Betrieblicher Datenschutzbeauftragter: intern oder extern bestellt

Auch wenn die Ausarbeitung und die Rahmenbedingungen im Hinblick auf die Bestellpflicht eines Datenschutzbeauftragten in den verschiedenen Datenschutzgesetzen unterschiedlich gestaltet sind, so ist eine solche Bestellung doch in jedem Fall grundsätzlich verpflichtend. Die Bestellung als betrieblicher Datenschutzbeauftragter kann dabei sowohl durch einen internen Mitarbeiter des Unternehmens als auch einen externen Experten wahrgenommen werden.

Ein Datenschutzbeauftragter hat verschiedenste Aufgaben zu erfüllen und gesetzlichen Anforderungen zu genügen, auf die wir in den FAQs weiter unten auf der Seite näher eingehen. Doch über diese umfassende Information hinaus bieten wir Ihnen im Rahmen der Datenschutzbeauftragung eine Vielzahl weiterer Leistungen an – ganz nach Ihren Anforderungen und Wünschen sowie Ihrer Entscheidung, einen externen beziehungsweise internen Datenschutzbeauftragten zu bestellen.

Weshalb ein externer Datenschutzbeauftragter von Vorteil sein kann

"Der Prophet wird oft im eigenen Land am wenigsten erhört." – diese historisch gewachsene Weisheit ist im Umkehrschluss der Grund dafür, dass häufig ein externer Berater als betrieblicher Datenschutzbeauftragter zum Einsatz kommt. Ein solcher kann in der Regel unvoreingenommener an viele Fragestellungen herangehen und notwendige Maßnahmen schneller vorantreiben. Entsprechend ist die Möglichkeit einer externen Bestellung in Artikel 37 DSGVO explizit festgelegt.

Auch vom eigenen Betriebsrat wird ein Externer vielfach als neutraler wahrgenommen. Tritt einer unserer Mitarbeiter dort gemäß § 80 BetrVG als "Sachverständiger" auf, so wird größter Wert darauf gelegt, die Arbeitnehmer- und Arbeitgebervertreter gleichermaßen fachlich kompetent zu beraten und "politisch" nicht etwa Partei zu ergreifen.

Durch Synergien aufgrund von Mehrfachbestellungen kann ein extern beauftragter Experte von UIMC die Tätigkeit als Ihr betrieblicher Datenschutzbeauftragter oftmals nicht nur fachkundiger, sondern auch wesentlich effizienter erfüllen. Unsere Mitarbeiter, die bei Ihnen zum Einsatz kommen, verfügen über das erforderliche Fachwissen und langjährige Erfahrung. Sie werden darüber hinaus durch UIMC-interne Spezialisten, wie z. B. auf Datenschutzrecht spezialisierte Juristen oder Experten auf dem Gebiet von IT-Systemen und der Informationssicherheit, unterstützt.

Wie ein intern bestellter betrieblicher Datenschutzbeauftragter von uns profitiert

"Manche ertrinken lieber, als dass sie um Hilfe rufen." – eine Weisheit von Wilhelm Busch, die wir nicht umsonst unseren Erläuterungen zum Coaching eines internen Datenschutzbeauftragten voranstellen. Denn in den meisten Fällen geht es bei der Rolle als intern bestellter betrieblicher Datenschutzbeauftragter um Aufgaben, die einem Mitarbeiter zusätzlich übertragen werden (Teilzeit-Datenschutzbeauftragter). Diesen Mitarbeitern wird oftmals ein zu knappes Zeitbudget zugestanden; auch führen dringende Tätigkeiten der "Hauptfunktion" dazu, dass der Datenschutz nicht ausreichend vorangetrieben werden kann – "Das Tagesgeschäft geht vor!" ist dann meist die Begründung.

Trotz Schulungen treten allerdings oftmals auch – zumindest zu Beginn der Beauftragung – Erfahrungs- und Wissenslücken auf, insbesondere im gesetzlichen Sektor und/oder der Planung organisatorischer Datenschutzmaßnahmen. Auch bedingt durch die Teilzeitbeschäftigung als Datenschutzbeauftragter kommen zum Teil Fragen oder Fehleinschätzungen bei der Abwägung zwischen gesetzlich vorgegebenen und wirtschaftlich angemessenen Notwendigkeiten der Realisierung von bestimmten Schutzmaßnahmen auf. Häufig ist die Übernahme dieser Aufgaben bis hin zur Implementierung einer funktionierenden Datenschutzorganisation in der Institution neben den herkömmlichen Einsatzbereichen eine erhebliche zusätzliche Belastung.

