Vorteile bei der Bestellung eines externen Datenschutzbeauftragten

Welche Aufgaben übernimmt ein Datenschutzbeauftragter?

Der Aufgabenbereich eines Datenschutzbeauftragten ist vielfältig, dabei macht es keinen Unterschied, aufgrund welcher gesetzlichen Bestimmungen er bestellt wurde (siehe: Wann benötigen Unternehmen einen Datenschutzbeauftragten?). Ganz allgemein lassen sich die Hauptaufgabenfelder in drei Bereiche unterteilen:

Interne Aufgaben im Unternehmen

• Unterrichtung und Beratung sämtlicher Verantwortlichen und Beschäftigten
• Überwachung der Einhaltung der gesetzlichen Vorgaben in Bezug auf Datenschutz (BDSG, DSGVO, ePrivacy-Richtlinie etc.)
• Gegebenenfalls Datenschutz-Folgenabschätzung

Kooperation mit der zuständigen Aufsichtsbehörde

• Anlaufstelle und erster Ansprechpartner für die Behördenmitarbeiter
• Kooperative Zusammenarbeit mit der Behörde

Ansprechpartner für betroffene Personen

• Um dies jederzeit zu gewährleisten, muss das Unternehmen die Kontaktdaten des DSB veröffentlichen und für alle Mitarbeiter einsehbar machen

Was sind die konkreten Vorteile eines externen Datenschutzbeauftragten?

Grundsätzlich erfüllt ein externer Datenschutzbeauftragter dieselben Aufgaben wie ein interner. Im Gegensatz zu internen Datenschutzbeauftragten, die in der Regel erst einmal umfangreich geschult werden müssen, verfügt ein externer DSB über detailliertes Fachwissen.

Als Datenschutzexperte weiß er genau, welche Maßnahmen er umsetzen muss, um sämtliche Anforderungen an den Datenschutz zu erfüllen. Oftmals handelt es sich dabei um einen Rechtsanwalt für Datenschutzrecht, der auch um branchenspezifische Besonderheiten Bescheid weiß.

Insgesamt können Unternehmen durch die Bestellung eines externen Datenschutzbeauftragten von folgenden Vorteilen profitieren:

• Ein externer Datenschutzbeauftragter verursacht geringere und überschaubare Kosten. Durch Pauschalpreise werden diese Kosten zudem sehr transparent. Schulungsaufwand für interne Mitarbeiter ist nicht erforderlich und auch ein Arbeitsausfall muss nicht in Kauf genommen werden.
• Ein externer DSB erfüllt sämtliche gesetzlichen Anforderungen. Datenschutzrechtliche Weiterbildungen und Schulungen für die Qualifikation interner Datenschutzbeauftragter sind nicht notwendig.
• Externe DSB behalten die gesetzlichen Bestimmungen jederzeit im Blick, bilden sich stetig fort und sind so in der Lage, den Datenschutz betreffende Maßnahmen jederzeit an sich ändernde Regelungen anzupassen.
• Das Risiko für das Unternehmen selbst verringert sich, da durch die Bestellung eines externen Datenschutzbeauftragten die Grundsätze der beschränkten Arbeitnehmerhaftung nicht angewendet werden. Ein externer DSB ist stets selbst für sein Handeln verantwortlich. Außerdem unterliegt ein externer DSB nicht dem gesetzlich festgeschriebenen erweiterten Kündigungsschutz.
• Interessenskonflikte innerhalb des Unternehmens werden vermieden, da der externe Datenschutzbeauftragte nicht im Unternehmen verankert ist. Im Gegensatz zu einem internen DSB kann ein externer DSB seinen Aufgaben daher wesentlich unbefangener nachkommen.
• In vielen Fällen arbeiten auf Datenschutzrecht spezialisierte Anwälte als DSB und verfügen somit über interdisziplinäres Wissen aus mehreren Bereichen, wovon Unternehmen zusätzlich profitieren können.

Wann benötigen Unternehmen einen Datenschutzbeauftragten?

Die Bestellung eines Datenschutzbeauftragten ergibt sich aus den Regelungen des Bundesdatenschutzgesetzes (BDSG) und der DSGVO:

• In §38 (1) BDSG heißt es, dass jedes Unternehmen einen DSB bestellen muss, welches selbst oder im Auftrag ständig mindestens 20 Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt ist. Unabhängig von der Mitarbeiteranzahl ist in diesem Paragrafen zudem geregelt, dass Unternehmen, die personenbezogene Daten zum Zwecke der Übermittlung an Dritte oder zu Markt- oder Meinungsforschungszwecken verarbeiten.
• Ebenfalls unabhängig von der Anzahl der Mitarbeiter liegt auch dann eine Pflicht zur Bestellung vor, wenn das Unternehmen unabhängig von der Anzahl der Mitarbeiter Verarbeitungen personenbezogener Daten vornimmt, die einer Datenschutz-Folgeabschätzung (Artikel 35 DSGVO) unterliegen.
• Eine solche Datenschutz-Folgenabschätzung ist immer dann notwendig, wenn die Verarbeitung mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann. Das kann beispielsweise an bei einer umfangreichen Überwachung öffentlich zugänglicher Bereiche der Fall sein, oder wenn es sich um sehr sensible personenbezogene Informationen handelt.
• Artikel 37 b) DSGVO verpflichtet Unternehmen, die selbst oder im Auftrag Dritter Personen systematisch und umfangreich überwacht.
• In Artikel 37 c) sind die besonderen Kategorien aufgelistet, bei deren Verarbeitung Unternehmen immer einen Datenschutzbeauftragten bestellen müssen. Dazu zählen unter anderem genetische oder biometrische Daten, Gesundheitsdaten, politische Meinungen oder religiöse oder weltanschauliche Überzeugungen. Auch Daten über Straftaten und strafrechtliche Verurteilungen zählen zu dieser Kategorie.