Der externe Datenschutzbeauftragte
Die Bestellung externer Datenschutzbeauftragter ist zulässig. Der Datenschutzbeauftragte kann seine Aufgaben auch auf der Grundlage eines Dienstleistungsvertrages erfüllen, dies ergibt sich aus Art. 37 Abs. 6 DSGVO. Der externe Datenschutzbeauftragte wird daher regelmäßig auf der Grundlage eines Dienstleistungsvertrages tätig.
Haftung des externen Datenschutzbeauftragten
Auch durch die Bestellung eines externen Datenschutzbeauftragten kann die Haftung des Verantwortlichen nicht auf diesen „ausgelagert“ werden. Gleichwohl sind auch hier wie beim internen Datenschutzbeauftragten Konstellationen denkbar, in denen es zu einer Durchgriffshaftung bzw. zu einem Regress im Innenverhältnis kommen kann. Externen Datenschutzbeauftragten kommt mangels Beschäftigungsverhältnisses mit der verantwortlichen Stelle bzw. Auftragsverarbeiter eine arbeitsrechtliche Haftungsprivilegierung nicht zugute. Hier stellt sich die Frage, inwieweit eine verantwortliche Stelle ihren externen Datenschutzbeauftragten in Regress nehmen kann. Zunächst müsste auch der externe Datenschutzbeauftragte entsprechend dem Unternehmensrisiko versichert sein und der Versicherungsschutz auch greifen. Soweit ein Versicherungsschutz nicht greift, wird ein höherer Schadensbetrag in Millionenhöhe bei einer Privatperson kaum vollstreckbar sein.
Hinweis: Es ist daher wichtig, sich im Rahmen einer Risiko-Folgenabschätzung über die Höhe des potentiellen Risikos bewusst zu werden und zumindest zu versuchen, dieses zu versichern.
Externer Datenschutzbeauftragter vs interner Datenschutzbeauftragter
Sowohl die Benennung eines internen als auch eines externen Datenschutzbeauftragten gem. Art. 37 Abs. 6 DSGVO bergen Vor- und Nachteile.
Interner Datenschutzbeauftragte
Ein Vorteil ist, dass ein interner Datenschutzbeauftragter das Unternehmen bereits sehr gut kennt, regelmäßig vor Ort ist und kontinuierlich an der Umsetzung und Evaluierung datenschutzfreundlicher Arbeitsabläufe mitwirken kann.
Auch wenn der interne Datenschutzbeauftragte - soweit eine Benennungspflicht besteht - einen besonderen Kündigungsschutz genießt (§ 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG), gestaltet sich im Arbeitsverhältnis eine Beratung auf Augenhöhe zwischen Beschäftigten und Vorgesetzten häufig schwierig. Ein weiterer Nachteil ist, dass bei einem internen Datenschutzbeauftragten die verantwortliche Stelle selbst für eine Vertretung sorgen muss. Denn bei einem internen Datenschutzbeauftragten muss für den Fall seiner Abwesenheit eine Vertretung sichergestellt werden. Auch bei längerer Abwesenheit des internen Datenschutzbeauftragten muss die verantwortliche Stelle in der Lage sein, den Datenschutz im Unternehmen zu gewährleisten und Anfragen von Betroffenen zu bearbeiten. Dies bedeutet, dass ein Stellvertreter entsprechend eingearbeitet werden muss. Alternativ kann für die Zeit der Vertretung auf einen externen Datenschutzbeauftragten zurückgegriffen werden. Auch der interne Stellvertreter des Datenschutzbeauftragten genießt, sofern eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, einen besonderen Kündigungsschutz.
Externer Datenschutzbeauftragte
Ein Vorteil eines externen Datenschutzbeauftragten ist, dass er die Arbeitsabläufe aus der Sicht eines Außenstehenden beurteilen und bewerten kann. Ein externer Datenschutzbeauftragter hinterfragt Prozesse viel unvoreingenommener, auch wenn z.B. der Einwand kommt „das haben wir schon immer so gemacht“. Ein weiterer Vorteil ist, dass eine Beratung auf Augenhöhe eher möglich ist, da das typische Abhängigkeitsverhältnis aus einem Arbeitsverhältnis fehlt. Der externe Datenschutzbeauftragte wird auf der Grundlage eines Vertrages tätig, der regelmäßig nur für einen bestimmten Zeitraum abgeschlossen wird. Ein Nachteil des externen Datenschutzbeauftragten ist, dass er die Abläufe im Unternehmen nicht so gut kennt wie ein Mitarbeiter und auch nicht regelmäßig vor Ort ist. D.h. der Kommunikationsaufwand ist bei einem externen Datenschutzbeauftragten höher.
Praxistipp: ei der Auswahl eines externen Datenschutzbeauftragten sollte darauf geachtet werden, dass dieser neben einer regelmäßigen Beratung auch die Möglichkeit hat, sich in bestimmten Abständen die Arbeitsabläufe vor Ort anzuschauen. Denn gerade bei der Implementierung neuer Prozesse oder der Überprüfung der Umsetzung von Maßnahmen und Empfehlungen schleichen sich gerne Schwachstellen ein.
Die Kosten eines externen Datenschutzbeauftragten
Hier kann keine feste Angabe gemacht werden, da das Honorar des externen Datenschutzbeauftragten von vielen Kriterien abhängt - ähnlich wie beim internen Datenschutzbeauftragten sind dies (branchenspezifische) Kenntnisse, besondere Qualifikationen etc. und letztlich bestimmen auch Angebot und Nachfrage den Marktpreis.
Die Voraussetzungen/Qualifikationen eines externen Datenschutzbeauftragten
Gem. Art. 37 Abs. 5 DSGVO werden Datenschutzbeauftragte auf Grundlage
- berufliche Qualifikation
- Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
- die Fähigkeit zur Erfüllung der Aufgaben nach Art. 39 DSGVO
D.h. der Datenschutzbeauftragte muss nachweislich über Kenntnisse im Bereich des Datenschutzes und der damit zusammenhängenden Gesetze sowie über Know-how im Bereich der technisch-organisatorischen Maßnahmen verfügen. Darüber hinaus darf der Datenschutzbeauftragte in keinem Interessenkonflikt stehen.
Form der Benennung des Datenschutzbeauftragten
Da die DSGVO und das BDSG lediglich von einer Benennung des Datenschutzbeauftragten sprechen ist keine Schriftform notwendig. Aus Beweisgründen und Dokumentationsgründen sowie zur Schaffung einer Rechtsklarheit ist eine schriftliche Benennung eines Datenschutzbeauftragten dennoch empfehlenswert.
Bekanntgabe des Datenschutzbeauftragten
Verantwortliche und Auftragsverarbeiter müssen die Kontaktdaten ihres Datenschutzbeauftragten:
- veröffentlichen (z.B. auf der Firmen-Website) und
- diese der zuständigen Aufsichtsbehörde mitteilen, Art. 37 Abs. 7 DSGVO.
Hinweis: Die DSGVO unterscheidet dem Wortlaut nach zwischen der namentlichen Benennung und der Angabe von Kontaktdaten. Für das Verarbeitungsverzeichnis ergibt sich z.B. eine explizite Pflicht zur namentlichen Benennung des Datenschutzbeauftragten aus Art. 30 Abs. 1 a DSGVO. Eine namentliche Benennung in der Datenschutzerklärung oder auf der Webseite ist hingegen nicht zwingend erforderlich. Hier genügt die Angabe einer Kontaktstelle.