Limonade statt Zitrone

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Was kos­tet ein exter­ner Daten­schutz­be­auf­trag­ter?”, die­se Fra­ge wird desöf­te­ren per Email oder als Blog-Kom­men­tar an uns her­an­ge­tra­gen.  Eine nach­voll­zieh­ba­re Fra­ge, gera­de wenn das eige­ne Unter­neh­men unter die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten fällt. Und gera­de in wirt­schaft­lich anstren­gen­den Pha­sen sind die Kos­ten ein rele­van­ter Fak­tor. Sind kei­ne wei­te­ren Anga­ben vor­han­den, dann fällt die Beant­wor­tung in etwa so leicht wie die von Fra­gen wie

  • Was kos­tet ein Auto?
  • Wie teu­er ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächs­ten Som­mer­ur­laub bezahlen?

Die ehr­li­che Ant­wort auf die Fra­ge nach den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten kann in die­sem Fall nur lau­ten: “Es kommt dar­auf an!”

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Daten­schutz ist kein Pro­dukt von der Stan­ge, auch wenn das eine oder ande­re rei­ße­ri­sche Bil­lig­hei­mer-Ange­bot das glau­ben machen will. Daten­schutz ist stets eine indi­vi­du­el­le Leis­tung maß­ge­schnei­dert auf Ihre Orga­ni­sa­ti­on. Jede Unter­neh­mung ver­fügt über eine eige­ne Aus­gangs­si­tua­ti­on (Sta­tus Quo wie Anzahl der Mit­ar­bei­ter, Filia­len, Betriebs­rat, Richt­li­ni­en etc.), unter­schied­li­che Res­sour­cen zur Umset­zung, eine Viel­falt an zu betrach­ten­den Fak­to­ren (bei­spiels­wei­se die unter­schied­lichs­ten IT-Lösun­gen) und ein not­wen­di­ges Schutz­ni­veau je nach Bran­che und Art der per­so­nen­be­zo­ge­nen Daten in der Organisation.

All die­se Punk­te bedeu­ten ein Mehr oder Weni­ger an Auf­wand in der Umset­zung und Betreu­ung im Rah­men der Auf­ga­ben eines Daten­schutz­be­auf­trag­ten nach Art. 39 DSGVO. Sie wir­ken sich dem­nach direkt auf die ent­ste­hen­den Kos­ten aus. Umso wich­ti­ger ist es, mög­lichst vie­le die­ser Aspek­te zu ken­nen, um die ein­gangs genann­te Fra­ge seri­ös und vor allem ohne spä­te­re Preis­nach­ver­hand­lun­gen beant­wor­ten zu kön­nen. Zu die­sem Zweck kön­nen Sie unser kom­for­ta­bles Online-For­mu­lar nut­zen und damit Ihr Ange­bot anfor­dern. Ihre Anga­ben wer­den selbst­ver­ständ­lich ver­trau­lich behandelt.

Wuss­ten Sie schon, dass zahl­rei­che unse­rer Leis­tun­gen aus offi­zi­el­len För­der­mit­teln bezu­schusst wer­den kön­nen? Hier erfah­ren Sie mehr über För­der­mög­lich­kei­ten und Zuschüs­se für Bera­tungs­leis­tun­gen Daten­schutz & Infor­ma­ti­ons­si­cher­heit von a.s.k. Daten­schutz. Ein wei­te­rer Fak­tor, der Sie unter­stützt, die Belas­tung für die Kos­ten eines exter­nen Daten­schutz­be­auf­trag­ten gering zu halten.

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Im Rah­men eines ein- bis mehr­tä­gi­gen Daten­schutz-Audits vor Ort (zu Coro­na-Zei­ten erst mal nur remo­te) wird der Sta­tus Quo des Daten­si­cher­heit- und Daten­schutz-Niveaus Ihrer Orga­ni­sa­ti­on ermit­telt. Klar defi­nier­te Fra­gen­ka­ta­lo­ge zusam­men mit Ein­zel- und Grup­pen­ge­sprä­chen erge­ben ein deut­li­ches Bild und bil­den die Grund­la­ge für alle wei­te­ren Akti­vi­tä­ten. Nach Aus­wer­tung des Audits und der Gesprä­che steht ein Kata­log von Maß­nah­men und Emp­feh­lun­gen fest, mit des­sen Umset­zung die gesetz­lich vor­ge­schrie­be­nen Not­wen­dig­kei­ten in Ihrem Unter­neh­men sicher­ge­stellt wer­den. Der Kata­log wird in der sog. “Ein­füh­rungs­pha­se” gemein­sam unter Zuhil­fe­nah­me eines Online Pro­jekt Tools umge­setzt. Der Auf­wand für die­se Pha­se wird in Mann­ta­gen gemäß Ihren Anga­ben kal­ku­liert und abge­rech­net. Zumeist ist ein Pau­schal­preis ver­ein­bart, der alle Leis­tun­gen die­ser Pha­se umfasst. Beach­ten Sie mög­li­che För­der­mit­tel und Zuschüs­se.

