Vertragsgestaltung und Datenschutzbeauftragte

Datenschutzbeauftragter


Personen im Datenschutz - der Datenschutzbeauftragte

Um Datenschutz nicht nur als bloßen formellen Akt erscheinen zu lassen, ist die Kontrolle der Einhaltung der IT-Sicherheit bei der Verarbeitung personenbezogener Daten ein weiterer wesentlicher Aspekt.


Ein erster wichtiger Akteur in diesem Zusammenhang ist der Datenschutzbeauftragte (betrieblich oder behördlich). Privatrechtliche Unternehmen müssen einen betrieblicher Datenschutzbeauftragten zwingend bestellen, wenn mehr als 9 Mitarbeiter tatsächlich mit der Verarbeitung personenbezogener Daten betraut sind. Hierbei ist allein die tatsächlich Zugriffsmöglichkeit entscheidend. Ob die Verarbeitung auch vertraglich für den jeweiligen Mitarbeit vorgesehen ist, spielt keine Rolle. Es kommt auch nicht auf den Status als „Arbeitnehmer“ an. Jeder der in einem Unternehmen tatsächlich und befugtermaßen personenbezogene Daten verarbeitet ist mitzuzählen!


Bei kleinen Unternehmen, die diesen Grenzwert von 9 Mitarbeitern nicht erreichen, ist und bleibt die Geschäftsführung für die IT-Sicherheit verantwortlich. Aber selbst bei der Bestellung eines Datenschutzbeauftragten, ist die Geschäftsführung weiterhin als verantwortliche Stelle zuständig.


Als Datenschutzbeauftragter kommt zum einen, ein eigener (interner) Mitarbeiter in Betracht. Dieser genießt dann besonderen Kündigungsschutz und muss frei von Interessenkollisionen sein. Der Personalverantwortliche kann beispielsweise kein (interner) Datenschutzbeauftragte werden.


Zum anderen kann aber auch ein externer Datenschutzbeauftragter bestellt werden. Hierfür bieten sich Rechtsanwälte, IT-Sicherheitsfirmen und andere fachlich geeignete Unternehmen an.
Neben dem eigentlichen Aufbau eines Sicherheitskonzeptes für den Datenschutz hat der Datenschutzbeauftragte die Aufgabe, die Mitarbeiter bei der Umsetzung des Datenschutzes zu unterstützen, diese zu schulen und bei Fragen und Problemen Hilfe zu leisten.

Der Datenschutzbeauftragte stellt eine Art interne Kontrollinstanz dar und dient der Überwachung der Einhaltung des Datenschutzes.


Exkurs: Datenschutzbeauftragter – extern oder intern?

Wer automatisiert personenbezogene Daten erhebt, verarbeitet und nutzt, muss einen Datenschutzbeauftragten zwingend bestellen, unabhängig von der Anzahl zugriffsberechtigter Personen. In anderen Unternehmen greift die Pflicht ab 9 Mitarbeitern.

Als Datenschutzbeauftragter kann bestellt werden, wer die erforderliche Fachkunde hat, zuverlässig ist und tatsächlich den Datenschutz im Unternehmen sicherstellen kann.

Der Datenschutzbeauftragte ist vorrangig als Berater der Geschäftsführung und der Mitarbeiter anzusehen und muss sich ständig auf den aktuellen Stand sowohl in Bezug auf rechtliche als auch auf technische Maßnahmen zum Datenschutz halten. Kurz: Der Datenschutzbeauftragte muss selbst regelmäßig Fort- und Weiterbildungen absolvieren.

Bei der Bestellung eines internen Datenschutzbeauftragten ist die Gefahr einer Überlastung bei der Auswahl und Entscheidung einzubeziehen. Auch die Kosten für die Fort- und Weiterbildungsmaßnahmen müssen bei der Entscheidung für einen internen Datenschutzbeauftragten einbezogen werden. Ein interner Datenschutzbeauftragter muss zusätzlich von der Arbeit freigestellt werden, sodass er die Aufgaben als Datenschutzbeauftragter wahrnehmen kann.


Diese Aspekte entfallen bei einem externen Datenschutzbeauftragten, da dieser selbst für seine Qualifizierung verantwortlich ist. Auch können innerbetriebliche Interessenkollisionen zwischen Datenschutzbeauftragten und Geschäftsführung, Personalabteilung oder der IT-Abteilung bei der Bestellung eines externen Datenschutzbeauftragten vermieden werden.

Kunden können bei einem externen Datenschutzbeauftragten auf einen unabhängigen, kompetenten und vor allem unbefangenen Ansprechpartner zurückgreifen.

Ein weiterer Vorteil ist, dass externe Datenschutzbeauftragte auch nur befristet vertraglich gebunden werden können und ein besonderer Kündigungsschutz entfällt.

Von großem Vorteil ist, dass der Beratervertrag befristet ist, statt eines besonderen Kündigungsschutzes bei einem betrieblichen Datenschutzbeauftragten.


Fazit: Die Bestellung eines externen Datenschutzbeauftragten ist grundsätzlich kostengünstiger und es kann auf bereits vorhandenes Praxiswissen sofort und ohne zusätzliche Maßnahmen zurückgegriffen werden.