Foxlaw - Externer Datenschutzbeauftragter – kostengünstig beauftragen und Rechtssicherheit schaffen

Externer Datenschutzbeauftragter – kostengünstig beauftragen und Rechtssicherheit schaffen

Details: Erstellt: Samstag, 29. Juli 2023 09:07

Die Rolle des - internen oder externen - Datenschutzbeauftragten ist von großer Bedeutung, da dieser als unabhängige und kompetente Person fungiert, die für Datenschutzfragen innerhalb der Organisation verantwortlich ist. Der Datenschutzbeauftragte unterstützt das Unternehmen dabei, die Anforderungen der DSGVO zu verstehen und umzusetzen. Darüber hinaus ist der Datenschutzbeauftragte der Ansprechpartner für Aufsichtsbehörden und betroffene Personen, wenn es um Fragen zum Datenschutz oder mögliche Verstöße geht.

Wann eine Bestellung erforderlich ist - die Rechtsgrundlagen

Gemäß der Datenschutz-Grundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) sind bestimmte Organisationen und Unternehmen verpflichtet, einen Datenschutzbeauftragten zu ernennen. Die Hauptaufgabe des Datenschutzbeauftragten besteht darin, die Einhaltung der Datenschutzvorschriften sicherzustellen und den Schutz personenbezogener Daten innerhalb der Organisation zu gewährleisten.

Die DSGVO sieht in Art. 37 vor, dass ein Datenschutzbeauftragter - unabhängig von der Anzahl von Beschäftigten in einem Unternehmen - ernannt werden muss, wenn

es sich bei der Verarbeitung personenbezogener Daten einer öffentlichen Stelle oder Behörde um eine Organisation handelt, deren Kerntätigkeit in der umfangreichen und systematischen Überwachung von betroffenen Personen besteht oder
die Datenverarbeitung in großem Umfang sensible Daten wie Gesundheitsdaten (besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO) oder Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) betrifft.

Damit stellt die DSGVO die sogenannten „Kerntätigkeiten“ in den Mittelpunkt der Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Dies sind Tätigkeiten, die aus Datenverarbeitungsvorgängen bestehen, die eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen ermöglichen.

Ergänzend dazu sieht § 38 BDSG vor, dass eine Datenschutzbeauftragter stets dann zu bestellen ist, wenn

in der Regel mindestens 20 Personen 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (das betrifft z.B. Datenverarbeitungen unter Einsatz von EDV wie Outlook oder Excel, aber auch Softwareprogramme z.B. in Marketing- oder Sales-Abteilungen.),
Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen (erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat) oder
personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann, vgl. § 38 Abs. 2 BDSG.

Die Ernennung eines Datenschutzbeauftragten muss der Aufsichtsbehörde gemeldet werden, und der Datenschutzbeauftragte sollte in der Lage sein, seine Kontaktdaten der Öffentlichkeit zugänglich zu machen. Dies gewährleistet Transparenz und erleichtert es betroffenen Personen, sich bei Bedenken oder Fragen zum Datenschutz an den Datenschutzbeauftragten zu wenden.

Hohe Bußgelder bei Verletzung der Pflicht zur Bestellung

Jedes Unternehmen sollte genau prüfen, ob die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht. Wer keinen Datenschutzbeauftragten bestellt, obgleich er aufgrund der gesetzlichen Normen dazu verpflichtet wäre, riskiert gemäß Art. 83 Abs. 4 lit. a DSGVO ein Bußgeld von bis zu 10 Millionen EURO oder 2 % des weltweiten Jahresumsatzes.

Die Qualifikationen

Um als Datenschutzbeauftragter tätig zu sein, muss eine Person über fundierte Kenntnisse im Datenschutzrecht und in den datenschutzrelevanten Verfahren der Organisation verfügen. Es ist wichtig, dass der Datenschutzbeauftragte unabhängig agieren kann und keinen Interessenkonflikten unterliegt, die die Ausübung seiner Aufgaben beeinträchtigen könnten.

Insgesamt ist die Bestellung eines Datenschutzbeauftragten ein wesentlicher Schritt für Unternehmen und Organisationen, um sicherzustellen, dass sie die Datenschutzbestimmungen der DSGVO einhalten und den Schutz personenbezogener Daten ernst nehmen. Durch die Zusammenarbeit mit einem kompetenten Datenschutzbeauftragten können Unternehmen das Vertrauen ihrer Kunden und Partner stärken und potenziellen rechtlichen Konsequenzen vorbeugen, die aus Verstößen gegen den Datenschutz resultieren könnten.

