Was macht ein Datenschutzbeauftragter?

Sie wurden zum Datenschutzbeauftragten ernannt oder denken darüber nach, dieses Amt zukünftig zu übernehmen und fragen sich nun, welche Aufgaben zukünftig auf Sie zukommen werden bzw., was ein Datenschutzbeauftragter macht? Wir haben für Sie alle wichtigen und konkreten Aufgaben zusammengefasst.

Ein Datenschutzbeauftragter (DSB) ist in erster Linie dafür verantwortlich, dass die Datenschutzvorschriften der DSGVO eingehalten werden. Generell lassen sich die Aufgaben eines Datenschutzbeauftragten in zwei Kategorien unterteilen:

  1. Ausreichendes Datenschutzniveau herstellen
  2. Datenschutzniveau erhalten und verbessern

Es ist klar abzugrenzen, dass die direkte Umsetzung der erforderlichen Maßnahmen nicht der Entscheidungsgewalt des Datenschutzbeauftragten obliegt, sondern lediglich das Beraten, Ausarbeiten und Vorschlagen dieser Maßnahmen und deren Implementierung und Einhaltung, um so einen hinreichenden Datenschutz im Unternehmen zu gewährleisten. Auch arbeitet der Datenschutzbeauftragte mit der Datenschutzbehörde zusammen und beantwortet dieser alle an ihn bzw. an das Unternehmen gerichteten, datenschutzrechtlichen Fragestellungen.

Diese Maßnahmen dienen zur Überwachung der internenAbläufe eines Unternehmens, ob diese den gesetzlichen Datenschutzanforderungen gerecht werden. Ziel hierbei ist es, dass es erst gar nicht zu Datenschutzverstößen kommen kann.

Um welche Aufgaben aus der DSGVO kümmert sich ein Datenschutzbeauftragter?

Verzeichnis der Verarbeitungstätigkeiten

Im sog. Verzeichnis der Verarbeitungstätigkeiten dokumentiert der Datenschutzbeauftragte die verschiedenen Verarbeitungsvorgänge im Unternehmen entsprechend der DSGVO. Dieses Verzeichnis beinhaltet Art und Umfang der Datenverarbeitung im Unternehmen. Die Zusammenstellung der Abläufe durch den Datenschutzbeauftragten erfolgt in Kooperation mit den jeweiligen Fachbereichen. Der DSB ist hier für die fortlaufende Aktualisierung des Verzeichnisses verantwortlich.

Löschkonzept

Aus den Verarbeitungstätigkeiten ergeben sich jeweils die Aufbewahrungs- und Löschfristen, wofür wiederrum ein Löschkonzept verpflichtend wird.

Risikoanalyse (Datenschutz-Folgenabschätzung)

Eine weitere zentrale Aufgabe des Datenschutzbeauftragten ist die Risikoeinschätzung bei Verarbeitungstätigkeiten. Immer wenn eine Verarbeitungstätigkeit oder eine neue technische Maßnahme ein erhöhtes Risiko für die Rechte und Freiheiten einer natürlichen Person beinhaltet, muss eine Risikobewertung erfolgen. Auch hier ist der Datenschutzbeauftragte beratend und überwachend in der Bewertung der zu treffenden Schutzmaßnahmen zuständig (Datenschutz-Folgenabschätzung).

Mitarbeiterschulungen

Die Grundlage zur Einhaltung der Datenschutzvorgaben bildet die Schulung der Mitarbeiter, die personenbezogene Daten verarbeiten. Der Datenschutzbeauftragte muss diese Mitarbeiter hinsichtlich des Umgangs mit personenbezogenen Daten, mit technischen Endgeräten sowie der Gefahren der elektronischen Verarbeitung schulen und sensibilisieren.

Fachkompetenter Ansprechpartner

Last but not least ist der Datenschutzbeauftragte vor allem fachkompetenter Ansprechpartner in allen Datenschutzthemen für Mitarbeiter, Geschäftsführung und Kunden eines Unternehmens.

DSM-Online jetzt 14 Tage kostenlos & unverbindlich testen.
Optimieren Sie Ihren Datenschutz!

Welche Unternehmen müssen einen Datenschutzbeauftragten bestellen?

Grundsätzlich ist nicht die Branche oder die Unternehmensgröße ausschlaggebend in der Frage, ob ein Datenschutzbeauftragter benannt werden muss. Als Faustregel gilt hier: wenn sich mindestens 20 Personen bzw. Unternehmensmitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, muss ein DSB beauftragt werden.

