Limonade statt Zitrone

„Es kommt darauf an“ – Was kostet ein externer Datenschutzbeauftragter?

Was kostet ein externer Datenschutzbeauftragter?„, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen.  Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

  • Was kostet ein Auto?
  • Wie teuer ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: „Es kommt darauf an!“

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. „Einführungsphase“ gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde,  schließt sich nun die „Betreuungsphase“ als externer Datenschutzbeauftragter an.  Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

  • Bußgeld (Ausnahme: öffentliche Stellen)
  • Ihren guten Ruf z.B. bei Datenpannen
  • Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Was sind die Aufgaben des externen Datenschutzbeauftragten?

Artikel 39 Absatz 1 DSGVO definiert die Aufgaben des Datenschutzbeauftragten. Daraus ergeben sich 1:1 die Aufgaben des externen Datenschutzbeauftragten, denn hier wird keine Unterscheidung zwischen intern und extern getroffen:

Dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

d) Zusammenarbeit mit der Aufsichtsbehörde;

e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Als externe Datenschutzbeauftragte kann und darf man durchaus noch etwas mehr an Aufgaben übernehmen

  • Pflege des Verzeichnisses von Verarbeitungstätigkeiten nach interner Zuarbeit
  • Kontinuierliche Schulung und Sensibilisierung Ihrer Mitarbeiter durch eLearning, Webinare, Vor-Ort-Schulungen, Mitarbeiterzeitung, Newsletter und vieles mehr
  • Prüfung von Vereinbarungen mit externen Dienstleistern nach Art. 28 DSGVO Auftragsverarbeitung
  • Prüfen und Überwachen der technischen und organisatorischen Maßnahmen Ihrer externen Dienstleister nach Art. 28 + 32 DSGVO
  • und noch so einiges mehr

Was ein Datenschutzbeauftragter nicht leisten kann?

Leider immer noch viel zu oft ist eine etwas irrationale Erwartungshaltung anzutreffen. Mit der Benennung eines (externen) Datenschutzbeauftragten ist eine Organisation mitnichten von den Verpflichtungen aus der DSGVO für die Organisation und die damit verbundenen Tätigkeiten, Aufgaben und Zuarbeiten befreit. Es sind nach wie vor alle Organisationsebenen gefordert, aktiv das Thema Datenschutz zu gestalten und dem Datenschutzbeauftragten zuzuarbeiten. Wenn Sie sich die Aufstellung der Aufgaben des Datenschutzbeauftragten aus Art. 39 DSGVO zu Beginn dieses Beitrags noch mal in Erinnerung rufen, sind dessen Beratungs-, Kontroll- und Überprüfungsaufgaben konkret definiert. Bei dieser Aufzählung fehlt zu Recht der Begriff „Umsetzen“. Datenschutz wird durch alle Mitarbeiter einer Organisation „umgesetzt“ bzw. gelebt. Der Datenschutzbeauftragte wirkt auf die rechtskonforme Datenverarbeitung in der Organisation hin, u.a. durch Beratung, und überprüft diese im Rahmen seiner Kontroll- und Überwachungsfunktion.

Interesse an einem externen Datenschutzbeauftragten geweckt?

Sie benötigen einen (externen) Datenschutzbeauftragten? Dann nutzen Sie unsere langjährige Erfahrung und das Know How als externe Datenschutzbeauftragte für zahlreiche unterschiedliche Organisationen zum Schutz Ihres Unternehmens. Sprechen Sie uns an.