Nach­dem in der Ein­füh­rungs­pha­se die not­wen­di­ge Basis geschaff­ten wur­de,  schließt sich nun die “Betreu­ungs­pha­se” als exter­ner Daten­schutz­be­auf­trag­ter an.  Die­se umfasst ein­ma­li­ge und wie­der­keh­ren­de Auf­ga­ben wie sie Arti­kel 39 DSGVO vor­sieht. Selbst­ver­ständ­lich haben wir die­se Auf­ga­ben um eini­ge wei­te­re Tätig­kei­ten für Sie ergänzt, sofern dadurch kei­ne Inter­es­sens­kon­flik­te zu den Kern­auf­ga­ben des Daten­schutz­be­auf­trag­ten ent­ste­hen. Zu den Auf­ga­ben lesen Sie mehr in unse­rem sepa­ra­ten Blog-Beitrag.

Was kos­tet es Sie auf jeden Fall …

… wenn Sie kei­nen Daten­schutz­be­auf­trag­ten benen­nen, obwohl Sie gesetz­lich dazu ver­pflich­tet sind.

  • Buß­geld (Aus­nah­me: öffent­li­che Stellen)
  • Ihren guten Ruf z.B. bei Datenpannen
  • Viel Ärger mit der Aufsichtsbehörde

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Die Vor­tei­le einer exter­nen Bestel­lung lie­gen für klei­ne und mit­tel­stän­di­sche Unter­neh­men aber auch Kom­mu­nen klar auf der Hand. Dabei spie­len nicht nur die kal­ku­lier­ba­ren und über­schau­ba­ren Kos­ten eine gro­ße Rol­le. Ihre Orga­ni­sa­ti­on pro­fi­tiert spür­bar vom Ein­satz eines exter­nen Datenschutzbeauftragten.

DSGVO - Dialog und Kooperation

Unter Daten­schutz ver­steht man den Schutz per­so­nen­be­zo­ge­ner Daten vor Miss­brauch, oft im Zusam­men­hang auch mit dem Schutz der Pri­vat­sphä­re. Zweck und Ziel im Daten­schutz ist die Siche­rung des Grund­rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung der Ein­zel­per­son. Jeder soll selbst bestim­men kön­nen, wem er wann wel­che sei­ner Daten und zu wel­chem Zweck zugäng­lich macht. 

Daten­schutz-Defi­ni­ti­on 

Per­so­nen­be­zo­ge­ne Daten sind gemäß Art. 4 Abs. 1 DSGVO “alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen”. 

Das Gesetz sieht eine natür­li­che Per­son als iden­ti­fi­zier­bar an, “die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie“ 

  • Namen 
  • einer Kenn­num­mer 
  • Stand­ort­da­ten 
  • einer Online-Ken­nung oder 
  • „einem oder meh­re­ren beson­de­ren Merk­ma­len, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind, iden­ti­fi­ziert wer­den kann” 

Rechts­grund­la­gen im Daten­schutz 

Um per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten zu dür­fen, braucht es eine recht­li­che Grund­la­ge. Ein­fach so erlang­te Daten ande­rer Per­so­nen zu spei­chern, bear­bei­ten, ana­ly­sie­ren .. das klingt nicht logisch oder? 

Arti­kel 6 Absatz 1 DSGVO lie­fert eini­ge mög­li­che Rechts­grund­la­gen, die eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten recht­mä­ßig machen kön­nen. In den sechs auf­ge­zähl­ten Punk­ten a bis f wer­den bekann­te und viel­leicht auch noch nicht so bekann­te Rechts­grund­la­gen wie etwa die Ein­wil­li­gung (a), die (vor)vertraglichen Maß­ga­ben (b) und die berech­tig­ten Inter­es­sen (f) prä­sen­tiert. Ins­be­son­de­re letz­te­re sind sehr beliebt, weil ver­meint­lich unbü­ro­kra­tisch, jedoch auch häu­fig überstrapaziert. 

Auch gesetz­li­che Vor­schrif­ten unter c, sehr wich­tig gera­de für öffent­li­che Stel­len, und lebens­wich­ti­ge Inter­es­sen per se unter d sowie die Öffent­lich­keit /​ öffent­li­che Inter­es­sen sind uns als Rechts­grund­la­gen an die Hand gegeben. 

Norm­ge­bungen 

Nicht nur in der DSGVO und dem neu­en BDSG ist der Daten­schutz anzu­tref­fen. Auch in den spe­zi­al­ge­setz­li­chen Lan­des­da­ten­schutz­ge­set­zen für Lan­des­be­hör­den /​ Kom­mu­nen — wie z.B. dam vie­len unse­rer Kun­den wohl­be­kann­ten BayDSG — sowie dem TMGSGB und Kir­chen­recht, z.B. DSG-EKD

Lei­der ist jedoch der Urva­ter jeden Daten­schut­zes schon lan­ge in Ver­ges­sen­heit gera­ten. Das Grund­recht, dass es kein Ver­bre­chen ist, über die Preis­ga­be sei­ner Daten selbst zu bestimmen. 