Jedoch müssen Unternehmen, die sensitive Daten verarbeiten oder neue Technologien einsetzen und demnach einer Datenschutz-Folgenabschätzung unterliegen (gem. Artikel 35 DSGVO), einen Datenschutzbeauftragten benennen – unabhängig von der Anzahl der Personen, die mit Verarbeitungsvorgängen beschäftigt sind.

Neben dieser Grundregel gelten noch folgende andere Kriterien:

  1. Die Kerntätigkeit des Unternehmens besteht aus Verarbeitungsvorgängen, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
  2. Die Kerntätigkeit des Unternehmens besteht darin, besondere Kategorien personenbezogener Daten(z.B. rassischer und ethnischer Herkunft, politische Meinungen, genetische Daten, religiöse Überzeugungen, sexuelle Orientierung etc.) zu verarbeiten.

Welche Voraussetzungen muss ein Datenschutzbeauftragter erfüllen?

Den Datenschutzvorschriften der DSGVO folgend haben viele Unternehmen in den letzten Jahren einen Datenschutzbeauftragten benannt. Wenn dieses Amt nicht an einen externen DSB vergeben wurde, so wurden in vielen Fällen interne Mitarbeiter nach dem Motto „Wer nicht zuerst auf dem Baum ist“ berufen. Aber kann man es sich als Unternehmer wirklich so einfach machen und beliebige Mitarbeiter mit dem Amt betrauen bzw. sollte man dies? Auch hier gibt der Gesetzestext klare Vorgaben hinsichtlich der Qualifikationen und Anforderungen an einen Datenschutzbeauftragten:

  1. Fachkundeist ein Muss – ein unerlässliches Qualifikationsmerkmal eines DSB ist der fachkundige Einblick in alle Prozesse der Datengewinnung und -verarbeitung, v.a. im Bereich InformationstechnologieKonkret bedeutet dies, dass der Datenschutzbeauftragte Daten mit einem signifikant hohen Schutzbedürfnis von den Daten mit gewöhnlichem Datenschutz zu differenzieren vermag.
  1. Hohes Maß an Zuverlässigkeit– diese Eigenschaft sollte in der Persönlichkeit und im Verhalten des potenziellen Kandidaten erkennbar sein. Somit kommt kein Mitarbeiter in Frage, der z.B. gegen die im Arbeitsvertrag geregelte Verschwiegenheitspflicht verstoßen hat. Er darf bei seiner Tätigkeit nicht Interessenkonflikte geraten. So darf z.B. kein Geschäftsführer die Aufgaben des Datenschutzbeauftragten übernehmen.
  1. Organisationstalent– der Datenschutzbeauftragte sollte gut im Organisieren und Priorisieren sein. Die getroffenen Datenschutzmaßnahmen sollen sich im Rahmen der Datenschutzvorschriften der DSGVO und den Interessen des Unternehmens bewegen. Dazu ist ein gutes Verständnis der betriebswirtschaftlichen Prozesse unerlässlich.
  1. Softskill: Neutralität – der Gesetzestext sieht damit Geschäftsführer, IT-Leiter und Personal des höheren Managements als Datenschutzbeauftragte als ungeeignet an, da sich in deren Rolle im Unternehmen leicht innere Konflikte ergeben können.

Wo liegt der Unterschied zwischen internem und externem Datenschutzbeauftragten?

 

Da sich die Suche nach einem geeigneten internen Datenschutzbeauftragten oft schwierig gestaltet – hier spielen die Eignung, die Zeit für die zusätzlichen Aufgaben, aber auch die Bereitstellung der betrieblichen Mittel eine große Rolle – gehen viele Unternehmen dazu über, einen externen Datenschutzbeauftragten zu bestellen. Lohnt sich diese Entscheidung? Was habe ich als Unternehmer davon? Und was kostet ein externer Datenschutzbeauftragter? Wo liegen die Unterschiede zum internen Datenschutzbeauftragten? Auf all diese Fragen liefern wir Ihnen hier die passenden Antworten.  

 

Der zwei deutlichsten Unterschiede zwischen internem und externem Datenschutzbeauftragten sind wohl einerseits die guten Kenntnisse des internen DSB über interne Prozesse im Unternehmen, die sich ein externer DSB erst erschließen muss, anderseits weist ein externer Datenschutzbeauftragter immer schon die nötige QualifikationAusbildung und meist auch eine gewisse Routine vor, was bei einem internen DSB zunächst zu Anlaufschwierigkeiten aufgrund der fehlenden Erfahrung und zu höheren Kosten für die Aus- und Weiterbildung führen kann. Eventuell muss hier auf externe Unterstützung zurückgegriffen werden, was weitere Kosten verursacht. 

