Der externe Datenschutzbeauftragte

Top-Thema 06.06.2023 Datenschutzbeauftragter
Christopher Schmieg
Christopher Schmieg
 Global Director Data Privacy & Digital Risks bei Bucherer AG | Rechtsanwalt
Kapitel
Externer Datenschutzbeauftragter
Bild: Haufe Online Redaktion

Kann ein externer Datenschutzbeauftragter benannt werden und welches sind die Vor- und Nachteile?

Der externe Datenschutzbeauftragte

Die Bestellung externer Datenschutzbeauftragter ist zulässig. Der Datenschutzbeauftragte kann seine Aufgaben auch auf der Grundlage eines Dienstleistungsvertrages erfüllen, dies ergibt sich aus Art. 37 Abs. 6 DSGVO. Der externe Datenschutzbeauftragte wird daher regelmäßig auf der Grundlage eines Dienstleistungsvertrages tätig.

Haftung des externen Datenschutzbeauftragten

Auch durch die Bestellung eines externen Datenschutzbeauftragten kann die Haftung des Verantwortlichen nicht auf diesen „ausgelagert“ werden. Gleichwohl sind auch hier wie beim internen Datenschutzbeauftragten Konstellationen denkbar, in denen es zu einer Durchgriffshaftung bzw. zu einem Regress im Innenverhältnis kommen kann. Externen Datenschutzbeauftragten kommt mangels Beschäftigungsverhältnisses mit der verantwortlichen Stelle bzw. Auftragsverarbeiter eine arbeitsrechtliche Haftungsprivilegierung nicht zugute. Hier stellt sich die Frage, inwieweit eine verantwortliche Stelle ihren externen Datenschutzbeauftragten in Regress nehmen kann. Zunächst müsste auch der externe Datenschutzbeauftragte entsprechend dem Unternehmensrisiko versichert sein und der Versicherungsschutz auch greifen. Soweit ein Versicherungsschutz nicht greift, wird ein höherer Schadensbetrag in Millionenhöhe bei einer Privatperson kaum vollstreckbar sein.

Hinweis: Es ist daher wichtig, sich im Rahmen einer Risiko-Folgenabschätzung über die Höhe des potentiellen Risikos bewusst zu werden und zumindest zu versuchen, dieses zu versichern.

Externer Datenschutzbeauftragter vs interner Datenschutzbeauftragter

Sowohl die Benennung eines internen als auch eines externen Datenschutzbeauftragten gem. Art. 37 Abs. 6 DSGVO bergen Vor- und Nachteile.

Interner Datenschutzbeauftragte

Ein Vorteil ist, dass ein interner Datenschutzbeauftragter das Unternehmen bereits sehr gut kennt, regelmäßig vor Ort ist und kontinuierlich an der Umsetzung und Evaluierung datenschutzfreundlicher Arbeitsabläufe mitwirken kann.

Auch wenn der interne Datenschutzbeauftragte - soweit eine Benennungspflicht besteht - einen besonderen Kündigungsschutz genießt (§ 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG), gestaltet sich im Arbeitsverhältnis eine Beratung auf Augenhöhe zwischen Beschäftigten und Vorgesetzten häufig schwierig. Ein weiterer Nachteil ist, dass bei einem internen Datenschutzbeauftragten die verantwortliche Stelle selbst für eine Vertretung sorgen muss. Denn bei einem internen Datenschutzbeauftragten muss für den Fall seiner Abwesenheit eine Vertretung sichergestellt werden. Auch bei längerer Abwesenheit des internen Datenschutzbeauftragten muss die verantwortliche Stelle in der Lage sein, den Datenschutz im Unternehmen zu gewährleisten und Anfragen von Betroffenen zu bearbeiten. Dies bedeutet, dass ein Stellvertreter entsprechend eingearbeitet werden muss. Alternativ kann für die Zeit der Vertretung auf einen externen Datenschutzbeauftragten zurückgegriffen werden. Auch der interne Stellvertreter des Datenschutzbeauftragten genießt, sofern eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, einen besonderen Kündigungsschutz.

Externer Datenschutzbeauftragte

Ein Vorteil eines externen Datenschutzbeauftragten ist, dass er die Arbeitsabläufe aus der Sicht eines Außenstehenden beurteilen und bewerten kann. Ein externer Datenschutzbeauftragter hinterfragt Prozesse viel unvoreingenommener, auch wenn z.B. der Einwand kommt „das haben wir schon immer so gemacht“. Ein weiterer Vorteil ist, dass eine Beratung auf Augenhöhe eher möglich ist, da das typische Abhängigkeitsverhältnis aus einem Arbeitsverhältnis fehlt. Der externe Datenschutzbeauftragte wird auf der Grundlage eines Vertrages tätig, der regelmäßig nur für einen bestimmten Zeitraum abgeschlossen wird. Ein Nachteil des externen Datenschutzbeauftragten ist, dass er die Abläufe im Unternehmen nicht so gut kennt wie ein Mitarbeiter und auch nicht regelmäßig vor Ort ist. D.h. der Kommunikationsaufwand ist bei einem externen Datenschutzbeauftragten höher.

