DSGVO Datenschutzbeauftragter: Das müssen Sie wissen. Bestellung, Aufgaben, Qualifikation. Intern oder Extern.

Inhaltsverzeichnis:

1. Was ist ein Datenschutzbeauftragter und was macht er?
2. Wer braucht denn nun einen Datenschutzbeauftragten?
3. Wer kann Datenschutzbeauftragter werden?
4. Externer oder betrieblicher Datenschutzbeauftragter?
5. Was kann passieren, wenn kein Datenschutzbeauftragter bestellt wird?
6. Aber was ist mit den Kosten eines Datenschutzbeauftragten?
7. Checkliste zum Datenschutzbeauftragten
8. Externen Datenschutzbeauftragten günstig bestellen

1. Was ist ein Datenschutzbeauftragter und welche Aufgaben hat er nach der DSGVO?

Was ist ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter ist eine natürliche Person (oder ein Unternehmen), das von einem Unternehmen oder einer öffentlichen Stelle bestellt wird, um die Einhaltung des Datenschutzes sicher zu stellen und zu überwachen.

Welche Aufgaben und Pflichten hat ein Datenschutzbeauftragter nach der DSGVO?

Dem Datenschutzbeauftragten kommen nach der DSGVO wichtige Aufgaben zu:

• Er ist verpflichtet, Unternehmen über bestehende datenschutzrechtliche Pflichten aufzuklären und deren Einhaltung überwachen.
• Er ist erster Ansprechpartner für die Anfragen von Behörden und Betroffenen.
• Er führt das Verarbeitungsverzeichnis (früher Verfahrensverzeichnis).
• Der Datenschutzbeauftragte berät und unterstützt Unternehmen bei der Durchführung der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.
• Er ist Ansprechpartner für Geschäftsführung, Mitarbeiter und Vertrieb und Marketing in allen Fragen im Umgang mit Nutzer- und Kundendaten.

Ab wann muss ein Datenschutzbeauftragter bestellt werden?

Für zahlreiche Unternehmen ist die Bestellung eines Datenschutzbeauftragten bereits nach jetzigem Recht Pflicht. Mit dem Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 wird der Kreis der Unternehmen, die einen Datenschutzbeauftragten benötigen, deutlich erweitert. Dabei kommt es nach der DSGVO nicht mehr nur auf die Größe des Unternehmens an. Auch kleine Unternehmen mit weniger als 10 Mitarbeitern sind häufig zur Bestellung eines DSB verpflichtet. Details finden Sie weiter unten.

Wichtiger Hinweis: Der Datenschutzbeauftragte muss nach der DSGVO in der Datenschutzerklärung benannt werden. Da das Vorhandensein eines DSB so leicht nachprüfbar ist, ist mit der Geltung der DSGVO mit verschärften Kontrollen der Aufsichtsbehörden, Kundenanfragen und ggf. Abmahnungen zu rechnen.

Jedes Unternehmen muss selbst klären, ob es einer Bestellpflicht unterliegt und einen (internen oder externen) Datenschutzbeauftragten bestellen muss.

Lohnt sich die freiwillige Bestellung eines DSB?

Ein Datenschutzbeauftragter kann (und sollte nach der DSGVO in vielen Fällen) auch freiwillig oder in Zweifelsfällen bestellt werden.

Viele - gerade kleinere - Unternehmer sind mit den zahlreichen Dokumentations-, Auskunfts- und nachweispflichten der DSGVO überfordert. Hier kann oft nur ein spezialisierte Anwalt oder eben ein Datenschutzbeauftragter helfen, ein Unternehmen DSGVO-konform abzusichern.

Wenn das Thema Datenschutz bei Ihnen im Unternehmen also nicht schon in fachlich guten Händen ist, sollten alle Unternehmen, die Kundendaten verarbeiten darüber nachdenken, auch ohne gesetzliche Pflicht freiwillig einen DSB zu bestellen.

Dadurch sind Sie als Unternehmer von Fragen zu Verarbeitungsverzeichnis, Folgeabschätzung, Dokumentation usw. befreit. Als Unternehmer können Sie sich so auch haftungsrechtlich entlasten.

Hinzu kommt auch ein nicht zu unterschätzender positiver Marketingeffekt für Unternehmen, die in der Außendarstellung und bei Kundenfragen auf einen professionellen Datenschutzbeauftragten verweisen können.

Was versteht man unter der "Bestellung" eines Datenschutzbeauftragten?

