Bernhard Krämer

Webentwickler / IT-Berater

Externer Datenschutzbeauftragter

Welche Aufgaben übernimmt ein externer Datenschutzbeauftragter?

Die Aufgaben eines Datenschutzbauftragten ergeben sich unter anderem aus Art. 39 DSGVO. Darin heißt es:

(1) Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

d) Zusammenarbeit mit der Aufsichtsbehörde;

e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(2) Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Art. 39 DSGVO – https://dsgvo-gesetz.de/art-39-dsgvo/

Im Klartext bedeutet dies, dass der Datenschutzbeauftragte den Mitarbeitern des Unternehmens als fachlicher Ansprechpartner zu Fragen rund um den Datenschutz zur Verfügung steht, Anliegen und Anfragen von Betroffenen oder Aufsichtsbehörden bearbeitet und die Beratung der Geschäftsleitung bei der Umsetzung der Datenschutzgesetzgebung übernimmt.

Das es für viele Unternehmen nicht rentabel ist, Mitarbeiter zu Datenschutzbeauftragten ausbilden zu lassen bzw. eine Stelle hierfür zu schaffen, werden oft externe Datenschutzbeauftragte berufen. Die gesetzlichen Aufgaben unterscheiden sich hierbei nicht, da das Gesetz zwischen internen und externen Datenschutzbeauftragten nicht unterscheidet. Zusätzliche Aufgaben ergeben sich jeweils aus dem Auftrag den das Unternehmen dem externen Datenschutzbeauftragten erteilt und werden in der Regel vertraglich geregelt.

Wer braucht einen externen Datenschutzbeauftragten?

Wann ein Datenschutzbeauftragter bestellt werden muss ergibt sich aus Art. 37 DSGVO und § 38 BDSG. Ein Datenschutzbeauftragter ist demnach u. a. in folgenden Fällen zu bestellen:

  • Wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle (mit Ausnahme von Gerichten) durchgeführt wird.
  • Wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
  • Wenn ein Unternehmen mindestens zehn beschäftigt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beauftragt sind.
  • Unternehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen.
  • Markt- und Meinungsforschungsinstitute

Jedes Unternehmen muss selbst klären, ob es einer Bestellpflicht unterliegt und einen (internen oder externen) Datenschutzbeauftragten bestellen muss.

Wenn ein Unternehmen einen Datenschutzbeauftragten bestellen muss, obliegt es ihm, einen internen oder einen externen Datenschutzbeauftragten zu bestellen. Gerade bei kleinen Unternehmen ist ein externer Datenschutzbeauftragter meist kostengünstiger, da ein interner Datenschutzbeauftragter zunächst ausgebildet werden muss und während seiner Tätigkeit als DSB seiner regulären Tätigkeit i.d.R. nicht nachgehen kann.

Gerne unterstütze ich Sie bei der Klärung ob Sie einen Datenschutzbeauftragter bestellen müssen. Sprechen Sie mich gerne an.

Warum ein externer Datenschutzbeauftragter?

Grundsätzlich besteht keine Pflicht einen externen Datenschutzbeauftragten zu bestellen. Unternehmen können auch bestehende Mitarbeiter zu Datenschutzbeauftragten ausbilden lassen und ernennen oder Mitarbeiter als Datenschutzbeauftragte einstellen. Dennoch entscheiden sich viele Unternehmen für externe Datenschutzbeauftragte.

Gegenüber einem internen Datenschutzbeauftragten hat ein externer Datenschutzbeauftragter zahlreiche Vorteile. So verfügt dieser beispielsweise bereits über das notwendige Fachwissen, auf das direkt zurückgegriffen werden kann. Ist man mit dem Dienstleister nicht zufrieden, so kann ein externer Datenschutzbeauftragter vertragsabhängig leichter ausgetauscht werden. In der Regel ist ein externer Datenschutzbeauftragter auch günstiger als diese Rolle intern zu vergeben, da neben einer geringen Grundgebühr nur nach tatsächlichem Aufwand berechnet wird. Siehe dazu auch weiter unten.

Ist ein Datenschutzbeauftragter öffentlich zu benennen?

Ganz klar: Ja! Jedes Unternehmen muss in seiner (i. d. R. öffentlich einsehbaren) Datenschutzerklärung den Datenschutzbeauftragten und dessen Kontakt veröffentlichen. Dies ergibt sich aus Art. 13 Abs. 1 lit. b DSGVO und Art. 37 Abs. 7 DSGVO. Außerdem muss jedes Unternehmen (im Gesetz als „Verantwortlicher“ bezeichnet) seinen Datenschutzbeauftragten an die zuständige Datenschutzaufsichtbehörde melden (siehe
Art. 37 Abs. 7 DSGVO).

Was kann passieren, wenn kein Datenschutzbeauftragter bestellt wird?

Ist man zur Bestellung eines Datenschutzbeauftragten verpflichtet, tut dies jedoch nicht, so verstößt man gegen geltendes Recht. Die Aufsichtsbehörden können einen solchen Verstoß verfolgen und entsprechende Strafen verhängen. Wer auf die Bestellung eines Datenschutzbeauftragten verzichtet, vernachlässigt meist auch die Datenschutzdokumentation, was im Falle einer Prüfung ebenfalls negativ auffallen dürfte.

Da die Kontakt des Datenschutzbeauftragten auf der Website einsehbar sein müssen (in der Datenschutzerklärung) kann ein möglicher Mitbewerber auch feststellen, wenn dies nicht getan wurde und dies unter Umständen als wettbewerbswidriges Verhalten abmahnen. Ob ein solcher Verstoß abgemahnt werden kann ist aktuell noch nicht abschließend geklärt, die Gefahr besteht jedoch.

Was kostet ein externer Datenschutzbeauftragter?

Die Kosten eines externen Datenschutzbeauftragten hängen von der vereinbarten Leistung ab. Meist wird eine monatliche Grundgebühr fällig (ca. 140 – 250 €) in der die Bestellung und Meldung an die Aufsichtsbehörde, die Erreichbarkeit im Falle eines Anliegens oder einer Anfrage und je nach Vertragskonstellation auch ein Stundenkontingent enthalten ist. Der weitere Aufwand wird dann nach einem zuvor vereinbarten Stundenlohn bzw. Tagessatz abgerechnet. Auch ein Prepaid-Kontingent, bei dem der Kunde eine definierte Anzahl an Stunden kauft und diese dann nach Bedarf verbraucht, ist möglich.

Copyright © 2023 by Bernhard Krämer. All rights reserved.