Externer Datenschutzbeauftragter – Vorteile und Verantwortung

15.07.2022 | J. Morelli – Online-Redaktion, Forum Verlag Herkert

articleimage
© DatenschutzStockfoto – stock.adobe.com
Aus strukturellen, organisatorischen und nicht zuletzt finanziellen Gründen greifen mittelständische Unternehmen gerne auf einen externen Datenschutzbeauftragten zurück. Dementsprechend ist die Person, die für den Datenschutz und die IT-Sicherheit des einzelnen Unternehmens verantwortlich ist, kein Mitarbeiter des betreuten Unternehmens. Das birgt gleichermaßen Potenziale, wie auch Risiken.

 

Inhaltsverzeichnis

  1. Welche Aufgaben hat ein externer Datenschutzbeauftragter?
  2. Wann ist ein externer Datenschutzbeauftragter notwendig?
  3. Datenverarbeitung durch einen externen Datenschutzbeauftragten
  4. Datenpanne, Schadensfall, wer haftet?
  5. Fazit: Interner oder externer Datenschutzbeauftragter?

Welche Aufgaben hat ein externer Datenschutzbeauftragter?

Ob interner oder externer Datenschutzbeauftragter, ein Unternehmen hat die freie Wahl – laut Artikel 37. Abs. 6 DSGVO kann der Datenschutzbeauftragte ein Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein.

Unternehmen sind unterschiedlich – gerade im Mittelstand – und das erfordert individuellen Datenschutz und Datensicherheit. Um alle Einzelheiten der europäischen Datenschutzgrundverordnung (EU DSGVO) einzuhalten, sollten Mittelständler auf einen Datenschutzbeauftragten zurückgreifen – sei es ein interner oder externer.

Der externe Datenschutzbeauftragte (DSB) wird von Unternehmen – meist abhängig von deren Größe – entweder als Unterstützung des betriebseigenen Datenschutzbeauftragten oder als Alleinverantwortlicher bestellt. Das ist oft der Fall, wenn es darum geht, erstmals ein Datenschutzkonzept und anschließend die Datenschutzorganisation aufzubauen. 

Laut den Artikeln 38 und 39 DSGVO liegt der Fokus des externen Datenschutzbeauftragten zu gleichen Teilen darauf, den Datenschutz im Unternehmen zu gewährleisten, die Kommunikation mit den Aufsichtsbehörden zu führen und die Anlaufstelle für betroffene Mitarbeiter zu sein. An diese drei Aufgabenfelder knüpfen unterschiedliche Maßnahmen an. Dazu gehören:

  • Datenschutzrechtliche Schulungen der Belegschaft (Security Awareness)
  • Überwachung und Optimierung datenschutzrechtlicher Prozesse
  • Einhaltung datenschutzrechtlicher Vorgaben
  • Beratung und Hilfe bei Datenschutzverletzungen
  • Durchführung und Überwachung der Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
  • Gewährleistung der Informationspflicht

Ziel all dieser Handlungen ist es, personenbezogene Daten des Unternehmens und der Kunden effektiv zu schützen. Wichtig dabei ist aber: Der externe Datenschutzbeauftragte ist bei der Leistungserfüllung weisungsfrei – auch bei möglichen Haftungsfällen ist dieser Umstand entscheidend.

Wann ist ein externer Datenschutzbeauftragter notwendig?

Ganz gleich welcher Art, laut Bundesdatenschutzgesetz (BDSG) und DSGVO benötigt jedes Unternehmen spätestens ab einer Anzahl von 10 Mitarbeitern, die mit personenbezogenen Daten arbeiten, einen (externen) Datenschutzbeauftragten.

Speziell externe Datenschutzbeauftragte bringen dabei ihre Erfahrungswerte aus der Praxis in einzelne Unternehmen mit. Da es für sie notwendig ist, jedem ihrer Kunden Auskünfte und Belege über die eigenen Fachkenntnisse und Qualifikationen zu geben, sind sie stets auf dem aktuellen Stand der Technik und Rechtsprechung.

Externe Datenschutzbeauftragte sind Experten im Umgang mit Informationssicherheitsmanagementsystemen (ISMS) und können bei der Digitalisierung der einzelnen Unternehmen eine große Hilfe sein. Ein modernes ISMS gewährleistet in punkto personenbezogene Daten Vertraulichkeit und Integrität.

Bei der Umstellung von analog zu digital, die in den letzten Jahren enorm an Fahrt aufgenommen hat, ist es ratsam, mit Beginn der Umstrukturierung einen (externen) Datenschutzbeauftragten ins Team zu holen – insbesondere bei Themen der digitalen Kommunikation, wie z. B. bei der Umstellung auf Videokonferenzen, der Verwendung von Cloud-Diensten und neuen Softwarelösungen.

Besonders für mittelständische Unternehmen, die weniger Kapazitäten als Großunternehmen aufweisen, bietet die Bestellung eines externen Datenschutzbeauftragten viele weitere Vorteile:

  • keine große Einarbeitungszeit
  • klare Aufgabenverteilung durch den Dienstleistungsvertrag
  • nachvollziehbare und transparente Kosten
  • keine Weisungsgebundenheit wie der interne Datenschutzbeauftragte
  • vertraglich geregelte Kündigungsfrist
  • keine Fort- und Weiterbildungskosten 

Was muss in einem Dienstleistungsvertrag für einen externen Datenschutzbeauftragten stehen?

