Die Pflicht zum Datenschutzbeauftragten

Seit dem 25. März 2018 bestimmt die Europäische Datenschutzgrundverordnung (DSGVO), konkretisiert durch das Bundesdatenschutzgesetz, dass Unternehmen und andere Einrichtungen, in denen mehr als 20 Personen regelmäßig mit der Verarbeitung personenbezogener Daten zu tun haben, einen Datenschutzbeauftragten bestimmen müssen. Das Gesetz lässt den Betrieben dabei aber die Wahl, einen Datenschutzbeauftragten einzustellen, oder aber extern zu bestellen. Die Wahl zwischen einer internen und externen Lösung sollte wohl überlegt abgewogen und geplant werden, um eine bestmögliche und wirtschaftliche Entscheidung zu treffen.

Vor- und Nachteile einer internen oder externen Lösung

Zwar kennen interne Beauftragte das Unternehmen, seine Mitarbeiter und die Problemstellungen, doch können sich aus diesen Tatsachen Probleme ergeben, die wiederum die Bestellung eines externen Datenschutzexperten sinnvoller machen. Dazu gehört beispielsweise die Betriebsblindheit des Kandidaten. Nach vielen Jahren und innerbetrieblichen Kontakten ist es schwieriger, neue Lösungsansätze zu erkennen, die sich positiv für das Unternehmen auswirken können. Auch wenn ein interner Datenschutzbeauftragter während seiner Amtszeit einen besonderen Kündigungsschutz genießt, so denkt er doch schon heute über seine spätere Zukunft im Unternehmen nach. Diese beruflichen Perspektiven sind nicht selten vom Wohlwollen der Verantwortlichen abhängig. Wurde der interne Datenbeauftragte benannt, kann er sich auf das besondere Kündigungsschutzrecht berufen. Auch nach seiner Abberufung kann ihn das Unternehmen erst nach zwei Jahren kündigen.

Hier liegen die Vorteile, die ein externer Datenschutz-Beauftragter bietet. Der Auftraggeber bleibt in allen Fällen flexibel – der Vertrag mit einem externen Datenschutz-Beauftragten kann im Rahmen der vereinbarten Kündigungsfristen aufgelöst werden. Externer Datenschutz bedeutet auch, dass die Experten die Abläufe innerhalb des Unternehmens unter objektiven Gesichtspunkten betrachten und keine Rücksicht auf persönliche Befindlichkeiten von Mitarbeitern nehmen. Dabei verbinden sie ihre lokalen, überregionalen, branchenspezifischen und unternehmensübergreifenden Erfahrungen mit den gesetzlichen Vorgaben. Als selbständige Dienstleister obliegt ihnen auch die obligatorische Haftung für die von ihnen verursachten Schäden, die das Unternehmen beispielsweise in Form von Bußgeldern erleidet.

Wir von Datenschutz Greifswald verfügen neben der notwendigen Qualifikation über umfassende Praxiserfahrung aus ihren Standorten etwa in Anklam, Greifswald, Löcknitz, Usedom, Ueckermünde oder Stettin, aber auch aus der landesweiten Tätigkeit in Mecklenburg-Vorpommern.  Diese Erfahrungen bringen wir vor Ort bei Ihnen ein.

Welche Risiken sind mit der internen Lösung verbunden?

Konzerne und große Unternehmen richten Stabsstellen ein, die sich mit umfangreichen finanziellen Ressourcen den Herausforderungen des Datenschutzes annehmen.

Kleine und mittlere Unternehmen im Landkreis Vorpommern-Greifswald arbeiten mit kleinerer Belegschaft und in der Regel begrenzten Budgets. Die ausgewählten Mitarbeiter werden nach ihren Schulungen mit dem internen Datenschutz konfrontiert, den sie in das vorhandene System integrieren sollen. Obwohl die meisten freigestellt werden, kümmern sich viele zusätzlich um ihre sekundären Aufgabenbereiche. Während der Fortbildungen erlangen sie jedoch nur ein begrenztes theoretisches Wissen, das Raum für signifikante Fehler lässt. Diese können leicht zu Verstößen gegen das Datenschutzgesetz führen und werden mit Bußgeldern bedroht und belegt. Das Problem wird durch folgendes Beispiel verdeutlicht:

Beispiel: Interner Datenschutzbeauftragter

Die Computer X GmbH beschäftigt fünfzig Mitarbeiter, von denen 21 in der Datenverarbeitung arbeiten. Das Unternehmen muss aufgrund seiner Struktur einen Beauftragten für Datenschutz ernennen. Die Wahl der Geschäftsleitung fällt auf Elke A, die als stellvertretende Leiterin der EDV schon eine anspruchsvolle Stelle bekleidet. Ihr Geschäftsführer schickt sie zu einer Schulung. Sie erhält viele Informationen, die sie im Rahmen ihrer neuen Funktion im Unternehmen umsetzt. Leider unterlaufen ihr einige gravierende Fehler, die sie aufgrund ihrer geringen Erfahrung auf diesem neuen Gebiet nicht erkennen kann. Als diese Verstöße der Aufsichtsbehörde bekannt werden, verhängt das Amt eine fünfstellige Geldbuße. Auch wenn sie nach § 41 des neuen BDSG nicht für das Bußgeld haftet, ist der Vorgang sowohl für das Unternehmen als auch für Elke A. unangenehm und teuer. Daran ändern weder das besondere Kündigungsschutzrecht als auch das Zeugnisverweigerungsrecht nichts.

