Worum geht's?
Seit 2018 stellt die Datenschutzgrundverordnung (DSGVO) den Datenschutz in jedem Unternehmen auf den Kopf. Die Verarbeitung personenbezogener Daten ist streng geregelt und ruft unzählige Unternehmen und gewerbliche Anbieter von Waren und Dienstleistungen in die Pflicht. Eine wesentliche Rolle spielt dabei die geänderte Position des Datenschutzbeauftragten gemäß Datenschutzvorgaben. Wir zeigen, was Sie zu der Bestellung eines externen Datenschutzbeauftragten wissen müssen und verschaffen Ihnen einen Überblick über die Aufgaben, Vorteile und Kosten eines externen Datenschutzbeauftragten.
1. Was ist ein externer Datenschutzbeauftragter?
Laut der Datenschutzgrundverordnung, die in der gesamten Europäischen Union gilt, benötigen Unternehmen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten. Ein externer Datenschutzbeauftragter kümmert sich als externer Dienstleister um den betrieblichen Datenschutz und sämtliche Datenschutzthemen in der Firma. Anders als der interne Datenschutzbeauftragte, ist der externe DSB kein Mitarbeiter des Unternehmens.
Ob ein Unternehmen einen internen oder externen Datenschutzbeauftragten bestimmt, kann jedes Unternehmen für sich selbst entscheiden.
2. Wer braucht nach DSGVO einen internen oder externen Datenschutzbeauftragten?
Damit in Unternehmen der Datenschutz effektiv und konform der Datenschutzgrundverordnung umgesetzt wird, ist für viele Unternehmen nach Art. 37 I DSGVO unter den dort aufgeführten Voraussetzungen verpflichtend, einen Datenschutzbeauftragten zu stellen.
Ein Datenschutzbeauftragter (DSB) muss als Datenschutzexperte insbesondere dann bestellt werden, wenn
- die Kerntätigkeit des Unternehmens in Datenverarbeitungen besteht, die für die Betroffenen eine umfangreiche regelmäßige und systematische Überwachung erforderlich macht;
- in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten im Unternehmen beschäftigt sind;
- die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Datenkategorien
Der Datenschutzbeauftragte kann nach dem Willen des Gesetzgebers als externer Datenschutzbeauftragter tätig werden oder als interner (bzw. betrieblicher) Datenschutzbeauftragter, der als Experte der Belegschaft des Unternehmens angehört und logistisch in den Verwaltungsbereich des Unternehmens fällt.
LESE-EMPFEHLUNG
Weitere allgemeine Informationen zu den Aufgaben, gesetzlichen Erfordernissen und möglichen Bußgeldern bei Missachtung der Datenschutzgrundverordnung, finden Sie in unserem Artikel zum Datenschutzbeauftragten.
3. Welche Vorteile hat ein externer Datenschutzbeauftragter?
Wer gemäß DSGVO zur Stellung eines DSB verpflichtet ist, der hat die Wahl zwischen einem internen oder extern bestellten Datenschutzexperten. Wägen Sie die Vor- und Nachteile ab.
Der interne Datenschutzbeauftragte ist zwar mit den Betriebsabläufen vertraut und verursacht als Teil der Belegschaft keine zusätzlichen Kosten oder eine nennenswerte Einarbeitungszeit. Für das Outsourcen bzw. für die Bestellung eines externen Datenschutzbeauftragten sprechen aber dennoch zahlreiche Vorteile:
- Schonung der eigenen personellen Ressourcen: Stellen Sie einen internen Datenschutzbeauftragten aus den Mitarbeiterreihen, geht Ihnen diese Arbeitskraft an anderer Stelle verloren. Ein Outsourcing schont die personellen Ressourcen und ermöglicht es Ihnen, die vorhandene Manpower effizient einzusetzen.
- Neutrale und unabhängige Instanz: Bei eigenen Mitarbeitern ist die Wahrung der Neutralität in Bezug auf die Beurteilung datenschutzrechtlicher Vorgänge oft schwierig; die Datenschutzgrundverordnung verlangt aber, dass für den Datenschutzbeauftragten keinerlei Interessenskonflikte bestehen. Daher ist ein externer Datenschutzbeauftragter oft besser geeignet als ein interner Mitarbeiter, der für die Aufgabe Datenschutz abgestellt wird und Unternehmensinteressen verwirklicht sehen möchte.
