Mit dem 25.05.2018 ist die Europäische Datenschutzgrundverordnung (kurz: EU-DSGVO) in Kraft getreten und zusätzlich zum bereits geltenden Bundesdatenschutzgesetz zu beachten. Für Unternehmen bedeutet das also, sich neuen Herausforderungen zu stellen. Gerade in der Anfangszeit gab es viel Unsicherheit: Was ist nun zu beachten? Wo lauern Gefahren? Soll ein interner Mitarbeiter das Amt des Datenschutzbeauftragten übernehmen oder besser ein externer Spezialist?
Einen passenden Datenschutzbeauftragten für Ihr Unternehmen zu finden ist gar nicht so einfach, werden Sie sich womöglich sagen? Bei der Wahl sollten Sie vor allem auf die Qualifikationen des Dienstleisters achten. Der Datenschutzbeauftragte sollte zeitgemäß – sprich: digital – arbeiten und wissen, wie Datenschutz funktioniert.
Bereits früh habe ich mich in meiner anwaltlichen Karriere mit dem IT-Recht, und hier insbesondere mit Datenschutz befasst. Stetige Fortbildungen in diesen Bereichen sind für mich selbstverständlich. Mit Inkrafttreten der EU-DSGVO habe ich meinen Tätigkeitsfokus ganz besonders auf den Bereich des Datenschutzrechts gerichtet. So bin ich imstande, Sie bei allen datenschutzrechtlichen Herausforderungen als externer Datenschutzbeauftragter kompetent zu beraten.
Das konkrete Aufgabenfeld ist schlussendlich von Ihrem Unternehmen und den individuellen Gegebenheiten abhängig. Bei größeren Unternehmen sind Umfang und Komplexität der Datenverarbeitung erfahrungsgemäß größer. Die Aufgaben gestalten sich dann in der Regel vielseitiger. Kernbestandteile der Tätigkeit als Datenschutzbeauftragter sind Unterrichtung und Beratung des Unternehmens, sowie Überwachung und Einhaltung datenschutzrechtlicher Vorgaben.
Nach einer Überprüfung des Handlungsbedarfes erstelle ich ein Konzept für den Datenschutz in Ihrem Unternehmen und setze alle notwendigen Maßnahmen um. Die Erstellung einer Datenschutzerklärung für Ihre Homepage oder die Prüfung und Implementierung von Auftragsdatenverarbeitungsverträgen gehört ebenso meinen Aufgaben wie die Durchführung einer Datenschutz-Folgeabschätzung, falls erforderlich.
Die Dokumentation der unternehmensinternen Datenschutzprozesse, zum Beispiel die Erstellung des Verzeichnisses für Verarbeitungstätigkeiten, die laufende Überwachung sowie die Unterstützung beim Krisenmanagement bei Datenpannen und die Korrespondenz mit den Datenschutzbehörden runden meine Tätigkeit als externer Datenschutzbeauftragter ab.
Wie bereits in der Einleitung erwähnt, hat ein Unternehmen die Möglichkeit, einen internen Mitarbeiter zum Datenschutzbeauftragten zu benennen. Das mag auf den ersten Blick komfortabel erscheinen, kann aber – je nach Unternehmen – auch eine „unglückliche“ Entscheidung sein. Der große Vorteil eines externen Datenschutzbeauftragten ist, dass dieser bereits über das nötige Wissen verfügt, um seiner Tätigkeit nachkommen zu können. Ein interner Mitarbeiter muss die Grundlagen des Datenschutzrechts meist erst über entsprechende Lehrgänge erlernen. Die Menge an Informationen und Wissen lässt sich erfahrungsgemäß nicht sinnvoll durch den Besuch schneller Crash-Kurse aneignen.
Ein weiterer Vorteil eines externen Datenschutzbeauftragten ist, dass sich dieser vollends auf genau diese Tätigkeit konzentrieren kann. Ein interner Mitarbeiter, der sich um den Datenschutz kümmern soll, hat in aller Regel auch noch andere Verpflichtungen innerhalb der Firma. Es besteht also die Gefahr, dass entweder das Thema Datenschutz zur „Nebensache verkommt“ und nicht die nötige Aufmerksamkeit erhält oder der Mitarbeiter seine Kerntätigkeit vernachlässigt.