Schraubzwinge Geldbeutel

Mit schöner Regelmäßigkeit hört und liest man in den Medien etwas von Bußgeldern im Datenschutz basierend auf der DSGVO oder anderer Datenschutzgesetze. Merken kann man sich die alle nicht. Doch es kann nicht schaden, das eine oder andere Bußgeld für verschiedene Formen an Datenschutzverstößen zu kennen. DSGVO Bußgelder sollten zwar nicht der alleinige Antrieb zur Einhaltung von Rechtsvorschriften sein, aber vielleicht muss man als interner oder externer Datenschutzbeauftragter auch mal mit Zahlen kommen, damit sich etwas in der Organisation bewegt 🙂

Übersicht der DSGVO Bußgelder

Und da ist es sehr hilfreich, dass sich die Betreiber von https://dsgvo-portal.de die Mühe machen, stets aktuelle Bußgelder zu erfassen und zu katalogisieren. Kann ja ganz hilfreich sein, zu wissen und anzuführen, dass für Werbeanrufe ohne Einwilligung, Informationsmängel in Apps und unzureichende TOM (technische und organisatorische Maßnahmen) die italienische Datenschutzaufsicht im Januar 2020 ein Bußgeld in Höhe von 27,8 Mio Euro verhängt hat. Die genannten Verstöße sind ja nicht selten. Vielleicht ein weiterer Anstoß, um solche Mängel in der eigenen Organisation anzugehen.

Die im Portal gelisteten DSGVO Bußgelder lassen sich nach diversen Kriterien sortieren und anzeigen, z.B. nach Bußgeldhöhe, Datum, Land und auch Bußgeldempfänger (da finden sich einige alte Bekannte, aber auch sehr viele neue Namen). Ein Wermutstropfen, wenn man das so sehen mag, ist jedoch vorhanden: In der Übersicht finden sich die Bußgelder, welche von den Aufsichtsbehörden verhängt wurden. Das muss nicht identisch sein, was von den betroffenen Organisationen z.B. nach Beschreiten des Rechtsweges dann wirklich gezahlt wurde. Sofern es hierzu Erkenntnisse gibt, finden sich diese unter den Details, die man zu jedem Vorgang aufrufen kann. Darin wird auch die Art des Verstoßes weiter konkretisiert.

Danke an die Betreiber des Portals.

Datenschutz-Anpassungsgesetz 2019 und die Folgen

Die Unionsparteien lassen sich feiern bzw. feiern sich selbst. Von einem Wegfall der Bürokratie im Datenschutz für kleine Betriebe und Vereine ist die Rede. Das Thema Datenschutz sei jetzt viel einfacher und weniger aufwändig für eine Vielzahl von Betrieben und Vereinen. Anlass ist die Verabschiedung eines Anpassungsgesetzes mit notwendigen Korrekturen in 154 nationalen Gesetzen im Bundestag am vergangenen Freitag, zu nächtlicher Unzeit. Und es stimmt, eine Anpassung zahlreicher nationaler Gesetze und Regelungen war durch die DSGVO aus Mai 2018 notwendig geworden. Doch was aktuell in verschiedenen Medien als Erfolg für den Abbau von Bürokratie gefeiert wird, allen voran bei Handwerkskammern und Vereinen, das entbehrt einer Grundlage. Noch dazu zeugt es davon, dass die Beteiligten, das Thema Datenschutz und die rechtlichen Anforderungen nicht ganz umrissen haben.

Hintergrund ist die Anhebung der Mitarbeitergrenze, ab der für Unternehmen und Vereine die Bestellpflicht für einen Datenschutzbeauftragten vorliegt. War hier bisher die Grenze von mindestens 10 (mit der Verarbeitung personenbezogener Daten befassten) Mitarbeitern gezogen, soll zukünftig – die Zustimmung im Bundesrat vorausgesetzt – erst ab 20 Mitarbeitern eine Bestellpflicht für einen Datenschutzbeauftragten vorliegen. Die Verantwortlichen versprechen den betroffenen Unternehmen und Vereinen eine spürbare bürokratische Entlastung im Datenschutz. Ist dem so?

Wegfall des Datenschutzbeauftragten bedeutet weniger Datenschutz-Bürokratie?

Ein klares NEIN. Und das ist auch ganz ohne juristische Kenntnisse ganz leicht zu beantworten. Die DSGVO schreibt (wie übrigens auch das vorherige Datenschutzrecht) die Bestellpflicht eines Datenschutzbeauftragten unter gewissen Voraussetzungen vor. Ebenso beinhaltet das Bundesdatenschutzgesetz in neuer Fassung 2018 die Bestellpflicht eines Datenschutzbeauftragten und konkretisiert im Rahmen einer sog. Öffnungklausel weitere Voraussetzungen. So heißt es im § 38 Abs. 1 BDSG n.F.

