Die Bestellung eines Datenschutzbeauftragten – Muss das sein? Die Antwort hierauf lautet in den meisten Fällen „Ja“. Vor allem kleinere Unternehmen sehen die Datenschutzvorschriften als kostspieliges Hindernis in der Unternehmensführung und vernachlässigen das sensible Thema Datenschutz. Diese Vernachlässigung kann allerdings für Unternehmen sehr teuer werden, da Datenschutz nicht nur für etablierte Konzerne relevant ist. Gerade Existenzgründer sind gut darin beraten datenschutzrechtliche Vorschriften zu beachten. Gerade bei kleinen- und mittelständischen Unternehmen (KMU) kann ein Imageschaden bei Datenschutzproblemen schnell das große Aus bedeuten, wenn beispielsweise bekannt wird, dass es zu einer Datenschutzpanne gekommen ist. ((Lesen Sie mehr dazu in unserem Artikel „Die größten unternehmerischen Datenschutzbrüche“)) Bedingt durch die neue EU-Datenschutzgrundverordnung (EU-DSGVO) werden die Folgen durch den erhöhten Strafrahmen für Datenschutzverstöße ab 2018 verschärft.((Lesen Sie mehr zu den Änderungen durch die EU-DSVGO in unserem Artikel: „EU-Datenschutzgrundverordnung – Das ist neu“)) Welche Arten von Datenschutzbeauftragten es gibt und warum sich vor allem für KMU ein externer Datenschutzbeauftragter lohnt, erfahren Sie in diesem Artikel.
Was ist ein Datenschutzbeauftragter?
Ein Datenschutzbeauftragter wirkt auf die Einhaltung des Datenschutzes hin. Er verarbeitet in der Regel nicht selbst personenbezogene Daten, sondern sorgt dafür, dass die für die Datenverarbeitung zuständigen Personen dem Datenschutz gerecht werden. Seine Aufgabe ist daher nicht nur durch Kontrolle, sondern auch durch Motivation und Information von Management und Mitarbeitern, den Datenschutz in deren Bewusstsein zu verankern und somit eine sensibilisierte Datenschutzkultur im Unternehmen aufzubauen. Der Datenschutzbeauftragte kann ein Mitarbeiter des Unternehmens sein – sog. interner Datenschutzbeauftragter – oder als externer Datenschutzbeauftragter bestellt werden. Welche Lösung für ein Unternehmen besser ist, hängt von der jeweiligen Ausgangssituation und der Größe des Unternehmens ab.
Der betriebliche bzw. interne Datenschutzbeauftragte ist in der Anwendung seiner Fachkunde auf dem Gebiet des Datenschutzrechtes weisungsfrei. Die Bestellung zum Datenschutzbeauftragten kann nur aus wichtigem Grund widerrufen werden. Besteht eine gesetzliche Pflicht zur Bestellung, so unterliegt der Datenschutzbeauftragte einem besonderen Kündigungsschutz. Nicht nur in Unternehmen, sondern auch Behörden und Kirchen sind unter bestimmten Voraussetzungen dazu verpflichtet einen Datenschutzbeauftragten zu bestellen((Auch Kirchen befassen sich mit sensiblen personenbezogenen Daten, sodass auch diese einen internen oder externen Datenschutzbeauftragten bestellen sollten. Aufgrund der Trennung zwischen Kirche und Staat gilt das Bundesdatenschutzgesetz und das Landesdatenschutzgesetz nicht für Kirchen. Diese haben das Recht ihre eigenen Verordnungen zu erlassen. So hat die Evangelische Kirche Deutschland (EKD) das Kirchengesetz über den Datenschutz in der EKD (DSG-EKD) und die katholische Kirche die Anordnung über den kirchlichen Datenschutz (KDO) erlassen. Die Bestellung des behördlichen DSB richtet sich nach den jeweiligen Landesdatenschutzgesetzen. Für den behördlichen DSB kommt grundsätzlich kein privater Dienstleister als externer DSB in Betracht. Es wird in der Regel jemand bestellt, der im öffentlichen Dienst arbeitet und über entsprechende Fachkunde verfügt. Der behördliche DSB hilft in der Umsetzung der Datenschutzvorschriften in der öffentlichen Stelle.)).
Aufgaben und Tätigkeit des Datenschutzbeauftragten
Die Institution des Datenschutzbeauftragten wurde mit Verabschiedung des Bundesdatenschutzgesetzes (BDSG) 1977 als Ausdruck der eigenverantwortlichen Selbstkontrolle bei der Verarbeitung personenbezogener Daten in Unternehmen geschaffen. Seitdem haben sich die Aufgabenstellung und Anforderungen im Wandel der technischen, rechtlichen und wirtschaftlichen Entwicklungen verändert. Es gibt kein starres Anforderungsprofil an einen Datenschutzbeauftragten. Der Datenschutzbeauftragte muss sich mit den Gegebenheiten des jeweiligen Betriebs auseinandersetzten und ein betriebsspezifisches, an die rechtlichen und technischen Entwicklungen angepasstes, Datenschutzkonzept entwickeln. Neben der Kontrolle der Einhaltung des Datenschutzes wirkt der Datenschutzbeauftragte präventiv auf die Einhaltung des Datenschutzes hin. Er überwacht die Datenverarbeitungsvorgänge und das datenverarbeitende Personal.
