Irrtümer im Datenschutz (Teil 2): Ein Datenschutzbeauftragter ist zu teuer und daher kann auf die Bestellung verzichtet werden
Weiter geht es mit dem zweiten Teil der Serie “Irrtümer im Datenschutz”. Nicht auszurotten ist ein Gerücht, auf das ich im Rahmen von zahlreichen Beratungsgesprächen immer wieder stoße. Hier wird argumentiert, auf die Bestellung eines gesetzlich vorgeschriebenen Datenschutzbeauftragten kann verzichtet werden, wenn die dafür anfallenden Kosten für das Unternehmen nicht zumutbar sind.
Was sagt das Bundesdatenschutzgesetz (BDSG) dazu?
Die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten regelt § 4f Absatz 1 Beauftragter für den Datenschutz BDSG.
(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet.
Weiter führt § 4f BDSG aus
Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Damit ist klar definiert: Unternehmen mit mehr als 9 Mitarbeitern, die mittels EDV mit personenbezogenen Daten zu tun haben, sind gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet — und zwar bis spätestens 4 Wochen nach Aufnahme der Geschäftstätigkeit.
Zumutbarkeit?
Von einer Zumutbarkeit ist an dieser Stelle nicht die Rede. Im Gegenteil! § 4f Absatz 1 BDSG führt sogar noch weitere Verpflichtungskriterien an:
Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
Auch hier ist keine Rede von einer Zumutbarkeit für Unternehmen. Bestellpflicht ist Bestellpflicht! Jedoch gestattet der Gesetzgeber mit § 4f Absatz 2 BDSG eine externe Bestellung:
Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen
Diese Möglichkeit bietet gerade kleinen und mittleren mittelständischen Unternehmen ein hohes Maß an Flexibilität, Kostentransparenz und auch Einsparpotential. Denn die Bestellung eines externen Datenschutzbeauftragten bringt zahlreiche Vorteile für ein Unternehmen mit sich.
Die Vorteile des externen Datenschutzbeauftragten
Ein intern bestellter Datenschutzbeauftragter ist nicht weisungsgebunden und frei in seiner Zeiteinteilung. Er genießt einen erweiterten Kündigungsschutz und kann nicht einfach so abberufen werden. Gleichzeitig trägt das Unternehmen die Kosten für Aus- und Weiterbildung (diese ist gesetzlich vorgeschrieben) und muss Raum und Material zur Verfügung stellen. Ein interner Datenschutzbeauftragter bringt keinen Versicherungsschutz mit sich. Kostentransparenz und Kostenkontrolle Fehlanzeige!
Bestellen Sie jedoch einen externen Datenschutzbeauftragten, liegen die Vorteile klar auf der Hand. Dieser Externe arbeitet im Rahmen eines Projektauftrags. Die Kosten sind transparent und überschaubar. Seine Bestellung kann widerrufen werden, besonderen Kündigungsschutz kennt ein externer Vertrag nicht. Die Kosten für seine Aus- und Weiterbildung trägt der Externe selbst, ebenso wie für die notwendige Ausstattung mit Software (Lizenzen), Literatur und sein Büro. Ein externer Datenschutzbeauftragter verfügt über ausreichenden Versicherungsschutz, welcher sich auf seine Tätigkeit für das Unternehmen erstreckt (lassen Sie sich diese stets nachweisen!!). Zielkonflikte sind durch die Ausgliederung kein Thema. Als Sahnehäubchen erhält Ihr Unternehmen Zugriff auf dessen branchenübergreifendes Know How.
Wer nicht, zu spät oder pro forma bestellt, setzt sich einem erheblichen Bußgeldrisiko bis 50.000 Euro aus.
Überzeugt? Dann vereinbaren Sie doch gleich in unverbindliches und kostenloses Erstberatungsgespräch!
[vfb id=3]
Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:
- Teil 1: Irrtümer im Datenschutz (Teil 1): Datenschutz betrifft mein Unternehmen nicht
- Teil 2: Irrtümer im Datenschutz (Teil 2): Ein Datenschutzbeauftragter ist zu teuer und kann auf die Bestellung verzichtet werden
- Teil 3: Irrtümer im Datenschutz (Teil 3): Wir haben keine schützenswerten Daten im Unternehmen