Im Gegensatz zur „schlichten“ Bestellung des internen Datenschutzbeauftragten wird bei der Beschäftigung eines externen Datenschutzbeauftragten ein zusätzlicher Dienstleistungsvertrag benötigt. Dieser Vertrag kann von beiden Vertragsparteien zwar frei gestaltet werden, sollte aber folgende Punkte beinhalten:

  • Festlegung der genauen Aufgaben
  • Vergütung der vertraglich festgelegten Leistungen
  • Vertragslaufzeit
  • Kündigungsfrist

Im Gegensatz zum internen Datenschutzbeauftragten existiert kein Kündigungsschutz für externe Datenschutzbeauftragte. Das ermöglicht es Unternehmen flexibler zu planen.

Datenverarbeitung durch einen externen Datenschutzbeauftragten

Grundsätzlich benötigen Unternehmen für alle Tätigkeiten, die extern bearbeitet werden, einen Auftragsverarbeitungsvertrag (AVV). Laut Art. 28 der DSGVO ist eine Person, die für einen Verantwortlichen eine Verarbeitung personenbezogener Daten vornimmt, ein Auftragsverarbeiter.

Zwischen Unternehmen und dem externen Datenschutzbeauftragten wird der Dienstleistungsvertrag geschlossen, der die Rechte und Pflichten des Datenschutzbeauftragten bestimmt. Dieser Vertrag kann aus Sicht des DSB nicht als rechtliche Grundlage zur Verarbeitung personenbezogener Daten dienen, da diese kein fester Bestandteil eines solchen Vertrags sind. An dieser Stelle greift die rechtliche Verpflichtung des Datenschutzbeauftragten nach Art. 37 DSGVO.

Deshalb ist, solange der externe Datenschutzbeauftragte die personenbezogenen Daten direkt über den Verantwortlichen im Unternehmen bezieht und nicht selbst erhebt, kein zusätzlicher Auftragsdatenverarbeitungsvertrag notwendig.

Aber hier gilt: Im Zweifelsfall kommt es auf den konkreten Einzelfall an.

Informationspflicht nach Art. 13 und 14 DSGVO

Der externe Datenschutzbeauftragte unterliegt als Verantwortlicher den Informationspflichten der DSGVO. Diese dienen dazu, dass gegenüber Personen oder Unternehmen, deren Daten erhoben und genutzt werden, ein hohes Maß an Transparenz gewährleistet ist. 

Art. 13 DSGVO bezieht sich dabei auf personenbezogene Daten, die direkt bei der betroffenen Person erhoben werden. Art. 14 hingegen regelt die Nutzung bereits erhobener Daten, bzw. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.

Die DSGVO sieht demnach Unternehmen in der Pflicht, Personen, deren Daten erhoben und verarbeitet werden, umfassend über das Maß und den Zweck zu informieren. Zu betroffenen Personen gehören auch:

  • Bewerber
  • Mitarbeiter
  • Geschäftspartner
  • Kunden
  • Interessenten

Die Umsetzung der Informationspflichten gehört zu den wichtigsten Aufgaben sowohl interner als auch externer Datenschutzbeauftragter. 

Werden die Informationspflichten nicht korrekt umgesetzt, stellt dies einen Datenschutzverstoß dar, der mit Bußgeld geahndet wird.

Datenpanne, Schadensfall, wer haftet?

Finden Datenpannen und Datenschutzverletzungen im Rahmen der Art. 37 bis 39 DSGVO statt, drohen gemäß Art. 83 Abs. 4 a DSGVO Geldbußen.

An dieser Stelle ist es wichtig, ob zum Zeitpunkt des Haftungsfalles ein interner oder externer Datenschutzbeauftragte für das Unternehmen tätig war. Beim internen Datenschutzbeauftragten gelten die Grundsätze der beschränkten Arbeitnehmerhaftung.

Der externe Datenschutzbeauftragte hingegen haftet für alle von ihm verursachten Schäden im Rahmen der vertraglich vereinbarten Arbeiten. Hierbei kann es dennoch zur Haftungsbeschränkung kommen, die für alle nicht vorsätzlichen Vertragsverstöße geprüft werden muss.

Um sich als externer Datenschutzbeauftragter gegen zusätzliche Haftungsansprüche abzusichern, sollte ein Haftungsausschluss im Vertrag festgelegt werden.

Fazit: Interner oder externer Datenschutzbeauftragter

Ein interner Datenschutzbeauftragter kennt und identifiziert sich im besten Fall mit der Unternehmenskultur. Ihm sind die inneren Abläufe und die Kollegen vertraut. Trotzdem bringt die Bestellung eines externen Datenschutzbeauftragten einige Vorteile mit sich.

Letztendlich sprechen unterschiedliche Punkte entweder für einen internen oder für einen externen Datenschutzbeauftragten. Hauptausschlaggebend sind bei letzterem oftmals die vergleichsweise geringeren Kosten. Hinzukommt, dass die externe Benennung nicht durch nationales Recht eingeschränkt wird. Dementsprechend können Unternehmen gezielt nach für sie passenden Angeboten suchen und anschließend einen individuellen Vertrag vereinbaren.

Quellen: Datenschutz 2022Infodienst Datenschutz für Praktiker, Datenschutz.org