Praxistipp: ei der Auswahl eines externen Datenschutzbeauftragten sollte darauf geachtet werden, dass dieser neben einer regelmäßigen Beratung auch die Möglichkeit hat, sich in bestimmten Abständen die Arbeitsabläufe vor Ort anzuschauen. Denn gerade bei der Implementierung neuer Prozesse oder der Überprüfung der Umsetzung von Maßnahmen und Empfehlungen schleichen sich gerne Schwachstellen ein.

Die Kosten eines externen Datenschutzbeauftragten

Hier kann keine feste Angabe gemacht werden, da das Honorar des externen Datenschutzbeauftragten von vielen Kriterien abhängt - ähnlich wie beim internen Datenschutzbeauftragten sind dies (branchenspezifische) Kenntnisse, besondere Qualifikationen etc. und letztlich bestimmen auch Angebot und Nachfrage den Marktpreis.

Die Voraussetzungen/Qualifikationen eines externen Datenschutzbeauftragten

Gem. Art. 37 Abs. 5 DSGVO werden Datenschutzbeauftragte auf Grundlage

  • berufliche Qualifikation
  • Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
  • die Fähigkeit zur Erfüllung der Aufgaben nach Art. 39 DSGVO

D.h. der Datenschutzbeauftragte muss nachweislich über Kenntnisse im Bereich des Datenschutzes und der damit zusammenhängenden Gesetze sowie über Know-how im Bereich der technisch-organisatorischen Maßnahmen verfügen. Darüber hinaus darf der Datenschutzbeauftragte in keinem Interessenkonflikt stehen.

Form der Benennung des Datenschutzbeauftragten

Da die DSGVO und das BDSG lediglich von einer Benennung des Datenschutzbeauftragten sprechen ist keine Schriftform notwendig. Aus Beweisgründen und Dokumentationsgründen sowie zur Schaffung einer Rechtsklarheit ist eine schriftliche Benennung eines Datenschutzbeauftragten dennoch empfehlenswert.

Bekanntgabe des Datenschutzbeauftragten

Verantwortliche und Auftragsverarbeiter müssen die Kontaktdaten ihres Datenschutzbeauftragten:

  1. veröffentlichen (z.B. auf der Firmen-Website) und
  2. diese der zuständigen Aufsichtsbehörde mitteilen, Art. 37 Abs. 7 DSGVO.

Hinweis: Die DSGVO unterscheidet dem Wortlaut nach zwischen der namentlichen Benennung und der Angabe von Kontaktdaten. Für das Verarbeitungsverzeichnis ergibt sich z.B. eine explizite Pflicht zur namentlichen Benennung des Datenschutzbeauftragten aus Art. 30 Abs. 1 a DSGVO. Eine namentliche Benennung in der Datenschutzerklärung oder auf der Webseite ist hingegen nicht zwingend erforderlich. Hier genügt die Angabe einer Kontaktstelle.

Schlagworte zum Thema:  Datenschutzbeauftragter, Datenschutz, Datenmanagement, Datenschutz-Grundverordnung
Meistgelesene Beiträge
Neueste Beiträge
Zum Haufe Shop
Zum Thema Wirtschaftsrecht
E-Learning: Datenschutz
E-Learning Datenschutz

Persönliche Daten sind ein kostbares Gut. Deshalb werden sie auch durch die Gesetzgebung besonders geschützt. Jeder Mitarbeitende sollte daher zum richtigen Umgang mit personenbezogen Daten sensibilisiert werden. Effektiv und kompakt geht das heute mit E-Learning.
E-Learning: Informationssicherheit
E-Learning Informationssicherheit

Um Unternehmen vor wirtschaftlichen Schäden zu bewahren, rückt heute auch der Schutz vertraulicher Daten immer mehr in den Fokus. Mitarbeitende einen Überblick zu geben über die wichtigsten organisatorischen und technischen Sicherheitsmaßnahmen zum Schutz der Informationen spielt dabei eine entscheidende Rolle.
E-Learning: Code of Conduct
eL Code of Conduct

Kein Büromaterial entwenden, keine Unternehmensgeheimnisse ausplaudern, klar! Was aber genau ist ein Interessenskonflikt und welche relevanten Leitlinien für Mitarbeitende gibt es, um sich rechtskonform zu verhalten? Verbindliche Verhaltensstandards sind das A & O. Mitarbeitende dafür zu sensibilisieren ebenfalls.
Haufe Shop: Wirtschaftsrecht visuell
Wirtschaftsrecht visuell

Kenntnisse im Wirtschaftsrecht sind für alle Steuerprofis unabdingbar. Der Band gibt eine schnelle Übersicht über alle relevanten Vorschriften des BGB und HGB und einen vertieften Einstieg in die einzelnen Regelungen.
Datenschutzbeauftragter, Bestellung
Datenschutzbeauftragter, Bestellung

Kurzbeschreibung Vertragliche Vereinbarung mit einem Mitarbeiter zur Übertragung der Aufgaben des Datenschutzbeauftragten im Betrieb. Das regelt der Vertrag (Vertragszweck) Ausgangssituation: Öffentliche und nicht öffentliche Stellen (private ...

4 Wochen testen
Akademie Sidebar
Über 100 neue Seminare und Trainings für Ihren Erfolg

Lösungen für Unternehmen – Kompetenz für Fach- und Führungskräfte.

Zur Haufe Akademie
Bleiben Sie immer Up-to-date mit dem haufe.de Recht Newsletter - kostenlos und unverbindlich