- Nutzung von Fachwissen: Die Datenschutzgrundverordnung setzt in Art. 37 Absatz 5 voraus, dass der Datenschutzbeauftragte die notwendige Qualifikation hat, um die Position zu bekleiden. Während für interne Mitarbeiter die Abbestellung auch die entsprechende Weiterbildung beinhaltet, sind externe Fachleute in der Regel fertig ausgebildet und erfahren genug, um die entsprechenden Aufgaben kompetent zu übernehmen.
4. Welche Aufgaben hat ein externer Datenschutzbeauftragter?
Ein externer Datenschutzbeauftragter muss dafür sorgen, dass das Unternehmen bzw. die Organisation die gesetzlichen Vorschriften zum Datenschutz in vollem Umfang umsetzt. Er übernimmt im Rahmen seiner Tätigkeit die Verantwortung dafür, dass der betriebliche Datenschutz den normativen Richtlinien entspricht und kann im Rahmen seiner Ernennung Aufgaben delegieren – und diese im weiteren Verlauf überwachen. Als externer Berater für Datenschutz verfolgt er übergeordnete Interessen und handelt losgelöst von unternehmensinternen Überlegungen.
- Ausarbeitung und Anregung von Maßnahmen, die einen ausreichenden betrieblichen Datenschutz gewährleisten;
- Kontrolle der Datenverarbeitung;
- Kontinuierliche Führung eines aktuellen Verfahrensverzeichnisses zur Dokumentation der Datenverarbeitung im Unternehmen;
- Vorabkontrolle bei automatisierten Verfahren;
- Überwachung der Einhaltung der Vorschriften der Datenschutz-Grundverordnung;
- Erstellung und Führung von Verarbeitungsübersichten und Tätigkeitsberichten;
- Schulung von Mitarbeitern und Unternehmensangehörigen in Bezug auf Datenschutz;
- Datenschutzrechtliche Beratung der Mitarbeiter, der geschäftsführenden Organe und der Entscheidungsträger;
- Zusammenarbeit mit den Kontrollinstitutionen und Aufsichtsbehörden;
- Ansprechpartner für alle datenschutzrechtlichen Anliegen und Fragestellungen.
5. Wo finden Sie einen externen DSB?
Unternehmen, die sich für einen externen Datenschutzbeauftragten entschieden haben, sollten beim Outsourcing auf die Fachkompetenz des Dienstleisters achten – aus dem Gesetz geht unmissverständlich hervor, dass dieser die notwendige Expertise des Datenschutz- und IT-Rechts besitzen muss, um die vorgesehenen Aufgaben fachgerecht ausführen zu können. Die Verantwortung für die Auswahl des extern bestellten Datenschutzbeauftragten liegt grundsätzlich beim Auftraggeber – also den Unternehmen, die sich für das Outsourcing entscheiden.
Empfehlenswert sind Unternehmen, die ihre Fachkenntnis durch aussagekräftige Zertifikate anerkannter Institutionen belegen können (zum Beispiel TÜV oder IHK).
Alternativ können auch Rechtsanwälte oder sonstige Experten, die sich auf datenschutzrechtliche Fragestellungen spezialisiert haben, als externe Datenschutzbeauftragte bestellt werden. In jedem Fall sollte aber die o. g. Checkliste zum Serviceangebot des Dienstleisters gehören – ansonsten drohen Lücken in der Datenschutzberatung und -betreuung.
6. Welche Kosten verursacht ein externer Datenschutzbeauftragter?
Wie bei allen anderen Dienstleistungen, die im unternehmerischen Tagesgeschäft dem Outsourcing zugeordnet werden, ist die Ernennung eines externen Datenschutzbeauftragten für Unternehmen auch ein Kostenfaktor.
