Externer Datenschutzbeauftragter

Nutzen Sie unsere Expertise und benennen Sie einen unserer Rechtsanwälte als externer Datenschutzbeauftragter Ihrer Organisation.

Benennung Datenschutzbeauftragter: Gesetzliche Pflicht

Der Gesetzgeber verlangt von allen Stellen, die personenbezogene Daten nicht nur zu persönlichen oder familiären Zwecken verarbeiten, eine Berücksichtigung des Datenschutzrechts. Die Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 Anwendung findet, sieht unter besonderen Voraussetzungen die Benennung eines Datenschutzbeauftragten vor. Diese Voraussetzungen wurden durch das Bundesdatenschutzgesetz (BDSG) für Deutschland erweitert. Während öffentliche Stellen stets einen Datenschutzbeauftragten benennen müssen, obliegt Unternehmen diese Pflicht in der Regel erst dann, wenn bei ihnen mindestens 20 Mitarbeiter ständig personenbezogene Daten verarbeiten oder die Datenverarbeitung eine besondere Sensibilität aufweist. Das Amt des Datenschutzbeauftragten kann ein interner ebenso wie ein externer Datenschutzbeauftragter ausüben. War ein externer Datenschutzbeauftragter in der Wirtschaft schon längere Zeit weit verbreitet, ist seine Benennung auch für öffentliche Stellen nunmehr eine neue Option.

Benennung Datenschutzbeauftragter: Schaffung einer effektiven Datenschutzorganisation

Ein interner oder externer Datenschutzbeauftragter überwacht die Einhaltung der DSGVO sowie der relevanten weiteren Datenschutzgesetze. Er unterstützt den Verantwortlichen dabei, der so genannten Rechenschaftspflicht hinsichtlich der durchgeführten Datenverarbeitungen nachzukommen. Hierzu überprüft ein interner oder externer Datenschutzbeauftragter insbesondere das Datenschutzkonzept des Verantwortlichen, etwa die Zuweisung von Zuständigkeiten im Unternehmen und die Sensibilisierung und Schulung der betreffenden Mitarbeiter.

Ein interner oder externer Datenschutzbeauftragter berät den Verantwortlichen zu allen datenschutzrechtlichen Fragestellungen. Er fungiert als Ansprechpartner im Tagesgeschäft für die Entscheidungsträger der verarbeitenden Stelle.

Ein interner oder externer Datenschutzbeauftragter kann darüber hinaus von den betroffenen Personen in allen datenschutzrechtlichen Angelegenheiten vertraulich kontaktiert werden. Zudem dient er als Anlaufstelle für die Aufsichtsbehörden.

Benennung externer Datenschutzbeauftragter: Vorteile gegenüber einem internen Datenschutzbeauftragten

In der DSGVO ist nunmehr explizit vorgesehen, dass ein externer Datenschutzbeauftragter benannt werden darf. Für die Verantwortlichen hat die Benennung eines externen Datenschutzbeauftragten mehrere Vorteile: Ein externer Datenschutzbeauftragter ist regelmäßig auf das Datenschutzrecht spezialisiert und bringt daher aktuelles und umfassendes Fachwissen mit. Aufgrund seiner beruflichen Erfahrung kann die betreute Stelle wesentlich von Synergieeffekten profitieren. In Anbetracht der erheblich gestiegenen Bußgeldhöhen bei der unrechtmäßigen Verarbeitung personenbezogener Daten, kann ein externer Datenschutzbeauftragter diese Risiken gegebenenfalls mit seiner Beraterhaftung auffangen.

Ein externer Datenschutzbeauftragter schont personelle Ressourcen. Auch seine Stellvertretung wird in der Regel durch den externen Dienstleister gewährleistet. Kosten für die Fortbildung und Schulung sowie für räumliche und personelle Ressourcen entfallen. Soweit der externe Datenschutzbeauftragte den Verantwortlichen mit seiner Beratungsleistung enttäuscht, kann sich dieser aufgrund eingeschränkten Kündigungsschutzes regelmäßig leichter trennen, als dies bei einem internen Datenschutzbeauftragten möglich ist.

Benennung Datenschutzbeauftragter: Schutz der guten Reputation

Ein externer Datenschutzbeauftragter fördert die Rechtssicherheit beim Mandanten. Soweit ein professioneller Dienstleister hinsichtlich der Benennung eines Datenschutzbeauftragten ausgewählt wird, sichert dies in der Regel die gute Reputation des Verantwortlichen. Insoweit profitiert ein externer Datenschutzbeauftragter insbesondere von seinen Erfahrungen beim Kontakt mit den Aufsichtsbehörden.