Daten­schutz im Bewusst­sein 

Der ste­tig zuneh­men­den Erhe­bung, Spei­che­rung, Wei­ter­ga­be, Ver­net­zung und Nut­zung von Daten durch fort­schrei­ten­de Tech­no­lo­gi­sie­rung (Email, Inter­net, Mobil­te­le­fo­ne, sozia­le Netz­wer­ke, Kun­den­kar­ten etc.) steht oft eine gewis­se Gleich­gül­tig­keit ent­ge­gen. In wei­ten Tei­len der Bevöl­ke­rung, aber auch auf Unter­neh­mer­sei­te, wird dem Daten­schutz teils kein oder nur ein gerin­ger Stel­len­wert zuge­bil­ligt. Dabei ist Daten­schutz gera­de im Lich­te fort­schrei­ten­der Glo­ba­li­sie­rung ein wich­ti­ger Weg­be­glei­ter von Kind­heit an und in zahl­lo­sen Aspek­ten des All­tags. Die welt­wei­te Ver­net­zung und eine Ver­la­ge­rung von Daten in Län­der, in denen deut­sche und euro­päi­sche Schutz­ge­set­ze kei­ne Gül­tig­keit haben, machen Daten­schutz oft wir­kungs­los oder erschwe­ren die­sen zumin­dest. Daten­schutz ist daher nicht als umständ­li­che Eigen­art son­dern Län­der­über­grei­fen­de Ver­ant­wor­tung zu aufzufassen. 

Daten­schutz prak­tisch gelebt 

Von daher geht es beim The­ma Daten­schutz mitt­ler­wei­le nicht mehr um die rei­ne Daten­si­cher­heit z.B. durch tech­ni­sche Hilfs­mit­tel, son­dern auch um eine effek­ti­ve Durch­set­zung.  Das Yin und Yang eines zeit­ge­mä­ßen und sou­ve­rä­nen Daten­schut­zes sind die tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men. Auch als TOM bekannt sind sie das Herz­stück von IT-Sicher­heit und Daten­schutz, die bei­den Ele­men­te der Infor­ma­ti­ons­si­cher­heit

.. eine ech­te Errun­gen­schaft 

Bei uns in Deutsch­land ist Daten­schutz kein neu­es The­ma. Schon 1977 trat ein Bun­des­da­ten­schutz­ge­setz in Kraft, wel­ches sich jedoch mit dem Daten­schutz in der öffent­li­chen Bun­des­ver­wal­tung befass­te. Öffent­lich­keits­wirk­sam trat der Daten­schutz mit dem sog. “Volks­zäh­lungs­ur­teil” des Bun­des­ver­fas­sungs­ge­richts 1983 in den Vor­der­grund. Aus­lö­ser waren die zahl­rei­chen Wei­ge­run­gen vie­ler Mit­bür­ger, sich und ihre per­sön­li­chen Lebens­ver­hält­nis­se anläss­lich der bun­des­wei­ten Volks­zäh­lung kund­zu­tun. Das Volks­zäh­lungs­ge­setz wur­de — spek­ta­ku­lär — in Tei­len auf­ge­ho­ben und der Begriff der “infor­ma­tio­nel­len Selbst­be­stim­mung” geprägt. Die­se lei­tet sich aus dem Arti­kel 2 des Grund­ge­set­zes ab — dem Recht auf freie Ent­fal­tung der Persönlichkeit. 

Mehr zum The­ma bei Wiki­pe­dia 

Was sind die Auf­ga­ben des exter­nen Datenschutzbeauftragten?

Arti­kel 39 Absatz 1 DSGVO defi­niert die Auf­ga­ben des Daten­schutz­be­auf­trag­ten. Dar­aus erge­ben sich 1:1 die Auf­ga­ben des exter­nen Daten­schutz­be­auf­trag­ten, denn hier wird kei­ne Unter­schei­dung zwi­schen intern und extern getroffen:

Dem Daten­schutz­be­auf­trag­ten oblie­gen zumin­dest fol­gen­de Aufgaben:

a) Unter­rich­tung und Bera­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters und der Beschäf­tig­ten, die Ver­ar­bei­tun­gen durch­füh­ren, hin­sicht­lich ihrer Pflich­ten nach die­ser Ver­ord­nung sowie nach sons­ti­gen Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mitgliedstaaten;

b) Über­wa­chung der Ein­hal­tung die­ser Ver­ord­nung, ande­rer Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mit­glied­staa­ten sowie der Stra­te­gien des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters für den Schutz per­so­nen­be­zo­ge­ner Daten ein­schließ­lich der Zuwei­sung von Zustän­dig­kei­ten, der Sen­si­bi­li­sie­rung und Schu­lung der an den Ver­ar­bei­tungs­vor­gän­gen betei­lig­ten Mit­ar­bei­ter und der dies­be­züg­li­chen Überprüfungen;

c) Bera­tung – auf Anfra­ge – im Zusam­men­hang mit der Daten­schutz-Fol­gen­ab­schät­zung und Über­wa­chung ihrer Durch­füh­rung gemäß Arti­kel 35;

d) Zusam­men­ar­beit mit der Aufsichtsbehörde;

e) Tätig­keit als Anlauf­stel­le für die Auf­sichts­be­hör­de in mit der Ver­ar­bei­tung zusam­men­hän­gen­den Fra­gen, ein­schließ­lich der vor­he­ri­gen Kon­sul­ta­ti­on gemäß Arti­kel 36, und gege­be­nen­falls Bera­tung zu allen sons­ti­gen Fragen.