Da mit dem Inkrafttreten der Datenschutzgrundverordnung auch das Thema Datenschutzbeauftragter immer aktueller und drängender wird, sind Unternehmen in der Situation, schnell eine individuell passende Auswahl treffen zu müssen. Dabei bieten sich aus unserer Sicht folgende sinnvolle Optionen:
1. Der externe Datenschutzbeauftragte ist ein auf Datenschutzrecht spezialisierter Anwalt / eine auf Datenschutzrecht spezialisierte Rechtsanwaltskanzlei.
Hier sind pauschale Arrangements möglich, bei denen sich die Höhe der Pauschale nach der Anzahl der aufgewendeten Zeit richtet. Wenn Ihr Unternehmen in Bezug auf den Datenschutz noch keine nennenswerten Aktivitäten aufzuweisen hat, wird am Anfang der Zusammenarbeit mehr Zeit benötigt, um den betrieblichen Datenschutz auf DSGVO-Niveau zu bringen und um die Basis für eine gesetzeskonforme Zukunft des Datenschutzes zu bilden.
2. Der externe Datenschutzbeauftragte ist ein qualifizierter Experte, der nicht nur über das technische Know-how verfügt, sondern auch die juristischen Aspekte kennt und seine Tätigkeit entsprechend der gesetzlichen Vorgaben ausgestaltet.
Hier werden ebenfalls häufig Paketpreise vereinbart, die sich nach dem Zeitaufwand richten und natürlich auch den aktuellen Stand von bereits umgesetzten Datenschutzmaßnahmen berücksichtigt.
AUFGEPASST
Die Kosten externer Datenschutzbeauftragter scheinen als Zusatzkosten, wenn man sie der Bestellung eines Datenschutzbeauftragten aus der eigenen Belegschaft gegenüberstellt. Dies ist aber sehr kurzfristig gedacht, denn: Auch der interne Datenschutzbeauftragte muss regelmäßig an Weiterbildungsmaßnahmen teilnehmen, um auf dem aktuellen Stand zu bleiben.
Diese Maßnahmen kosten Geld und Arbeitszeit – ein Faktor, der bei einem Vergleich unbedingt zu berücksichtigen ist. Durch die Verpflichtung eines Datenschutzbeauftragten aus den eigenen Reihen geht Ihnen die produktive Arbeitszeit des Mitarbeiters verloren – zumindest für die Zeit, die nun für den Datenschutz und dessen Umsetzung im Unternehmen benötigt wird.
Ein professioneller externer Datenschutzbeauftragter spart also Kosten. Plus: Sie zeigen Ihren Kunden dadurch, dass Sie sich professionell um das Thema Datenschutz kümmern.
7. Externer Datenschutzbeauftragter für ...
Behörden und öffentliche Stellen
Das Bundesdatenschutzgesetz (BDSG) hat bisher zwischen Behörden (öffentliche Stellen) und Unternehmenden der Privatwirtschaft (nicht-öffentlichen Stellen) unterschieden. Kurz gesagt, es gab für Unternehmen und Behörden im BDSG verschiedene Regelungen zum Datenschutz und zum Datenschutzbeauftragten.
In der Datenschutz-Grundverordnung gibt es diese grundsätzliche Trennung zwischen Unternehmen und Behörden nicht mehr. Bis auf bestimmte Spezialvorschriften etwa für Behörden, die personenbezogene Daten im Bereich der Verfolgung von Straftaten verarbeiten, gilt die DSGVO auch für öffentliche Stellen. Weitere Bereichsausnahmen für den öffentlichen Dienst bleiben allerdings grundsätzlich möglich.
Die wichtigsten Grundsätze der DSGVO für Behörden sind dabei:
Datenspeicherung
Behörden dürfen personenbezogene Daten natürlich auch unter Geltung der Datenschutzgrundverordnung erheben, speichern und nutzen. Da die Verwaltung aber an Recht und Ordnung gebunden ist, muss dafür ein gesetzlicher Erlaubnistatbestand gegeben und die Datenspeicherung muss erforderlich sein. In Ausnahmefällen können Behörden aber auch mit einem überwiegenden öffentlichen Interesse arbeiten.
