interner oder externer Datenschutzbeauftragter – eine lästige Verpflichtung?

externer Datenschutzbeauftragter

Wenn ein Unternehmen festgestellt, dass es einen Datenschutzbeauftragten bestellen muss, werden oft Klagen laut, weil vornehmlich die Kosten, selten jedoch der Nutzen von rechtskonformen Verhalten gesehen wird.

Dabei gibt es mit dem externen Datenschutzbeauftragten auch für den Mittelstand kostengünstige und effiziente Möglichkeiten, Haftungsrisiken in der Datenschutz-Compliance zu vermeiden.

Die Rolle des Datenschutzbeauftragten

Der Datenschutzbeauftragte ist keine Datenschutz Polizei, noch so etwas wie die Steuerfahndung. Auch ein Datenschutz-Audit hat nicht den Charakter einer Klassenarbeit, sondern einer Risikoanalyse.

Ähnlich einem Rechtsanwalt, ist der Datenschutzbeauftragte Berater oder Dienstleister des Unternehmens. Seine Aufgabe ist es, im Unternehmen auf die Einhaltung der Datenschutzbestimmungen hinzuwirken. Als Instrument der unternehmerischen Selbstkontrolle, für das sich die Industrie seinerzeit zur Vermeidung einer starken Aufsichtsbehörde entschieden hat, ist der Datenschutzbeauftragte jedoch in der Ausübung seines Amtes weisungsfrei. Er ist per Gesetz unmittelbar der Geschäftsleitung unterstellt. Hinwirken heisst dabei, dass er auf Missstände hinweisen und auf rechtskonformes Verhalten drängen -und dies zu seiner eigenen Haftungsvermeidung dokumentieren – muss, entscheiden darf er aber nicht. Die Haftung geht vielmehr vom Datenschutzbeauftragten auf die Geschäftsleitung über, wenn diese sich über die Empfehlungen des Datenschutzbeauftragten hinwegsetzt.

Im Unterschied zu einem Rechtsanwalt, der häufig erst dann einbezogen wird, wenn ein Schaden bereits entstanden ist, hat der Datenschutzbeauftragte die Aufgabe präventiv zu wirken. Daher ist es besser, wenn der betriebliche Datenschutzbeauftragte fragwürdige Praktiken aufdeckt, als wenn Unternehmensexterne, wie Wettbewerber, Arbeitsrechtsanwälte oder Aufsichtsbehörden.

Interner oder externer Datenschutzbeauftragter?

Stellung des internen Datenschutzbeauftragten Der Datenschutzbeauftragte in Unternehmen kann ein interner oder ein externer Datenschutzbeauftragter sein. Wenn ein Mitarbeiter zum Datenschutzbeauftragten bestellt wird, handelt es sich um einen internen Datenschutzbeauftragten. Dabei müssen Unternehmen beachten, dass der interne Datenschutzbeauftragte durch seine unabhängige Stellung massive arbeitsrechtliche Privilegien besitzt. Insbesondere ist der interne Datenschutzbeauftragte für die Ausübung seiner Tätigkeit von anderen Aufgaben freizustellen, wobei der Grad der Freistellung im Ermessen des Datenschutzbeauftragten liegt. Weiterhin genießt der Datenschutzbeauftragter einen umfangreichen und weitgehenden Kündigungsschutz. Selbst zwei Jahre nach einer Abberufung vom Amt des Datenschutzbeauftragten ist er unkündbar. Hinzu kommt das Recht auf eine ausreichende Ausstattung mit Arbeitsmittel nicht, wozu insbesondere ein Einzel Büro und eventuell auch ein Dienstfahrzeug gehören können. Damit hat er eine ähnliche Stellung innerhalb des Betriebes wie ein Betriebsratsvorsitzender. Hier häufig zutreffende Befürchtung der Geschäftsleitung ist die, dass ein Mitarbeiter, gelten diese hervorgehobene Position gebracht wird, sich anders entwickelt als zunächst geplant. zuweilen führt ein anfängliches Interesse am Thema Datenschutz zu einer Immigration des Mitfahrt Leiters in das Thema, so dass er dies als Lebensaufgabe begreift, übertriebener Maßstäbe an die Risikobewertung anlegen, und damit den Unternehmen unverhältnismäßig hohe Aufwände beschert. Aufgrund des mangelnden Direktionsrechtes hinsichtlich der Ausübung der Tätigkeit als Datenschutzbeauftragter sind solche Mitarbeiter nur noch schwer zu bremsen.