Als exter­ne Daten­schutz­be­auf­trag­te kann und darf man durch­aus noch etwas mehr an Auf­ga­ben übernehmen

  • Pfle­ge des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten nach inter­ner Zuarbeit
  • Kon­ti­nu­ier­li­che Schu­lung und Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter durch eLear­ning, Webi­na­re, Vor-Ort-Schu­lun­gen, Mit­ar­bei­ter­zei­tung, News­let­ter und vie­les mehr
  • Prü­fung von Ver­ein­ba­run­gen mit exter­nen Dienst­leis­tern nach Art. 28 DSGVO Auftragsverarbeitung
  • Prü­fen und Über­wa­chen der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men Ihrer exter­nen Dienst­leis­ter nach Art. 28 + 32 DSGVO
  • und noch so eini­ges mehr

Was ein Daten­schutz­be­auf­trag­ter nicht leis­ten kann?

Lei­der immer noch viel zu oft ist eine etwas irra­tio­na­le Erwar­tungs­hal­tung anzu­tref­fen. Mit der Benen­nung eines (exter­nen) Daten­schutz­be­auf­trag­ten ist eine Orga­ni­sa­ti­on mit­nich­ten von den Ver­pflich­tun­gen aus der DSGVO für die Orga­ni­sa­ti­on und die damit ver­bun­de­nen Tätig­kei­ten, Auf­ga­ben und Zuar­bei­ten befreit. Es sind nach wie vor alle Orga­ni­sa­ti­ons­ebe­nen gefor­dert, aktiv das The­ma Daten­schutz zu gestal­ten und dem Daten­schutz­be­auf­trag­ten zuzu­ar­bei­ten. Wenn Sie sich die Auf­stel­lung der Auf­ga­ben des Daten­schutz­be­auf­trag­ten aus Art. 39 DSGVO zu Beginn die­ses Bei­trags noch mal in Erin­ne­rung rufen, sind des­sen Beratungs‑, Kon­troll- und Über­prü­fungs­auf­ga­ben kon­kret defi­niert. Bei die­ser Auf­zäh­lung fehlt zu Recht der Begriff “Umset­zen”. Daten­schutz wird durch alle Mit­ar­bei­ter einer Orga­ni­sa­ti­on “umge­setzt” bzw. gelebt. Der Daten­schutz­be­auf­trag­te wirkt auf die rechts­kon­for­me Daten­ver­ar­bei­tung in der Orga­ni­sa­ti­on hin, u.a. durch Bera­tung, und über­prüft die­se im Rah­men sei­ner Kon­troll- und Überwachungsfunktion.

Inter­es­se an einem exter­nen Daten­schutz­be­auf­trag­ten geweckt?

Sie benö­ti­gen einen (exter­nen) Daten­schutz­be­auf­trag­ten? Dann nut­zen Sie unse­re lang­jäh­ri­ge Erfah­rung und das Know How als exter­ne Daten­schutz­be­auf­trag­te für zahl­rei­che unter­schied­li­che Orga­ni­sa­tio­nen zum Schutz Ihres Unter­neh­mens. Spre­chen Sie uns an.

Daten­schutz-Anpas­sungs­ge­setz 2019 und die Folgen

Die Uni­ons­par­tei­en las­sen sich fei­ern bzw. fei­ern sich selbst. Von einem Weg­fall der Büro­kra­tie im Daten­schutz für klei­ne Betrie­be und Ver­ei­ne ist die Rede. Das The­ma Daten­schutz sei jetzt viel ein­fa­cher und weni­ger auf­wän­dig für eine Viel­zahl von Betrie­ben und Ver­ei­nen. Anlass ist die Ver­ab­schie­dung eines Anpas­sungs­ge­set­zes mit not­wen­di­gen Kor­rek­tu­ren in 154 natio­na­len Geset­zen im Bun­des­tag am ver­gan­ge­nen Frei­tag, zu nächt­li­cher Unzeit. Und es stimmt, eine Anpas­sung zahl­rei­cher natio­na­ler Geset­ze und Rege­lun­gen war durch die DSGVO aus Mai 2018 not­wen­dig gewor­den. Doch was aktu­ell in ver­schie­de­nen Medi­en als Erfolg für den Abbau von Büro­kra­tie gefei­ert wird, allen vor­an bei Hand­werks­kam­mern und Ver­ei­nen, das ent­behrt einer Grund­la­ge. Noch dazu zeugt es davon, dass die Betei­lig­ten, das The­ma Daten­schutz und die recht­li­chen Anfor­de­run­gen nicht ganz umris­sen haben.

Hin­ter­grund ist die Anhe­bung der Mit­ar­bei­ter­gren­ze, ab der für Unter­neh­men und Ver­ei­ne die Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­liegt. War hier bis­her die Gren­ze von min­des­tens 10 (mit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befass­ten) Mit­ar­bei­tern gezo­gen, soll zukünf­tig — die Zustim­mung im Bun­des­rat vor­aus­ge­setzt — erst ab 20 Mit­ar­bei­tern eine Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten vor­lie­gen. Die Ver­ant­wort­li­chen ver­spre­chen den betrof­fe­nen Unter­neh­men und Ver­ei­nen eine spür­ba­re büro­kra­ti­sche Ent­las­tung im Daten­schutz. Ist dem so?

Weg­fall des Daten­schutz­be­auf­trag­ten bedeu­tet weni­ger Datenschutz-Bürokratie?