Bevor Projekte aufgrund dieser und anderer Ursachen ins Stocken geraten, sollte Ihr betrieblicher Datenschutzbeauftragter besser vom Coaching und der Datenschutzberatung durch die UIMC profitieren. Und manchmal kommen die Probleme auch nur dadurch auf, dass der Datenschutzbeauftragte sich nicht mit anderen "Datenschutz-Kollegen" austauschen und die Kernfragen diskutieren kann. Die Ausgestaltung einer solchen Coaching-Lösung vereinbaren wir individuell mit Ihnen, und sie ist in jedem Fall an Ihren spezifischen Bedürfnissen ausgerichtet:

pro-aktive Unterstützung oder Hilfestellung bei Problemen
bei Bedarf Bereitstellung von personellen Ressourcen in Belastungsspitzen
Übernahme von "politisch" problematischen Aufgaben
Unterstützung in Spezialthemen wie Recht, Informationssicherheit, Organisation etc.
und vieles mehr.

Ob externer betrieblicher Datenschutzbeauftragter von UIMC oder Coaching für Ihren internen Mitarbeiter: Vereinbaren Sie noch heute einen Beratungstermin mit uns und fordern Sie ein unverbindliches Angebot an.

Nachfolgend möchten wir Ihnen gerne ein paar Fragen beantworten:

Wann muss ich einen Datenschutzbeauftragten bestellen?

Ein Datenschutzbeauftragter ist gemäß § 38 BDSG zu bestellen, wenn mindestens 20 Personen während ihrer Arbeit mit personenbezogenen Daten arbeiten. Dies ist schnell erreicht, schließlich ist das Empfangen und Versenden von E-Mails schon eine personenbezogene Datenverarbeitung. Doch selbst wenn ein Datenschutzbeauftragter nicht zu bestellen ist, so sind die Datenschutzgesetze dennoch zu beachten.

Die Bestellung hat im Übrigen schriftlich zu geschehen. Hierbei sollten neben den Pflichten auch die Rechte entsprechend geregelt werden.

Welche Anforderungen werden an einen Datenschutzbeauftragten gerichtet?

Ein Datenschutzbeauftragter muss fachkundig und zuverlässig sein. Für die Erfüllung der „Fachkunde“ sollten Fachkenntnisse in den Bereichen Recht, BWL/Organisation und EDV/IT sowie Unternehmenskenntnisse, aber auch „Soft-Skills“ wie Durchsetzungsstärke, Fähigkeit zu Kompromissen und zur Risikoabschätzung, Einfühlungsvermögen oder Kommunikationsfähigkeiten vorhanden sein. Vertiefte Fachkenntnisse im Datenschutz können im Rahmen von Schulungen, Fortbildungen und/oder Coaching sichergestellt werden.

Darüber hinaus hat der Beauftragte zuverlässig zu sein, was sich u. a. über nachfolgende Kriterien bestimmen lässt:

Gewissenhafte Aufgabenerfüllung,
Unparteilichkeit,
Verschwiegenheit,
Uneigennützigkeit,
Verantwortungsbewusstsein und
Unabhängigkeit.

Weitere Informationen und Ausschlusskriterien finden Sie im nächsten Abschnitt.

Wen darf ich nicht zum Beauftragten für den Datenschutz bestellen?

Insbesondere die Forderung nach der Zuverlässigkeit, welche insbesondere auch die Unabhängigkeit beinhaltet, bereitet zumeist Probleme, da eine Interessenkollision in vielen Fällen gegeben ist. Zum Beispiel geraten

Geschäftsführer,
Personal-/HR-Leiter
Vertriebsleiter oder
IT-/EDV-Leiter

oftmals in Konflikt, wenn sie ihre Interessen und Aufgaben mit den Tätigkeiten des Datenschutzbeauftragten vereinbaren und damit sich selbst kontrollieren sollen. Auch wird von vielen Aufsichtsbehörden die Bestellung des Betriebsratsvorsitzenden kritisch gesehen.