Vor allem aus dem BDSG ergeben sich die Aufgaben des Datenschutzbeauftragten:
- Prüfung und Überwachung der Auftragsdatenverarbeitung, § 11 BDSG
- Unterstützung bei der Erstellung des internen und öffentlichen Verfahrensverzeichnisses
- Prüfung der einzelnen technisch-organisatorischen Sicherungsmaßnahmen, § 9 BDSG
- Bearbeitung der Anfragen/Auskunftsersuchen von Betroffen, §§ 34, 35 BDSG
- Prüfung der Zulässigkeit der Übermittlung von personenbezogenen Daten in Drittstaaten, §§ 4b, 4c BDSG
- Durchführung der Vorabkontrolle, § 4d Abs. 4 BDSG
- Prüfung der Videoüberwachung in öffentlich zugänglichen Bereichen, § 6b BDSG und am Arbeitsplatz, § 32 BDSG
- Überwachung der Datennutzung für Marketing bzw. Werbung, §28 BDSG und §7 UWG
- Schulung der Mitarbeiter
Wann ist ein Unternehmen zur Bestellung eines Datenschutzbeauftragter verpflichtet?
Die vereinfachte Antwort auf diese Frage lautet: Sobald personenbezogene Daten automatisiert verarbeitet werden. Und etwas ausführlicher: Zum einen ist ein Datenschutzbeauftragter zu bestellen, wenn mindestens 10 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder Zugriff auf diese Daten haben.
Personenbezogene Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person((vgl. § 3 Abs. 1 BDSG)). „Automatisierte Verarbeitung“ bedeutet die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen((vgl. § 3 Abs. 2 BDSG)). Eine nicht-automatisierte Datei ist jede nicht-automatisierte Sammlung personenbezogener Daten, z.B. Kartei-Karten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann ((vgl. § 3 Abs. 2 BDSG)).
Zu anderen gilt für nicht-automatisierten Datenverarbeitung, dass hier eine Bestellpflicht erst ab 20 Beschäftigten zum Tragen kommt.
Teilzeitkräfte werden voll berücksichtigt. Maßgeblich ist nicht die Anzahl der Arbeitnehmer, sondern die der im Unternehmen tätigen „Personen“ (d.h. auch freie Mitarbeiter, Auszubildende und Geschäftsführer).
Ein Datenschutzbeauftragter muss aber, unabhängig von der Mitarbeiterzahl, auch dann bestellt werden, wenn das Unternehmen automatisierte Verarbeitungen durchführt, die einer sog. Vorabkontrolle unterliegen, oder wenn personenbezogene Daten geschäftsmäßig verarbeitet werden, um diese an Dritte weiterzugeben (z. B. Adressdatenhandel).
Aber auch wer keinen Datenschutzbeauftragten bestellen muss, sollte es dennoch in Erwägung ziehen. Dies bringt zwar zusätzliche Kosten für das Unternehmen mit sich, hat aber auch viele Vorteile, beispielsweise die Erhöhung des Vertrauens bei Kunden oder gesteigerte Chancen für Aufträge, da viele Auftraggeber die Bestellung eines Datenschutzbeauftragten in ihren Verträgen voraussetzen.((Mehr dazu lesen Sie auch in unserem Artikel „Transparenter Datenschutz schafft Vertrauen“))
Wer kann zum DSB bestellt werden?
Das BDSG schreibt in § 4f Abs. 2 S.1 vor, dass der Datenschutzbeauftragte Fachkunde und Zuverlässigkeit besitzen muss, ohne diese Begriffe näher zu erläutern. Konkretisiert wurden diese Fähigkeiten in einem Urteil des Landgerichts Ulm((Landgericht Ulm (Az.: 5T 153/90-01 LG Ulm))), welches zudem bestätigt hat, dass der DSB ein eigenständiger Beruf ist. Unter Fachkunde sind technische, rechtliche und organisatorische Kenntnisse zu verstehen. Der Datenschutzbeauftragte muss anhand dieser Kenntnisse in der Lage sein, seine Aufgabe zu erfüllen. Zur Fachkunde stellte das Ulmer Landgericht fest, dass die Anforderungen an einen Datenschutzbeauftragten mindestens folgende Punkte umfasse:
- Anwendung der Vorschriften der Datenschutzgesetze des Bundes und der Länder und aller anderen den Datenschutz betreffenden
- Rechtsvorschriften,
- Kenntnisse der betrieblichen Organisation,
- didaktische Fähigkeiten,
- psychologisches Einfühlungsvermögen,
- Organisationstalent,
- angemessener Umgang in Konflikten um seine Person, seine Funktion und seine Aufgabe.
