Ab wann braucht mein Unternehmen einen Datenschutzbeauftragten?

Sobald 20 oder mehr Mitarbeiter ständig oder regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind, sind Sie generell zum Benennen eines Datenschutzbeauftragten verpflichtet. Unter dieser Mitarbeitergrenze ist ein Datenschutzbeauftragter auch dann ein Muss, wenn das Unternehmen Daten besonderer Kategorien (s. Artikel 9 und 10 DSGVO) in großem Umfang erhebt oder betroffene Personen systematisch überwacht.

Welche Aufgaben hat der externe Datenschutzbeauftragte?

Hierfür gibt es nun für Sie zwei Optionen: Sie beauftragen einen internen oder externen Datenschutzbeauftragten, der sich um die Datenschutzbelange Ihres Unternehmens kümmert. Grundsätzlich sind beide Varianten eines DSB dazu angehalten, dieselben Aufgaben zu erfüllen.

Die Arbeit gliedert sich dabei in zwei Stufen und läuft im besten Fall nach dem PDCA-Zyklus ab:

PLAN

DO

CHECK

ACT

1. Stufe:
Grundlagen für ausreichenden Datenschutz schaffen

  • Ihr Datenschutzbeauftragter prüft, wie mit Daten in Ihrem Unternehmen bisher umgegangen wurde und entwickelt ein Datenschutzkonzept.
  • Damit verlässlicher Datenschutz in Ihrem Unternehmen zur Routine wird, schult und unterstützt Ihr Datenschutzberater alle Mitarbeiter regelmäßig.
  • Als dritte Aufgabe dieser Stufe prüft Ihr Datenschutzbeauftragter die im Datenschutzkonzept vereinbarten Maßnahmen und kontrolliert, ob diese auch eingehalten werden.

2. Stufe:
Datenschutz aktuell halten

  • Der Datenschutzbeauftragte hält sich immer auf dem aktuellen Stand, was neue Urteile sowie Tools/Plug-Ins auf Ihrer Webseite betrifft. Sollten Konzepte zeitnah angepasst werden, empfiehlt er dies dem Verantwortlichen.
  • Er steht mit seinem Wissen bereit und beantwortet Fragen und Unsicherheiten kompetent und verständlich.
  • Zudem unterstützt Sie Ihr interner oder externer Datenschutzbeauftragter beim Überprüfen von Verträgen, sofern dort der Datenschutz thematisiert wird.

Interner oder externer Datenschutzbeauftragter? Hier liegen die Unterschiede.

Wer einen Datenschutzbeauftragten einstellen muss, steht erst einmal vielen Fragen gegenüber. Die wohl wichtigste Entscheidung lautet: Soll es ein interner oder ein externer Datenschutzbeauftragter sein?

Zehn Gründe sprechen meiner Meinung nach ganz klar gegen einen internen Datenschutzbeauftragten:

1.

Ein interner DSB muss aus- und regelmäßig weitergebildet werden

…denn ihm fällt das Wissen natürlich nicht in den Schoß. Für diese Kosten kommen Sie auf – während beim externen Datenschutzbeauftragten nur das monatliche Honorar anfällt.

2.

Der interne Datenschutzbeauftragter ist kein Vollzeit-DSB

Heißt: Für diesen Mitarbeiter fallen in den meisten Unternehmen nebenbei noch die üblichen Aufgaben des Daily Business an. Die Folge sind Überforderung und mangelhafte Ausführung, denn der Fokus liegt nicht allein auf dem Datenschutz.

3.

Die beschränkte Arbeitnehmer-Haftung

Begeht der interne DSB einen Fehler, aus der eine Datenpanne resultiert, liegt die Schuld bei Ihnen als Arbeitgeber. Ein externer Datenschutzbeauftragter hingegen würde die Kosten allein tragen.

4.

Interessenkonflikte

Interne Datenschutzbeauftragte arbeiten meist nicht neutral-objektiv – besonders, wenn sie einen Fehler bei einem beliebten Kollegen bemerken, wird dieser schon mal unter den Tisch gekehrt.

5.

Der interne DSB sieht den Wald vor Bäumen nicht

Im Gegensatz zum externen Datenschutzbeauftragten, der Abläufe aus verschiedensten Blickrichtungen betrachten kann, wird Ihr Mitarbeiter im schlimmsten Fall betriebsblind.

6.

Als Ihr Mitarbeiter genießt der interne DSB Kündigungsschutz

Ihrem internen Datenschutzbeauftragten können Sie nicht einfach kündigen. Es muss in jedem Fall ein objektiver, schwerwiegender Grund vorliegen. Diese Regel greift jedoch nur, wenn Sie aufgrund Ihrer Mitarbeiteranzahl dazu verpflichtet waren, einen Datenschutzbeauftragten zu berufen.

7.

