<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=219905&amp;fmt=gif">
close

Kontaktieren Sie uns jetzt
für Ihr individuelles Angebot

Oder buchen Sie hier direkt einen Termin

(089) 8967 410 600
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Mit Inkrafttreten der DS-GVO sind die datenschutzrechtlichen Anforderungen für Unternehmen gestiegen. Da ist die Benennung eines Datenschutzbeauftragten (DSB) ein logischer Schritt – auch wenn Sie dazu nicht explizit gesetzlich verpflichtet sind. Häufig ist die Zusammenarbeit mit einem externen Partner günstiger, effektiver und unkomplizierter. Aber wie sollen Sie auf der Suche nach einem externen Datenschutzbeauftragten vorgehen? 

In diesem Leitfaden erläutern wir, welche Vorteile ein externer Datenschutzbeauftragter bietet, welche Qualitätsmerkmale er aufweisen sollte und wie die Zusammenarbeit – von Benennung bis Abberufung – abläuft. 

Sie wissen schon genau, wonach Sie suchen? Dann lesen Sie doch einfach direkt hier nach, welche Leistungen Ihnen unser interdisziplinäres Expertenteam von DataGuard bietet. 

Das Wichtigste in Kürze 

  • Unter dem Überbegriff „externer Datenschutzbeauftragter“ werden unterschiedliche Servicemodelle zusammengefasst, die in Leistungsspektrum und Kosten deutlich variieren.
  • Die allermeisten Unternehmen profitieren von der Entscheidung für einen externen statt internen Datenschutzbeauftragten – insbesondere finanziell.
  • Die Vorteile eines externen DSB liegen vor allem in höherer Fachexpertise, Neutralität und besserer Akzeptanz im Unternehmen sowie dem fehlenden Kündigungsschutz, günstigeren Haftungsregelungen und umfassender Verfügbarkeit.
  • Bei der Wahl eines externen DSB sollten Sie nicht nur auf den gesetzlich vorgeschriebenen Fachkundenachweis achten. Einen wirklich kompetenten DSB machen auch Aspekte wie (Branchen-)Erfahrung und ein seriöses Preis-Leistungs-Verhältnis aus, genauso wie Software-Unterstützung und ein interdisziplinäres Team.
  • Die alltäglichen Aufgaben des Datenschutzbeauftragten umfassen die Beratung sowie Koordination und Überwachung von Prozessen, in denen Daten verarbeitet werden. Außerdem schult er Mitarbeiter, arbeitet mit der Datenschutzbehörde zusammen und stellt verschiedene Dokumente aus.
  • Soll die Zusammenarbeit beendet werden, ist das deutlich einfacher als beim internen Datenschutzbeauftragten, der einen besonders umfassenden Kündigungsschutz genießt. Sie können einfach den Dienstleistungsvertrag fristgerecht kündigen oder auslaufen lassen. 

In diesem Beitrag

Wissenswertes rund um den externen Datenschutzbeauftragten 

Der externe Datenschutzbeauftragte ist ein externer Dienstleister, der innerhalb eines Unternehmens die Verantwortung für den betrieblichen Datenschutz übertragen bekommt. Im Gegensatz zum internen Datenschutzbeauftragten handelt es sich hierbei also nicht um einen eigenen Mitarbeiter, der entsprechend aus- und fortgebildet wird, sondern um einen außenstehenden Partner. 

Hierbei sollten Sie wissen, dass unter dem Schirmbegriff „externer Datenschutzbeauftragter“ verschiedene Dienstleistungsmodelle zusammengefasst werden, deren Leistungsspektrum deutlich variiert:  

  • Anwaltskanzleien oder IT-Experten mit entsprechender Zusatzqualifikation fungieren häufig als reine Datenschutzberater, die Sie umfassend beraten und unterstützen, dafür allerdings auch hohe Stundensätze berechnen.  
  • Reine Softwareanbieter (SaaS) erfüllen meist nur die gesetzlichen Mindestanforderungen für die formale Benennung eines DSB. Weiterführende Beratung und Unterstützung leisten sie kaum, dafür rechnen sie allerdings verhältnismäßig günstige monatliche Pauschalbeträge ab. 
  • Hybridanbieter wie DataGuard verbinden beide Ansätze. Hier werden Sie durch einen Datenschutzexperten persönlich und softwaregestützt betreut. In der Regel stehen verschiedene Dienstleistungspakete für unterschiedliche Datenschutzanforderungen mit entsprechenden monatlichen Pauschalen zur Wahl. 

Warum benötigen Unternehmen überhaupt einen Datenschutzbeauftragten? 

Sowohl Artikel 37 der Datenschutzgrundverordnung (DS-GVO) als auch Paragraph 38 des Bundesdatenschutzgesetzes (BDSG-neu) legen fest, dass bestimmte Unternehmen rechtlich verpflichtet sind, einen Datenschutzbeauftragten zu benennen. Dazu gehören Unternehmen, die eine dieser drei Bedingungen erfüllen: 

  1. Mindestens 20 Personen befassen sich ständig mit der automatisierten Verarbeitung personenbezogener Daten. 
  2. Die Kerntätigkeit des Unternehmens besteht darin, systematisch mit personenbezogenen Daten zu arbeiten. 
  3. Das Unternehmen verarbeitet besonders sensible personenbezogene Daten – unabhängig vom Umfang. 

