Als erstes prüfen sie zunächst ob sie überhaupt verpflichtet sind einen Datenschutzbeauftragten zu stellen.
Wenn sie verpflichtet sind einen Datenschutzbeauftragten zu stellen, dann sollten sie sich überlegen ob sie diese Aufgabe intern oder extern besetzen können bzw. wollen.
Ist ein Datenschutzbeauftragter notwendig (Extern oder Intern)?
Einige Entscheider meinen, die Bestellung des Datenschutzbeauftragten würde freiwillig erfolgen. Aber diese Annahme ist falsch. Der Gesetzgeber hat im BDSG n.F. definiert, ab wann das Bestellen eines DSB als Pflicht gilt. Ebenso gibt die EU DSGVO vor, wann die Geschäftsleitung der Pflicht unterliegt, einen Datenschutzbeauftragten zu bestellen. Sollte man sich im Unternehmen mit den Voraussetzungen der Bestellung eines Datenschutzbeauftragten noch nicht befasst haben, ist eine Überprüfung der Notwendigkeit dringend anzuraten.
Es sind folgende drei Bereiche zu überprüfen, um mit Gewissheit sagen zu können, ob eine Bestellung erforderlich ist.
Unternehmensgröße / Anzahl der Mitarbeiter
Ab welcher Unternehmensgröße ein Datenschutzbeauftragter zu bestellen ist, hängt vom Umgang mit personenbezogenen Daten ab. Im Fokus steht das Ausmaß der Datenverarbeitung. Sollten mehr als mindestens 10 Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben, besteht die Pflicht.
Externer Datenschutzbeauftragter
Angesichts der genannten Risiken halten wir es für sinnvoll, sich bei der Einführung des betrieblichen Datenschutzes und der Ernennung eines DSB von Experten begleiten zu lassen. Alternativ bietet es sich an, einen externen Datenschutzbeauftragten zu bestellen. Dies ist oft nicht nur günstiger, sondern bringt zusätzlich eine bessere Absicherung der Haftung mit sich. Auch Ihrem Unternehmen stehen wir als externer Datenschutzbeauftragter gerne zur Seite und kümmern uns um Entwicklung sowie Implementierung eines maßgeschneiderten Datenschutzkonzepts.
Wirksamkeit der DSB Bestellung
Eine oft gestellte Frage aus der Praxis lautet: „Wer ernennt den Datenschutzbeauftragen?“ Die Ernennung erfolgt durch die Geschäftsleitung bzw. Führungskräften mit Prokura. Im Rahmen der Bestellung sind Formalitäten einzuhalten. Es empfiehlt sich, die bereits erwähnte Bestellungsurkunde anzufertigen. Doch bis zu diesem Moment kann es ein weiter Weg sein, da es zunächst erforderlich ist, eine geeignete Person auszuwählen. Insgesamt ist das Anforderungsprofil, das an die Tätigkeit des betrieblichen DSB gestellt wird, als sehr anspruchsvoll zu bezeichnen.
Die Funktion des Datenschutzbeauftragten kann eine Person nur ausüben, wenn sie folgende Anforderungen erfüllt.
- Da wäre zunächst die fachliche Eignung: Es gilt ein ausreichendes Verständnis der Thematik aufzubauen. Umfassende Fachkunde im betrieblichen Datenschutz ist eine wesentliche Voraussetzung.
- Fachkunde ist nicht alles. Weiterhin muss die Person innerhalb ihrer jeweiligen Organisation Einblick in alle entscheidenden Bereiche und Prozesse haben.
- Außerdem sollte sie der Funktion angemessene Kommunikationsfähigkeiten mitbringen.
Der Markt hat reagiert, es werden diverse Datenschutzbeauftragten Schulungen angeboten, die Mitarbeiter auf ihre künftigen Aufgaben als Datenschutzbeauftragte vorbereiten. Doch häufig sind solche Schulungen als Kompromisslösung zu betrachten, da nur Basiswissen (z.B. Grundlagen der Datenverarbeitung und dem Datenschutz personenbezogener Daten) vermittelt wird. Außerdem ist es gerade in vielen kleinen und mittelständischen Unternehmen üblich, dass Datenschutzbeauftragte weitere betriebliche Aufgaben übernehmen. Als Folge besteht ein vergleichsweises hohes Risiko, dass trotz gezielter Fortbildung weiterhin Fehler im Datenschutz gemacht werden. Die Aufsichtsbehörde kann solche Fehler mit einem hohen Bußgeld bestrafen.
Berücksichtigen Sie alle wichtigen Merkmale
Die Bestellung eines Datenschutzbeauftragten kann auf unterschiedlichem Wege erfolgen. Zum einen besteht die Möglichkeit sich für einen internen Datenschutzbeauftragten zu entscheiden. Bei ihm handelt es sich um eine Person, die unmittelbar im Unternehmen beschäftigt ist.
Optional kann auch ein externer Datenschutzbeauftragter bestellt werden. In diesem Fall wird die Leistung bei einem spezialisierten Dienstleister eingekauft.
Welche Lösung für ein Unternehmen besser ist, hängt ganz von der jeweiligen Ausgangssituation ab. Faktoren wie Unternehmensgröße, Branche und Personalpolitik nehmen Einfluss darauf, wie am besten entschieden wird. Schlussendlich ist es so, dass beide Varianten ihre eigenen Vor- und Nachteile mit sich bringen.
Interner Datenschutzbeauftragter
- Gute Kenntnisse über Abläufe und Prozesse im Unternehmen, es besteht jedoch das Risiko der Betriebsblindheit.
