Der Datenschutzbeauftragte im Fokus

Viele Unternehmen greifen auf einen externen Datenschutzbeauftragten zurück. Auf dieser Seite erläutern wir die Vorteile eines externen Datenschutzbeauftragten gegenüber einem internen Datenschutzbeauftragten und informieren Sie über Aufgaben und Tätigkeiten des Datenschutzbeauftragten.

Außerdem geben wir einen Überblick über die Kosten eines Datenschutzbeauftragten, erklären, wann Sie einen Datenschutzbeauftragten benötigen und klären die Frage, wer nicht Datenschutzbeauftragter werden darf.

Vorteile eines externen Datenschutzbeauftragten

  • Aktuelles Expertenwissen durch ständige Weiterbildung in allen Bereichen der DSGVO, insbesondere auch zu Fragen zu What’s App, Facebook, Google, Datenschutzerklärungen usw.
  • Schnellere Umsetzung durch jahrelange Praxiserfahrung und Expertenwissen des externen Datenschutzbeauftragten
  • Höhere Akzeptanz bei Mitarbeitern, wenn die Vorschläge von einem externen Datenschutzbeauftragten kommen
  • Keine Kosten und Ausfallzeiten für Aus- und Weiterbildung des eigenen Personals
  • Hohe Effizienz des externen Datenschutzbeauftragten und schnelles Erreichen des nötigen Datenschutzniveaus
  • Mehr Sicherheit durch Haftung des externen Datenschutzbeauftragten
  • Neutrale Perspektive des externen Datenschutzbeauftragten, dadurch keine Betriebsblindheit
  • Absolute Konzentration auf die Aufgaben des Datenschutz
  • Vertragslaufzeit beim externen Datenschutzbeauftragten individuell verhandelbar

Nachteile des internen Datenschutzbeauftragten

  • Absoluter Kündigungsschutz des internen Datenschutzbeauftragten ähnlich wie ein Betriebsrat! Abberufung daher nur schwierig möglich
  • Bei Unerfahrenheit als Datenschutzbeauftragter drohen Anlaufschwierigkeiten. Die Effizienz ist gering und externe Unterstützung muss oft zusätzlich eingekauft werden. 
  • Das Unternehmen hat das Haftungsrisiko: der Mitarbeiter kann für Fehlentscheidungen oft gar nicht haftbar gemacht werden, sofern er nicht nachweislich mit Vorsatz gehandelt hat. 
  • Haupttätigkeit bleibt in der Regel im Vordergrund, der Datenschutz wird aus Zeitgründen stiefmütterlich behandelt
  • Reaktion der Mitarbeiter auf Anfragen langsam oder gar nicht
  • Aus-/Fortbildungskosten muss das Unternehmen tragen

Was sind die Aufgaben eines Datenschutzbeauftragten?

Ein Datenschutzbeauftragter stellt sicher, dass keine Fehler im Umgang mit diesen Daten gemacht werden und das Unternehmen rechtssicher aufgestellt ist. Soweit die Bestellung eines Datenschutzbeauftragten nicht gesetzlich vorgeschrieben ist, muss die Unternehmensleitung den Datenschutz sicherstellen.

Die Aufgaben und Pflichten eines Datenschutzbeauftragten in einem Betrieb sind in der DSGVO klar definiert. Er sorgt für die Einhaltung der Vorschriften im Umgang mit personenbezogenen Daten im Betrieb.

  • Überwachung der Datenverarbeitung: Kontrolle,  ob die Abläufe den gesetzlichen Anforderungen gerecht werden. Dies bewirkt, dass Datenschutzverstöße gar nicht erst begangen werden. Die Kontrollkompetenz gilt im gesamten Unternehmen.
  • Führen des Verarbeitungsverzeichnisses: Dieses dokumentiert Art und Umfang der Datenverarbeitung im Unternehmen. Der Datenschutzbeauftrage trägt die relevanten Informationen zusammen und sorgt zugleich für eine fortlaufende Aktualisierung des Verzeichnisses. Auf Wunsch übernimmt er außerdem die Datenschutzfolgeabschätzung.
  • Schulung der Mitarbeiter: diese müssen damit vertraut gemacht werden, welche konkreten Erfordernisse und Vorschriften gelten, damit es gar nicht zu unbeabsichtigten Datenschutzverstößen kommt
  • Der externe Datenschutzbeauftragte ist Ansprechpartner: wenn Fragen zum Thema Datenschutz aufkommen, muss eine fachkompetente Beantwortung gewährleistet sein. Dabei spielt es keine Rolle, ob Kunden, Mitarbeiter, die Geschäftsführung oder Dritte die Fragen stellen.
  • Wenn es bislang noch keinen Datenschutzbeauftragten gab, müssen zwei Stufen erledigt werden:
  • Ausreichendes Datenschutzniveau herstellen: Erfassen der Situation im Unternehmen und im Anschluss Hinwirken auf Lösungen, die einen ausreichenden Datenschutz versprechen. Dies erfordert eine ganzheitliche Vorgehensweise, die von der Bestandsaufnahme über die Ausarbeitung von Maßnahmen bis hin zur Erteilung von Arbeitsanweisungen reicht.
  • Datenschutzniveau erhalten und verbessern: der Datenschutzbeauftragte muß die laufenden Prozesse kontrollieren und dokumentieren sowie neue Verfahren bewerten