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Diese Grenze von mindestens 10 Personen für die Bestellpflicht eines internen oder externen Datenschutzbeauftragten soll nun mit den aktuellen Anpassungen, denen der Bundesrat noch zustimmen muss (was sehr wahrscheinlich ist), auf 20 Personen angehoben werden. Weder in den bisherigen Begründungen und Erläuterungen zu diesem Gesetzesentwurf noch in den zahlreichen Presseartikeln der Unionsparteien, den Befürwortern dieser Änderung oder Wirtschaftsverbänden ist jedoch eine nachvollziehbare Erklärung vorhanden, wieso dies nun weniger Bürokratie für die betroffenen Unternehmen und Vereine bedeutet.

Es wird auch sehr schwer sein, eine solche Erklärung zu finden. Denn der Datenschutzbeauftragte sorgt nicht für die Bürokratie im Datenschutz. Das übernehmen die Gesetze und teilweise auch die nicht immer klaren bzw. gelegentlich praxisfernen Auslegungen der Landesdatenschutzbehörden.

„Ja, aber jetzt müssen kleine Unternehmen und Vereine für den Datenschutz nichts mehr tun!“

Auch hier wieder eine klare Aussage: DOCH! Ohne jetzt mal eine Unterscheidung zwischen Behörden, Unternehmen oder Vereinen vorzunehmen: Ein Paragraph von 85 insgesamt im BDSG n.F. wurde angepasst, die sonstigen Anforderungen aus dem BDSG und der DSGVO (99 weitere Artikel) bleiben von der Grenze zur Bestellpflicht eines Datenschutzbeauftragten unberührt. Rechnen wir doch einfach mal:

85 BDSG + 99 DSGVO = 184 DATENSCHUTZ
1 von 184 = 0,54% Änderung

Da kann schon mathematisch keine allzugroße Entlastung bei herauskommen. Denn um es mit aller Deutlichkeit zu sagen, ALLE Anforderungen, die von Unternehmen und Vereinen als bürokratische „Belastung“ empfunden werden, bleiben weiterhin bestehen und müssen entsprechend erfüllt werden (einige Beispiele):

  • Pflicht zum Erstellen und Pflegen eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Identifikation, Bewertung und Meldung von Datenpannen an Aufsichtsbehörde und Betroffene nach Art. 33, 34 DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Prüfen ausreichender technischer und organisatorischer Maßnahmen von externen Dienstleistern und Vereinbarung zur Auftragsverarbeitung gemäß Art. 28, 32 DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Bearbeiten und Sicherstellen von Betroffenenrechten nach Art. 12-23 DSGVO inkl. Zusammenstellen und Zurverfügungstellen der Angaben zu den Informationspflichten? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Sicherheit der eigenen Verarbeitung regelmäßig prüfen und notwendige Anpassungen sicherstellen nach Art. 32 DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Risikoabschätzung von Verarbeitungstätigkeiten bis hin zur Datenschutz-Folgenabschätzung nach Art. 32+35 DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Regelmäßige Schulung und Sensibilisierung von Mitarbeitern, nicht nur am Tag der Einstellung, nach Art. 39 Abs. 1 lit b DSGVO? CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden
  • Und diese Liste ließe sich noch um viele weitere (durchaus auch mal) „bürokratiebehaftete“ Tätigkeiten fortführen …. CHECK – muss auch ohne Datenschutzbeauftragten umgesetzt werden

