Worum geht's?
Zahlreiche Unternehmen sind seit der DSGVO dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen. Dazu ergeben sich zahlreiche Fragen: Wann muss sich ein Unternehmen auf die Suche nach einem Datenschutzbeauftragten machen? Welche Aufgaben hat er? Sollte ein externer oder ein betrieblicher Datenschutzbeauftragter bestellt werden? Wir geben einen praktischen Überblick über das wichtige Thema DSGVO-Datenschutzbeauftragter.
1. Was ist ein Datenschutzbeauftragter und welche Aufgaben hat er nach der Datenschutz-Grundverordnung?
Was ist ein Datenschutzbeauftragter?
Datenschutzbeauftragter kann eine natürliche Person oder ein Unternehmen sein, das von einem Unternehmen oder einer öffentlichen Stelle bestellt wird, um das Datenschutzrecht einzuhalten, Datenverarbeitungen zu koordinieren und die Datensicherheit zu überwachen.
Welche Pflichten und Aufgaben hat ein Datenschutzbeauftragter nach der DSGVO?
-
Er ist verpflichtet, Unternehmen über bestehende datenschutzrechtliche Pflichten aufzuklären und deren Einhaltung der Datenschutzgesetze zu überwachen.
-
Er ist erster Ansprechpartner für die Anfragen von verantwortlichen Behörden und Betroffenen.
-
Er führt das Verarbeitungsverzeichnis (früher Verfahrensverzeichnis).
-
Beratung und Unterstützung von Unternehmen bei der Durchführung der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.
-
Er ist Ansprechpartner für Geschäftsführung, Mitarbeiter und Vertrieb und Marketing in allen Fragen im Umgang mit Nutzer- und Kundendaten.
2. Ab wann ist ein Datenschutzbeauftragter Pflicht?
Laut DSGVO ist ein Datenschutzbeauftragter für alle Unternehmen erforderlich, die mit personenbezogenen Daten zu tun haben. Dabei ist es egal, ob es sich um online oder "altmodische" offline Daten handelt. Die Datenschutzgrundverordnung gilt nämlich in der realen Welt ebenso wie im Internet.
Wann muss ein Datenschutzbeauftragter im Unternehmen benannt werden? Bestimmte Unternehmen stehen in der Pflicht zur Bestellung und Ernennung eines (externen oder betrieblichen) Datenschutzbeauftragten. Die Datenschutzgrundverordnung (DSGVO) und das neue BDSG schreiben per Gesetz die Benennung eines Datenschutzbeauftragten vor, wenn eine der folgenden Voraussetzungen vorliegt:
a) Es sind in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt.
Diese Vorschrift entspricht im Wesentlichen der bestehenden Rechtslage. Eine automatisierte Datenverarbeitung liegt vor, wenn die Datenverarbeitung mit Hilfe von Datenverarbeitungsanlagen erfolgt (z.B. am Computer).
WUSSTEN SIE'S?
„In der Regel“ bedeutet, dass die Verarbeitung personenbezogener Daten für die Beschäftigten zu deren „Berufsalltag“ gehört. Das ist z.B. bei Callcenter-Mitarbeitern, die telefonische Bestellungen aufnehmen, der Fall. Bei einem Zeitungsjungen, der normalerweise nur Zeitungen austrägt und einmalig als Krankheitsvertretung Bestellungen aufnehmen muss, eher nicht.
Der Beschäftigtenbegriff ist weit zu verstehen, so dass auch freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Teilzeitkräfte etc. als Beschäftigte zählen. Es ist dabei irrelevant, ob die Beschäftigtenzahl kurzzeitig unter oder über 20 Beschäftigte fällt.
Wann eine „ständige Beschäftigung“ vorliegt ist im Einzelfall zu klären. Von einer ständigen Beschäftigung kann aber zumindest dann ausgegangen werden, wenn die Datenverarbeitung durch die Beschäftigten regelmäßig oder wiederkehrend erfolgt.
b) Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen
Diese – zugegeben etwas sperrige Formulierung – hat zwei wesentliche Voraussetzungen.
Zum einen muss es sich um eine Tätigkeit handeln, die eine umfangreiche, regelmäßige und systematische Überwachung von Personen erforderlich macht. Wann das der Fall ist, ist in der DSGVO nicht definiert. Anhaltspunkte für eine umfangreiche und systematische Tätigkeit können aber Dauer der Überwachung, Anzahl der Betroffenen und Menge der betroffenen Daten sein.