Ausbildungskosten des Datenschutzbeauftragten

Hinzukommt, dass das Know-how des internen Datenschutzbeauftragten zunächst aufwändig aufgebaut und danach regelmäßig gepflegt werden muss. Schließlich muss der Datenschutzbeauftragte notwendige Fachkunde haben und zwar nicht nur im technischen Bereich, sondern auch im rechtlichen Bereich. so kostet zum Beispiel eine Ausbildung bei der Kidd zum zertifizierten Datenschutzbeauftragten (Stand September 2012 – Kurse 1-3, Repetitorium und Prüfung) in Summe über 7000 €. Jahren noch nicht enthalten sind die Reisespesen und der Arbeitszeit Ausfall. Auch garantiert eine solche Ausbildung nicht, dass der Datenschutzbeauftragte nach Absolvierung der Prüfung in dem Sinne arbeitsfähig ist, dass alle notwendigen Unterlagen bereits auf das Unternehmen zugeschnitten und im Corporate Design vorliegen. Dies wird zusätzliche Aufwände nach sich ziehen.

Den richtigen Mitarbeiter auswählen: Anforderungen an den Datenschutzbeauftragten

Der Mitarbeiter darf keine Interessens Konflikts hinsichtlich seiner Tätigkeit als Datenschutzbeauftragter in Unternehmen mit anderen ihnen zugewiesenen Aufgaben haben. Dies würde seiner Rolle als Instrument der industriellen Selbstkontrolle widersprechen, da ist schwer denkbar ist, dass der Datenschutzbeauftragter sich wirksam selbst kontrollieren kann. insbesondere auszuschließen von Kreise möglicher Datenschutzbeauftragter sind Anteilseigner des Unternehmens, Mitglieder der Geschäftsführung, Leiter des Vertriebs, der Personalabteilung oder der IT. Insofern ist es für viele Unternehmen schwer, einen geeigneten Mitarbeiter zu finden, der sowohl Interesse für das Thema erledigt, wem man eine unpfändbare Stellung anvertrauen möchte, der sowohl in der IT die Augen rechtlichen Fragen realisiert ist, und schließlich in einen Interessenskonflikt steht.

Die Abberufung des internen Datenschutzbeauftragten

Auch die Abberufung eines Datenschutzbeauftragten von Seiten des Unternehmens gestaltet sich problematisch. Zwar besteht ein Kündigungsrecht aus besonderen Grund, jedoch werden Anforderungen an ein Fehlverhalten bezüglich der Arbeit Des Datenschutzbeauftragten besonders hoch gelegt. In der Praxis dürfte es schwierig sein, seitens des Unternehmens einen einmal bestellten Datenschutzbeauftragten „abzusetzen“ .

Auch deutete ein schneller oder häufiger Wechsel des Datenschutzbeauftragten an, dass möglicherweise keine wirksame Bestellung vorgelegen hat, sondern nur eine Alibi- oder Schein-Bestellung. Damit würde das Unternehmen so dastehen, als hätte es gar keinen Datenschutzbeauftragten bestell. Neben dem Begehen einer Ordnungswidrigkeit hätte es sich viel Aufwand und ggf. arbeitsrechtliches Gezänk sparen können.