Der Datenschutzbeauftragte muss zahlreiche Aufgaben der Gesetze umsetzen, z. B. auch:

  • Technisch-Organisatorische Maßnahmen durchführen
  • Mitarbeiter auf die Vertraulichkeit verpflichten
  • Prozesse der Datenverarbeitung transparent gestalten
  • Hinwirken auf und Prüfen der Einhaltung von Richtlinien, inkl. Dokumentation des Zustandes
  • Verantwortliche bei der Überprüfung neu geplanter Arbeitsabläufe beraten
  • Arbeiten nach dem Prinzip der Datenvermeidung und Datensparsamkeit im Unternehmen integrieren
  • Das Unternehmen in Fragen zum Datenschutz repräsentieren

Kosten des Datenschutzbeauftragten

Kalkulieren Sie genau und bestellen Sie den für Sie kostengünstigsten Datenschutzbeauftragten! Die Frage nach den Kosten eines Datenschutzbeauftragten ist nicht in einem Satz oder gar mit einer konkreten Zahl zu beantworten.

Welche Kosten entstehen, hängt vom Umfang der notwendigen Leistungen ab. Dies wiederum hängt davon ab, wie groß das Unternehmen ist und in welcher Branche es tätig ist. Außerdem spielt es eine Rolle, ob ein interner oder externer Datenschutzbeauftragter bestellt wird.

Häufig wird vermutet, ein interner Datenschutzbeauftragter sei günstiger, weil ein bestehender Mitarbeiter sämtliche Aufgaben des Datenschutzbeauftragten übernimmt. Jedoch geht diese Rechnung in der Regel nicht auf:

  • Die Ausbildung des internen DSB ist aufwendig und kostspielig. Kurse, die sich ausschließlich mit dem betrieblichen Datenschutz befassen, genügen nicht. Zwingend erforderlich sind Fachkenntnisse der entsprechenden Gesetze und ein rechtliches Grundverständnis, außerdem IT-Grundkenntnisse, weshalb ergänzende Kurse zu belegen sind und Kosten verursachen.
  • Der interne Datenschutzbeauftragte kann seine Haupttätigkeit nicht im vollem Umfang erledigen, was bedeutet, daß die Leistung bei der Haupttätigkeit zurückgeht.
  • Bei gestiegener Qualifikation fordert der Mitarbeiter irgendwann in der Regel ein höheres Gehalt

Beispielrechnung für die Kosten eines internen Datenschutzbeauftragten

KostenDSB in VollzeitDSB in Teilzeit
Zeitaufwand100 %33,3 %
Jahresgehalt48.000 €48.000 €
Gehaltsanteil als DSB48.000 €16.000 €
20 % Arbeitgeberkosten9.600 €3.200 €
Fortbildungskosten4.000 €4.000 €
Reisekosten und Spesen3.000 €3.000 €
Sonstiges, z. B. Fachliteratur1.000 €1.000 €
Gesamtkosten pro Jahr65.600 €27.200 €

Die Kosten eines externen Datenschutzbeauftragten sind im Gegensatz dazu vertraglich geregelt und Leistungen werden auf Basis der vereinbarten Konditionen abgerechnet.

Zwei Kostenblöcke müssen Sie einplanen: 

  • Kosten für die Analyse der Ausgangssituation sowie der anschließenden Schaffung des erforderlichen Datenschutzniveaus: der Leistungsbedarf wird je nach Unternehmen sehr verschieden zu bemessen sein. Die Abrechnung erfolgt über Zeitnachweise auf Stundenbasis. Parallel wird eine Monatspauschale berechnet, die von der Unternehmensgröße bzw. der Anzahl der Mitarbeiter abhängig ist.
  • Kontrollfunktion des externen Datenschutzbeauftragten nach Erreichen des Datenschutzniveaus:  dieser steht als Ansprechpartner zur Verfügung, die Haftungsübernahme ist gewährleistet. Die Abrechnung erfolgt monatsbezogen auf Basis der erbrachten Einzelleistungen. Parallel wird eine Monatspauschale berechnet, die von der Unternehmensgröße bzw. der Anzahl der Mitarbeiter abhängig ist.