Die Datenverarbeitung muss außerdem eine Kerntätigkeit des Unternehmens sein. Das ist der Fall, wenn die betreffende Verarbeitung der Daten ein zentraler Bestandteil der unternehmerischen Tätigkeit / Geschäftsstrategie ist. Beispielsweise ist die Verarbeitung von Gesundheitsdaten für ein Krankenhaus oder die Verarbeitung von Adressdaten für Auskunfteien ein zentrales Element ihrer Tätigkeit. Die Verwaltung von Personaldaten innerhalb eines Unternehmens ist dagegen in der Regel als Nebentätigkeit einzustufen.
c) Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Datenkategorien.
Als besondere Datenkategorien gelten vor allem folgende Daten:
- Gesundheitsdaten
- personenbezogene Daten über Straftaten oder strafrechtliche Verurteilungen
- Daten zum Sexualleben oder zur sexuellen Orientierung
- Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht
- genetische und biometrische Daten
Wenn Sie eine dieser Datenkategorien verarbeiten, kommt es nur noch darauf an, ob eine „umfangreiche Verarbeitung“ im Sinne der DSGVO vorliegt. Ist dies der Fall, müssen Sie einen Datenschutzbeauftragten bestellen.
d) Das Unternehmen ist nach DSGVO verpflichtet, eine sogenannte Datenschutz-Folgenabschätzung durchzuführen.
Ein Datenschutzbeauftragter in Ihrem Unternehmen ist notwendig, wenn Ihr Unternehmen dazu verpflichtet ist, eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO). Diese Pflicht besteht unabhängig davon, ob weitere Voraussetzungen für die Bestellung eines DSB vorliegen.
e) Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.
Den Punkt wollen wir nur kurz erwähnen. Da er für die meisten "normalen" Unternehmen aber nicht zutrifft, konzentrieren wir uns hier auf die wichtigen Punkte.
3. Was ist die „Bestellung“ eines Datenschutzbeauftragten?“
Die Bestellung eines Datenschutzbeauftragten muss in Zukunft nicht mehr schriftlich erfolgen. Aus diesem Grund spricht man künftig auch von „Benennung“. Schriftliche Muster müssen somit nicht mehr verwendet werden.
Die Ernennung eines DSB erfolgt durch die Geschäftsleitung. Wichtig ist, dass die Kontaktdaten des Datenschutzbeauftragten künftig veröffentlicht und der zuständigen Aufsichtsbehörde mitgeteilt werden.
Lohnt sich die freiwillige Bestellung eines DSB?
Ein Datenschutzbeauftragter kann (und sollte nach der DSGVO in vielen Fällen) auch freiwillig oder in Zweifelsfällen bestellt werden.
Viele - gerade kleinere - Unternehmer sind mit den zahlreichen Dokumentations-, Auskunfts- und Nachweispflichten der DSGVO überfordert. Hier kann oft nur ein spezialisierter Anwalt oder eben ein Datenschutzbeauftragter helfen, ein Unternehmen DSGVO-konform abzusichern.
Wenn das Thema Datenschutz im Unternehmen also nicht schon in fachlich guten Händen ist, sollten alle Unternehmen, die Kundendaten verarbeiten darüber nachdenken, auch ohne gesetzliche Pflicht freiwillig einen DSB zu bestellen.
Dadurch sind Sie als Unternehmer von Fragen zu Verarbeitungsverzeichnis, Folgeabschätzung, Dokumentation usw. befreit. Als Unternehmer können Sie sich so auch haftungsrechtlich entlasten.
Hinzu kommt auch ein nicht zu unterschätzender positiver Marketingeffekt für Unternehmen, die in der Außendarstellung und bei Kundenfragen auf einen professionellen Datenschutzbeauftragten verweisen können.
4. Datenschutzbeauftragter: Ist eine Ausbilung nötig?
Ein Datenschutzbeauftragter muss über die Qualifikation und das Fachwissen zur Wahrnehmung seiner gesetzlich vorgesehenen Aufgaben verfügen. Konkrete Vorgaben hinsichtlich Kenntnissen oder Ausbildung sind jedoch weder in der DSGVO noch im BDSG-neu vorgesehen. Datenschutzbeauftragter kann daher grundsätzlich jeder werden.
Unternehmen sollten die Auswahl eines Datenschutzbeauftragten dennoch nicht auf die leichte Schulter nehmen, da dessen Auswahl im Zweifel vor den Datenschutzbehörden gerechtfertigt werden muss. Insoweit ist es hilfreich wenn ein zertifizierter Datenschutzbeauftragter benannt wird, der seine Datenschutzkenntnisse mit einem Zertifikat (z.B. vom TÜV, der IHK o.Ä.) belegen kann oder nachweislich über diese Kenntnisse verfügt (z.B. auf Datenschutz spezialisierte Rechtsanwälte).