Interner oder externer Datenschutzbeauftragter?
Soll ein Datenschutzbeauftragter im Unternehmen bestellt werden, so stellt sich die Frage, ob für das Unternehmen ein interner oder externer Datenschutzbeauftragter vorteilhafter ist.
Der interne Datenschutzbeauftragte muss ein bestimmtes Zeitkontingent für die Wahrnehmung dieser Funktion freigestellt bekommen. Des Weiteren hat er ein Recht auf Fort- und Weiterbildung, um seine Fachkunde auf dem neuesten Stand zu halten. Der interne Datenschutzbeauftragte hat außerdem seine Verschwiegenheitspflicht zu wahren. Bei der Wahl dieser Person ist insbesondere darauf zu achten, dass kein Interessenskonflikt bestehen darf. Mitglieder der Unternehmensleitung, EDV-Abteilungsleiter oder Personalleiter können nicht als interner Datenschutzbeauftragter fungieren.
Alternativ kann ein externer Datenschutzbeauftragter bestellt werden. Ein externer Datenschutzbeauftragter lohnt sich aus den folgenden Gründen:
- Schnelllebigkeit von Gesetzen: Kaum auf einem anderen Rechtsgebiet gibt es so häufig Gesetzesänderungen wie im Datenschutz. Als Beispiel sei hier die neue EU-DSVGO genannt. Die verschiedenen Vorschriften im Datenschutzrecht kontinuierlich zu überblicken und in praktischen Prozessen anzuwenden ist für kleine Unternehmen sehr aufwändig. Deshalb bietet es sich an einen externen Datenschutzbeauftragten zu bestellen, der in diesem Bereich das entsprechende Wissen und die notwendige Erfahrung mitbringt. Ein externer Datenschutzbeauftragter berät in der Regel mehrere Unternehmen zum Thema Datenschutz und kann daher auf einen reichen Erfahrungsschatz zurückgreifen.
- Einarbeitung: Ein unerfahrener interner Datenschutzbeauftragter muss sich in seine neue Aufgabe zunächst einarbeiten und ist aus diesem Grund in der Regel weniger effizient. Mit hoher Wahrscheinlichkeit muss zusätzliche externe Unterstützung eingekauft werden. Zudem muss das Unternehmen die Kosten für seine Aus- und Fortbildung zahlen.
- Seriosität: Wettbewerbsvorteil, Kundenvertrauen, Vertrauen bei Investoren und Kooperationspartnern – Wenn Unternehmen einen externen Datenschutzbeauftragten einsetzen, macht dies einen professionellen und seriösen Eindruck.
- Kündigungsschutz: Der interne Datenschutzbeauftragte kann nur unter hohem Aufwand abberufen werden und genießt Kündigungsschutz. Dies ist bei einem externen Datenschutzbeauftragten nicht der Fall: Hier gelten die regulären Kündigungsfristen des jeweiligen Bestellungsvertrags.
- Haftungsrisiko: Geschäftsführer können mit einem regelkonformen Datenschutz das eigene Haftungsrisiko minimieren.
- Neutralität: Ein externer Datenschutzbeauftragter hat einen neutralen Blickwinkel und leidet nicht unter „Betriebsblindheit“. Sie reduzieren das Risiko eines unternehmensinternen Interessenskonflikts.
Welche Konsequenzen hat die Nichtbestellung für Unternehmen?
Wird der Datenschutzbeauftragte vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße geahndet werden kann. Derzeit können bis zu 50.000 Euro Bußgeld für die fehlende Bestellung eines Datenschutzbeauftragte((vgl. § 43 Abs. 1 BDSG)) verhängt werden. Mit Einführung der EU-DSVGO werden diese Strafen drastischer ausfallen: Bei Datenschutzverstößen müssen Unternehmen künftig bis zu 20 Millionen Euro oder vier Prozent ihres Jahresumsatzes als Strafe zahlen.((Lesen Sie mehr zu den Änderungen durch die EU-DSVGO in unserem Artikel: „EU-Datenschutzgrundverordnung – Das ist neu“)) Außerdem droht dem Unternehmen ein vermeidbarer Imageschaden. Ein externer DSB lohnt sich, auch für kleine Unternehmen und Start-Ups.
Investieren Sie jetzt in einen externen Datenschutzbeauftragten. Wir beraten Ihr Unternehmen gerne. Mit unserer Erfahrung und unseren erprobten Datenschutzkonzepten erreicht Ihr Unternehmen schnell und effizient das erforderliche Datenschutzniveau zu transparenten Kosten.
Wenn Sie Hilfe benötigen, kontaktieren Sie uns.