Das Wichtigste in Kürze

  • Jedes Unternehmen mit über 20 datenverarbeitenden Mitarbeitern muss einen Datenschutzbeauftragten (DSB) bestellen. In manchen Fällen auch kleinere.
  • Interner vs. externer DSB: Die externe Variante ist meistens sinnvoller und günstiger.
  • Die Wahl des richtigen Datenschutzbeauftragten ist keine Sache des Zufalls, sondern lässt sich an konkreten Kriterien festmachen.
  • Wer das Thema Datenschutz ernst nimmt, spart auf lange Sicht nicht nur Zeit, sondern auch Kosten (und Nerven).


In diesem Beitrag

Spätestens seit Mai 2018 sind Unternehmen laut DSGVO gesetzlich verpflichtet, die Voraussetzungen des Datenschutzes zu erfüllen. Dazu gehört ab einer bestimmten Mitarbeiterzahl auch die Bestellung eines externen Datenschutzbeauftragten. Aber wie findet man den passenden Datenschutzbeauftragten? Und welche Kriterien muss er überhaupt erfüllen? Dies und mehr klären wir im Folgenden.

Warum brauchen Unternehmen einen Datenschutzbeauftragten? 

Unternehmen sind gemäß DSGVO dazu verpflichtet, den Datenschutz im Umgang mit personenbezogenen Daten zu gewährleisten und deren Verarbeitung zu dokumentieren. Ein Datenschutzbeauftragter (DSB) überwacht die Einhaltung dieser Vorschriften. Unternehmen können entweder einen internen Mitarbeiter oder einen externen Dienstleister mit dieser Aufgabe betrauen.

Datenschutzbeauftragter: Ab wie vielen Mitarbeitern ist einer erforderlich?

Die Bestellung eines Datenschutzbeauftragten ist Pflicht für alle Unternehmen mit mindestens 20 Mitarbeitern, die im Tagesgeschäft mit der Verarbeitung personenbezogener Daten betraut sind. In manchen Fällen trifft das auch auf kleinere Unternehmen zu, die kommerziell mit Gesundheitsdaten arbeiten (z. B. Gesundheits-Startups) oder für die die häufige Herstellung von Personenprofilen (z.B. Kreditrisiko) zum Kerngeschäft gehört.

Welche Vorteile hat es, Datenschutz als Entscheider ernst zu nehmen? 

Einen kompetenten Datenschutzbeauftragten zu bestellen, ist nicht nur laut DSGVO Pflicht, sondern birgt für den Entscheider auch wesentliche Vorteile:

  1. Sicherheit: Das Unternehmen hat einen Kümmerer, der die Datenschutz-Konformität in allen Bereichen aufbaut. Dieser vermeidet Verstöße, die nicht nur empfindliche Geldbußen nach sich ziehen, sondern auch für das Image eines Unternehmens katastrophal sein könnten. Er ist Projektleiter und Terminjäger für die Umsetzung des Datenschutzes in der Organisation.
  2. Transparenz: Der Datenschutzbeauftragte dokumentiert die Datenverarbeitung und die entsprechenden Schutzmaßnahmen im Unternehmen in einem Verarbeitungsverzeichnis. Auf diese Dokumentation hat auch der Verantwortliche stets Zugriff. So kann das Unternehmen schnell und einfach nachweisen, wie es mit personenbezogenen Daten umgeht.
  3. Haftungsminderung: Geschäftsführer, die das Thema Datenschutz ernst nehmen und sich von einem erfahrenen Datenschutzbeauftragten beraten lassen, minimieren das Risiko von Bußgeldern.

Interner vs. externer Datenschutzbeauftragter: Was ist sinnvoller?

Unternehmen können auch einen internen Mitarbeiter zum Datenschutzbeauftragten ernennen. Viele erhoffen sich dadurch eine Kostenersparnis. Wirft man jedoch einen Blick auf den Aufwand und die damit verbundenen Kosten, wird schnell klar, dass ein externer Datenschutzbeauftragter die günstigere Variante ist.

