Externer Datenschutzbeauftragter – Begriffsbedeutung, Aufgaben & Vorteile im Überblick

Der externe Datenschutzbeauftragte hilft den Unternehmen, von denen er beauftragt wurde, bei der Organisation, Umsetzung und Optimierung ihres Datenschutzes. Für Ihr Unternehmen wiederum bedeutet das, dass sich jemand um Ihren Datenschutz kümmert und dafür sorgt, dass in Ihrem Unternehmen alles DSGVO-konform abläuft. Dadurch reduzieren Sie nicht nur Stress und schonen Ihre Nerven, sondern schützen sich außerdem effizient vor Bußgeldern, Abmahnungen oder anderen rechtlichen Konsequenzen.

Grundsätzlich erfüllen externe Datenschutzbeauftragte die Aufgaben, die auch interne Datenschutzbeauftragte ausführen würden. Sie beraten das Unternehmen und allen voran die Geschäftsführung zu datenschutzrechtlichen Fragen und achten auf die Einhaltung der DSGVO. Dies ist insbesondere deshalb relevant, da mit dieser Verordnung neue verbindliche Vorgaben festgelegt worden sind, die den Umgang mit personenbezogenen Daten regeln.

Der Art. 5 Abs. 2 DSGVO regelt die sogenannte „Rechenschaftspflicht“, die besagt, dass der Verantwortliche, also das den (externen) Datenschutzbeauftragten benennende Unternehmen, die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten gewährleisten muss. Weiterhin muss der Verantwortliche bzw. das den Datenschutzbeauftragten benennende Unternehmen in der Lage sein, nachweisen zu können, dass diese Grundsätze eingehalten worden sind. Durch diese spezifische Regelung sind Unternehmen auch zur Durchführung weitreichender Dokumentation verpflichtet.

Konkrete Aufgaben, die ein Datenschutzbeauftragter zu erfüllen hat, sind in Art. 38 DSGVO und Art. 39 DSGVO geregelt. Aufteilen lassen sich die darin festgelegten Tätigkeitsfelder auf die Aufgaben des Datenschutzbeauftragten im Unternehmen selbst, seine Rolle gegenüber Aufsichtsbehörden sowie seine Verpflichtung gegenüber Betroffenen. Daraus ergeben sich die wesentlichen Aufgaben eines externen Datenschutzbeauftragten, die nachfolgend aufgelistet sind:

• Beratung des Unternehmens/der Geschäftsführung hinsichtlich der Einhaltung datenschutzrechtlicher Verpflichtungen & Berücksichtigung des DSGVO
• Überwachung datenverarbeitender Prozesse & damit verbundene Prüfung, ob gesetzliche Anforderungen eingehalten werden
• Durchführung von Mitarbeiterschulungen mit dem Ziel, diesen die Vorschriften der DSGVO & weitere Vorschriften im Bereich des Datenschutzes vorzustellen & zu erläutern
• Unternehmensrepräsentation bei datenschutzrechtlichen Fragen
• Transparente Gestaltung der Datenverarbeitungsprozesse
• Ansprechpartner bei datenschutzrechtlichen Fragen
• Permanente Überprüfung und Unterstützung bei der Führung eines allzeit aktualisierten Verfahrensverzeichnisses, das Form und Umfang der Datenverarbeitung im Unternehmen dokumentiert
• Kooperation mit Aufsichtsbehörde und Kontrollinstitutionen

Wenn ein Unternehmen nach der DSGVO dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, muss es sich entscheiden, ob es einen internen oder externen Datenschutzbeauftragten wählt. Aufgrund der Komplexität der Aufgaben, die ein Datenschutzbeauftragter erfüllen muss, wäre die Freistellung eines Mitarbeiters von seiner Haupttätigkeit notwendig, damit er diesen nachkommen kann. Eine weitere Voraussetzung wäre die ausführliche Schulung des Mitarbeiters, damit dieser das notwendige Fachwissen zu datenschutzrechtlichen Fragen erwerben kann.

Die dadurch entstehenden Kosten für das Unternehmen sowie die an den Mitarbeiter gestellten Anforderungen und damit verbundene mögliche Belastung, sollten Unternehmen nicht unterschätzen. Daher lohnt es sich, die Bestellung eines externen Datenschutzbeauftragten in Erwägung zu ziehen und die damit verbundenen Vorteile zu nutzen:

• Aktuelles Fachwissen durch permanente Weiterbildung
• Planungssicherheit durch vertraglich festgelegte Kosten
• Rechtliche Absicherung des Unternehmens – volle Haftung des externen Datenschutzbeauftragten für vertraglich vereinbarte Aufgaben
• Höhere Akzeptanz in der Belegschaft gegenüber den vorgeschlagenen Maßnahmen, wenn außenstehender Dritter diese heranträgt
• Neutralität und Unabhängigkeit des Beauftragten gegenüber Mitarbeitern, Management & Geschäftsführung des Unternehmens verhindert Interessenskonflikte
• Während bei externen Datenschutzbeauftragten eine fristgerechte Kündigung möglich ist, unterliegen interne Datenschutzbeauftragte einem besonderen Kündigungsschutz.
• Personelle Ressourcen werden geschont, da die Mitarbeiter nicht als Datenschutzbeauftragte abbestellt werden müssen, sondern ein externer Dienstleister diese Aufgabe übernimmt.
• Schulungserfahrung – Beschäftigte des Unternehmens werden geschult und für das Thema Datenschutz sensibilisiert.