Die Haftung des internen Datenschutzbeauftragten

Entgegen landläufiger Meinung haftet auch der interne Datenschutzbeauftragte für Fehler bei seiner Arbeit. Dies ist dann keine vertragliche Haftung wie bei einem externen Datenschutzbeauftragten (dazu später), sondern der interne Datenschutzbeauftragte haftet nach den Regeln der Arbeitnehmerhaftung. Diese richten sich – vereinfacht ausgedrückt – nach dem Grad des Verschuldens. Ist dem Arbeitnehmer dabei eine größere Schuld zuzuschreiben, etwa, indem er sich nicht richtig informiert hat oder Dinge hat schleifen lassen – oder kann zumindest ein Handeln nicht mehr gegenüeer dem unternehmen nachweisen – so ist ein vollständige Haftung anzunehmen.

Gemäß einer neueren Gerichtsentscheidung haftet der Datenshutzbeauftragte grundsätzlich  ähnlich einem Compliance-Officer für alle Fragen aus seinem Tätigkeitsbereich dabei voll und unbeschränkt. Es empfiehlt sich, einen Bewerber für das Amt des Datenschutzbeauftragten auch auf diese Haftung aufmerksam zu machen, damit es für ihn kein „böses Erwachen“ und betrieblichen Unfrieden nach Bestellung und Aufnahme der Tätigeit gibt.

Letztlich kann der Datenschutzbeauftragte nur durch gewissenhafte Arbeit, regelmäßige Nachschulung und sorgfältige Dokumentation der Hafung entgehen.

Die effiziente Alternative: der externe Datenschutzebauftragte

Als attraktive Möglichkeit insbesondere im Mittelstand, gilt daher der externe Datenschutzbeauftragter. Er ist Dienstleister des Unternehmens und die Bestellung zum Datenschutzbeauftragten ist mit einem entsprechenden Beratungsvertrag gekoppelt. Der erzeugte Aufwand ist dieser Dosierung des Auftragsvolumens von der Geschäftsleitung steuerbar.

Zudem ist der Dienstleister Anführungszeichen externer Datenschutzbeauftragter Anführungszeichen einfacher austauschbar und wir keine arbeitsrechtlichen Risiken.

Synergieeffekte durch den externen Datenschutzbeauftragten

Arbeitsmittel und Aufsbildungsaufwand gehen in der Regel zulasten des externen Datenschutzbeauftragten. Diese Arbeitsmittel und dieses Know-How bringt der externer Datenschutzbeauftragte bei mehreren Mandaten ein. Leztlich sind diese Kosten, die jedes Unternehmen im Falle eines internen Datenschutzbeauftragten selbst tragen müsste, über alle Mandate des externen Datenschutzbeauftragten verteilt.

Effizienz des externen Datenschutzbeauftragten

Weiterhin hat der externe Datenschutzbeauftragte in der Regel für die meisten auftretenden Problemfälle bereits Musterlösungen vorliegen, so zum Beispiel Mustertexte, wie lediglich geringfügig auf das Unternehmen und Steffen Corporate Design angepasst werden müssen.

Schwarze Schafe, unseriöse, unzuverlässige und teure Anbieter im Markt für externen Datenschutz

Leider ist zu beobachten, dass der Markt externen Datenschutzes immer weiter polarisiert. Auf der einen Seite finden sich viele seriöse Anbieter, die das Unternehmen nach bestem Wissen und Gewissen beraten wollen. Sie nehmen ihren ihre Aufgaben gewissenhaft wahr, r und hohe Schulungs Aufwände über sich ergehen lassen.

Auf der anderen Seite finden sich in zunehmender Zahl Anbieter, die lediglich eine mehr oder weniger unterfütterte „Feigenblatt-Bestellung“ anbieten. Sie stellen lediglich ihren Namen als Datenschutzbeauftragter zur Verfügung, ohne jedoch in nennenswertem Umfang Datenschutzberatung für das Unternehmen tätig zu erbringen. Bei Preisen von jährlich unter 3000 € kann jedoch auch von Unternehmen kaum eine signifikante Leistung des Datenschutzbeauftragten erwartet werden. Es ist jedoch auch festzustellen, dass viele Unternehmen genau diese Art von Datenschutzbeauftragten schätzen, weil er „wenig Arbeit und Kosten macht“ und ihnen die mit einer Schein-Bestellung einhergehenden Risiken nicht klar sind.