Ansprüche der Bürger/Betroffenenrechte
Oft deutlich wichtiger als in der Privatwirtschaft sind die Ansprüche der Bürger als Betroffene gegenüber den Behörden und öffentlichen Stellen. Die Bürger haben Anspruch auf Auskunft, Richtigstellung, Widerspruch gegen die Datenerhebung und ggf. auch Löschung ihrer Daten.
Ansprechpartner dafür ist in der Regel der behördliche Datenschutzbeauftragte.
Datenschutzbeauftragter in Behörden
Auch Behörden sind zur Bestellung eines Datenschutzbeauftragten verpflichtet. Und auch für Behörden ist es möglich, einen internen Mitarbeiter zum Datenschutzbeauftragten zu machen oder einen externen Datenschutzbeauftragten zu bestellen.
Bei der Finanznot der öffentlichen Hand kann die Zusammenarbeit mit externen Datenschutz-Experten dabei oft deutlich preiswerter umzusetzen sein, als das mit einem eigenen internen Mitarbeiter möglich sein wird.
Ärzte/Arztpraxis/Zahnarztpraxis
Gesundheitsdaten gelten als besonders schützenswert – sie werden daher gem. Art. 9 DSGVO als besondere Kategorie eingestuft. Die Antwort auf die Frage, ob eine Arztpraxis einen Datenschutzbeauftragten benötigt, ist Art. 37 I lit. c) DSGVO zu entnehmen: Demnach ist ein interner oder externer DSB dann angezeigt, wenn die Haupttätigkeit des Betriebes in der Verarbeitung der in Art. 9 DSGVO genannten Daten besteht. Dies ist bei einer Arztpraxis im laufenden Gesundheitsbetrieb zwar regelmäßig der Fall, dennoch stellt sich die Frage, ob dieser Vorgang tatsächlich als umfangreich bezeichnet werden kann.
Der Gesetzgeber nimmt hiervon explizit Einzelpraxen aus, vgl. Art. 35 DSGVO-Folgenabschätzung. Dem stehen aber Praxisverbände und Gemeinschaftspraxen gegenüber: Gemäß dem neu gefassten § 38 Bundesdatenschutzgesetz (kurz: BDSG) wird ab einer Beschäftigungszahl von 20 Mitarbeitern davon ausgegangen, dass eine umfangreiche Verarbeitung i. S. d. oben genannten Vorschriften zuverlässig gegeben ist.
Praxis Tipp
Gehen Sie davon aus, dass bei einem Zusammenschluss mehrerer Ärzte ein Datenschutzbeauftragter gemäß der Datenschutzgrundverordnung nötig ist. Unter Berücksichtigung der empfindlichen Sanktionen, die die DSGVO bei Verstößen vorsieht, ist die Ernennung eines internen oder externen Datenschutzbeauftragten für Arztpraxen, Zahnärzte und Ärzte sinnvoll und schützt vor Bußgeldern. Achten Sie bei der Auswahl des externen Datenschutzbeauftragten auf Qualifikation und das Serviceangebot – hier lohnt es sich oft, mehrere Angebote einzuholen!
Vereine
Auch Vereine kommen regelmäßig in Kontakt mit personenbezogenen Daten. Diese reichen von einfachen Mitgliederdaten bis hin zu Gesundheitsdaten und anderen sensiblen Informationen. Auch die vereinseigene Website im Internet ist von der DSGVO betroffen, denn auch hierüber kann eine Verarbeitung stattfinden.
Vereine sind dann zur Ernennung eines Datenschutzbeauftragten verpflichtet, wenn mindestens 20 Personen im Verein oder Verband ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind, vgl. dazu den neu gefassten § 38 BDSG. Der Verein hat die Möglichkeit, einen internen oder auch einen externen Datenschutzbeauftragten zu bestellen.
PRAXIS-TIPP
Der Vorstand eines Vereins kann nicht parallel auch als Datenschutzbeauftragter fungieren. Hier sind Interessenskonflikte wahrscheinlich, die dem Einsatz entgegenstehen. Alle anderen Anforderungen der Datenschutzgrundverordnung gelten auch in einem Verein uneingeschränkt – von praktischer Relevanz ist hier insbesondere die Überarbeitung von Einwilligungserklärungen gemäß den Vorgaben der DSGVO.