Um den Datenschutzanforderungen der europäischen Datenschutzgrundverordnung gerecht zu werden, ist die Bestellung eines Datenschutzbeauftragten nach Art. 37 I DSGVO verpflichtend, wenn die darin aufgeführten Anforderungen erfüllt werden. Für alle Unternehmen ist die Bestellung von externen Datenschutzbeauftragten dann empfehlenswert, wenn sie die Aufgaben an einen Spezialisten weitergeben möchten.

Die wesentlichen Voraussetzungen, die darüber entscheiden, ob die Bestellung eines Datenschutzbeauftragten nach Art. 37 I DSGVO notwendig ist, lauten:

• Die Durchführung der Datenverarbeitung erfolgt durch eine Behörde oder öffentliche Stelle. Lediglich Gerichte zählen nicht dazu, wenn diese im Rahmen ihrer justiziellen Tätigkeit handeln.
• Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Datenverarbeitung, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.
• Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien, die in Art. 9 DSGVO geregelt sind. Dazu zählen z. B. Gesundheitsdaten, Daten über die sexuelle Orientierung einer Person oder Gewerkschaftszugehörigkeiten.
• Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO.

Ergänzend zu den in Art. 37 I DSGVO aufgeführten Voraussetzungen, ist die Bestellung eines Datenschutzbeauftragten nach § 38 BDSG außerdem in den folgenden Fällen erforderlich:

• Mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
• Die Mindestanzahl an Beschäftigten gilt nicht für Verantwortliche oder Auftragsverarbeiter, die einer Datenschutz-Folgenabschätzung nach Art. 35 der Verordnung (EU) 2016/679 unterliegen.
• Weiterhin gilt die Mindestanzahl an Beschäftigten nicht, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Zu beachten gilt, dass zu den mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten Personen auch IT-Mitarbeiter, Teilzeitkräfte, Auszubildende und Leiharbeiter zählen.

Die Kosten für den Einsatz eines externen Datenschutzbeauftragten sind abhängig von dem Beratungsbedarf eines Unternehmens. Die Betrachtung der jeweiligen Branche kann ein Anhaltspunkt dafür sein, wie hoch der Bedarf für Beratungen im Bereich Datenschutz tatsächlich ist. Weiterhin ist die Höhe der Kosten auch davon abhängig, wie der Arbeitsaufwand zwischen dem externen Datenschutzbeauftragten und ggf. weiteren zuständigen Mitarbeitern aufgeteilt wird.

Auf den ersten Blick mag der Kostenaufwand für die Bestellung eines externen Datenschutzbeauftragten so wirken, als würden zusätzliche Kosten anfallen. Dieser Gedanke berücksichtigt jedoch nicht, dass ein interner Datenschutzbeauftragter von seinen eigentlichen Aufgaben befreit werden muss. Dementsprechend würde eine Arbeitskraft in dem Bereich fehlen, in dem der interne Datenschutzbeauftragte zuvor tätig war oder ein Aufgabenbereich könnte darunter leiden, wenn ein Mitarbeiter zeitgleich seine regulären Aufgaben bearbeiten und sich nebenbei um das Thema Datenschutz kümmern muss. Im Gegensatz dazu können sich externe Datenschutzbeauftragte vollständig um alle Fragen und Aufgaben rund um den Datenschutz kümmern. Sie besitzen zudem bereits fachliche Expertise und umgehen Interessenkonflikte im Unternehmen, da Sie als unabhängige Dritte agieren.

Eine pauschale Aussage zu den Kosten eines externen Datenschutzbeauftragten lässt sich an diese Stelle nicht treffen. Hierzu benötigen wir unter anderem weitere Informationen zu Ihrer Branche sowie dem geplanten Umfang der Tätigkeit. Kontaktieren Sie uns gerne, wenn Sie Interesse an der Bestellung eines externen Datenschutzbeauftragten haben. Gerne erstellen wir Ihnen auf Anfrage ein Angebot, das eine realistische Kostenkalkulation berücksichtigt, die individuell auf Ihren Bedarf und Ihre Anforderungen abgestimmt wird.