Mit der Benennung eines externen Datenschutzbeauftragten steht dem Verantwortlichen ein Experte auf dem Gebiet Datenschutz zur Seite, der in der Lage ist, das Unternehmen bei der Erfüllung der Datenschutzpflichten unterstützen kann. Darüber hinaus haftet der Datenschutzbeauftragte neben dem Unternehmen auch im Fall einer Datenschutzverletzung – und zwar verschuldensabhängig. Die Haftung des Verantwortlichen (des Unternehmens) bleibt hierbei unberührt.

Die Haftung

Der interne Datenschutzbeauftragte ist zunächst grundsätzlich nicht für die betriebliche Datenverarbeitung und Datenschutzverstöße des Unternehmens verantwortlich, haftet daher in diesen Fällen auch nicht. Der Datenschutzbeauftragte fungiert vielmehr als Kontrollinstanz und Berater. Auch kann der Datenschutzbeauftragter dem Unternehmen und seinen Mitarbeitern grundsätzlich keine Weisungen erteilen, sodass er nicht in der Lage ist, mögliche Missstände im Unternehmen selbst abzustellen oder drohende Datenschutzverstöße zu vermeiden.

Externe Datenschutzbeauftragte hingegen haften schon bei leichter Fahrlässigkeit in voller Höhe. Daher vereinbaren viele externe Datenschutzbeauftragte vertraglich eine Haftungsprivilegierung oder einen Haftungsausschluss bei leichter oder mittlerer Fahrlässigkeit. Für diese Haftungsfälle haben die meisten seriösen und professionellen externen Datenschutzbeauftragten eine Vermögenschadenshaftpflichtversicherung abgeschlossen, die im Haftungsfall dann eintritt. Voraussetzung aber ist, dass das Haftungsrisiko und die für die Übernahme des Risikos im Wege der Beauftragung vereinbarte Vergütung in einem angemessenen Verhältnis stehen.

Die Kosten

Die Kosten für die Beauftragung eines externen Datenschutzbeauftragten variieren durchaus, richten sich aber in der Regel nach der Größe des Unternehmens und dem Umfang der Datenverarbeitung. Daraus ergibt sich der Umfang der Beratung und des Risikos, der wiederum den Preis bestimmt.

In der Regel sind professionelle Anbieter schon zu Kosten von 1.500 – 2.000 € pro Jahr zu haben. Dabei setzen sich die Kosten meist aus einer sogenannten „Haftungspauschale“ sowie einem vereinbarten Stundensatz für aktive Tätigkeiten des Datenschutzbeauftragten zusammen. Die Haftungspauschale dient im Schadensfall der Übernahme des Schadens durch die Vermögensschadenshaftpflichtversicherung, s. oben unter „Haftung“.

Die Beauftragung

Für die Beauftragung bedarf es einer schriftlichen Bestellung als externer Datenschutzbeauftragter. Professionelle Anbieter stellen hier entsprechende Musterschreiben oder Vorlagen bereit, so auch unsere Kanzlei. Darin wird auch definiert, ob die Bestellung befristet oder unbefristet erfolgt.

Nach der Bestellung nimmt der Datenschutzbeauftragter dann alle bereits bestehenden Verzeichnisse, Dokumente, Unterlagen etc. zunächst entgegen. Sollten ein Datenschutzaudit oder die Erstellung von Datenschutzdokumenten erforderlich sein, kann dies mit dem externen Datenschutzbeauftragten abgestimmt und dann gesondert budgetiert, beauftragt und umgesetzt werden.

Referenzen

Unsere Kanzlei ist bereits für einige Unternehmen als externer Datenschutzbeauftragter bestellt und tätig, dazu zählen etwa Gesundheitseinrichtungen (Kliniken), Handwerksorganisationen und -betriebe, gewerbliche Unternehmer, Werbe-, Internet- und Beratungsagenturen.

Daraus ergeben sich dann für neue Mandate Synergien bei der Erstellung & Überarbeitung von Dokumenten, die genutzt werden können.

Kontaktieren Sie uns gerne für ein unverbindliches Angebot!