Denken Sie hierbei zum Beispiel auch an den öffentlichen Aushang von Mitgliederlisten, Telefonketten oder E-Mail-Adressenpools. Die Datenschutzgrundverordnung entfaltet ihre Wirksamkeit übrigens nicht nur gegenüber Mitgliedern, sondern auch gegenüber hauptamtlichen und ehrenamtlichen Mitarbeitern und Helfern! In Betracht kommen darüber hinaus auch Kontaktdaten von Sponsoren, Fans und Dienstleistern. Allgemein ist eine Verarbeitung personenbezogener Daten im Rahmen des Spielbetriebs üblich und Teil des Tagesgeschäftes.
Steuerberater
Nicht nur Steuerberater, sondern auch andere Dienstleister wie zum Beispiel Rechtsanwälte unterliegen bei Ihren Tätigkeiten grundsätzlich der Verschwiegenheitspflicht. Diese leitet sich aus § 203 Strafgesetzbuch ab und wird durch die §§ 57, 62 des Steuerberatungsgesetzes ergänzt.
Im Gegensatz zu anderen Unternehmen ist die Tätigkeit eines Steuerberaters gerade durch die Verarbeitung von personenbezogenen Daten gekennzeichnet. Sind damit in der Kanzlei regelmäßig mehr als 19 Personen beschäftigt, ist die Bestellung eines Datenschutzbeauftragten verpflichtend vorgeschrieben; in Kanzleien, in denen weniger Personen beschäftigt sind, fällt diese gesetzliche Verpflichtung zwar weg – die Pflicht zur Einhaltung der Datenschutzgrundverordnung ist aber dennoch gegeben und einschlägig.
PRAXIS-TIPP
Die Umsetzung der Datenschutzgrundverordnung und die damit verbundenen Maßnahmen ist auch für Steuerberater von außerordentlicher Relevanz. Die Ernennung eines Datenschutzbeauftragten sollten Sie keinesfalls auf die leichte Schulter nehmen – gerade dann, wenn Sie einem Ihrer Mitarbeiter diese Aufgabe übertragen.
Stellen Sie sicher, dass dieser auch tatsächlich in Form von Aus- und Weiterbildung über das notwendige Know-how verfügt. Denn anderenfalls liegt ein Verstoß gegen die Vorschrift des Art. 37 V DSGVO vor – diese setzt nämlich voraus, dass der Datenschutzbeauftragte die notwendige Qualifikation hat, um die Position zu bekleiden. Die Expertise kann in Form von Ausbildungen (zum Beispiel die Ausbildung zum Datenschutzbeauftragten) nachgewiesen werden.
Krankenhäuser
Im laufenden Gesundheitsbetrieb werden in Krankenhäusern beinahe kontinuierlich personenbezogene Daten verarbeitet. Der Vorgang ist von außerordentlicher Bedeutung und kann gem. Art. 37 I b DSGVO als Kerntätigkeit des Unternehmens verstanden werden. Ein Datenschutzbeauftragter, extern oder intern, ist daher nach DSGVO vorgesehen.
Unabhängig von der Datenschutzgrundverordnung war auch schon vor der europäischen Regelung zum Datenschutz in den meisten Landesgesetzen die Bestellung eines Datenschutzbeauftragten vorgesehen – so zum Beispiel in § 51 Landeskrankenhausgesetz Baden-Württemberg.
VORSICHT
Hier merkt man deutlich den Unterschied von großen Gesundheitseinrichtungen und der Einzelpraxis eines niedergelassenen Arztes. Während Kliniken, Krankenhäuser und vergleichbare Einrichtungen die Verarbeitung von personenbezogenen Daten fast schon automatisiert als essenziellen Bestandteil ihrer täglichen Arbeit erledigen, ist die Verarbeitung von personenbezogenen Daten in kleinen Arztpraxen ganz klar nicht als Kerntätigkeit des Unternehmens einzustufen – die Datenverarbeitung ist hier nicht umfassend genug, um dieses Kriterium zu erfüllen.