Die von der beschlossenen Anpassung ausgesendete Botschaft ist durchaus als toxisch zu bezeichnen. Der Fehlglaube, mit Wegfall der Bestellpflicht entfielen auch alle anderen datenschutzrechtlichen Anforderungen war auch im alten BDSG vor 2018 weit verbreitet. Aus unserer Erfahrung quälen sich seit der DSGVO gerade die Betriebe und Vereine mit dem Datenschutz am meisten, welche es in den Jahren davor unter dem alten Datenschutzrecht etwas lässig haben angehen lassen. Für diese Versäumnisse und auch die generellen rechtlichen Formalitäten im Datenschutzrecht kann der Datenschutzbeauftragte jedoch nichts. Im Gegenteil: Der Datenschutzbeauftragte wäre der ideale Ansprechpartner mit ausreichend Wissen und Sachverstand, um diese bürokratischen Anforderungen problemlos zu meistern und für eine Datenschutz-Kultur in der Organisation zu sorgen.

Datenschutzverstöße und Bußgelder werden zunehmen

Man muss kein Wahrsager sein, dass sowohl die Zahl der Datenschutzverstöße und die der Bußgelder nun zunehmen wird. Die Landesdatenschutzbehörden haben bereits in 2018, in der Planungsphase für dieses Anpassungsgesetz signalisiert, mit der vorhandenen Personalausstattung keine beratenden, sondern nur noch kontrollierende Tätigkeiten ausüben zu können. Eine Aufstockung ist nach unserem Kenntnisstand in keinem Bundesland geplant. Sorgte bisher der Datenschutzbeauftragte für das notwendige Wissen in kleinen Unternehmen und Vereinen, so geht dieses Wissen nun im Rahmen der vermeintlichen „Entbürokratisierung“ von Bord. Damit stehen üblicherweise Inhaber, Geschäftsführer und Vereinsvorstände in der Pflicht, für die korrekte Umsetzung und den Betrieb des Datenschutzes Sorge zu tragen. Und da reden wir bisher nur von den Formalitäten, siehe Abschnitt zuvor. Ein aktiver Datenschutzbeauftragter ist Berater, Coach, Motivator und Kontrolleur zugleich. Ein aktiver Datenschutzbeauftragter sorgt bei guter Aufgabenerfüllung für einen gelebten Datenschutz in der Organisation. Auch diese Aufgabe obliegt nun anderen Verantwortlichen. Woher kommt der notwendige Zeitanteil dafür, wo doch alle Unternehmen personell auf spitzer Kante fahren? Woher kommt das notwendige Wissen für die korrekte Umsetzung des Datenschutzes? Wird es jetzt 4-stündige Crash-Kurse der einschlägigen Anbieter geben „DSGVO ohne Bürokratie und Aufwand für Geschäftsführer und Vereinsvorstände“, selbstverständlich mit buntem Zertifikat auf Hochglanz? Gute Kurse zum Einstieg für einen DSB dauern 5 Tage. Und danach hat der DSB immer noch einen langen Weg vor sich, bis er weiß, was und wie es konkret zu tun ist!

Und wenn etwas passiert oder im Falle einer Überprüfung als Mangel festgestellt wird, die Haftung bleibt. Die bisherige Art von „Versicherung“ oder zumindest die Möglichkeit zur Verringerung von Eintrittswahrscheinlichkeiten von Risiken und Mängeln, die wird jetzt per Gesetz von Bord geschickt, wenn der Bundesrat nicht noch zur Vernunft kommt.

Der Bundesdatenschutzbeauftragte Ulrich Kelber twitterte nicht zu Unrecht:

Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstösse und Bußgelder sein ☹️

Im Ergebnis haben kleine Unternehmen und Vereine nur wenige Möglichkeiten:

  1. Ignoranz des Themas Datenschutz: Siehe Haftung und Bußgelder
  2. Eigenregie und Prinzip Hoffnung: Inhaber, Geschäftsführer oder Vereinsvorstand eignen sich in ihrer eh schon knappen Zeit das notwendige Know How an, halten dieses aktuell und kümmern sich um die korrekte Umsetzung in der eigenen Organisation. Wie realistisch wird das sein?
  3. Externes Know How zukaufen: Da das notwendige Wissen und die Möglichkeit zur Weiterbildung nicht gegeben sind, wird das Know How extern zugekauft
  4. Internen Mitarbeiter für das Thema Datenschutz ausbilden und Aufgaben übertragen: Kosten für die Aus- und Weiterbildung, notwendige Zeitanteile müssen eingeplant werden