Als Unterscheidungskriterium sollte neben der Ausbildung des Datenschutzbeauftragten ein konkreter Datenschutz-Fahrplan vorgelegt und schriftlich im Dienstleistervertrag mit dem externen Datenschutzbeauftragten geregelt werden. Neben der Erstellung des internen und des öffentlichen Verfahrensverzeichnisses, der Prüfung der Auftragsdatenverarbeiter und der Verpflichtung der Mitarbeiter auf das Datengeheimnis sollten konkrete abzuarbeitende Prüfpunkte enthalten sein, die insbesondere auch die rechtlichen Risiken nach TMG, TKG, AGG, UWG und anderer Gesetze.

IT-Dienstleister als externer Datenschutzbeauftragter

IT-Dienstleister, die den externen Datenschutzbeauftragten als Dienstleistung anbieten, sind nach unseren Erfahrungen stärker im Bereich  der IT- und Datensicherheit tätig. Aufgrund der individuellen Historie ist dies sicher verständlich und die technisch-organisatorischen Maßnahmen sind häufig excellent dokumentiert und implementiert – zumal aus einer Hand angeboten. Häufig wird unseres Erachtens jedoch die juristische Seite – der rechtlich-organisatorische Dateschutz – nur unzureichend bis mangelhaft abgedeckt. Gerade aber dies soll der Datenschutzbeauftragte prüfen: er soll auf die Einhaltung der Datenschutzbestimmungen hinwirken – so steht es im Gesetz. Dazugehört natürlich auch, die Datensicherheit nach §9 BDSG und anderen Vorschriften sicherzustellen, aber nicht nur das alleine, noch dies vorrangig vor anderen Datenschutzregeln. Fakt ist: wenn die wesentlichen rechtlichen Risiken nicht erkannt und abgedeckt werden können, dann erwirbt das Unternehmen keine zusätzliche SIcherheit durch die Bestellung eines externen Datenschutzbeauftragten.

Anwälte als Datenschutzbeauftragte – häufig sehr teuer

Anwälte als externe Datenschutzbeauftragte setzen sich nach unserer Meinung häufig nur ungerne mit der Dokumentation der Verfahren auseinander. Der Grund könnte sein, dass dafür signifikant Zeit aufgewendet werden muss. Würden diese Stunden zum üblichen Stundensatz zwischen 200 und 400 EUR fakturiert, käme eine Sume zustande, die kaum noch vor dem Mandanten vertretbar wäre. Würden für diese Tätigkeit andere Stundensätze angenommen, dann würde ein cleverer Mandat ab sofort diesen Stundensatz für alle Täigkeiten des Anwaltes fordern. Der Anwalt würde seine Stundensätze verwässern.

Mögliche Lösung: spezialisierte Dienstleister für externen Datenschutz

Im Idealfall finden sich spezialisierte Dienstleister für das Thema Datenschutz:

  • Rechtlich beschlagen genug um juistische Risiken bewerten zu können, aber bescheiden genug, im richtigen Augenblick ein strittges Thema an einen Fachanwalt abzugeben.
  • Technisch versiert genug, um zu verstehen, mitzureden, den status-quo zu bewerten und pragmatische Lösungen vorzuschlagen. Aber nicht zu stark eingreifend in existierende und bewährte Lösungen und Regelungen.

Wie sieht ein seriöses Angebot eines externen Datenschutzbeauftragten aus?

In der Regel gliedern sich Angebote von externen Datenschutzbeauftragten in mehrere Module. In der Regel wird mit einer Basispauschale wird die Übernahme der Position des Datenschutzbeauftragten sowie die ständige Rufbereitschaft, die mit einer Bestellung zum Datenschutzbeauftragten einhergeht, abgegolten.