Wichtig ist aber bei der rechtlichen Beurteilung, in welcher Rechtsform das Krankenhaus agiert: Als GmbH fiel die Einrichtung auch vor der Datenschutzgrundverordnung regelmäßig unter das Bundesdatenschutzgesetz; als Anstalt des öffentlichen Rechtes war für die Beurteilung der datenschutzrechtlichen Gesamtumstände neben der Datenschutzgrundverordnung das jeweilige Landesdatenschutzgesetz einschlägig. Auch im Geltungsbereich der Datenschutzgrundverordnung verlieren diese Vorschriften nicht an Substanz – es bleibt aber festzuhalten, dass im Zweifel die europäische Vorschrift als höherrangiges Recht den Vorzug genießt.
Apotheken
Auch in Apotheken gilt die Datenschutzgrundverordnung seit dem 25. Mai 2018 uneingeschränkt. Das bedeutet auch hier: Sind regelmäßig 20 oder mehr Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt, ist ein externer Datenschutzbeauftragter zu benennen. Achtung: Bei der Festlegung ist darauf abzustellen, wie viele Beschäftigte in dem Betrieb (also der Apotheke) insgesamt mit der o. g. Verarbeitung beschäftigt sind. Dabei werden Teilzeitkräfte, Auszubildende, Praktikanten und sonstige Mitarbeiter als jeweils eine vollständige Person gezählt.
Im normalen Geschäftsbetrieb ist davon auszugehen, dass eine Apotheke täglich personenbezogene Daten in Form von Gesundheitsdaten verarbeitet. Problematisch kann das aber werden, wenn es um kleine Apotheken mit nur geringem Personalstamm geht. Eine umfangreiche Verarbeitungstätigkeit kann dann richtigerweise nicht mehr angenommen werden. Auch hier muss man auf dieses Merkmal abstellen – und zumindest bei Apotheken mit überschaubarem Kunden- bzw. Patientenkreis bedarf dies einer genauen Überprüfung.
PRAXIS-TIPP
Wenn eine umfangreiche Verarbeitungstätigkeit angenommen werden kann, ist die Ernennung eines Datenschutzbeauftragten nach DSGVO verpflichtend. Strittig ist in diesem Zusammenhang die Beurteilung der Haupttätigkeit. Hier könnte man auch argumentieren, dass die Haupttätigkeit (und damit der eigentliche Geschäftszweck) einer Apotheke eben nicht in der Verarbeitung von Daten besteht, sondern in der fachlichen Beratung und Versorgung mit Medikamenten und Waren rund um das Thema Gesundheit & Co.
Freiberufler
Die Annahme, dass die Datenschutzgrundverordnung nur für große Unternehmen und Betriebe gilt, ist falsch. Sowohl Unternehmen mit einer Vielzahl an Mitarbeitern als auch der Solofreelancer im Homeoffice werden durch die DSGVO und ihre Vorschriften verpflichtet. Ein Unterschied ergibt sich lediglich in der Verpflichtung, einen Datenschutzbeauftragten zu bestellen: Dieser ist erst dann Pflicht, wenn das Unternehmen mindestens 20 Mitarbeiter beschäftigt, die regelmäßig die Verarbeitung von personenbezogenen Daten zur Aufgabe haben. Das wird bei Freiberuflern eher nicht der Fall sein – eine Bestellung eines Datenschutzbeauftragten ist somit nicht verpflichtend.
Zwar ist die Bestellung eines Datenschutzbeauftragten in der Regel für Freiberufler und Freelancer nicht gefordert. Problematisch wird es aber dann, wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO verlangt wird. Dies ist immer dann der Fall, wenn besondere Kategorien von Daten verarbeitet werden – so zum Beispiel Gesundheitsdaten.