Hätte der Auftraggeber statt Elke A. den externen Spezialisten der Datenschutz Nordost gewählt, so könnte er von Anfang an auf ein ausgewähltes Experten-Team zurückgreifen. An den Standorten in Schwerin, Neubrandenburg, Rostock und Güstrow finden die mit einander kooperierenden Unternehmen praxisrelevante Antworten, um mit ihren Kollegen vor Ort das Problem im Sinn ihres Auftraggebers zu lösen. Die Datenschutzbeauftragten verfügen über eine entsprechende Haftpflicht-Versicherung.

Welche Vorteile bringt ein externer Beauftragter für Datenschutz?

Die externen Datenschutzberater arbeiten im Team an umfangreichen Projekten mit. Sie sammeln Erfahrungen in den betrieblichen Abläufen und kreieren auf diesen Wegen branchenübergreifende Lösungen. Auf diese Informationen kann das beauftragende Unternehmen ab dem ersten Tag zurückgreifen und darauf vertrauen.

Sobald der von der Datenschutz Greifswald entsandte Datenschutzbeauftragte den zuständigen Aufsichtsbehörden gemeldet worden ist, kann er mit seiner Tätigkeit beginnen. Im nächsten Schritt wird er den Vorgesetzten, Mitarbeitern und Geschäftspartnern als direkter Ansprechpartner vorgestellt. Sie können sich an ihn wenden, wenn sie Fragen zum Thema externer Datenschutz haben oder sich in ihren persönlichen Datenschutz-Rechten verletzt fühlen. Zu seinem Aufgabenfeld gehört auch die Beantwortung der Datenschutzanfragen. So klärt er mit der zuständigen Datenschutzbehörde zum Beispiel auch alle Fragen, die als rechtlich problematisch eingestuft werden. Sein Augenmerk ist dabei immer auf den Schutz seines Auftraggebers gerichtet.

Primär fungiert der Beauftragte in seinem Amt als Kontroll- und Koordinationsinstanz. Die von ihm vorgeschlagenen Lösungsansätze werden mit der Geschäftsleitung und den verantwortlichen Mitarbeitern diskutiert. Die letzte Entscheidung trifft immer die Geschäftsleitung.

Externe Datenschutzbeauftragte vom Datenschutz Greifswald

Fast alle Unternehmen verfügen mittlerweile über eine eigene Website. Auf ihr ist jeweils eine DSGVO-konforme Datenschutzerklärung zu hinterlegen, die vom Beauftragten entweder geprüft oder selbst erstellt wird. Im Anschluss kontrolliert er alle wichtigen Geschäftspapiere auf ihre datenschutzrechtlichen Relevanzen, bevor sie von den Vertragspartnern unterzeichnet werden.

Ein weiterer wichtiger Aspekt besteht in der Schulung der internen Mitarbeiter, die er gleichzeitig über ihre persönlichen Datenschutzrecht und Pflichten aufgeklärt. Hierzu stehen neben persönlichen Terminen auch Video- oder Internetfortbildungen auf dem Programm, die vom Experten-Netzwerk der Datenschutz Nordost auf der Basis der aktuellen Rechtslage erstellt werden.

interner Datenschutzberaterexterner Datenschutzberater
Es herrscht beschränkte Arbeitnehmerhaftung sowie vollständige Haftung des GeschäftsführersVermindertes Haftungsrisiko für das Unternehmen
Abberufung nur in wichtigen Gründen (§ 626 BGB & § 4f Abs. 3 Satz 4), zusätzlich ein Jahr Kündigungsschutz nach AbberufungAbberufung bzw. Kündigung der Bestellung jederzeit möglich
Mitbestimmungsrecht des Betriebsrats bei Einstellung bzw. Umsetzung des internen DSB (§ 99 BetrVG)Kein Mitbestimmungsrecht des Betriebsrats bei externer Auftragsvergabe
Freistellung des internen Teilzeit-DSB je nach Unternehmensgröße und Anforderung gefordert.Keine Bindung von Mitarbeitern und Ressourcen.
Teilzeit-DSB nutzen üblicherweise bis zu 25% ihrer Arbeitszeit für den Datenschutz.Nutzung der zeitlichen Ressourcen zu 100%
Freistellung des Mitarbeiters für die Schulungsdauer zur Erlangung der FachkundeZertifizierte und bereits vorhandene Fachkunde
Kosten für Literatur, Büro, Arbeitsausfälle und WeiterbildungPreistransparenz durch vertraglich festgelegte Konditionen
zusätzliche Benennung von Stellvertretern notwendigStellvertretung durch mehrere Berater gesichert
Arbeitgeberkosten für Weiterbildung, Reisekosten und VerpflegungWeiterbildungskosten im Pauschalbetrag enthalten
Fehlende Neutralität gegenüber der UnternehmensleitungNeutrale Position gegenüber Kunden und Aufsichtsbehörden sowie gegenüber Mitarbeitern
Betriebsabläufe sind in der Regel bereits bekanntEinarbeitung in Betriebsabläufe notwendig
Unternehmensweiter ErfahrungshorizontErweiterter Erfahrungshorizont durch mehrere Mandantschaften

Moin,

ich bin seit über 20 Jahren in der Beratung, Erwachsenenbildung und dem Versandhandel tätig. Mit meinem Unternehmen Manufaktur für Entrepreneurship & E-Learning berate ich kleine und mittlere Unternehmen insbesondere aus dem Handwerk und dem Handel bei Fragen zum Datenschutz. Zudem betreue ich namenhafte Unternehmen des sozialen Sektors und öffentliche Stellen. Lassen Sie uns mal reden. Axel Lehmann, Güstrow Tel.: 03843-22 91 33