Zudem ist darauf zu achten, dass die Wahl des Datenschutzbeauftragten nicht zu Interessenkonflikten führt. So sollte z.B. der Geschäftsführer / Unternehmensinhaber eines Unternehmens nicht gleichzeitig Datenschutzbeauftragter sein.
ACHTUNG
Wenn Sie einen Rechtsanwalt als Datenschutzbeauftragten bestellen, birgt das einige Risiken. Sie müssen diese Dinge beachten:
- Der Anwalt darf bei seinen Aufgaben nicht in Interessenkollisionen Dann nach dem anwaltlichen Berufsrecht ist er zur Unabhängigkeit verpflichtet und muss seine Tätigkeiten als Anwalt und als Datenschutzbeauftragter trennen. Auf der anderen Seite muss er auch als Datenschutzbeauftragter nach DSGVO weisungsfrei und unabhängig agieren.
- Das gilt sowohl dann, wenn Sie einen Anwalt bestellen, der bereits in Ihrem Unternehmen angestellt ist (interner Datenschutzbeauftragter) als auch bei einem extern bestellten DSB.
- Sofern Sie einen Anwalt als internen DSB bestellen, achten Sie insbesondere darauf, dass arbeitsrechtliche und vertragsrechtliche Fragestellungen die Unabhängigkeit und Weisungsfreiheit des DSB nicht gefährden.
- Bei der Ernennung eines Anwalts als externer DSB sollten Sie ihn nicht gleichzeitig zur Beratung zu allgemeinen Rechtsthemen heranziehen.
Gut zu wissen: Einige Kanzleien bieten keine Dienstleistungen als externer Datenschutzbeauftragter an. Grund ist ein Urteil des Bundefinanzhofs (14.1.2020, Aktenzeichen VIII R 27/17), nach dem die Tätigkeit als gewerblich anzusehen ist und demnach Gewerbesteuer abzuführen und eventuell eine Bilanz zu erstellen ist.
Unter Umständen kann es dazu kommen, dass die eigentlich freiberuflichen Tätigkeiten eines Anwalts ebenfalls als gewerblich gelten müssen, weil die Tätigkeiten nicht mehr getrennt werden können. Folge wäre, dass die Kanzlei für die gesamte Tätigkeit Gewerbesteuer zahlen müsste, was einige vermeiden möchte. Auf der anderen Seite hat der Bundesgerichtshof (Urteil vom 15.10.2018, Aktenzeichen AnwZ (Brfg) 20/18)) entschieden, dass die Tätigkeit als Datenschutzbeauftragter eine Anwaltstätigkeit (und damit kein Gewerbe) sein kann. Dies führt an vielen Stellen zu Unsicherheiten.
5. Externer oder betrieblicher Datenschutzbeauftragter?
Nach der DSGVO kann der Datenschutzbeauftragte sowohl extern als auch betriebsintern bestellt werden. In beiden Fällen muss darauf geachtet werden, dass der bestellte Datenschutzbeauftragte über die erforderliche Qualifikation verfügt und keine Interessenkonflikte bei der Datenschutzberatung bestehen. Welche Variante sinnvoller ist, muss jedes Unternehmen selbst entscheiden.
Ein externer Datenschutzbeauftragter braucht in der Regel mehr Zeit, um sich in die Unternehmensstrukturen hineinzudenken. Gerade bei kleineren Unternehmen könnte sich die Ernennung eines externen Datenschutzbeauftragten dennoch anbieten, um das eigene Personal nicht mit diesen Aufgaben nicht zu binden. Durch die Wahl eines erfahrenen Externen, kann man zudem die nach der DSGVO erforderliche Qualifikation sicherstellen und nachweisen.
GUT ZU WISSEN
Ein interner Datenschutzbeauftragter genießt einen besonderen Kündigungsschutz. Die Kündigung des Arbeitsverhältnisses ist grundsätzlich unzulässig, es sei denn, es liegen Tatsachen vor, welche das Unternehmen zur Kündigung aus wichtigem Grund ohne Einhaltung der Kündigungsfrist berechtigen. Hierbei ist zu beachten, dass dieser Kündigungsschutz nur greift, sofern eine Pflicht zur Benennung bestand. Bei einer freiwilligen Ernennung gibt es keinen Kündigungsschutz.
6. Was passiert, wenn kein Datenschutzbeauftragter im Unternehmen bestellt wird?
Der aufmerksame Leser dieses Beitrags dürfte die Folgen bereits erahnen – Geldbuße bis zu 20 Mio. oder bis zu 4 % des weltweiten Jahresumsatzes. Auch wenn natürlich nicht jedes Unternehmen mit derart hohen Bußgeldern rechnen muss, ist davon auszugehen, dass datenschutzrechtliche Verstöße mit Inkrafttreten der DSGVO deutlich stärker in den Fokus von Aufsichtsbehörden und Abmahnanwälten rücken dürften. Daher besser vorbeugen als heilen.