Nach der Datenschutz-Grundverordnung (DSGVO) ist ein interner oder externer Datenschutzbeauftragter nur unter bestimmten Voraussetzungen zu benennen, insbesondere wenn es sich um eine öffentliche Stelle handelt oder – bei nicht-öffentlichen Stellen – die Verarbeitung personenbezogener Daten als Haupttätigkeit die umfangreiche Verarbeitung besonders sensibler Daten umfasst. Darüber hinaus muss in Deutschland jede nicht-öffentliche Stelle einen Datenschutzbeauftragten benennen, wenn mindestens 20 Mitarbeiter ständig personenbezogene Daten verarbeiten.

Die Benennung eines externen Datenschutzbeauftragten hat mehrere Vorteile: Aufgrund seines beruflichen Schwerpunkts ist er auf Datenschutz und Datensicherheit spezialisiert. Da ein externer Dienstleister eine Vielzahl von Organisationen berät, profitieren diese von erheblichen Synergieeffekten. Weil ein externer Datenschutzbeauftragter für Fehlberatung haftet, werden durch seine Benennung die Risiken aufgrund von Bußgeldern und Schadensersatzforderungen gemildert. Darüber hinaus gilt der strenge arbeitsrechtliche Kündigungsschutz für ihn regelmäßig nur in eingeschränktem Umfang.

Ein „outgesourcter“, externer Datenschutzbeauftragter entlastet durch die Übernahme des Amts des Datenschutzbeauftragten interne Personalressourcen. Insoweit entfallen u.a. erhebliche Aus- und Fortbildungskosten, die für einen internen Datenschutzbeauftragten aufgewandt werden müssten. Aufgrund seiner Fachkenntnisse und Erfahrungen kann ein externer Dienstleister effizient und risikobasiert beraten und so eine unnötige Einbindung interner Ressourcen vermeiden. Er benötigt zudem keinen festen Arbeitsplatz nebst betrieblichen Arbeitsmitteln und kann einen Stellvertreter aus den eigenen Reihen stellen.

Ein externer Datenschutzbeauftragter bewahrt die beratene Organisation aufgrund seines risikobewährten und effektiven Vorgehens vor Datenschutzverletzungen, die zu Imageschäden und Bußgeldern führen können. Soweit ein renommierter und erfahrener externer Dienstleister beauftragt wird, profitiert die betreute Organisation von seinem guten Ruf bei Aufsichtsbehörden, Verbraucherschutzverbänden, Gewerkschaften und Betriebsräten. Dieser gute Ruf eines professionellen externen Datenschutzbeauftragten kann sich auch positiv auf Kundenbeziehungen und die Kooperation mit Businesspartnern auswirken.

Ein interner oder externer Datenschutzbeauftragter hat insbesondere eine beratende und unterrichtende Funktion. Insoweit trägt er zu einer datenschutzkonformen Ausgestaltung und Anwendung von IT-Systemen bei und sensibilisiert die zuständigen Mitarbeiter entsprechend. Darüber hinaus überwacht er die Einhaltung der Datenschutzgesetze und entsprechender interner Vorgaben. Der Datenschutzbeauftragte muss im Fall einer sogenannten Datenschutz-Folgenabschätzung beratend hinzugezogen werden. Zudem fungiert er als Anlaufstelle für betroffene Personen und die Aufsichtsbehörden.

Ein Datenschutzbeauftragter kann sämtliche weiteren Aufgaben wahrnehmen, soweit diese nicht zu einem Interessenskonflikt mit seinen gesetzlichen Aufgaben führen. Unproblematisch kann ein interner oder externer Datenschutzbeauftragter regelmäßig eingesetzt werden bei der Unterstützung zur Entwicklung von Konzepten etwa zur Information, Dokumentation, Risikobewertung, Auftragsverarbeitung, gemeinsamen Verantwortlichkeit, Einwilligung, Löschung und Bearbeitung von Betroffenenrechten. Häufig wird ein Datenschutzbeauftragter in der Praxis mit der Durchführung von Schulungen und Audits betraut.

Ein Datenschutzbeauftragter erfüllt einen gesetzlich vorgegebenen Aufgabenkatalog. Dieser umfasst insbesondere Beratungs-, Unterrichtungs- und Kontrolltätigkeiten. Die operative Umsetzung von Datenschutzmaßnahmen gewährleistet ein interner oder externer Datenschutzbeauftragter hingegen nicht. Dies ist Aufgabe der Fachbereiche. Soweit die verarbeitende Stelle keine besonderen Datenschutzrisiken aufweist, kann das Amt des Datenschutzbeauftragten mit überschaubarem Aufwand wahrgenommen werden. Beim internen Datenschutzbeauftragten fallen allerdings nicht unerhebliche Aus- und Weiterbildungszeiten zusätzlich an.