- Bei unerfahrenem Datenschutzbeauftragtem drohen Anlaufschwierigkeiten. Die Effizienz ist gering und externe Unterstützung muss oft zusätzlich eingekauft werden.
- Haftungsrisiko bleibt im Unternehmen. Der Mitarbeiter kann für Fehlentscheidungen oft gar nicht haftbar gemacht werden, sofern er nicht nachweislich mit Vorsatz gehandelt hat.
- Hohe Wahrscheinlichkeit, dass die Haupttätigkeit im Vordergrund bleibt und die Aufgaben eines Datenschutzbeauftragten eine geringe Priorität erhalten.
- Mitarbeiter reagieren auf Anfragen oft nur langsam oder gar nicht.
- Kosten für Aus- und Fortbildung einschließlich Erwerb von Literatur sind vom Unternehmen zu tragen.
- Der interne Datenschutzbeauftragte genießt ausgeprägten Kündigungsschutz mit einem Jahr Nachwirkung. Eine Abberufung ist nur langsam und unter großem Aufwand möglich.
Externer Datenschutzbeauftragter
- Kein Risiko der Betriebsblindheit, Einnahme einer neutralen Perspektive
- Erfahrung und das Arbeiten auf Basis erprobter Konzepte versprechen eine hohe Effizienz und somit ein schnelles Erreichen des erforderlichen Datenschutzniveaus zu niedrigen Kosten.
- Der externe Datenschutzbeauftragte haftet im Rahmen der vereinbarten Summe für sein Handeln. Dadurch ist mehr Sicherheit für das Unternehmen geboten.
- Ausschließliche Konzentration auf Aufgaben, die mit dem Datenschutz in Verbindung stehen.
- Mitarbeiter nehmen den externen Datenschutzbeauftragten und dessen Aufgaben anders wahr. Antwortzeiten fallen erfahrungsgemäß kürzer aus.
- Ein externer Datenschutzbeauftragter ist bereits ausgebildet, Kosten der Fortbildung werden vom Anbieter selbst getragen. Weiterhin gibt es keine Ausfallzeiten durch Aus- und Fortbildung.
- Vereinbarung regulärer Kündigungsfristen über den Dienstvertrag ist möglich.
- seiner Haupttätigkeit nicht im vollen Umfang nachgehen. Die wirtschaftliche Ertragsleistung des Mitarbeiters geht zwangsläufig zurück.
- In Anbetracht seiner gestiegenen Qualifikationen ist es erfahrungsgemäß nur eine Frage der Zeit, bis der Mitarbeiter eine Gehaltserhöhung fordert.
Kostenbeispiel eines internen Datenschutzbeauftragten
Position des Mitarbeiters | DSB in Vollzeit | DSB in Teilzeit |
Zeitaufwand | 100 % | 20 % |
Jahresgehalt | 36.000 € | 36.000 € |
Gehalt als DSB (davon) | 36.000 € | 7.200 € |
20% Arbeitgeberkosten | 7.200 € | 1.440 |
Aus- und Weiterbildung | 3.000 € | 3.000 |
Reisekosten und Spesen | 1.000 € | 1.000 |
Sonstige Kosten | 1.500 € | 1.500 |
Gesamtkosten pro Jahr: | 48.700 € | 14.140 € |
Die Kosten eines externen Datenschutzbeauftragten sind vertraglich geregelt. Leistungen werden auf Basis der vereinbarten Konditionen abgerechnet. Insgesamt lassen sich die Kosten in zwei Bereiche untergliedern.
- Zunächst fallen Kosten für die Analyse der Ausgangssituation sowie der anschließenden Schaffung des erforderlichen Datenschutzniveaus an. Hier kann der Leistungsbedarf je nach Unternehmen sehr verschieden bemessen sein. Die Abrechnung erfolgt überwiegend
auf Stundenbasis. - Ist das Datenschutzniveau erreicht, übt der externe Datenschutzbeauftragte fortan seine Kontrollfunktion aus und steht zudem als Ansprechpartner zur Verfügung. Außerdem wird die Haftungsübernahme gewährleistet und je nach Anbieter ein Gütesiegel verfügbar
gemacht. Die Abrechnung erfolgt monatsbezogen auf Basis der erbrachten Einzelleistungen.
Bei der Wahl eines Anbieters, der den externen Datenschutzbeauftragten bestellt, sollte keinesfalls nur auf die Kosten geachtet werden.
Folgende Punkte sollten berücksichtigt werden:
- Qualität und Umfang der Aus- und Weiterbildung
- Einbindung und Unterstützung von Mitarbeitern
- Art und Umfang des Versicherungsschutzes
- Integration in Datenschutz-Netzwerke
- Klima der Geschäftsbeziehung
Hinweise zur Entscheidungsfindung
Die Bestellung eines internen Datenschutzbeauftragten ist kostspieliger, als in den meisten Fällen zunächst vermutet. Insbesondere die Ausbildung des Mitarbeiters sowie die Einschränkungen bei dessen Haupttätigkeit sind als Kostenfaktoren nicht außer Acht zu lassen.
Aus finanzieller Sicht sind viele Unternehmen besser damit beraten, einen externen Datenschutzbeauftragten zu bestellen. Zumal dieser erfahrungsgemäß schnellere Ergebnisse liefert und außerdem bei Unzufriedenheit leichter austauschbar ist.
Unsere Datenschutzberatung beginnt mit der Erfassung, Analyse und Bewertung aller datenschutzrelevanten Prozesse in Ihrer Unternehmung.