Externer Datenschutzbeauftragter: Aufgaben, Rechte und Pflichten

Für öffentliche Stellen, wie Behörden, Schulen und Kindergärten, ist die Benennung eines Datenschutzbeauftragtenverpflichtend.

Für nicht öffentliche Stellen, wie z.B. Unternehmen, besteht gemäß DSGVO eine Pflicht zur Benennung eines Datenschutzbeauftragten, wenn bestimmte Voraussetzungen vorliegen. So ist die Benennung verpflichtend, wenn

• die Kerntätigkeit der Organisation in einer umfangreichen Verarbeitung besonders sensibler personenbezogener Daten, wie Gesundheitsdaten, Daten über religiöse oder weltanschauliche Überzeugungen oder Daten über strafrechtliche Verurteilungen und Straftaten, besteht oder
• die Kerntätigkeit aus Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen mit sich bringen.

Des Weiteren erlaubt die DSGVO den Mitgliedstaaten, zusätzliche nationale Regelungen zur Benennung eines Datenschutzbeauftragten aufzustellen. Deutschland hat hiervon Gebrauch gemacht. Gemäß dem Bundesdatenschutzgesetz (BDSG n.F.) ist der Verantwortliche einer Datenverarbeitung verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn

• in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
• Verarbeitungen vorgenommen werden, die einer Datenschutzfolgenabschätzung unterliegen oder
• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden.

Sofern keine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht, kann diese freiwillig erfolgen. Das hat den Vorteil, dass ein ständiger Ansprechpartner für den Datenschutz verfügbar ist.

Der Datenschutzbeauftragte soll eine Eigenkontrolle hinsichtlich der Einhaltung von datenschutzrechtlichen Vorschriften ermöglichen.

Zu seinen Aufgaben zählen

• die Unterrichtung und Beratung des Verantwortlichen für die Datenverarbeitung (z.B. die Geschäftsführung) und der Mitarbeiter über bestehende datenschutzrechtliche Pflichten,
• die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften (DSGVO, BDSG sowie weitere Rechtsvorschriften),
• die Sensibilisierung und Schulung der Mitarbeiter,
• Beratung im Zusammenhang mit der Datenschutzfolgenabschätzung sowie
• die Zusammenarbeit mit der Aufsichtsbehörde.

Die Aufgaben, aber auch die Verantwortung des Datenschutzbeauftragten sind durch die DSGVO deutlich gewachsen. Eine angemessene Aufgabenerfüllung ist nur möglich, wenn der Datenschutzbeauftragte über hinreichende berufliche Qualifikationen und Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügt. 

Grundsätzlich sind zum einen die Benennung eines Beschäftigten der jeweiligen Organisation als Datenschutzbeauftragter (interner Datenschutzbeauftragter) und zum anderen die Benennung eines externen Datenschutzbeauftragten auf Basis eines Dienstleistungsvertrages zulässig. Aufgrund der umfangreichen Aufgaben und der erforderlichen Expertise hat sich in der Praxis gezeigt, dass eine externe Lösung eine Vielzahl von Vorteilenmit sich bringt:

Zu den Vorteilen des externen Datenschutzbeauftragten zählen

• die bereits vorhandene Fachkompetenz und umfassende Erfahrungen,
• eine unvoreingenommene Herangehensweise,
• das Nichtbestehen von Interessenkonflikten,
• die einfache Abberufung, da im Unterschied zum internen Datenschutzbeauftragten kein besonderer Kündigungsschutz besteht,
• der Wegfall von Kosten für Fort- und Weiterbildung.

Ein Nachteil eines externen Datenschutzbeauftragten ist, dass er sich zunächst in die Besonderheiten und Prozesse der jeweiligen Organisation einarbeiten muss. 

Die Nichtbenennung eines Datenschutzbeauftragten trotz bestehender Verpflichtung stellt einen Verstoß gegen die DSGVO dar und kann mit Bußgeldern von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden.

Demzufolge sollten alle Unternehmen und Nonprofit-Organisationen prüfen, ob sie zur Benennung eines Datenschutzbeauftragten verpflichtet sind. Gern unterstützen unsere Experten für Datenschutz Sie hierbei! 

Ihr Datenschutzmanagement in Expertenhänden: Wir stellen gern den externen Datenschutzbeauftragten für Ihre Organisation oder beraten und unterstützen Ihren betrieblichen Datenschutzbeauftragten im Einzelfall.

Die Leistung als externer Datenschutzbeauftragter umfasst:

• Datenschutzrechtliche Beurteilung von neuen Projekten und Beratung hinsichtlich der datenschutzkonformen Umsetzung
• Unterrichtung und Beratung der Geschäftsführung und der Mitarbeiter zu datenschutzrechtlichen Fragestellungen
• Bewertung bestehender und Beratung zur Einführung geeigneter technischer und organisatorischer Maßnahmen
• Unterstützung des internen Datenschutzbeauftragten im Einzelfall („training on the job“)
• Zusammenarbeit mit Aufsichtsbehörden
• Durchführung von Datenschutzschulungen für Mitarbeiter
• Unterstützung bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten
• Unterstützung bei der Durchführung von Datenschutzfolgenabschätzungen
• Beratung bei Verträgen mit Kunden und externen Dienstleistern oder beim Datenaustausch innerhalb eines Konzerns, national wie international
• Unterstützung bei der Einführung von Verfahren zur Wahrnehmung von Betroffenenrechten
• Bewertung von Datenpannen und Sicherstellung damit verbundener Meldepflichten