Irrtümer im Datenschutz (Teil 2): Ein Datenschutzbeauftragter ist zu teuer und daher kann auf die Bestellung verzichtet werden

Irr­tü­mer im Daten­schutz (Teil 2)

Wei­ter geht es mit dem zwei­ten Teil der Serie “Irr­tü­mer im Daten­schutz”. Nicht aus­zu­rot­ten ist ein Gerücht, auf das ich im Rah­men von zahl­rei­chen Bera­tungs­ge­sprä­chen immer wie­der sto­ße. Hier wird argu­men­tiert, auf die Bestel­lung eines gesetz­lich vor­ge­schrie­be­nen Daten­schutz­be­auf­trag­ten kann ver­zich­tet wer­den, wenn die dafür anfal­len­den Kos­ten für das Unter­neh­men nicht zumut­bar sind.

Was sagt das Bun­des­da­ten­schutz­ge­setz (BDSG) dazu?

Die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten regelt § 4f Absatz 1 Beauf­trag­ter für den Daten­schutz BDSG.

(1) Öffent­li­che und nicht-öffent­li­che Stel­len, die per­so­nen­be­zo­ge­ne Daten auto­ma­ti­siert ver­ar­bei­ten, haben einen Beauf­trag­ten für den Daten­schutz schrift­lich zu bestel­len. Nicht-öffent­li­che Stel­len sind hier­zu spä­tes­tens inner­halb eines Monats nach Auf­nah­me ihrer Tätig­keit verpflichtet.

Wei­ter führt § 4f BDSG aus

Die Sät­ze 1 und 2 gel­ten nicht für die nicht­öf­fent­li­chen Stel­len, die in der Regel höchs­tens neun Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäftigen.

Damit ist klar defi­niert: Unter­neh­men mit mehr als 9 Mit­ar­bei­tern, die mit­tels EDV mit per­so­nen­be­zo­ge­nen Daten zu tun haben, sind gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet — und zwar bis spä­tes­tens 4 Wochen nach Auf­nah­me der Geschäftstätigkeit.

Zumut­bar­keit?

Von einer Zumut­bar­keit ist an die­ser Stel­le nicht die Rede. Im Gegen­teil! § 4f Absatz 1 BDSG führt sogar noch wei­te­re Ver­pflich­tungs­kri­te­ri­en an:

Soweit auf­grund der Struk­tur einer öffent­li­chen Stel­le erfor­der­lich, genügt die Bestel­lung eines Beauf­trag­ten für den Daten­schutz für meh­re­re Berei­che. Soweit nicht-öffent­li­che Stel­len auto­ma­ti­sier­te Ver­ar­bei­tun­gen vor­neh­men, die einer Vor­ab­kon­trol­le unter­lie­gen, oder per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Mei­nungs­for­schung auto­ma­ti­siert ver­ar­bei­ten, haben sie unab­hän­gig von der Anzahl der mit der auto­ma­ti­sier­ten Ver­ar­bei­tung beschäf­tig­ten Per­so­nen einen Beauf­trag­ten für den Daten­schutz zu bestellen.

Auch hier ist kei­ne Rede von einer Zumut­bar­keit für Unter­neh­men. Bestell­pflicht ist Bestell­pflicht! Jedoch gestat­tet der Gesetz­ge­ber mit § 4f Absatz 2 BDSG eine exter­ne Bestellung:

Zum Beauf­trag­ten für den Daten­schutz kann auch eine Per­son außer­halb der ver­ant­wort­li­chen Stel­le bestellt wer­den; die Kon­trol­le erstreckt sich auch auf per­so­nen­be­zo­ge­ne Daten, die einem Berufs- oder beson­de­ren Amts­ge­heim­nis, ins­be­son­de­re dem Steu­er­ge­heim­nis nach § 30 der Abga­ben­ord­nung, unterliegen

Die­se Mög­lich­keit bie­tet gera­de klei­nen und mitt­le­ren mit­tel­stän­di­schen Unter­neh­men ein hohes Maß an Fle­xi­bi­li­tät, Kos­ten­trans­pa­renz und auch Ein­spar­po­ten­ti­al. Denn die Bestel­lung eines exter­nen Daten­schutz­be­auf­trag­ten bringt zahl­rei­che Vor­tei­le für ein Unter­neh­men mit sich.

Die Vor­tei­le des exter­nen Datenschutzbeauftragten

Ein intern bestell­ter Daten­schutz­be­auf­trag­ter ist nicht wei­sungs­ge­bun­den und frei in sei­ner Zeit­ein­tei­lung. Er genießt einen erwei­ter­ten Kün­di­gungs­schutz und kann nicht ein­fach so abbe­ru­fen wer­den. Gleich­zei­tig trägt das Unter­neh­men die Kos­ten für Aus- und Wei­ter­bil­dung (die­se ist gesetz­lich vor­ge­schrie­ben) und muss Raum und Mate­ri­al zur Ver­fü­gung stel­len. Ein inter­ner Daten­schutz­be­auf­trag­ter bringt kei­nen Ver­si­che­rungs­schutz mit sich. Kos­ten­trans­pa­renz und Kos­ten­kon­trol­le Fehlanzeige!

Bestel­len Sie jedoch einen exter­nen Daten­schutz­be­auf­trag­ten, lie­gen die Vor­tei­le klar auf der Hand. Die­ser Exter­ne arbei­tet im Rah­men eines Pro­jekt­auf­trags. Die Kos­ten sind trans­pa­rent und über­schau­bar. Sei­ne Bestel­lung kann wider­ru­fen wer­den, beson­de­ren Kün­di­gungs­schutz kennt ein exter­ner Ver­trag nicht. Die Kos­ten für sei­ne Aus- und Wei­ter­bil­dung trägt der Exter­ne selbst, eben­so wie für die not­wen­di­ge Aus­stat­tung mit Soft­ware (Lizen­zen), Lite­ra­tur und sein Büro. Ein exter­ner Daten­schutz­be­auf­trag­ter ver­fügt über aus­rei­chen­den Ver­si­che­rungs­schutz, wel­cher sich auf sei­ne Tätig­keit für das Unter­neh­men erstreckt (las­sen Sie sich die­se stets nach­wei­sen!!). Ziel­kon­flik­te sind durch die Aus­glie­de­rung kein The­ma. Als Sah­ne­häub­chen erhält Ihr Unter­neh­men Zugriff auf des­sen bran­chen­über­grei­fen­des Know How.

Wer nicht, zu spät oder pro for­ma bestellt, setzt sich einem erheb­li­chen Buß­geld­ri­si­ko bis 50.000 Euro aus.

Über­zeugt? Dann ver­ein­ba­ren Sie doch gleich in unver­bind­li­ches und kos­ten­lo­ses Erstberatungsgespräch!

Lesen Sie hier die ande­ren Tei­le der Serie “Irr­tü­mer im Datenschutz”:

• Teil 1: Irr­tü­mer im Daten­schutz (Teil 1): Daten­schutz betrifft mein Unter­neh­men nicht
• Teil 2: Irr­tü­mer im Daten­schutz (Teil 2): Ein Daten­schutz­be­auf­trag­ter ist zu teu­er und kann auf die Bestel­lung ver­zich­tet werden
• Teil 3: Irr­tü­mer im Daten­schutz (Teil 3): Wir haben kei­ne schüt­zens­wer­ten Daten im Unternehmen