Externer Datenschutzbeauftragter: Benennen Sie einen Experten

Brauchen wir für unser Unternehmen einen Datenschutzbeauftragten?

Wann Unternehmen in Deutschland einen Datenschutzbeauftragten benennen müssen, ergibt sich aus Art. 37 DSGVO und § 38 BDSG. Die Rechtslage lässt sich vereinfacht so zusammenfassen:

Ein Datenschutzbeauftragter muss benannt werden, wenn …

  • regelmäßig mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind
  • zur Kerntätigkeit des Unternehmens die Verarbeitung personenbezogener Daten gehört, die die systematische Überwachung von Personen erforderlich macht
  • zur Kerntätigkeit des Unternehmens die Verarbeitung besonders geschützter personenbezogener Daten gehört (etwa Daten zur ethnischen Herkunft, zu politischen Meinungen, zur Religion oder zur Gewerkschaftszugehörigkeit, zur sexuellen Orientierung sowie biometrische, genetische und Gesundheitsdaten)
  • die Datenverarbeitung des Unternehmens eine Datenschutz-Folgeeinschätzung (Art 35 DSGVO) erforderlich macht, oder das Unternehmen geschäftsmäßig im Rahmen von Datenübermittlung oder Markt- und Meinungsforschung mit personenbezogenen Daten zu tun hat

Das klingt vielleicht so, als ob nur wenige Unternehmen betroffen wären, aber das Gegenteil ist der Fall. Die genannten Voraussetzungen liegen häufiger vor als gedacht.

 Die Zehn-Personen-Schwelle ist bereits erreicht, wenn insgesamt für mehr als zehn Mitarbeiter der Umgang mit personenbezogenen Daten zur Kerntätigkeit gehört – etwa, weil sie als IT-Administrator IP- und E-Mail-Adressen oder die Datenbank mit Kundendaten verwalten, weil sie als Vertriebsmitarbeiter Privatadressen und Zahlungsangaben aufnehmen oder weil sie im Rechnungswesen Gehaltszahlungen und Inkassovorgänge bearbeiten.

Braucht Ihr Unternehmen einen Datenschutzbeauftragten? Wenn Sie nicht sicher sind: Fragen Sie einfach. Rechtsanwalt von Zanthier kann Ihnen schnell und verlässlich Auskunft geben.

Externer oder interner Datenschutzbeauftragter?

Unternehmen, die einen Datenschutzbeauftragten benennen, haben die Wahl:

  • Sie können einen Mitarbeiter des Unternehmens als internen Datenschutzbeauftragte für diese Position auswählen
  • Oder sie schließen einen Vertrag mit einem externen Datenschutzbeauftragten

Wie immer man sich entscheidet: Eine Alibi-Benennung ist keineswegs ratsam. Die DSGVO ist in diesem Punkt eindeutig: „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.“ (Art. 37 Abs. 5 DSGVO).

Nur Datenschutz-Fachleute können die Rolle als Datenschutzbeauftragter ausfüllen. Wird ein nicht qualifizierter Datenschutzbeauftragter benannt, ist dies ein Verstoß gegen die DSGVO.

Mit einem Anwalt als externem Datenschutzbeauftragten sind Sie auf der sicheren Seite

Es gibt eine ganze Reihe von Gründen, die für einen fachkundigen externen Datenschutzbeauftragten wie Rechtsanwalt Henning von Zanthier sprechen:

  • Sie können sich auf Rechtsanwalt von Zanthiers Fachkenntnis und praktische Erfahrung verlassen. Er ist für eine Vielzahl von Unternehmen und Organisationen als Datenschutzbeauftragter tätig, hat Routine im Umgang mit den Aufsichtsbehörden und kennt mögliche Konflikte und ihre Lösungsmöglichkeiten aus eigener Erfahrung. Dieses praktische Know-how ist eine unschätzbare Ergänzung zu seiner juristischen Kompetenz im Datenschutzrecht.
  • Die laufenden Kosten für Weiterbildungen und Qualifikationsmaßnahmen, die bei einem internen Datenschutzbeauftragten erforderlich wären, entfallen.
  • Die Vergütung der Tätigkeit des externen Datenschutzbeauftragten erfolgt aufwandsbezogen. Werden im Unternehmen personenbezogene Daten nur in einem überschaubaren Ausmaß verarbeitet, halten sich auch die Kosten für den Datenschutzbeauftragten im Rahmen.
  • Gemäß Art. 38 Abs. 3 muss die Unternehmensleitung sicherstellen, dass der Datenschutzbeauftragte keine Anweisungen bezüglich dieser Tätigkeit erhält. Das kann bei einem Arbeitnehmer schnell zu Konflikten führen. Solche Hierarchiequerelen im eigenen Haus lassen sich durch die Zusammenarbeit mit Anwalt von Zanthier als einem professionellen externen Berater vermeiden.
     
  • Ein externer Datenschutzbeauftragter haftet gegenüber seinem Auftraggeber für die korrekte Erfüllung dieser Aufgabe. Angesichts der hohen Kosten, die Datenschutzverletzungen nach sich ziehen können (von Marktverlusten bis hin zur teuren Pflicht, alle Geschädigten zu informieren), stellt dieser Umstand ein wichtiges Plus an zusätzlicher Sicherheit dar. Dagegen haftet ein zum Datenschutzbeauftragten bestellter eigener Mitarbeiter für mögliche Fehler nur als Arbeitnehmer – und das heißt: nur sehr eingeschränkt

Erfahrungsgemäß ist für die meisten Unternehmen ein externer Datenschutzbeauftragter sowohl günstiger als auch sicherer.

Was macht ein Datenschutzbeauftragter eigentlich?

Der Datenschutzbeauftragte muss …

  • das Unternehmen (und dessen „Auftragsverarbeiter“, etwa einen Cloud-Provider oder den Lohnabrechnungs-Service) über datenschutzrechtliche Pflichten aufklären
  • die Einhaltung der Datenschutzvorschriften im Betriebsalltag überwachen
  • als Schnittstelle zu den Aufsichtsbehörden fungieren

Der Datenschutzbeauftragte hat also die Aufgabe, die Unternehmensleitung auf Pflichten und Risiken im Zusammenhang mit personenbezogenen Daten hinzuweisen. Außerdem muss er mögliche Datenschutzverstöße möglichst frühzeitig erkennen und unterbinden. Dagegen hat er keine Befugnis, den Geschäftsführern oder dem Vorstand Vorgaben zu erteilen oder deren Entscheidungsbefugnis einzuschränken.

Ihr Datenschutzbeauftragter ist Ihr Dienstleister, und diese Rolle nimmt Rechtsanwalt von Zanthier ernst.

Haben Sie Fragen an Rechtsanwalt von Zanthier oder Interesse an einer Benennung als externem Datenschutzbeauftragten?

Nehmen Sie einfach Kontakt auf – Sie erreichen ihn unter berlin@vonzanthier.com.