Ein kla­res NEIN. Und das ist auch ganz ohne juris­ti­sche Kennt­nis­se ganz leicht zu beant­wor­ten. Die DSGVO schreibt (wie übri­gens auch das vor­he­ri­ge Daten­schutz­recht) die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unter gewis­sen Vor­aus­set­zun­gen vor. Eben­so beinhal­tet das Bun­des­da­ten­schutz­ge­setz in neu­er Fas­sung 2018 die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten und kon­kre­ti­siert im Rah­men einer sog. Öff­nungklau­sel wei­te­re Vor­aus­set­zun­gen. So heißt es im § 38 Abs. 1 BDSG n.F.

Ergän­zend zu Arti­kel 37 Absatz 1 Buch­sta­be b und c der Ver­ord­nung (EU) 2016/​679 benen­nen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten, soweit sie in der Regel min­des­tens zehn Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäf­ti­gen. Neh­men der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter Ver­ar­bei­tun­gen vor, die einer Daten­schutz-Fol­gen­ab­schät­zung nach Arti­kel 35 der Ver­ord­nung (EU) 2016/​679 unter­lie­gen, oder ver­ar­bei­ten sie per­so­nen­be­zo­ge­ne Daten geschäfts­mä­ßig zum Zweck der Über­mitt­lung, der anony­mi­sier­ten Über­mitt­lung oder für Zwe­cke der Markt- oder Mei­nungs­for­schung, haben sie unab­hän­gig von der Anzahl der mit der Ver­ar­bei­tung beschäf­tig­ten Per­so­nen eine Daten­schutz­be­auf­trag­te oder einen Daten­schutz­be­auf­trag­ten zu benennen.

Die­se Gren­ze von min­des­tens 10 Per­so­nen für die Bestell­pflicht eines inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten soll nun mit den aktu­el­len Anpas­sun­gen, denen der Bun­des­rat noch zustim­men muss (was sehr wahr­schein­lich ist), auf 20 Per­so­nen ange­ho­ben wer­den. Weder in den bis­he­ri­gen Begrün­dun­gen und Erläu­te­run­gen zu die­sem Geset­zes­ent­wurf noch in den zahl­rei­chen Pres­se­ar­ti­keln der Uni­ons­par­tei­en, den Befür­wor­tern die­ser Ände­rung oder Wirt­schafts­ver­bän­den ist jedoch eine nach­voll­zieh­ba­re Erklä­rung vor­han­den, wie­so dies nun weni­ger Büro­kra­tie für die betrof­fe­nen Unter­neh­men und Ver­ei­ne bedeutet.

Es wird auch sehr schwer sein, eine sol­che Erklä­rung zu fin­den. Denn der Daten­schutz­be­auf­trag­te sorgt nicht für die Büro­kra­tie im Daten­schutz. Das über­neh­men die Geset­ze und teil­wei­se auch die nicht immer kla­ren bzw. gele­gent­lich pra­xis­fer­nen Aus­le­gun­gen der Landesdatenschutzbehörden.

“Ja, aber jetzt müs­sen klei­ne Unter­neh­men und Ver­ei­ne für den Daten­schutz nichts mehr tun!”

Auch hier wie­der eine kla­re Aus­sa­ge: DOCH! Ohne jetzt mal eine Unter­schei­dung zwi­schen Behör­den, Unter­neh­men oder Ver­ei­nen vor­zu­neh­men: Ein Para­graph von 85 ins­ge­samt im BDSG n.F. wur­de ange­passt, die sons­ti­gen Anfor­de­run­gen aus dem BDSG und der DSGVO (99 wei­te­re Arti­kel) blei­ben von der Gren­ze zur Bestell­pflicht eines Daten­schutz­be­auf­trag­ten unbe­rührt. Rech­nen wir doch ein­fach mal:

85 BDSG + 99 DSGVO = 184 DATENSCHUTZ
1 von 184 = 0,54% Änderung

Da kann schon mathe­ma­tisch kei­ne all­zu­gro­ße Ent­las­tung bei her­aus­kom­men. Denn um es mit aller Deut­lich­keit zu sagen, ALLE Anfor­de­run­gen, die von Unter­neh­men und Ver­ei­nen als büro­kra­ti­sche “Belas­tung” emp­fun­den wer­den, blei­ben wei­ter­hin bestehen und müs­sen ent­spre­chend erfüllt wer­den (eini­ge Beispiele):

  • Pflicht zum Erstel­len und Pfle­gen eines Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten nach Art. 30 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Iden­ti­fi­ka­ti­on, Bewer­tung und Mel­dung von Daten­pan­nen an Auf­sichts­be­hör­de und Betrof­fe­ne nach Art. 33, 34 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Prü­fen aus­rei­chen­der tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men von exter­nen Dienst­leis­tern und Ver­ein­ba­rung zur Auf­trags­ver­ar­bei­tung gemäß Art. 28, 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Bear­bei­ten und Sicher­stel­len von Betrof­fe­nen­rech­ten nach Art. 12–23 DSGVO inkl. Zusam­men­stel­len und Zur­ver­fü­gung­stel­len der Anga­ben zu den Infor­ma­ti­ons­pflich­ten? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Sicher­heit der eige­nen Ver­ar­bei­tung regel­mä­ßig prü­fen und not­wen­di­ge Anpas­sun­gen sicher­stel­len nach Art. 32 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Risi­ko­ab­schät­zung von Ver­ar­bei­tungs­tä­tig­kei­ten bis hin zur Daten­schutz-Fol­gen­ab­schät­zung nach Art. 32+35 DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Regel­mä­ßi­ge Schu­lung und Sen­si­bi­li­sie­rung von Mit­ar­bei­tern, nicht nur am Tag der Ein­stel­lung, nach Art. 39 Abs. 1 lit b DSGVO? CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden
  • Und die­se Lis­te lie­ße sich noch um vie­le wei­te­re (durch­aus auch mal) “büro­kra­tie­be­haf­te­te” Tätig­kei­ten fort­füh­ren .… CHECK — muss auch ohne Daten­schutz­be­auf­trag­ten umge­setzt werden