Welche Rechte und Pflichten hat ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte ist der Geschäftsführung direkt zu unterstellen. Hierdurch soll sichergestellt werden, dass durch die Einhaltung des „Dienstwegs“ keine Informationen verloren gehen und die Bedeutung des Datenschutzes dokumentiert wird. Hierbei ist der Datenschutzbeauftragte bei der Ausübung seiner Fachkunde weisungsfrei. Da er jedoch auch nicht weisungsbefugt ist, sollte er im Rahmen seiner Aufgabenwahrnehmung auf ein verbindliches Datenschutzkonzept hinwirken. Durch die fehlende Weisungsbefugnis und Durchsetzungsbefugnis kann der Datenschutzbeauftragte auch nicht verantwortlich für die Einhaltung des Datenschutzes sein. Er ist aber dazu verpflichtet, die Geschäftsführung ausreichend zu beraten und somit auf die Einhaltung des Datenschutzes hinzuwirken.

Damit der Datenschutzbeauftragte seinen Aufgaben entsprechend nachgehen kann, hat er das Recht auf Fortbildung und genießt einen Kündigungsschutz wie ein Betriebsratsmitglied; mit dem Unterschied, dass ein Datenschutzbeauftragter zeitlich unbefristet bestellt wird und die Bestellung nur durch ihn selbst oder durch die Aufsichtsbehörde zurückgenommen werden kann. Des Weiteren darf der Datenschutzbeauftragte nicht benachteiligt werden und muss ausreichend unterstützt werden, was ein ausreichendes Zeitkontingent, Hilfspersonal oder andere finanzielle oder personelle Mittel beinhalten kann.

Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Der Datenschutzbeauftragte hat verschiedene Aufgaben zu erfüllen, die sich mittelbar und unmittelbar aus dem Datenschutzgesetz ableitet lassen:

Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungs-Programme;
Verpflichtung auf das Datengeheimnis;
Schulung der Mitarbeiter;
Bearbeitung von fachlichen Anfragen von Mitarbeitern, Kunden etc.;
Beratung der Geschäftsführung, der Mitarbeiter und Fachbereiche über technische und organisatorische Maßnahmen;
Überprüfung der Anforderungen bei Dienstleistern z. B. im Rahmen der Auftragsverarbeitung;
Erarbeitung, Vorschlag und Pflege von Richtlinien oder eines Datenschutz-Handbuchs;
Kontrolle und Wahrung der Rechte Betroffener;
Überwachung bei der Führung von Übersichten/Verfahrensverzeichnissen;
Unterstützung bei der Risikobewertung und der Datenschutz-Folgenabschätzung;
Unterstützung bei der Meldung von Datenpannen an die Aufsichtsbehörden;
Erstellen eines Tätigkeitsberichts.

Somit ist der Datenschutzbeauftragte frühzeitig in datenschutzrelevanten Projekte und Planungen einzubinden. Dies gelingt nur, wenn die Funktion des Datenschutzbeauftragten in die Organisation fest verankert wird.

Kann ich den Datenschutzbeauftragten auch auslagern (Outsourcing des Datenschutzes)?

Sofern Sie ein Unternehmen sind, welches der Datenschutzgrundverordnung (DSGVO), dem Bundesdatenschutzgesetz (BDSG) und/oder dem kirchlichen Datenschutzrecht unterliegt, können Sie den Datenschutzbeauftragten auch extern bestellen. Dies sieht das Gesetz explizit vor. In den Landesgesetzen ist dies sehr unterschiedlich geregelt. Genauere Informationen können Sie bei uns gerne erfragen.

Auch interessant: Datenschutz-Managementsystem

Lassen Sie sich gleich jetzt ein individuelles Angebot erstellen

Ihr Ansprechpartner

Dr. Heiko Haaz

Fragen? Informationen? Angebot?

Kontaktdaten und Standorte

Termin mit Vertriebsteam vereinbaren

Externe Unterstützung?

"Grundsätzlich ist die Möglichkeit der Bestellung externer Beauftragter [...] oft eine praktikable Lösung, da sie häufig selbst nicht über Personal verfügen, das die für Datenschutzbeauftragte erforderliche fachliche Eignung hat. Hier kann eine externe Person, die mehrere ähnlich strukturierte Unternehmen betreut, kostengünstiger und fachlich qualifizierter arbeiten."

— 17. Bericht der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW

Externer Datenschutzbeauftragter

FYI: Datenschutz-Managementsystem

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	1 Jahr	HTML	Website
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website

Name	Zweck	Ablauf	Typ	Anbieter
_pk_id	Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern.	13 Monate	HTML	Matomo
_pk_ses	Kurzzeitiges Cookie, um vorübergehende Daten des Besuchs zu speichern.	30 Minuten	HTML	Matomo