  1. Zeit und Kosten: Ernennt ein Geschäftsführer einen internen Mitarbeiter zum DSB, muss er in seine Aus- und Fortbildung investieren. Außerdem wird der Mitarbeiter seine bisherige Tätigkeit nicht im vollen Umfang ausüben können, denn die Aufgaben eines Datenschutzbeauftragten lassen sich nicht nebenbei erledigen. Hier ist mit mindestens zwei Tagen die Woche zu rechnen, je nach Komplexität auch mit mehr.
  2. Qualifikationen und Kompetenzen: Die gesetzlich geforderten Aktivitäten muss der Datenschutzbeauftragte wie ein Projekt führen und planen. Dazu braucht er die Unterstützung der Rechts- und IT-Abteilung. Ohne die nötige Erfahrung und Glaubwürdigkeit stößt ein interner Mitarbeiter schnell an seine Grenzen.
  3. Haftung: Bei Verstößen wird ein interner Datenschutzbeauftragter nur im Rahmen der allgemeinen Arbeitnehmerhaftung belangt, was praktisch nicht ins Gewicht fällt. Mit der Beauftragung eines externen Datenschutzpartners wird die Haftungsbasis verbreitert, denn der Externe muss für seine Arbeit einstehen. Ein interner Datenschutzbeauftragter haftet praktisch nicht.
  4. Kontinuität und Verfügbarkeit: Unternehmen sollten sich auch überlegen, wer für den internen Datenschutzbeauftragten einspringt, wenn er mal krank wird oder im Urlaub ist. Oder was zu tun ist, wenn er das Unternehmen verlässt. Die Einarbeitung eines Nachfolgers kostet Zeit und Geld. Ein interner Datenschutzbeauftragter genießt einen vergleichbaren Kündigungsschutz wie ein Betriebsrat. Ein externer ist hingegen sofort einsetzbar und bei Bedarf auch leichter zu ersetzen.
  5. Örtlichkeit: Einige Kunden haben gern alles vor Ort im Blick. Ein interner Mitarbeiter, der mit allen Prozessen vertraut ist, könnte da die Lösung sein. Was aber viele nicht wissen: Interne sowie externe Datenschutzbeauftragte dürfen nicht selbst Hand bei der Datenverarbeitung anlegen. Für die Umsetzung sind die Fachabteilungen und die Specials, die Rechts- und IT-Abteilung zuständig. DSBs sind objektive Prüfer: Örtliche Unabhängigkeit ist da eher ein Plus.

Externe Datenschutzbeauftragte – welche Arten von Anbietern gibt es?

Anbieter ist nicht gleich Anbieter: Zum einen wären da die Einzelkämpfer bzw. die kleineren Datenschutzfirmen, die ihre Beratung meist zum Stundensatz anbieten. Der Vorteil: Einzelne Leistungen fallen zum Teil sehr günstig aus. Der Nachteil: Für das nötige Schutzniveau kommen meistens weitere Kosten hinzu, die sich nur schwer im Voraus berechnen und einschätzen lassen. Der Kunde kann also schwer kalkulieren. Außerdem fehlt die notwendige Breite des Knowhows von juristischen Fragen bis zur IT.

Eine wesentlich transparentere Variante bieten größere Datenschutzfirmen, deren Gesamtpakete zu monatlichen Festpreisen ggf. auch zusätzliche Beratungsstunden für die relevanten Abteilungen des Unternehmens umfassen. Auch hier ist für den Kunden ein persönlicher Ansprechpartner gegeben – der aber eine ganz andere Unterstützung aus Experten aus Juristen und IT-Spezialisten im Rücken hat.

Einen externen Datenschutzbeauftragten finden: Darauf sollten Sie achten.