Übrigens sind die Varianten 3 und 4 ganz nah am externen und internen Datenschutzbeauftragten. Und ob Varianten 1 und 2 so geschickt sind, die Erfahrung muss jetzt jeder Verantwortliche für sich selbst machen. Sofern dieser in Betracht zieht, die Aufweichung zur Grenze der Bestellpflicht nach oben für die eigenen Organisation zu nutzen.

Was hätte der Gesetzgeber besser machen können?

Die Sinnhaftigkeit der Anhebung der Grenze für die Bestellpflicht eines Datenschutzbeauftragten kann man durchaus in Zweifel ziehen. Dabei hätte der Gesetzgeber – zumindest in Teilen – durchaus die Möglichkeit gehabt, für Klarheit zu sorgen. Diese wurde jedoch versäumt. So hätte der immer noch schwelende Konflikt mit dem Recht auf freie Meinungsäußerung und dem Recht auf informationelle Selbstbestimmung auch oder gerade im Rahmen journalistischer Tätigkeiten gelöst werden können. Ein paar klärende Paragraphen zu der noch immer herrschenden Unsicherheit beim Anfertigen und Nutzen von Fotografien im Konflikt mit dem KUG hätten durchaus auch Charme gehabt. Ob es zweckdienlich für das Thema Datenschutz ist, das BSI von Teilen der Betroffenenrechte zukünftig auszunehmen und die Rechenschaftspflicht hier einzuschränken, darf durchaus auch in Zweifel gezogen werden. Man hätte sich aber auch um den vom Bundesverfassungsgericht vor kurzem für ungültig erklärten § 4 Abs. 1 BDSG zur Videoüberwachung kümmern können oder zumindest klarstellen können, dass europäisches Recht hier gilt. Da kann man es auch nur noch mit einem leichten Schmunzeln zur Kenntnis nehmen, dass jetzt auch der Digitalfunk der Polizei einer 75-tägigen Vorratsdatenspeicherung unterworfen werden soll. Und das, wo die aktuelle Frist von 70 Tagen zur Zeit ausgesetzt ist und vor dem Bundesverfassungsgericht geklärt wird.

Es gibt viel Verbesserungspotential im Bereich Datenschutz, gar keine Frage. Einheitliche und praxisnahe Auslegungen seitens der Landesdatenschutzbehörden hätten enormes Potential, auch die Akzeptanz des Themas Datenschutz generell zu erhöhen. Hier kann der Gesetzgeber jedoch nicht regelnd eingreifen, außer man würde die Landesdatenschutzbehörden auflösen und in einer zentralen Organisation des Bundes zusammenfassen. Stattdessen wird nun in kleinen Schiffen und Booten der Lotse von Bord geschickt. Die Zukunft wird zeigen, ob die gewünschte Entbürokratisierung damit Einzug hält. Es steht nicht zu vermuten.

Übrigens ein Schelm, wer Böses dabei denkt: Der Passus zur Anhebung der Grenze von 10 auf 20 Mitarbeiter wurde erst Montag, den 24.06.2019 – also sehr kurzfristig vor der Verabschiedung am Freitag im Bundestag – (wieder) eingefügt.

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Rechtslage: Vermeidung von Interessenskonflikten bei einem Datenschutzbeauftragten vorgeschrieben

Bereits im Anwendungsrahmen des alten BDSG (vor Mai 2018) galt es, Interessenskonflikte eines Datenschutzbeauftragten bei der Ausübung seiner Tätigkeit zu vermeiden. Art. 38 Abs. 6 DSGVO (externer Link) regelt das seit Mai 2018 nicht anders:

„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg, Dr. Stefan Brink hat dies in seinem 38. Tätigkeitsbericht 2018 (externer Link) ausführlicher beleuchtet. „Der Verantwortliche bzw. Auftragsverarbeiter hat allerdings dafür Sorge zu tragen, dass […] keine Unvereinbarkeiten bzw. Befangenheit vorliegen.“

Wer darf bzw. darf die Funktion des Datenschutzbeauftragten in einem Unternehmen oder einer Behörde ausüben?