Nur ein externer Datenschutzbeauftragter verfügt über breite Branchenerfahrung

So kann er oder sie mit einer ganzen Palette an Strategien und Erkenntnissen aufwarten, die Ihrem Mitarbeiter fehlen.

8.

Die mangelnde Erfahrung im Umgang mit Behörden

Wie oft kommt es denn vor, dass sich Ihre Mitarbeiter mit Behörden auseinandersetzen müssen? Im Ernstfall fehlt die Erfahrung – und das kann schnell in die Hose gehen. Lesen Sie dazu gerne das verlinkte Fallbeispiel.

9.

Wer macht die Urlaubsvertretung?

… und kümmert sich um den Datenschutz, wenn Ihr Mitarbeiter einige Wochen abwesend ist?

10.

Ihnen fehlt die Kostenkontrolle

Mit einem externen Datenschutzbeauftragten schließen Sie vorab einen Vertrag, in dem die Preise überschaubar und klar festgelegt sind. Keine Überraschungen auf der monatlichen Abrechnung.

Wie viel kostet ein externer Datenschutzbeauftragter?

Ein externer Datenschutzbeauftragter kostet Sie insgesamt weniger als ein interner Datenschutzbeauftragter!

Die Kosten setzen sich aus diesen Faktoren zusammen:

  1. Der Status quo Ihres Unternehmens – Größe, Branche, Aufgaben, Grundlagen
  2. Die Expertise Ihres gewählten Datenschutzbeauftragten
  3. Der Vertragsumfang

Mit einem externen Partner fallen einige Kostenfaktoren weg, die beim internen DSB anstehen: Fortbildungskosten, anteiliges Gehalt oder zusätzliche externe Beraterkosten. Bleiben am Ende nur noch Initialaufwand sowie laufende Kosten, die sich unterm Strich auf diese Summen belaufen:

  • Monatliche Pauschalen: 100 bis 1000 €
  • Jahresabrechnung: 1.200 bis 3.000 € (entspricht 100 bis 250 € im Monat)

Schauen Sie jedoch nicht allein auf die Kosten, sondern unbedingt auch auf die Qualifikationen!

Welche Qualifikationen muss ein Datenschutzbeauftragter haben?

Diese Punkte sind enorm wichtig, damit die Zusammenarbeit funktioniert und der Datenschutz zu jeder Zeit gewährleistet wird:

Der externe Datenschutzbeauftragte sollte echtes Interesse an regelmäßiger Weiterbildung mitbringen.

Datenschutzgesetze sind nicht in Stein gemeißelt und ändern sich immer wieder.

Der DSB braucht unbedingt IT-Wissen.

Was bringt Ihnen ein Datenschutzbeauftragter, der mit Internet und Computer völlig überfordert ist? Richtig – im 21. Jahrhundert rein gar nichts. Ein Datenschutzbeauftragter sollte in der Lage sein, Datenverarbeitungssysteme zu verstehen, um sie bewerten zu können. Und er sollte sich auch mit dem Internet auskennen, um dort die Datenschutzpflichten Ihres Unternehmens zu erfüllen.

Er sollte sich im Umgang mit Behörden auskennen

Was erwartet die Datenschutzbehörde bei einer Anfrage? Externe Datenschutzbeauftragte sollten wissen, an wen sie sich in Konfliktsituationen wenden können, um die Situation schnell und sachlich zu klären. Sie können Sie außerdem dabei unterstützen, Datenschutzanzeigen oder Anhörungsbögen korrekt auszufüllen, um eine Zuspitzung der Lage zu vermeiden.

Der DSB sollte mit gesundem Menschenverstand arbeiten

… statt mit Kanonen auf Spatzen zu schießen. Brachial alle Vorgaben 1:1 und in vollem Umfang umzusetzen, ist nicht immer notwendig.

Externe Datenschutzbeauftragte sind zertifiziert

Verschiedene Referenzen und Zertifizierungen zeigen Ihnen, dass der Beauftragte wirklich etwas von seinem Fach versteht. Sie können darauf vertrauen, dass er sich kompetent für Ihre Belange einsetzt.

Es stimmt auf zwischenmenschlicher Ebene

… auch wenn die fachliche Expertise natürlich wichtiger ist. Dennoch sollten Sie bei Ihrem Datenschutzbeauftragten das Gefühl haben, dass Sie ihm vertrauen können und dass er sich im Notfall für Ihr Unternehmen einsetzen wird.

Fazit: Entscheiden Sie sich für einen externen Datenschutzbeauftragten!

Auf den ersten Blick mag es die wirtschaftlich klügere Wahl sein, eine bereits angestellte Person mit dem Datenschutz zu beauftragen. Sowohl aus finanzieller als auch aus datenschutzrechtlicher Sicht hebt sich der externe Partner jedoch deutlich vom weitergebildeten Mitarbeiter ab und bietet Ihnen die Sicherheit, die Ihr Unternehmen beim Erfüllen verschiedener Datenschutz-Anforderungen braucht!