Immer wieder übersehen Unternehmen, dass sie möglicherweise verpflichtet sind, einen betrieblichen Datenschutzbeauftragten zu bestellen, der auf die Einhaltung der Datenschutzvorschriften hinwirkt. Dieser Verstoß kann mit einem Bußgeld von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 4 lit. a DSGVO).
Ein Datenschutzbeauftragter muss in Unternehmen bestellt werden, soweit sie i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen (§ 38 Abs. 1 BDSG).
Eine Datenschutz-Folgenabschätzung (DSFA) ist notwendig, wenn eine Form der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, insbesondere bei Verwendung neuer Technologien (Art. 35 DSGVO).
Der Datenschutzbeauftragte wird auf der Grundlage der beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage der Fähigkeit zur Erfüllung oben genannten Aufgaben (Art. 37 Abs. 5 DSGVO).
Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37 Abs. 6 DSGVO).
Vorteile eines externen Datenschutzbeauftragten
Viele Unternehmen bestellen keinen internen Datenschutzbeauftragten, sondern nutzen externe Dienstleister. Die Gründe hierfür sind vielfältig. So z. B. :
- Externe Datenschutzbeauftragte (DSB) sind spezialisierte Experten mit umfangreichem Fachwissen und aktueller Expertise im Datenschutzrecht
- Sie können sich voll auf Datenschutzthemen konzentrieren und sind nicht durch andere Aufgaben abgelenkt
- Externe DSB sind von außen kommend und daher neutraler und unabhängiger als interne Mitarbeitende
- Sie haben keine Interessenkonflikte innerhalb des Unternehmens
- Externe DSB arbeiten für mehrere Unternehmen und sammeln dadurch branchenübergreifende Erfahrungen und Best Practices
- Externe DSB sind oft kostengünstiger als interne, da Weiterbildungs- und Infrastrukturkosten entfallen