In Anbetracht der weiten Prüf- und Kontrollpflichten eines Datenschutzbeauftragten, zieht Brink hier eine deutliche Grenze:

„Für eine korrekte Erfüllung der Aufgaben des DSB ist vielmehr eine weitestgehende Distanz gegenüber der zu kontrollierenden Stelle unerlässlich, denn eine effektive Kontrolle ist dann zu bezweifeln, wenn der Kontrolleur sich selbst kontrollieren muss.“

Das mit der zu kontrollierenden Stelle die Organisation (Unternehmen, Behörde, Verein) gemeint ist, welche den Datenschutzbeauftragten zu bestellen hat, liegt auf der Hand. Generell soll der DSB keine andere Funktion ausüben, in der er oder sie über die Zwecke oder Mittel der Verarbeitung personenbezogener Daten selbst zu entscheiden hat. Doch was bedeutet das nun konkret (Seiten 28-30 des TB), wer scheidet für die Ausübung des Datenschutzbeauftragten generell aus:

  1. Leitungs-, Chef- und Inhaberebene: Inhaber, Leiter, Partner, Vorstand, Geschäftsführer, Mitglied der Geschäftsleitung, Manager, Bürgermeister, Landrat oder anderweitig berufene Leitung der Organisation
  2. Nachgeordnete Positionen mit Führungsaufgaben und Entscheidungskompetenz über die Festlegung von Zwecken und Mitteln der Datenverarbeitung (IT): IT-Leiter, Leiter des operativen Geschäftsbereichs, Leiter Marketing, Leiter Personal, Betriebsleiter, Amts- bzw- Geschäftsleiter, aber durchaus auch nachgelagerte Funktionen, wenn diese ähnliche Interessenskonflikte mit sich bringen
  3. Bereiche mit hohem Verarbeitungsumfang: Mitarbeiter aus dem Personal-, Vertriebs- oder Marketingbereich
  4. Beauftragte: Geheimschutzbeauftragte, Geldwäschebeauftragte

Bei der Prüfung auf mögliche Interessenskonflikte sind auch familiäre Verhältnisse zu berücksichtigen. So kann bei zu engen familiären Beziehungen zwischen Organisationsleitung bzw. Inhaber und dem zu bestellenden Datenschutzbeauftragten die notwendige Unabhängigkeit nach Art. 38 Abs. 3 DSGVO nicht mehr gewährleistet sein. Das gilt übrigens unabhängig davon, ob der oder die Verwandte bei der bestellenden Organisation beschäftigt ist oder nicht.

Dann bestellen wir doch einfach einen externen Datenschutzbeauftragten, der hat keine Interessenskonflikte

Vom Ansatz her gut, aber auch hier gilt es, vorhandene Interessenskonflikte zu vermeiden. So ist lt. Brink der genutzte IT-Dienstleister ebenfalls befangen und sollte daher nicht als externer Datenschutzbeauftragter bestellt werden. Das gilt auch für den Fall, dass der Dienstleister für die IT-Betreuung und den Datenschutz zwei unterschiedliche Mitarbeiter einsetzt. Sollte der externe Datenschutzbeauftragte die Organisation in datenschutzrechtlichen Sachen vor Gericht vertreten, ist ebenfalls ein Interessenskonflikt anzunehmen.

Durch unsere Fokussierung auf die beiden Themen Datenschutz und Informationssicherheit sind wir bei Ausübung der Funktion des externen Datenschutzbeauftragten frei von Interessenskonflikten. Wir sind in keinen anderen Bereichen für Sie tätig und bestimmen weiterhin nicht über Zweck und Mittel zur Verarbeitung personenbezogener Daten in Ihrer Organisation. Sprechen Sie uns an (interner Link).