Was ist ein externer Datenschutzbeauftragter?

Share on facebook
Share on twitter
Share on linkedin
Share on google

Hier finden Sie einfach erklärt was ein externer Datenschutzbeauftragter und interner Datenschutzbeauftragter ist. Wo sind die Vorteile und Nachteile eines internen und externen Datenschutzbeauftragten? Was sind die Aufgaben eines Datenschutzbeauftragten? Das sind Fragen vor denen jedes Unternehmen und Verein steht. Wir versuchen Ihnen ausführliche Antworten zu geben.

Inhaltsverzeichnis

Personenbezogene Daten durch Experten schützen lassen

In Europa erhält der Schutz der personenbezogenen Daten eine immer höher werdende Bedeutung. Er wird wichtiger und stärker reguliert, aber gleichzeitig auch komplexer. In vielen Unternehmen und Vereine sollten dem Thema spätestens seit Inkrafttreten der europäischen Datenschutzgrundverordnung (EU-DSGVO) im Mai 2018 höchste Priorität einräumen. Beispielsweise Bankinstitute, Anwaltskanzleien oder Arztpraxis, in denen Unternehmen ein hohes Maß an sensiblen personenbezogenen Daten verarbeiten. Dies liegt zum einen daran, dass die Daten umfangreicher zu schützen sind. Ein Verstoß kann zu hohen Geldstrafen in Höhe von bis zu 4% des weltweiten Nettoumsatzes oder bis zu 20 Millionen Euro führen. 

Ab wann benötigen Sie einen Datenschutzbeauftragten?

Zum eigenen Schutz und um einen Verstoß zu verhindern, sollten sich alle Unternehmen gründlich darüber informieren, ob sie zu der Bestellung eines Datenschutzbeauftragten verpflichtet sind oder nicht. Denn gegen das nationale Datenschutzrecht, in Deutschland das neue Bundesdatenschutzgesetz (BDSG-neu), sowie die europaweit geltende EU-DSGVO ist strafbar. Im Zusammenhang mit dem BDSG-neu werden diese Regelungen im § 38 festgehalten. In der EU-DSGVO kommt Artikel 37 zum Tragen, falls eine umfangreiche und systematische Beobachtung von Personen besteht. Artikel 9 und 10 der EU-DSGVO erhält Bedeutung, wenn besonders sensible personenbezogene Daten verarbeitet werden. Beispielsweise kann dies bezüglich der politischen Überzeugungen oder die ethnische Herkunft eintreffen. Doch auch innerhalb der unterschiedlichen Datengruppierungen gibt es auch eine Priorisierung. Während die politischen Überzeugungen oder der Gewerkschaftszugehörigkeit ein eher geringer Stellenwert eingeräumt wird, steigt dieser bei der ethnischen Herkunft. Die höchste Schutzwürdigkeit haben die biometrischen Daten sowie Gesundheitsdaten.

Update 2020: Bennung eines Datenschutzbeauftragten ab 20 Mitarbeiter

Allgemein müssen Unternehmen und Vereine mit mehr als 20 Mitarbeiter einen Datenschutzbeauftragten benennen. Diese 20 Mitarbeiter müssen regelmäßigen Kontakt mit elektronisch gespeicherten Daten haben. Darunter fällt das lesen, schreiben und löschen von personenbezogenen Daten.

 

Das Jobprofil eines Datenschutzbeauftragten 

Doch wie sieht das Jobprofil eines Datenschutzbeauftragten oder DSB eigentlich aus? Welche Funktionen übt er aus und was fällt in sein Aufgabengebiet? Im Kern beraten sie die Verantwortlichen im Unternehmen in allen Aspekten des Datenschutzes. Der Verantworliche ist zumeist der Geschäftsführer. Der DSB entwickelt Prozesse zur Sicherstellung des Datenschutzes im Unternehmen und kontrolliert die Einhaltung aller getroffenen Maßnahmen. Außerdem ist er auch für sachgemäße Löschung von personenbezogenen Daten zuständig, damit „Recht auf Löschung“ wahrgenommen werden kann. Der Datenschutzbeauftragte hat ein vielfältiges Aufgabengebiet. Das Aufgabengebiet des DSB steht in Abhängigkeit zur Größe einer Organisation. Ohne einen Anspruch auf Vollständigkeit erheben zu wollen, sind in folgender Liste die wichtigsten Tätigkeiten eines DSB enthalten:

