Externer Daten­schutz­be­auf­tragter

Den Datenschutz muss jedes Unternehmen einhalten!
 Aber nicht jedes ist verpflichtet einen betrieblichen Datenschutzbeauftragen (bDSB) oder externen Datenschutzbeuaftragen (eDSB) zu bestellen.

Sie benötigen im Unternehmen gemäß Art 37 I DS-GVO und § 38 BDSG-neu einen, wenn

• in Ihrem Unternehmen oder Verein mindestenes 20 Personen damit beschäftigt sind, personenbezogene Daten automatisiert zu verarbeiten.
• wenn Sie in Ihrem Unternehmen oder Verein Daten folgender Art verarbeiten und dies zur Kerntätigkeit Ihres Unternehmens oder Vereins gehört:
  • Gesundheitsdaten,
  • Daten zum Sexualleben oder zur sexuellen Orientierung,
  • genetische Daten,
  • Daten, aus denen sich die rassische oder ethnische Herkunft,
  • Daten über politische Meinungen,
  • Daten zu religiösen oder weltanschaulichen Überzeugungen,
  • Daten zur Gewerkschaftzugehörigkeit,
  • Daten zu einer strafrechtlichen Verurteilung oder Straftat

Der/die Datenschutzbeauftragte ist direkt der Geschäftsführung/Unternehmensleitung unterstellt und in Ausübung seiner Tätigkeit unabhängig und weisungsfrei – auch wenn er beim Unternehmen angestellt ist. Der /die Datenschutzbeauftragte soll die erforderliche Fachkunde besitzen und durch ständige Fort- und Weiterbildung gewährleisten, dass sich seine Arbeit immer auf dem aktuellen Stand der Gesetzeslage befindet. Seine Hauptaufgabe ist das Hinwirken auf die Einhaltung der Gesetze über den Datenschutz.

Die Aufgaben des Datenschutzbeuaftragen sind gemäß Art 39 I DS-GVO insbesondere folgende:

• Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
• Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
• Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
• Zusammenarbeit mit der Aufsichtsbehörde;
• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Es ist dem Unternehmen überlassen, ob es einen internen betrieblichen Datenschutzbeauftragten bestellt und sich einer externen Datenschutzbeauftragten bedient. Der Vorteil der Bestellung eines internen bDSB ist vor allem dessen Kenntnis des Unternehmens, der Organisation, der Verfahren und Abläufe und nicht zuletzt der Verantwortlichen. So kann er schnell die Datenschutzsituation des Unternehmens erfassen und ein passendes Datenschutzkonzept entwickeln. 
Er genießt zudem besonderen Kündigungsschutz.

Die Nachteile liegen zumeist in der praktischen Umsetzung, z.B.

• Der Aufgabe des internen bDSB wird zu wenig Zeit eingeräumt, er soll das „nebenbei“ erledigen.
• Er muss Konsequenzen für seinen Job fürchten, wenn er sich gegenüber Vorgesetzten und Geschäftsleitung auf seine Verschwiegenheitspflicht als Datenschutzbeauftragter beruft um Betroffene zu schützen.
• Vorliegen von Interessenkonflikten

Der betriebliche Datenschutzbeauftragte sollte also ein entsprechendes „Standing“ im Unternehmen haben und sich auch im Zweifel nicht scheuen, dem Chef mitzuteilen, dass es nicht erforderlich ist, dass er Zugriff auf alle Personaldaten oder Admin-Rechte auf den Unternehmensservern hat.

Wer sollte es nicht sein?

Bei denen die aufgrund der fachlichen Nähe eigentlich in Frage kommen liegen meistens Interessenkonflikte vor, so beim Leiter der IT oder beim Leiter der Personalabteilung, die mit einer Fülle von personenbezogenen Daten in Berührung kommen. Ebenso wenig geeignet sind Geschäftsführer, Prokuristen oder die Assistenz der Geschäftsführung.

Zudem empfehlen wir grundätzlich nicht, Mitarbeiter:innen, die neu im Unternehmen sind, als Datenschutzbeauftragte einzusetzen.

Echte Weisungsfreiheit und Unabhängigkeit

Aufgabe des Datenschutzbeauftragten ist es nicht zuletzt den „Finger in die datenschutzorganisatorischen Wunden“ des Unternehmens zu legen, er soll und muss unangenehme Fragen stellen und mitunter auf das Erledigen „lästiger“ Aufgaben drängen und dabei der Geschäftsführung und den Abteilungsleitern im Nacken sitzen. Dies gelingt trotz theoretischer Weisungsfreiheit auch des internen bDSB von außen häufig besser. 


Fachkompetenz durch Spezialisierung und Erfahrung 


Die fehlende Kenntnis der Betriebsinterna wird ausgeglichen durch ein hohes Maß an Fachkompetenz, das aufgrund der Spezialisierung auf den Datenschutz und die Datenschutzgesetze gegeben ist. 


Der Blick von außen auf das Unternehmen


Ein weiteres Argument für die Bestellung eines externen Datenschutzbeauftragten ist gerade dessen Blick über den Tellerrand des einzelnen Unternehmens hinaus, es entstehen Synergieeffekte dadurch, dass er in puncto Datenschutzkonzept nicht für jedes einzelne Unternehmen das Rad neu erfinden muss, sondern aus seiner Erfahrung schöpfen kann.