Bei der Suche nach dem passenden Datenschutzbeauftragten für Ihr Unternehmen gibt es einige Dinge zu beachten. Überprüfen Sie daher, ob der jeweilige Anbieter folgende Kriterien erfüllt:

  1. Qualifikationen: Ein DSGVO-konformes Projekt setzt vier Kompetenzen voraus: juristische Expertise, Datenschutzexpertise, technische Fachkenntnisse für die IT-Gestaltung sowie Erfahrung im Projektmanagement für die Umsetzung nach Zeitplan. Eine Datenschutzfirma mit Experten in all diesen Bereichen ist daher die beste Wahl.
  2. Branchenerfahrung: Die notwendigen Datenschutzmaßnahmen hängen von der jeweiligen Organisation ab. Eine Softwarefirma hat etwa andere Vorgaben als ein Fertigungsunternehmen oder eine Klinik. Daher ist es sinnvoll, einen erfahrenen Anbieter zu beauftragen, der Sie zu den passenden Maßnahmen für Ihre Branche beraten kann.
  3. Kalkulierbare Preise: Lassen Sie sich von vermeintlichen Schnäppchen nicht täuschen. Prüfen Sie unbedingt beim jeweiligen Angebot, was darin enthalten ist. Besonders zu empfehlen sind monatliche Festpreise, die alle Grundleistungen abdecken und daher leicht budgetierbar sind.
  4. Auskunftsfähigkeit: Neben der Pflege des Verarbeitungsverzeichnisses hält der DSB alle technischen und organisatorischen Maßnahmen (Stand der IT) im Hinblick auf den Datenschutz fest, ebenso wie den Stand der gesetzlich geforderten Schulungen, der Datenschutzerklärungen und der Auftragsverarbeitungsverträge. So kennt der Verantwortliche den Stand und die Schritte bis alles safe ist.
  5. Tools zur Übersicht: Der Datenschutzbeauftragte muss der Geschäftsführung jederzeit einen Überblick verschaffen können, wo das Unternehmen in puncto DSGVO-Konformität steht. Dazu muss er die Werkzeuge bereitstellen, die automatisch über die Fortschritte in den Datenschutz-Aktivitäten informieren.
  6. Sensibilisierung: Der Datenschutzbeauftragte muss die Mitarbeiter, die mit der Verarbeitung von Daten zu tun haben, in puncto Datenschutz sensibilisieren. Eine kompakte Onlineschulung mit Erfolgsnachweis hält den Aufwand niedrig und erfüllt die gesetzlichen Anforderungen.
  7. Verfügbarkeit: Wie schon oben gesehen, ist der Einsatz eines Datenschutzbeauftragten vor Ort nicht notwendig. Vor allem in diesen Zeiten hebt sich hervor, wer dank Digitalisierung seinen Service im vollen Umfang anbieten kann. Für die persönliche Kontaktpflege kann dann gelegentlich das persönliche Gespräch gesucht werden – Videokonferenzen werden immer beliebter.
  8. Gute Bewertungen: Was gut ist, spricht sich herum. Eine Möglichkeit ist, nach externen Datenschutzbeauftragten online zu suchen. Dort finden Sie ausführliche Rezensionen. Nützlich ist auch das persönliche Gespräch mit Kunden des Anbieters. Gute Anbieter werden Ihnen auf Anfrage Referenzen nennen können.

Fazit: Vergleichen lohnt sich

Überlassen Sie die Auswahl Ihres Datenschutzbeauftragten nicht dem Zufall – dafür ist die Funktion zu wichtig. Glücklicherweise gibt es handfeste Kriterien, die Ihnen bei der Entscheidung helfen: Erfahrung, Kompetenzen und das Preis-Leistungs-Verhältnis. Nicht zuletzt aber muss sich ein guter Anbieter an zufriedenen Kunden messen lassen.

Neue Beiträge die Sie interessieren könnten

Das Recht auf Vergessenwerden: Was steckt dahinter und funktioniert es wirklich?

Das Wichtigste in Kürze

  • Mit der DS-GVO wurden die Rechte von Betroffenen gestärkt. 
  • Das Recht...
Weiterlesen

Keine Daten mehr ins EU-Ausland: Was bedeutet das EuGH-Urteil Schrems II für Anwältinnen und Anwälte?

Das sogenannte Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) markiert eine Zäsur im...

Weiterlesen

Aktuelle Trends zu Bußgeldern im europäischen Datenschutz

Weiterlesen

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

DataCo GmbH | Dachauer Str. 65 | D-80335 München