Die von der beschlos­se­nen Anpas­sung aus­ge­sen­de­te Bot­schaft ist durch­aus als toxisch zu bezeich­nen. Der Fehl­glau­be, mit Weg­fall der Bestell­pflicht ent­fie­len auch alle ande­ren daten­schutz­recht­li­chen Anfor­de­run­gen war auch im alten BDSG vor 2018 weit ver­brei­tet. Aus unse­rer Erfah­rung quä­len sich seit der DSGVO gera­de die Betrie­be und Ver­ei­ne mit dem Daten­schutz am meis­ten, wel­che es in den Jah­ren davor unter dem alten Daten­schutz­recht etwas läs­sig haben ange­hen las­sen. Für die­se Ver­säum­nis­se und auch die gene­rel­len recht­li­chen For­ma­li­tä­ten im Daten­schutz­recht kann der Daten­schutz­be­auf­trag­te jedoch nichts. Im Gegen­teil: Der Daten­schutz­be­auf­trag­te wäre der idea­le Ansprech­part­ner mit aus­rei­chend Wis­sen und Sach­ver­stand, um die­se büro­kra­ti­schen Anfor­de­run­gen pro­blem­los zu meis­tern und für eine Daten­schutz-Kul­tur in der Orga­ni­sa­ti­on zu sorgen.

Daten­schutz­ver­stö­ße und Buß­gel­der wer­den zunehmen

Man muss kein Wahr­sa­ger sein, dass sowohl die Zahl der Daten­schutz­ver­stö­ße und die der Buß­gel­der nun zuneh­men wird. Die Lan­des­da­ten­schutz­be­hör­den haben bereits in 2018, in der Pla­nungs­pha­se für die­ses Anpas­sungs­ge­setz signa­li­siert, mit der vor­han­de­nen Per­so­nal­aus­stat­tung kei­ne bera­ten­den, son­dern nur noch kon­trol­lie­ren­de Tätig­kei­ten aus­üben zu kön­nen. Eine Auf­sto­ckung ist nach unse­rem Kennt­nis­stand in kei­nem Bun­des­land geplant. Sorg­te bis­her der Daten­schutz­be­auf­trag­te für das not­wen­di­ge Wis­sen in klei­nen Unter­neh­men und Ver­ei­nen, so geht die­ses Wis­sen nun im Rah­men der ver­meint­li­chen “Ent­bü­ro­kra­ti­sie­rung” von Bord. Damit ste­hen übli­cher­wei­se Inha­ber, Geschäfts­füh­rer und Ver­eins­vor­stän­de in der Pflicht, für die kor­rek­te Umset­zung und den Betrieb des Daten­schut­zes Sor­ge zu tra­gen. Und da reden wir bis­her nur von den For­ma­li­tä­ten, sie­he Abschnitt zuvor. Ein akti­ver Daten­schutz­be­auf­trag­ter ist Bera­ter, Coach, Moti­va­tor und Kon­trol­leur zugleich. Ein akti­ver Daten­schutz­be­auf­trag­ter sorgt bei guter Auf­ga­ben­er­fül­lung für einen geleb­ten Daten­schutz in der Orga­ni­sa­ti­on. Auch die­se Auf­ga­be obliegt nun ande­ren Ver­ant­wort­li­chen. Woher kommt der not­wen­di­ge Zeit­an­teil dafür, wo doch alle Unter­neh­men per­so­nell auf spit­zer Kan­te fah­ren? Woher kommt das not­wen­di­ge Wis­sen für die kor­rek­te Umset­zung des Daten­schut­zes? Wird es jetzt 4‑stündige Crash-Kur­se der ein­schlä­gi­gen Anbie­ter geben “DSGVO ohne Büro­kra­tie und Auf­wand für Geschäfts­füh­rer und Ver­eins­vor­stän­de”, selbst­ver­ständ­lich mit bun­tem Zer­ti­fi­kat auf Hoch­glanz? Gute Kur­se zum Ein­stieg für einen DSB dau­ern 5 Tage. Und danach hat der DSB immer noch einen lan­gen Weg vor sich, bis er weiß, was und wie es kon­kret zu tun ist!

Und wenn etwas pas­siert oder im Fal­le einer Über­prü­fung als Man­gel fest­ge­stellt wird, die Haf­tung bleibt. Die bis­he­ri­ge Art von “Ver­si­che­rung” oder zumin­dest die Mög­lich­keit zur Ver­rin­ge­rung von Ein­tritts­wahr­schein­lich­kei­ten von Risi­ken und Män­geln, die wird jetzt per Gesetz von Bord geschickt, wenn der Bun­des­rat nicht noch zur Ver­nunft kommt.

Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber twit­ter­te nicht zu Unrecht:

Mit der Ver­wäs­se­rung der Anfor­de­rung zur Ernen­nung eines betrieb­li­chen Daten­schutz­be­auf­trag­ten wird den Unter­neh­men nur Ent­las­tung sug­ge­riert. Daten­schutz­pflich­ten blei­ben, Kom­pe­tenz fehlt ohne bDSB. Fol­ge wer­den mehr Daten­schutz­ver­stös­se und Buß­gel­der sein ☹️

Im Ergeb­nis haben klei­ne Unter­neh­men und Ver­ei­ne nur weni­ge Möglichkeiten:

  1. Igno­ranz des The­mas Daten­schutz: Sie­he Haf­tung und Bußgelder
  2. Eigen­re­gie und Prin­zip Hoff­nung: Inha­ber, Geschäfts­füh­rer oder Ver­eins­vor­stand eig­nen sich in ihrer eh schon knap­pen Zeit das not­wen­di­ge Know How an, hal­ten die­ses aktu­ell und küm­mern sich um die kor­rek­te Umset­zung in der eige­nen Orga­ni­sa­ti­on. Wie rea­lis­tisch wird das sein?
  3. Exter­nes Know How zukau­fen: Da das not­wen­di­ge Wis­sen und die Mög­lich­keit zur Wei­ter­bil­dung nicht gege­ben sind, wird das Know How extern zugekauft
  4. Inter­nen Mit­ar­bei­ter für das The­ma Daten­schutz aus­bil­den und Auf­ga­ben über­tra­gen: Kos­ten für die Aus- und Wei­ter­bil­dung, not­wen­di­ge Zeit­an­tei­le müs­sen ein­ge­plant werden

Übri­gens sind die Vari­an­ten 3 und 4 ganz nah am exter­nen und inter­nen Daten­schutz­be­auf­trag­ten. Und ob Vari­an­ten 1 und 2 so geschickt sind, die Erfah­rung muss jetzt jeder Ver­ant­wort­li­che für sich selbst machen. Sofern die­ser in Betracht zieht, die Auf­wei­chung zur Gren­ze der Bestell­pflicht nach oben für die eige­nen Orga­ni­sa­ti­on zu nutzen.

Was hät­te der Gesetz­ge­ber bes­ser machen können?

Die Sinn­haf­tig­keit der Anhe­bung der Gren­ze für die Bestell­pflicht eines Daten­schutz­be­auf­trag­ten kann man durch­aus in Zwei­fel zie­hen. Dabei hät­te der Gesetz­ge­ber — zumin­dest in Tei­len — durch­aus die Mög­lich­keit gehabt, für Klar­heit zu sor­gen. Die­se wur­de jedoch ver­säumt. So hät­te der immer noch schwe­len­de Kon­flikt mit dem Recht auf freie Mei­nungs­äu­ße­rung und dem Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung auch oder gera­de im Rah­men jour­na­lis­ti­scher Tätig­kei­ten gelöst wer­den kön­nen. Ein paar klä­ren­de Para­gra­phen zu der noch immer herr­schen­den Unsi­cher­heit beim Anfer­ti­gen und Nut­zen von Foto­gra­fien im Kon­flikt mit dem KUG hät­ten durch­aus auch Charme gehabt. Ob es zweck­dien­lich für das The­ma Daten­schutz ist, das BSI von Tei­len der Betrof­fe­nen­rech­te zukünf­tig aus­zu­neh­men und die Rechen­schafts­pflicht hier ein­zu­schrän­ken, darf durch­aus auch in Zwei­fel gezo­gen wer­den. Man hät­te sich aber auch um den vom Bun­des­ver­fas­sungs­ge­richt vor kur­zem für ungül­tig erklär­ten § 4 Abs. 1 BDSG zur Video­über­wa­chung küm­mern kön­nen oder zumin­dest klar­stel­len kön­nen, dass euro­päi­sches Recht hier gilt. Da kann man es auch nur noch mit einem leich­ten Schmun­zeln zur Kennt­nis neh­men, dass jetzt auch der Digi­tal­funk der Poli­zei einer 75-tägi­gen Vor­rats­da­ten­spei­che­rung unter­wor­fen wer­den soll. Und das, wo die aktu­el­le Frist von 70 Tagen zur Zeit aus­ge­setzt ist und vor dem Bun­des­ver­fas­sungs­ge­richt geklärt wird.

Es gibt viel Ver­bes­se­rungs­po­ten­ti­al im Bereich Daten­schutz, gar kei­ne Fra­ge. Ein­heit­li­che und pra­xis­na­he Aus­le­gun­gen sei­tens der Lan­des­da­ten­schutz­be­hör­den hät­ten enor­mes Poten­ti­al, auch die Akzep­tanz des The­mas Daten­schutz gene­rell zu erhö­hen. Hier kann der Gesetz­ge­ber jedoch nicht regelnd ein­grei­fen, außer man wür­de die Lan­des­da­ten­schutz­be­hör­den auf­lö­sen und in einer zen­tra­len Orga­ni­sa­ti­on des Bun­des zusam­men­fas­sen. Statt­des­sen wird nun in klei­nen Schif­fen und Boo­ten der Lot­se von Bord geschickt. Die Zukunft wird zei­gen, ob die gewünsch­te Ent­bü­ro­kra­ti­sie­rung damit Ein­zug hält. Es steht nicht zu vermuten.