Die Bestellung eines Datenschutzbeauftragten muss in Zukunft nicht mehr schriftlich erfolgen. Aus diesem Grund spricht man künftig auch von „Benennung“ statt „Bestellung“. Schriftliche Muster müssen somit nicht mehr verwendet werden.

Allerdings müssen die Kontaktdaten des Datenschutzbeauftragten künftig veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden.

2. Wann ist ein Datenschutzbeauftragter gesetzlich erforderlich?

Das Thema "DSGVO und Datenschutzbeauftragter" ist grundsätzlich erst einmal für alle Unternehmen relevant, die mit personenbezogene Nutzer-und Kundendaten zu tun haben. Dabei ist es egal, ob es sich um online oder "altmodische" offline Daten handelt. Die Datenschutzgrundverordnung gilt nämlich in der realen Welt ebenso wie im Internet.

Aber wann ist ein Datenschutzbeauftragter denn nun gesetzlich erforderlich? Bestimmte Unternehmen sind zur Bestellung eines (externen oder betrieblichen) Datenschutzbeauftragten verpflichtet. Die Datenschutzgrundverordnung (DGVO) und das neue BDSG schreiben die Bestellung eines betrieblichen Datenschutzbeauftragten vor, wenn eine der folgenden Voraussetzungen vorliegt:

a) Es sind in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt.

Diese Vorschrift entspricht im Wesentlichen der bestehenden Rechtslage. Eine automatisierte Datenverarbeitung liegt vor, wenn die Datenverarbeitung mit Hilfe von Datenverarbeitungsanlagen erfolgt (z.B. am Computer).

„In der Regel“ bedeutet, dass die Verarbeitung personenbezogener Daten für die Beschäftigten zu deren „Berufsalltag“ gehört. Das ist z.B. bei Callcenter-Mitarbeitern, die telefonische Bestellungen aufnehmen, der Fall. Bei einem Zeitungsjungen, der normalerweise nur Zeitungen austrägt und einmalig als Krankheitsvertretung Bestellungen aufnehmen muss, eher nicht.

Der Beschäftigtenbegriff ist weit zu verstehen, so dass auch freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Teilzeitkräfte etc. als Beschäftigte zählen. Es ist dabei irrelevant, ob die Beschäftigtenzahl kurzzeitig unter oder über 10 Beschäftigte fällt.

Wann eine „ständige Beschäftigung“ vorliegt ist im Einzelfall zu klären. Von einer ständigen Beschäftigung kann aber zumindest dann ausgegangen werden, wenn die Datenverarbeitung durch die Beschäftigten regelmäßig oder wiederkehrend erfolgt.

b) Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen

Diese – zugegeben etwas sperrige Formulierung – hat zwei wesentliche Voraussetzungen.

Zum einen muss es sich um eine Tätigkeit handeln, die eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich macht. Wann das der Fall ist, ist in der DSGVO nicht definiert. Anhaltspunkte für eine umfangreiche und systematische Tätigkeit können aber Dauer der Überwachung, Anzahl der betroffenen Personen und Menge der betroffenen Daten sein.

Die Datenverarbeitung muss außerdem eine Kerntätigkeit des Unternehmens sein. Das ist der Fall, wenn die betreffende Datenverarbeitung ein zentraler Bestandteil der unternehmerischen Tätigkeit / Geschäftsstrategie ist. Beispielsweise ist die Verarbeitung von Gesundheitsdaten für ein Krankenhaus oder die Verarbeitung von Adressdaten für Auskunfteien ein zentrales Element ihrer Tätigkeit. Die Verwaltung von Personaldaten innerhalb eines Unternehmens ist dagegen in der Regel als Nebentätigkeit einzustufen.

c) Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Datenkategorien.

Als besondere Datenkategorien gelten vor allem folgende Daten:

• Gesundheitsdaten
• personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen
• Daten zum Sexualleben oder zur sexuellen Orientierung
• Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht
• genetische und biometrische Daten

Wenn Sie eine dieser Datenkategorien verarbeiten, kommt es nur noch darauf an, ob eine „umfangreiche Verarbeitung“ im Sinne der DSGVO vorliegt. Ist dies der Fall, müssen Sie einen Datenschutzbeauftragten bestellen.

d) Das Unternehmen ist nach DSGVO verpflichtet, eine sogenannte Datenschutz-Folgenabschätzung durchzuführen.