Nicht zuletzt profitieren Sie von einem externen Datenschutzbeauftragten auch im Hinblick auf die Haftungsfrage. Denn von einem internen Datenschutzbeauftragten können Sie als Arbeitgeber nur den Ersatz von Schäden verlangen, die dieser Mitarbeiter grob fahrlässig oder vorsätzlich verursacht hat. Zudem dürfte in vielen Fällen eine Haftung eines Arbeitnehmers an dessen Vermögenslosigkeit scheitern. Ein externer Datenschutzbeauftragter hingegen haftet im Rahmen des vertraglich Vereinbarten grundsätzlich für alle von ihm verursachten Schäden. Einfacher gesagt: Ginge mir „etwas durch die Lappen“, wäre das mein Problem und nicht Ihres. Hierfür habe ich selbstverständlich eine entsprechende Versicherung abgeschlossen.
Die Frage nach den Kosten eines externen Datenschutzbeauftragten ist absolut nachvollziehbar und schnell kommt damit auch die Frage auf, ob ein externer Datenschutzbeauftragter nicht teurer als eine interne Lösung ist. Im ersten Moment mag das so erscheinen. Schließlich bekommen Sie ja einen Spezialisten, der viel Fachwissen und Erfahrung mitbringt, was er sich „gut bezahlen lassen möchte“.
Bedenken Sie aber auf der anderen Seite, dass Sie für einen internen Mitarbeiter ggf. sogar mehr Geld in die Hand nehmen müssen. Zunächst ist der Besuch mehrerer Lehrgänge in der Anfangszeit nötig und später dann auch etwaige Weiterbildungskurse. Solche Kurse sind in aller Regel nicht kostenfrei, die Anbieter wollen diese Wissensvermittlung nicht „umsonst“ machen. Ferner wird auch ein interner Mitarbeiter, der zum Datenschutzbeauftragten ernannt wird, eine angemessene Entlohnung für dieses verantwortungsvolle Amt haben wollen.
Und nicht zuletzt können im Schadensfall – um hier das Thema Haftung noch einmal aufzugreifen – die Kosten häufig bei Ihnen liegen bleiben.
Fazit: Mit mir als erfahrenem Rechtsanwalt mit fundierter Kenntnis im Datenschutz haben Sie einen Fachmann an Ihrer Seite, der nicht erst teuer eingearbeitet werden muss.
Auch ohne die EU-DSGVO gibt hier das schon davor in Deutschland geltende Bundesdatenschutzgesetz klare Vorgaben. Nach § 38 BDSG besteht für Unternehmen die Pflicht zur Ernennung eines Datenschutzbeauftragten, wenn regelmäßig mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das Beschäftigungsverhältnis spielt hierbei keine Rolle, es kommt auf die reine Menge der betroffenen Mitarbeiter an. Das schließt auch Teil- und Leiharbeitnehmer sowie Praktikanten und Auszubildende mit ein.
Jedes Unternehmen, das personenbezogene Daten in einer in der EU befindlichen Zweigstelle verarbeitet, muss sich nach den Vorgaben der EU-DSGVO richten. Die DSGVO gilt ferner für Unternehmen, die ihren Sitz zwar außerhalb der EU haben, aber Waren oder Dienstleistungen innerhalb der EU anbieten.
Beschränkt sich die Verarbeitung auf rein persönliche oder familiäre Daten, greifen die Regelungen der DSGVO nicht. Weiterhin gelten einige der Pflichten nicht verbindlich, sofern die Verarbeitung personenbezogener Daten nicht zu den Kerntätigkeiten Ihres Unternehmens gehört und Ihre Tätigkeit kein Risiko für die betroffenen Personen bedeutet.
Grundsätzlich ist hier Vorsicht geboten. Denn nicht immer lässt sich einfach sagen, wann rein persönliche Daten vorliegen oder wann die Verarbeitung keinerlei Risiko darstellt. Die Grenzen sind hier teils fließend. Mit einem externen Datenschutzbeauftragten an Ihrer Seite haben Sie wesentlich mehr Sicherheit.
Benötigen Sie einen externen Datenschutzbeauftragten? Dann sind Sie bei mir an der richtigen Adresse. Treten Sie am besten gleich telefonisch oder per E-Mail mit mir in Verbindung. Profitieren Sie von meiner fachlichen Kompetenz und meiner Erfahrung im Bereich Datenschutz und darüber hinaus gehend.