Übri­gens ein Schelm, wer Böses dabei denkt: Der Pas­sus zur Anhe­bung der Gren­ze von 10 auf 20 Mit­ar­bei­ter wur­de erst Mon­tag, den 24.06.2019 — also sehr kurz­fris­tig vor der Ver­ab­schie­dung am Frei­tag im Bun­des­tag — (wie­der) eingefügt.

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Kom­pe­ten­te Bera­tung, prag­ma­ti­sche Ein­füh­rung eines DSMS und anschlie­ßen­de Betreu­ung als exter­ner Daten­schutz­be­auf­trag­ter erhal­ten Sie selbst­ver­ständ­lich vom Team von a.s.k. Daten­schutz. For­dern Sie Ihr unver­bind­li­ches Ange­bot über unser For­mu­lar an. Wir mel­den uns bei Ihnen zeitnah.

Unter­lie­gen Ein­wil­li­gun­gen einem Verfallsdatum?

Eine Fra­ge, die immer wie­der an uns gestellt wird: “Wie lan­ge ist eine ein mal erteil­te Ein­wil­li­gun­gen z.B. für einen News­let­ter-Emp­fang denn gül­tig?” Wir haben uns mal auf die Suche nach belast­ba­ren Aus­sa­gen dazu gemacht. Denn nicht erst seit der DSGVO ist die­ses The­ma immer wie­der Gegen­stand von Anfra­gen bei uns.

Beschränkt die DSGVO die Gül­tig­keits­dau­er von Einwilligungen?

Ers­te Anlauf­stel­le ist natür­lich stets das Gesetz. Die DSGVO äußert sich zum The­ma Ein­wil­li­gun­gen in Art. 7 Bedin­gun­gen für die Ein­wil­li­gung (exter­ner Link). Den ein­zi­gen Anhalts­punkt zur Gül­tig­keits­dau­er einer Ein­wil­li­gung fin­den wir in Abs. 3:

Die betrof­fe­ne Per­son hat das Recht, ihre Ein­wil­li­gung jeder­zeit zu wider­ru­fen. Durch den Wider­ruf der Ein­wil­li­gung wird die Recht­mä­ßig­keit der auf­grund der Ein­wil­li­gung bis zum Wider­ruf erfolg­ten Ver­ar­bei­tung nicht berührt. Die betrof­fe­ne Per­son wird vor Abga­be der Ein­wil­li­gung hier­von in Kennt­nis gesetzt. Der Wider­ruf der Ein­wil­li­gung muss so ein­fach wie die Ertei­lung der Ein­wil­li­gung sein.

Somit sind Ein­wil­li­gun­gen wohl bis auf Wider­ruf gül­tig und der Wider­ruf dann auch nur für die Zukunft mög­lich. Auch der Zweck­bin­dungs­grund­satz aus Art. 5 DSGVO steht die­ser Aus­le­gung nicht ent­ge­gen, sofern kei­ne grund­sätz­li­che Zweck­än­de­rung vor­liegt. In die­sem Fall soll­te die Gül­tig­keit von Ein­wil­li­gun­gen auf jeden Fall stets über­prüft werden.

Neben der daten­schutz­recht­li­chen Ein­wil­li­gung ist bei einer Ein­wil­li­gung zu Wer­be­zwe­cken auch das Gesetz gegen den unlau­te­ren Wett­be­werb (kurz UWG) (exter­ner Link) zu berück­sich­ti­gen. So schreibt § 7 Abs. 2 Nr. 3 UWG (exter­ner Link) eine Ein­wil­li­gung zu Wer­be­zwe­cken im Sin­ne des UWG für Wer­bung per Email vor. Von einem Ablauf­da­tum ist hier jedoch kei­ne kon­kre­te Rede.

Was sagen die Gerich­te zum The­ma Gül­tig­keits­dau­er von Einwilligungen?

Hier wird es nun etwas wider­sprüch­lich. In einem Urteil des AG Bonn vom 10.05.2016 mit dem Akten­zei­chen 104 C 227/​15 (exter­ner Link) wird kon­kret für den Fall von Wer­be-Mails ein Ver­fall der Gül­tig­keit von 4 Jah­ren genannt. Dem ent­ge­gen steht ein Urteil des Bun­des­ge­richts­hof vom 01.02.2018 mit dem Akten­zei­chen III ZR 196/​17 (exter­ner Link), nach dem ein News­let­ter Opt-In nicht allein durch Zeit­ab­lauf erlischt (Sei­ten 15, 16; Rand­num­mern 30–32).

Ja was denn nun? Ablauf der Gül­tig­keit einer Ein­wil­li­gung oder nicht?

Aktu­ell spre­chen wohl mehr Argu­men­te dafür, dass es kein Ablauf­da­tum für gül­ti­ge Ein­wil­li­gun­gen gibt. Den­noch soll­ten wei­te­re Urtei­le zu dem The­ma kon­kret beob­ach­tet und im Zwei­fel her­an­ge­zo­gen wer­den. Eine gute Über­sicht über die Argu­men­te pro und kon­tra Ver­fall von Ein­wil­li­gun­gen fin­den Sie auch auf unse­rem Part­ner­blog (exter­ner Link).