  1. Erstellung von Richtlinien

    Bei der Erstellung von organisatorischen Dokumenten berät der Datenschutzbeauftragte den Verantwortlichen, meist Geschäftsführer selbst, bezüglich des Datenschutzes. Mit seiner Hilfe kann man beispielsweise eine datenschutzkonforme Betriebsvereinbarung oder Datennutzung entwickeln.

  2. Beratungstätigkeiten im Datenschutz

    Der DSB berät die Unternehmensführung in der Erstellung der Datenschutzerklärungen der Webseite. Ein wesentlicher Bestandteil ist die lückenlose Erfüllung und Dokumentation aller Rechenschafts- und Nachweispflichten bei personenbezogenen Daten. Dies ist ein Indiz für gelebten Datenschutz.

  3. Erstellung der Datenschutz Folgenabschätzung (DSFA)

    Bei risikobehafteten Verarbeitungsvorgängen mit personenbezogenen Daten führt der DSB eine Einschätzung der möglichen Folgen für betroffene Personen. Ebenfalls werden die Rechte durch.

  4. Erstellung des Verzeichnisses für Verarbeitungstätigkeiten

    Auftragsverarbeiter, die im Auftrag des Unternehmens Daten verarbeiten, als auch die Verantwortlichen im Unternehmen müssen ein Verzeichnis der Verarbeitungstätigkeiten erstellen und aktuell halten. Datenschutzbeauftragte Personen unterstützen bei der Konzeption des Verzeichnisses und würdigen dieses Verzeichnis.

  5. Datenschutzvorfälle

    Tritt ein Datenschutzvorfall, beispielsweise durch Hacking ein, muss der DSB abschätzen können, ob eine gesetzliche Meldung erforderlich ist. Sofern zutreffend muss er der Meldepflicht innerhalb von 72 Stunden gegenüber der Aufsichtsbehörde nachkommen. Diese doch recht knappe Frist macht es erforderlich, effiziente Unternehmensprozesse zu entwickeln, die ein sofortiges Handeln möglich macht. Da jeder Sicherheitsvoll unterschiedlich in seiner Schwere ausfällt, müssen in schwierigen Fällen auch betroffene Personen informiert werden. Allerdings kann ein DSB in datenrechtlichen Fragen nur beratend agrieren und dafür sorgen, dass der Datenschutz tatsächlich umgesetzt wird. Bei einem Datenklau oder einer Hacking-Attacke, bei der Daten verloren gehen, haftet die verantwortliche Person – zumeist der Geschäftsführer des Unternehmens.

Wann muss ein interner oder externer Datenschutzbeauftragter bestellt werden?

Die rechtlichen Vorgaben, die im Artikel 37 I der EU-DSGVO formuliert sind, müssen betroffene Unternehmen anwenden. Genau dann, wenn der Datenschutz personenbezogener Daten zu den Kerntätigkeiten gehört. Klassische Beispiele sind Social-Media-Plattformen, Versicherungen und Sicherheitsunternehmen, aber auch Arztpraxis oder Anwaltskanzlei. Der Begriff „Kerntätigkeit“ bedeutet in diesem Zusammenhang, dass man einen Datenschutzbeauftragten vor allem bei wichtigen Tätigkeiten bestellen muss. Nicht aber um alltäglich vorkommende Verwaltungsaufgaben. Für jedes Unternehmen heißt dies zunächst einmal herauszufinden, ob das eigene Unternehmen gesetzlichen verpflichtet ist, einen DSB zu bestellen. Nach dem Gesetz geht es nicht nur um die personenbezogenen Daten, die online bzw. über den Einsatz der IT verwendet werden.