Der interne Datenschutzbeauftragte ist deutlich teurer, als in den meisten Fällen zunächst vermutet wird. Insbesondere die Ausbildung des Mitarbeiters sowie die Einschränkungen bei dessen Haupttätigkeit schlagen als Kostenfaktoren gravierend zu Buche. Darüber hinaus ist zu beachten, dass bei einem Urlaub des Datenschutzbeauftragten eine Vertretung vorhanden sein sollte. Wenn in dieser Zeit nämlich eine Datenpanne passiert, muss diese innerhalb von 72 Stunden an die Datenschutzbehörde gemeldet werden, ansonsten drohen auf jeden Fall Bußgelder! Und dafür muss ein kompetenter Mitarbeiter ausgebildet sein. Das heißt, ein Unternehmen, das einen internen Datenschutzbeauftragten hat, benötigt einen Vertreter, und damit verdoppeln sich die Kosten!

Aus finanzieller Sicht sind die meisten Unternehmen besser damit beraten, einen externen Datenschutzbeauftragten zu bestellen. Dieser liefert erfahrungsgemäß schnellere und fachlich fundierte Ergebnisse. Außerdem ist die Vertragslaufzeit aushandelbar, wobei darauf hinzuweisen ist, dass die Behörden sehr kurze Vertragslaufzeiten wie z. B. ein Jahr nicht gerne sehen.

Wann braucht man einen Datenschutzbeauftragten?

Gemäß § 38 BDSG n.F. muss Ihr Unternehmen einen Datenschutzbeauftragten bestellen, wenn Sie personenbezogene Daten automatisiert verarbeiten und folgende Kriterien erfüllen:

Ein betrieblicher Datenschutzbeauftragter muss schriftlich bestellt werden, wenn Sie mindestens zehn Personen im Betrieb ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder personenbezogene Daten auf andere Weise erheben, verarbeiten oder nutzen. Zur Anzahl der Personen zählen auch Mitarbeiter in der IT, Teilzeitkräfte, Auszubildende und Leihpersonal.

Unabhängig von der Anzahl der Personen müssen Sie einen Datenschutzbeauftragten bestellen, wenn Sie automatisierte Verarbeitungen vornehmen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.

Das gilt vor allem dann, wenn Sie personenbezogene Daten geschäftsmäßig – zum Zweck der Übermittlung (auch anonymisiert) oder für Zwecke der Markt- oder Meinungsforschung – automatisiert verarbeiten oder nutzen.

Personenbezogene Daten sind z. B.:

  • Name, Alter, Familienstand, Geburtsdatum
  • Personalausweisnummer, Sozialversicherungsnummer
  • Adressdaten sowie Telefonnummer, E-Mail Adresse
  • Konto- und Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Gesundheitsdaten und genetische Daten
  • Werturteile wie zum Beispiel Zeugnisse
  • Vorstrafen

Können Sie auf einen Datenschutzbeauftragten verzichten?

Wenn Ihr Unternehmen die genannten Kriterien erfüllt, benötigen Sie zwingend einen betrieblichen Datenschutzbeauftragten! Versäumen Sie die Bestellpflicht und das Erfüllen der Anforderungen, die die EU-Datenschutzgrundverordnung und das Bundesdatenschutzgesetz an den Umgang mit personenbezogenen Daten stellen, kann dies zu erheblichen Sanktionen und Bußgeldern führen.

Doch dies hat nicht nur finanzielle Folgen für Sie. Heutzutage kann dies – vor allem durch blitzschnelle Verbreitung von Meldungen über soziale Netzwerke wie Facebook - noch weitaus größere Kreise ziehen:

  • Negative Berichterstattung bewirkt den Verlust von Kundenvertrauen
  • Konfrontation mit der Datenschutz-Aufsichtsbehörde
  • Festsetzung von Bußgeldern gegen Geschäftsleitung und Unternehmen
  • Gefährdung der Aufrechterhaltung von ISO-Zertifizierungen
  • Gefährdung des Testats durch den Wirtschaftsprüfer, der heute gezielt auch die Einhaltung des Datenschutzes prüft!

Als verantwortungsbewusster Unternehmer werden Sie dies nicht riskieren. Wir beraten Sie gerne und entwerfen eine für Ihr Unternehmen maßgeschneiderte Expertenlösung.

Wer darf NICHT Datenschutzbeauftragter (DSB) sein?

Leitende Angestellte (Geschäftsführer, Prokuristen, Vorstände) können nicht wirksam als Datenschutzbeauftragter bestellt werden. Gleiches gilt für nahe Verwandte oder den Leiter der EDV-Abteilung bzw. den System-Administrator: Auch sie dürfen nicht als Beauftragte für den Datenschutz tätig sein.

Hier fehlt es jeweils an der Unabhängigkeit. 


Datenschutzbeauftragten kontaktieren

Vertrauen Sie auf die erfahrenen externen Datenschutzbeauftragten von Columbus Consulting und nehmen Sie Kontakt zu uns auf:

☎ 07031 - 41 80 90

✉ info@columbus-consulting.eu

Zum Kontaktformular