kann Arbeitsabläufe und Prozesse unvoreingenommener hinterfragen und beurteilen.

Kein besonderer Kündigungsschutz:

• Im Gegensatz zu internen DSBs genießen externe keine arbeitsrechtlichen Sonderrechte, was mehr Flexibilität für das Unternehmen bedeutet.

Entlastung interner Ressourcen:

• Die Auslagerung der Datenschutzaufgaben ermöglicht es internen Mitarbeitern, sich auf ihre Kernaufgaben zu konzentrieren.

Diese Vorteile machen einen externen Datenschutzbeauftragten für viele Unternehmen zu einer attraktiven Option, um die Anforderungen des Datenschutzes effektiv und effizient zu erfüllen.