Was ist mit den Offline Daten, die abgespeichert sind?

Auch auf personenbezogene Daten, die offline gelagert werden, hat die EU-DSGVO einen Einfluss. Denn auch diese realen Daten müssen den Vorschriften gemäß verarbeitet werden. Wenn allerdings mindestens einer der folgenden Punkte zutreffen bedeutet dies automatisch, dass das Unternehmen offiziell einen Datenschutzbeauftragten bestellen muss:

  • Die unternehmerische Haupttätigkeit besteht in engstem Zusammenhang mit der Verarbeitung von personenbezogenen Daten, die für die Betroffenen mit einer regelmäßigen und systematischen Überwachung notwendig macht.
  • Im Unternehmen mindestens zwanzig Mitarbeiter mit der Verarbeitung von unterschiedlichen Arten von Daten betraut sind.
  • Unternehmen hauptsächlich Daten verarbeiten, die zu den besonderen Datenkategorien laut Artikel 9 DSGVO zu zählen sind. Dazu gehören beispielsweise Daten bezüglich ethnischer Herkunft, biometrische oder genetische Daten sowie die Gesundheitsdaten einer Person.
  • Unternehmen laut Artikel 35 EU-DSGVO nach dem Gesetz verpflichtet sind, eine Datenschutz Folgenabschätzung durchzuführen.
  • Unternehmen verarbeiten personenbezogene Daten geschäftsmäßig und zum Zweck der Markt- und Meinungsforschung. Beispielsweise Agenturen der Marktforschung und der Erstellung von Kundenprofilen.

Die personenbezogenen Daten des bestellten Datenschutzbeauftragten müssen Sie nicht nur an die Aufsichtsbehörde melden. Auch in der Datenschutzerklärung einer Webseite müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht sein. Sonst kann es zu Verstößen und entsprechenden Abmahnungen kommen. Muss ein Unternehmen einen Datenschutzbeauftragten bestellen, kann es selbst entscheiden, ob ein interner oder externer DSB zu bestellen ist.

Ein interner Datenschutzbeauftragter ist also ein Arbeitnehmer aus den eigenen Reihen. Ein externer Datenschutzbeauftragter, d.h. ein Experte aus der Wirtschaft, kann man ebenfalls beauftragten . Die Berufung selbst muss bei den Aufsichtsbehörden schriftlich erfolgen. Bei Großkonzernen, die mehrere Tochterunternehmen haben, muss die Benennung der DSBs für jedes einzelne Tochterunternehmen einzeln erfolgen.

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr

Was ist besser – ein interner vs. ein externer Datenschutzbeauftragter?

Ist ein Unternehmen oder eine Praxis verpflichtet, einen DSB zu bestellen, kann es selbst festlegen, ob als DSB um einen Mitarbeiter des Unternehmens eingesetzt werden soll oder ob es für das Unternehmen sinnvoller ist, einen externen DSB damit zu beauftragen, die datenschutzrechtliche Prozesse zu etablieren und die Einhaltung der Vorschriften der EU-DSGVO zu überwachen. Hier finden Sie informationen über die Rolle der Datenschutzbeauftragten:

Ein interner Datenschutzbeauftragter ist bereits Mitarbeiter eines Unternehmens und kennt die eigenen Unternehmensprozesse. Zumeist ist er kein Fachmann, sollte aber alle Voraussetzungen für die Durchführung einer derart verantwortungsvollen Tätigkeit verfügen. Mit passenden Schulungen werden wichtige Kompetenzen vermittelt, die zum Ausüben der Rollen benötigt werden. Kommt es zu einem Sicherheitsvorfall kann dies bedeuten, ist das Geschick sowie die Erfahrung im Datenschutz bedeutend für richtiges oder falsches Handeln.