Ferner wird als weiteres Auftrags-Modul ein individuelles Datenschutz-Budget – entsprechend dem Aufwand für das konkrete Unternehmen – für eine grundsätzliche Überprüfung des Unternehmens auf Datenschutz-Compliance vereinbart.Dieser „Grundschutz“ (nicht zu verwechseln mit dem BSI-Grundschutzprogramm) umfasst sowohl den rechtlich organisatorischen Datenschutz wie auch die technisch organisatorischen Maßnahmen zur Datensicherheit. In manchen Fällen wird jedoch das Thema Datensicherheit aus dem Angebot ausgeklammert, insbesondere dann, wenn das Unternehmen bereits einen IT Sicherheitsbeauftragten bestellt hat, der für die Datensicherheit im Rahmen seines Mandates mit verantwortlich ist.

Ist ein Vorstellungsgespräch des externen Datenschutzbeauftragten notwendig

Für die seriöse Abschätzung des Aufwandes ist in der Regel ein Vorgespräch nötig, in dem die Geschäftsprozesse des Unternehmens zur Abschätzung etwaig damit verbundener Risiken von der Unternehmensleitung erklärt bzw. vom externen Daenschutzbeauftragten erfragt werden. Dies muss nicht zwingend in einem persönlichen Terimin geschehen und kann auch telefonisch durchgeführt werden, dennoch empfiehlt sich ein persönliches Treffen: Datenschutz kann besonders im Verhältnis zwischen Geschäftsleitung und dem Datenschutzbeauftragten eine sehr intime Dienstleistung sein. Beispielsweise kann es vorkommen, dass der externe Datenschutzbeauftragte als einer der ersten feststellt, wenn sich ein Unternehmen in dem Bereich gesetzeswidrig oder gar strafbar verhalten hat.

Kein billiger Datenschutzbeauftragter – sondern ein vertrauenswürdiger

Auch sollte die Geschäftsleitung den Datenschutzbeauftragten in machen Fällen, z.B. der Kündigung von Mitarbeitern bei Indiskretionen, bei der Einführung neuer Verfahren, Geschäftsprozesse oder Produkte oder bei innterbetrieblichen Regelungen im Vorfeld mit einbinden und offenbart dem externen Datenschutzbeauftragten dabei Betriebs- und Geschäftsgeheimnisse. Auch die Regelung von datenschuzrechtlichen Fragen sollte im offenen, vertrauensvolen Gespräch erfolgen.

Es bedarf daher eines ganz besonderen Vertrauensverhältnisses zwischen Geschäftsleitung und externem Datenschutzbeauftragtem. Die Erfahrung zeigt, dass ein persönliches Treffen für die Abschätzung der Vertrauenswürdigkeit des Dienstleisters geeigneter ist als ein Angebot, das allein auf der Basis von über Schriftverkehr oder fernmündlich ausgetauschen Unternehmens-Eckwerten basiert.

Ist der Betriebsrat für die auswahl des externen Datenschutzbeauftragten einzubeziehen?

Grundsätzlich hat der Betriebsrat bei der Auswahl des externen Dienstleisters, der den externen Datenschutzbeauftragten stellt, kein gesetzliche geregeltes Mitentscheidungsrecht. Dennoch empfiehlt es sich dringen, den Betriebsrat zumindest informell in die Entscheidung einzubinden, da der externe Datenschutzbeauftragte hinsichtlich des Personaldatenschutzes regelmäßig mit dem betriebsrat zusammenarbeiten muss. Um nicht bereits im Vorfeld einer Zusammenarbeit Hürden aufzubauen, empfieht lich ein persönliches Kennenlerngespräch auch mit dem Betriebsrat durchzuführen – wenn nicht vor Auftragserteilung, dann doch unmittelbar nach der Bestellung zum externen Datenschutzbeauftragten.

 

 

 

Normal
0

21

false
false
false

DE
X-NONE
X-NONE

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:“Normale Tabelle“;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-parent:““;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:“Calibri“,“sans-serif“;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:“Times New Roman“;
mso-bidi-theme-font:minor-bidi;
mso-fareast-language:EN-US;}