7. Die Kosten eines Datenschutzbeauftragten
Neben der Qualifikation der Datenschutzbeauftragten ist natürlich auch interessant zu wissen, was ein Datenschutzbeauftragter kostet. Pauschal kann man zu den Kosten Datenschutzbeauftragter natürlich kaum etwas sagen. Es lassen sich hier aber grob 4 Modelle unterscheiden:
1. Der interne betriebliche Datenschutzbeauftragte
Den Datenschutz im eigenen Unternehmen abzuwickeln hat einige entscheidende Vorteile, siehe oben. Grundsätzlich wird eine Vollzeitstelle für einen internen Datenschutzbeauftragten aus Kostengründen aber wohl nur für große Unternehmen in Betracht kommen. Zudem kommt ein betrieblicher Datenschutzbeauftragter für Unternehmen, deren Geschäftsmodell das Sammeln, Verarbeiten und Auswerten von Nutzerdaten ist, in Frage.
2. Der externe Datenschutzbeauftragte
Wir waren bei eRecht24 schon immer Freund von professionellen und preiswerten Lösungen, die auch für Startups oder MKUs erschwinglich sind..
Die Masse an Dokumentations-, Auskunfts- und Informationspflichten, die die DSGVO aufstellt - und die dann natürlich auch noch umgesetzt werden müssen - erfordern eine Menge an Arbeit und Know How. Kleinere Unternehmen müssen für einen externen Datenschutzbeauftragten mit ab 150 Euro im Monat rechnen. Dies hängt aber von den genauen Aufgaben und Tätigkeiten ab und kann variieren. Ein externer Datenschutzbeauftragter bietet eine umfassende Datenberatung und stellt damit eine unabhängige und preiswerte Möglichkeit vor allem für kleinere Unternehmen dar.
3. Spezialisierte Anwälte als Datenschutzbeauftragter
Professionell umgesetzt werden kann die Tätigkeit des Datenschutzbeauftragten durch spezialisierte Rechtsanwälte. Pauschale Preise kann man hier aber auch kaum benennen. Es kommt dabei immer auf Ihre konkrete Tätigkeit und den Stand des Datenschutzes in Ihrem Unternehmen an.
Am Anfang muss sich der Anwalt einen Überblick über den Stand des Datenschutzes im Unternehmen verschaffen. Das ist vor allem dann sehr zeitaufwändig, wenn das Thema "Datenschutz und Kundendaten" in Unternehmen lange Zeit eher "nebenbei" und ohne Struktur behandelt wurde. Dann müssen die Prozesse analysiert werden und Lösungen zur DSGVO-konformen Umsetzung entwickelt werden.
Praxis Tipp
Wenn Sie Interesse an einem anwaltlichen Datenschutz-Audit oder einem Angebot für die Ernennung eines Datenschutzbeauftragten haben, ist die Kanzlei Siebert Lexow Ihr Ansprechpartner. Unsere verifizierten Anwälte begutachten Ihr Unternehmen in Hinblick auf den Datenschutz und beraten Sie ausführlich zu Datenschutzvorfällen.
4. Eine Mischung aus Inhouse und professioneller Betreuung
Viele Unternehmen, für die ein interner DSB oder eine individuelle anwaltliche Betreuung aus Kostengründen nicht in Betracht kommt, müssen die DSGVO Pflichten und die Frage "Ernennung eines Datenschutzbeauftragten" aber trotzdem lösen.
Wir wissen, dass sich nicht jedes Unternehmen eine anwaltliche Beratung leisten kann. Und auch wir bei eRecht24 haben aus den genannten Gründen nicht die Ressourcen, eine professionelle und preiswerte Lösung anzubieten. Es gibt aber zahlreiche Anbieter auf dem Markt, die beide Ansätze miteinander verbinden.
8. Checkliste
9. FAQ
- Zurück zur Übersicht: "Datenschutz"
- Wann macht ein externer Datenschutzbeauftragter Sinn?
- Datenschutz im Homeoffice
- Standardvertragsklauseln
- Datenschutzerklärung einbinden
- Datenschutz-Audit für Unternehmen
- Datenschutz bei Software as a Service (SaaS)
- Haftung bei Verstößen gegen das Datenschutzrecht
- Datenschutz beim Recruiting
- Datenschutz für ausgeschiedene Mitarbeiter
- Datenschutz bei Kundendaten
- Weitergabe von Kundendaten an Dritte
- Datenschutz beim Gewinnspiel
- Ist ein CDN DSGVO-konform?
Alles, was Sie wissen müssen