Wird ein  externer Datenschutzbeauftragter  mit dem Datenschutz im Unternehmen beauftragt, handelt es sich um zertifizierte Experten von einem Fremdunternehmen. Durch immenses Fachwissen kann eine umfassend Beratung erfolgen. Es können Mitarbeiter geschult und das Thema Datenschutz ganz oben auf die Agenda gesetzt werden. So können Unternehmen sicher sein, dass sich das Risiko eines Sicherheitsvorfalls reduzieren lässt und alle Voraussetzungen und Notwendigkeiten geschaffen werden, um mit der EU-DSGVO bestmöglich umzugehen. Im Ernstfall kann der externe Datenschutzbeauftragte auf sein eigenes Netzwerk zurückgreifen.

Welche Vorteile hat ein externer Datenschutzbeauftragter ?

  • Schonung der eigenen personellen Ressourcen
    Gerade in den Zeiten, wo es gar nicht einmal so einfach ist, gutes Fachpersonal zu bekommen, sollte das Fachpersonal für den Datenschutz von außen kommen. Dies bedeutet für das Unternehmen „einen Mitarbeiter mehr“.
  • Neutralität und unabhängige Entscheidungen
    Der Einsatz eines externen DSB vermeidet Interessenkonflikte innerhalb der Mitarbeiter – ein Grundwert für jeden DSB. Der externe DSB ist unparteiisch und reagiert unvoreingenommen.
  • Umfangreiches Know-How
    Externe DSBs verfügen über ein immenses Fachwissen im Bereich der Security und sind zertifiziert. Außerdem fallen aufgrund der bereits vorhandenen Expertise keinerlei Kosten für Weiterbildungen an, da die rasanten Entwicklungen ein aktuelles Fachwissen fordert, auf das sofort zugegriffen werden kann.
  • Klare Kostenstrukturen
    Da die Kosten für die Dienstleistungen im Vorfeld klar beziffert wurden und der externe DSB sich ausnahmslos und vollumfänglichen um den Datenschutz kümmert, können die Kostenfaktoren eindeutig zugeordnet werden.
  • Schnelle Kündigung
    Ist das Unternehmen nicht mit der Leistung des externen DSB zufrieden, so kann er ihn schnell von seinen Aufgaben entbinden. Im Falle eines internen DSB besteht Kündigungsschutz, der schwer anfechtbar ist.

Fazit –  Externer Datenschutzbeauftragter als Lösung

Alle Unternehmen, die aufgrund der EU-DSGVO einen DSB benötigen, können sich frei entscheiden, ob sie einen internen oder einen externen DSB einsetzen wollen. Interne DSB kümmern sich neben der eigentlichen beruflichen Tätigkeit zusätzlich um die Einhaltung des Datenschutz, sodass die eigene Tätigkeit eingeschränkt ausgeübt werden kann, spezielle Schulungen und Weiterbildungen erforderlich sind, die Transparenz leidet und der entsprechende Mitarbeiter Kündigungsschutz erhält. Außerdem kommt es schnell zu Interessenskonflikten, die es – laut der EU-DSGVO – nicht geben darf. Die Fakten sprechen klar für die Bestellung eines externen Datenschutzbeauftragten, der dem Unternehmen die folgenden Vorteile bringt:

Außerdem muss ein externer Datenschutzbeauftragter für seine Beratungsleistung haften. Im Falle des Einsatzes eines internen Datenschutzbeauftragten müsste der Geschäftsführer die komplette Haftung übernehmen. Für Unternehmen bedeutet dies eine wesentliche Risikominimierung

Externer DSB gesucht? Jetzt externen Datenschutzbeauftragten finden!

Schritt 1 von 4

Wo befindet sich Ihre Firma ?

Sie haben Fragen? Direkten Kontakt aufnehmen:

Geschäftszeiten: Mo. bis Fr., 9 bis 19 Uhr