Daher ist gerade bei den Freiberuflern Vorsicht geboten, die durch ihre Tätigkeit ohnehin schon bestimmten Geheimhaltungs- und Schweigepflichten unterliegen. Diese gelten gleichberechtigt auch nach Inkrafttreten der Datenschutzgrundverordnung weiter und binden die Freiberufler als Geheimnisträger in ganz besonderer Art und Weise. Auch, wenn Sie als Freiberufler nicht zur Ernennung eines Datenschutzbeauftragten verpflichtet sind – die Ernennung macht dennoch Sinn und oftmals gibt externer Datenschutz die rechtliche Sicherheit für die eigene berufliche Betätigung.
Kleine Unternehmen
Ähnlich wie die Freiberufler finden auch kleine Unternehmen eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten erst ab einer bestimmten Anzahl an Mitarbeitern, die mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.
Ein Datenschutzbeauftragter muss bestellt werden, wenn:
- das Unternehmen im Rahmen seiner Kerntätigkeit Verarbeitungen durchführt, die die umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht;
- die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung von Daten besonderer Kategorien besteht (vgl. dazu Art. 9f. DSGVO); dazu zählen Daten und Angaben zur:
rassischen und ethnischen Herkunft, politischen Meinung, religiösen oder weltanschaulichen Überzeugung, Gewerkschaftszugehörigkeit.
Des Weiteren zählt dazu die Verarbeitung von:
- genetischen und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten,
- Daten zur Sexualität, zu sexuellen Präferenzen oder zur sexuellen Orientierung einer natürlichen Person.
PRAXIS-TIPP
Gerade in kleineren Unternehmen macht die Ernennung eines externen Datenschutzbeauftragten Sinn. Die Datenschutzgrundverordnung fordert, dass durch den bestellten DSB kein Interessenskonflikt manifestiert wird – dies ist aber insbesondere in kleinen Unternehmen ein schwieriges Unterfangen. Damit lohnt sich hier das Outsourcing dieser Aufgabe im Sinne der Rechts- und Datensicherheit.
Jedes Unternehmen – ob klein oder groß - sollte prüfen, ob die Ernennung eines externen Datenschutzbeauftragten nach Datenschutzgrundverordnung gefordert wird. Dies setzt voraus, dass Sie sich genau mit den Vorgängen in Ihrem Betrieb auseinandersetzen und diese korrekt zuordnen.
8. Fazit zum externen Datenschutzbeauftragten
Nicht erst die Datenschutzgrundverordnung fordert unter bestimmten Bedingungen die Ernennung eines internen oder externen Datenschutzexperten. Auch im Geltungsbereich des Bundesdatenschutzgesetzes war die Ernennung eines Datenschutzexperten vorgesehen – die Datenschutzgrundverordnung erweitert aber den Kompetenz- und Aufgabenbereich deutlich.
Die Ernennung eines Datenschutzexperten schützt Sie als Unternehmer effektiv vor den durch die Datenschutzgrundverordnung normierten Bußgeldern und Sanktionen und verhindert Verstöße gegen europaweit einheitlich geltende Vorschriften.
9. FAQ: Externer Datenschutzbeauftragter
Ein Datenschutzbeauftragter haftet nicht für die Datenverarbeitung oder Datenschutzverstöße des Verantwortlichen, also z. B. des Unternehmers. Das liegt daran, dass ein externer DSB keine Weisungen erteilen darf und damit Datenschutzverstöße auch nicht direkt abstellen kann. Sind die Datenschutzverstöße allerdings auf eine falsche Beratung des DSB zurückzuführen, können Schadensansprüche gegen ihn geltend gemacht werden.
- Zurück zur Übersicht: "Datenschutz"
- Welche Unternehmen brauchen einen Datenschutzbeauftragten?
- Datenschutz im Homeoffice
- Standardvertragsklauseln
- Datenschutzerklärung einbinden
- Datenschutz-Audit für Unternehmen
- Datenschutz bei Software as a Service (SaaS)
- Haftung bei Verstößen gegen das Datenschutzrecht
- Datenschutz beim Recruiting
- Datenschutz für ausgeschiedene Mitarbeiter
- Datenschutz bei Kundendaten
- Weitergabe von Kundendaten an Dritte
- Datenschutz beim Gewinnspiel
- Ist ein CDN DSGVO-konform?