Wenn das Unternehmen verpflichtet ist, eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO), müssen Sie unabhängig vom Vorliegen weiterer Voraussetzungen einen Datenschutzbeauftragten bestellen.

e) Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

Den Punkt wollen wir nur kurz erwähnen. Da er für die meisten "normalen" Unternehmen aber nicht zutrifft konzentrieren wir uns hier auf die wichtigen Punkte.

3. Wer kann Datenschutzbeauftragter werden?

Ein Datenschutzbeauftragter muss über die Qualifikation und das Fachwissen zur Wahrnehmung seiner gesetzlich vorgesehenen Aufgaben verfügen. Konkrete Vorgaben hinsichtlich Kenntnissen oder Ausbildung sind jedoch weder in der DSGVO noch im BDSG-neu vorgesehen. Datenschutzbeauftragter kann daher grundsätzlich jeder werden.

Unternehmen sollten die Auswahl eines Datenschutzbeauftragten dennoch nicht auf die leichte Schulter nehmen, da dessen Auswahl im Zweifel vor den Datenschutzbehörden gerechtfertigt werden muss. Insoweit ist es hilfreich einen DSB zu benennen, der seine Datenschutzkenntnisse mit einem Zertifikat (z.B. vom TÜV, der IHK o.Ä.) belegen kann oder nachweislich über diese Kenntnisse verfügt (z.B. auf Datenschutz spezialisierte Rechtsanwälte).

Zudem ist darauf zu achten, dass die Wahl des Datenschutzbeauftragten nicht zu Interessenkonflikten führt. So sollte z.B. der Geschäftsführer / Unternehmensinhaber eines Unternehmens nicht gleichzeitig Datenschutzbeauftragter sein.

4. Externer oder betrieblicher Datenschutzbeauftragter?

Nach der DSGVO kann der Datenschutzbeauftragte sowohl extern als auch betriebsintern bestellt werden. In beiden Fällen muss darauf geachtet werden, dass der bestellte Datenschutzbeauftragte über die erforderliche Qualifikation verfügt und keine Interessenkonflikte bestehen. Welche Variante sinnvoller ist, muss jedes Unternehmen selbst entscheiden.

Ein externer Datenschutzbeauftragter braucht in der Regel mehr Zeit, um sich in die Unternehmensstrukturen hineinzudenken. Gerade bei kleineren Unternehmen könnte sich die Bestellung eines externen DSB dennoch anbieten, um das eigene Personal nicht mit diesen Aufgaben nicht zu binden. Durch die Wahl eines erfahrenen Externen, kann man zudem die nach der DSGVO erforderliche Qualifikation sicherstellen und nachweisen.

5. Was passiert, wenn kein Datenschutzbeauftragter bestellt wird?

Der aufmerksame Leser dieses Beitrags dürfte die Folgen bereits erahnen – Geldbuße bis zu 20 Mio. oder bis zu 4 % des weltweiten Jahresumsatzes. Auch wenn natürlich nicht jedes Unternehmen mit derart hohen Bußgeldern rechnen muss, ist davon auszugehen, dass datenschutzrechtliche Verstöße mit Inkrafttreten der DSGVO deutlich stärker in den Fokus von Aufsichtsbehörden und Abmahnanwälten rücken dürften. Daher besser vorbeugen als heilen.

6. Die Kosten eines Datenschutzbeauftragten

Eine der wichtigsten Fragen neben der Qualifikation der Datenschutzbeauftragten lautet natürlich: "Was kostet ein Datenschutzbeauftragter"? Pauschal kann man zu den Kosten für einen Datenschutzbeauftragten natürlich kaum etwas sagen. Es lassen sich hier aber grob 4 Modelle unterscheiden:

1. Der interne betriebliche Datenschutzbeauftragte

Den Datenschutz im eigenen Unternehmen abzuwickeln hat einige entscheidende Vorteile, siehe oben. Grundsätzlich wird eine Vollzeitstelle für einen internen DSB aus Kostengründen aber wohl nur für große Unternehmen in Betracht kommen. Oder für Unternehmen, deren Geschäftsmodell das Sammeln, Verarbeiten und Auswerten von Nutzerdaten ist.

2. Der "15 Euro im Monat" Datenschutzbeauftragte

Wir waren bei eRecht24 schon immer Freund von professionellen und preiswerten Lösungen, die auch für Startups oder MKUs erschwinglich sind. Was die Kosten für externe Datenschutzbeauftragte angeht werden die Zeiten der "15 Euro im Monat Datenschutzbeauftragten" mit der DSGVO aber wohl vorbei sein.