 

Fokus: Beim internen DSB ist die Wahrscheinlichkeit hoch, dass seine/ihre Haupttätigkeit im Vordergrund bleibt und die Datenschutzaufgaben nur nebenbei laufen. Dagegen ist der externe DSB ausschließlich auf die Aufgaben im Datenschutz fokussiert. 

 

Neutralität: Ein weiterer Vorteil, den der externe DSB vorweisen kann, ist die neutrale Perspektive dem Unternehmen gegenüber. Ein interner Datenschutzbeauftragter kann hierbei leicht in innere Konflikte geraten.  

 

Haftung: In Haftungsfragen kann der interne DSB nicht belangt werden (außer ihm/ihr wird Vorsatz nachgewiesen), sondern das Unternehmen haftet hier für alle eventuellen Datenpannen. Im Gegensatz dazu haftet der externe DSB im Rahmen einer vertraglich vereinbarten Summe, wodurch sich für das Unternehmen mehr Sicherheit ergibt. 

 

Kündigung: Der interne Datenschutzbeauftragte hat einenausgeprägten Kündigungsschutz, der ein Jahr lang noch nachwirkt.Eine „Amtsenthebung“ ist oft mühsam, langwierig und mit hohem Aufwand verbunden. Dagegen werden mit dem externen DSB im Dienstvertrag oft die regulären Kündigungsfristen festgelegt. 

 

Letzten Endes hängt es von der Ausgangssituation und vom Bedarf eines Unternehmens ab, welche Variante passender ist. Als kleine Entscheidungshilfe dient folgende Überlegung: Unternehmen, die sich täglich mit datenschutzrechtlichen Themen und Fragen beschäftigen müssen, empfiehlt sich eher die Benennung eines internen Datenschutzbeauftragten. Wenn der Bedarf hingegen nur sporadisch bestehtist die externe Unterstützung meist die bessere WahlGerne beraten wir Sie, welche Variante für Sie besser passen könnte – sprechen Sie uns herzlich gerne an. 

Was kostet ein Datenschutzbeauftragter?

 Neben den oben erwähnten Kosten für Aus- und Weiterbildungen bei einem internen DSB kommen noch die Kosten für weiterführende Lektüre dazu. Die Ausbildungskosten belaufen sich pro Weiterbildungsveranstaltung um die 1.000 Euro. Dazu kommt die monatliche Gehaltsanteil für die Datenschutzbeauftragung und der Anteil der Arbeitszeit, der bei ca. 20% liegt.

Externe Datenschutzbeauftragte bieten oft Paketpreise an, mit denen alle laufenden Kosten abgedeckt sind. Diese starten oft schon ab 150 Euro (je nach Aufwand). Da externe Datenschutzbeauftragte meist Einzelunternehmer sind, tragen diese die Kosten für ihre Aus- und Weiterbildungen selbst.

Software für Datenschutzverantwortliche und Datenschutzbeauftragte

Der Einsatz einer Datenschutzsoftware hat sich mittlerweile fest im Markt etabliert, da es sich als hilfreich erwiesen hat, das Datenschutzmanagement digital und an einem zentralen Ort zu verwalten.

Sowohl für externe Datenschutzbeauftragte als auch interne Datenschutzbeauftragte ist das Angebot an Online-Lösungen groß. Diese oft webbasierten Anwendungen führen Schritt für Schritt zu einem sehr guten Datenschutzniveau.

Als Beispiel dient hier die zentrale, webbasierte Informations- und Dokumentationsplattform DSM-Online, die speziell für das Datenschutzmanagement für kleine und mittelständischen konzipiert ist. Die intuitive Online-Lösung gibt es sowohl als Single-Account für Datenschutzkoordinatoren, interne Datenschutzbeauftragte oder sonstige für den Datenschutz Verantwortliche im Unternehmen, als auch als Multi-Account für die Verwaltung mehrerer Mandate von externen Datenschutzbeauftragten.

Die Software kann unverbindlich 14 Tage lang getestet werden, der Testzeitraum endet automatisch. Zum Test: https://www.dsm-online.eu/registrierung/

DSM-Online jetzt 14 Tage kostenlos & unverbindlich testen.
Optimieren Sie Ihren Datenschutz – auch im Home-Office!