Die Masse an Dokumentations-, Auskunfts- und Informationspflichten, die die DSGVO aufstellt - und die dann natürlich auch noch umgesetzt werden müssen - erfordern eine Menge an Arbeit und Know How. Das ist aber unserer Einschätzung nach für 15 Euro/ Monat nicht zu leisten. Bzw. wenn es möglich wäre, dann würden Sie an dieser Stelle einen Link zu unserem Angebot für einen "15 Euro/ Monat Datenschutzbeauftragten" finden.

3. Spezialisierte Anwälte als Datenschutzbeauftragter

Professionell umgesetzt werden kann die Tätigkeit des Datenschutzbeauftragten natürlich durch spezialisierte Rechtsanwälte. Pauschale Preise kann man hier aber auch kaum benennen. Es kommt dabei immer auf Ihre konkrete Tätigkeit und den Stand des Datenschutzes in Ihrem Unternehmen an.

Am Anfang muss sich der Anwalt einen Überblick über den Stand des Datenschutzes im Unternehmen verschaffen. Das ist vor allem dann sehr zeitaufwändig, wenn das Thema "Datenschutz und Kundendaten" in Unternehmen lange Zeit eher "nebenbei" und ohne Struktur behandelt wurde. Dann müssen die Prozesse analysiert werden und Lösungen zur DSGVO-konformen Umsetzung entwickelt werden.

Achtung Eigenwerbung: Wenn Sie Interesse an einem anwaltlichen Datenschutz-Audit oder einem Angebot für die Bestellung eines Datenschutzbeauftragten haben können Sie sich gern an die Kanzlei Siebert Goldberg wenden:

https://www.e-recht24.de/lp/dsgvo-check.html

https://www.kanzlei-siebert.de/

Wir weisen aber darauf hin, dass es aufgrund der hohen Nachfrage ein klein wenig dauern kann. 

4. Eine Mischung aus Inhouse und professioneller Betreuung

Viele Unternehmen, für die ein interner DSB oder eine individuelle anwaltliche Betreuung aus Kostengründen nicht in Betracht kommt, müssen die DSGVO Pflichten und die Frage "Bestellung eines Datenschutzbeauftragten" aber trotzdem lösen. Und zwar möglichst zeitnah zum 25. Mai 2018 und darüber hinaus.

Da wir wissen, dass sich nicht jedes Unternehmen eine anwaltliche Beratung leisten kann und wir bei eRecht24 aus den genannten Gründen nicht die Ressourcen haben, eine professionelle und preiswerte Lösung anzubieten haben wir uns einmal auf dem Markt umgesehen. Am meisten überzeugt hat uns dabei - Achtung Werbung - das Datenschutz-Kit der IITR Datenschutz GmbH. 

Die Lösung vereint die Bestellung eines externen Datenschutzbeauftragten mit der praktischen Abwicklung der datenschutzrechtlich relevanten Prozesse von der Bestellung des DSB über interne Datenschutzrichtlinien, das Erstellen und Pflegen des Verarbeitungverzeichnisses, Muster zur Auftrags(daten)verarbeitung, die Bearbeitung von Auskunfts- und Löschungsansprüchen, die Datenschutzfolgeabschätzung, Mitarbeiterschulungen und vieles mehr.

Der große Vorteil: Auf alle relevanten Inhalte, Tools, Verträge und Dokumente können Sie und Ihre Mitarbeiter direkt, online und an einer Stelle zugreifen. Sie erfüllen Ihre gesetzlichen Pflichten und können zusätzlich Ihre Mitarbeiter schulen. Und das zu unserer Meinung nach angemessenen Kosten.      

Werbung Ende.

7. Checkliste

1. Prüfen Sie, ob Sie gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu bestellen.
2. Prüfen Sie, ob Sie um die Anforderungen der DSGVO umzusetzen, freiwillig einen DSB bestellen wollen.
3. Bestellen Sie einen geeigneten internen oder externen Datenschutzbeauftragten für Ihr Unternehmen.
4. Veröffentlichen Sie die Kontaktdaten Ihres Datenschutzbeauftragten auf Ihrer Webseite.
5. Teilen Sie der zuständigen Aufsichtsbehörde (in der Regel der Landesdatenschutzbeauftragte Ihres Bundeslandes) die Kontaktdaten Ihres Datenschutzbeauftragten zum 25.5.2018 mit.