Allerdings profitieren nicht nur Unternehmen von Datenschutzbeauftragten, die zur Benennung verpflichtet sind. Denn die allermeisten Unternehmen verarbeiten in irgendeiner Form personenbezogene Daten. Werden diese nicht gesetzeskonform behandelt, drohen hohe Bußgelder, vor denen Sie ein kompetenter Datenschutzbeauftragter bewahrt. 

Für welche Unternehmen bietet sich ein Datenschutzbeauftragter von Extern an? 

Grundsätzlich sollten sich Unternehmen immer dann einen externen Partner suchen, wenn sie sich selbst mit der Aufgabe überfordert fühlen, einen eigenen Mitarbeiter entsprechend auszubilden und zu benennen. Das trifft insbesondere auf kleine Unternehmen, Gemeinschaftspraxen oder Behörden zu. 

Allerdings zahlt es sich auch für die allermeisten anderen Unternehmen aus, sich für einen externen DSB zu entscheiden – insbesondere finanziell. Denn die Ausbildungs-, Weiterbildungs- und Lohnkosten für einen internen Datenschutzbeauftragten übersteigen die Kosten für einen externen DSB in der Regel deutlich. Eine detaillierte Gegenüberstellung der Kosten finden Sie in diesem Artikel . 

Arbeitet ein Unternehmen oder ein Konzern bereits mit einem internen DSB, oder sogar einem ganzen Team aus DSB und Datenschutzkoordinatoren, kann sich ein externer Dienstleister zur Beantwortung ganz bestimmter fachlicher Fragen lohnen und ggf. weiteres relevantes Wissen mitbringen.  

Welche Voraussetzungen muss ein externer Datenschutzbeauftragter erfüllen? 

Die DS-GVO macht keine konkreten Vorgaben dazu, welche Qualifikationen ein Datenschutzbeauftragter mitbringen muss. Allerdings heißt es in Artikel 37, Absatz 5: 

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ 

Diese Fähigkeit kann der DSB über einen Fachkundenachweis belegen. Welche Aufgaben er konkret bewältigen muss, erläutern wir weiter unten. 

Grundsätzlich sollten Sie sich allerdings nicht mit diesen rechtlichen Grundvoraussetzungen begnügen. Einen wirklich guten Datenschutzbeauftragten zeichnet deutlich mehr aus, wie wir im Abschnitt zu den Qualitätsmerkmalen eines externen DSB erläutern. 

Welche Vorteile bietet ein externer Datenschutzbeauftragter? 

 

Externer Datenschutzbeauftragter

Kein Kündigungsschutz 

Interne Datenschutzbeauftragte sind ein Organ des selbstverantwortlichen Datenschutzes und genießen als solches einen umfangreichen Kündigungsschutz – vergleichbar mit Mitgliedern des Betriebsrats. Schon die Abberufung ist nur bei schwerwiegenden Pflichtverstößen möglich und eine Kündigung danach in der Regel nicht möglich, da das gesonderte Kündigungsrecht sogar noch ein Jahr nach Beendigung der Tätigkeit nachwirkt. 

Der externe Datenschutzbeauftragte genießt ein solches Sonderkündigungsrecht nicht. Ihm können Sie im Rahmen der im Dienstleistungsvertrag festgelegten Fristen kündigen oder den Vertrag einfach auslaufen lassen. 

Schonung der internen personellen Ressourcen 

Gerade kleine Unternehmen sind darauf angewiesen, jeden Mitarbeiter komplett projektbezogen einzusetzen. Sie können es sich oft nicht leisten, einen Arbeitnehmer für mehrere Stunden pro Woche für die Arbeit als Datenschutzbeauftragter abzustellen. Ein externer Datenschutzbeauftragter strapaziert Ihre internen Personalressourcen dagegen nicht. 

Akzeptanz 

Die Erfahrung zeigt, dass ein interner Datenschutzbeauftragter häufig auf weniger Akzeptanz im Unternehmen stößt und in seiner neuen Position nicht unbedingt ernstgenommen wird. Das gilt insbesondere, wenn Auskünfte von Vorgesetzten eingeholt werden sollen oder der Datenschutzbeauftragte konkrete Bedenken bezüglich bestimmter Verarbeitungsprozesse mitteilt. Fehlende Kooperationsbereitschaft kann sich dann in zögerlicher oder gar verweigerter Beantwortung der Anfragen des DSB niederschlagen. 

Externe Datenschutzbeauftragte genießen hier als außenstehende, unabhängige Experten in der Regel mehr Vertrauen und Respekt. 

Neutralität 

Der Datenschutzbeauftragte darf im Rahmen seiner Tätigkeit nicht in Interessenskonflikte geraten. Aus diesem Grund darf zum Beispiel der Geschäftsführer nicht gleichzeitig als DSB agieren. Bei internen Datenschutzbeauftragten besteht allerdings generell die Gefahr der Befangenheit, wenn sie sich bei den bekannten Kollegen nicht unbeliebt machen wollen oder Repressalien fürchten. 

Externe Datenschutzbeauftragte dagegen sind eine neutrale Instanz, deren einzige Aufgabe die umfangreiche Gewährleistung des rechtskonformen Datenschutzes darstellt, sodass Interessenkonflikte auszuschließen sind. 

Fachwissen 

Das nötige Fachwissen in Sachen Datenschutz müssen sich interne Datenschutzbeauftragte in zeit- und kostenintensiven Schulungen erst einmal aneignen. Und selbst dann fehlt gerade zu Anfang die Praxiserfahrung und Routine. Der externe DSB dagegen ist zertifizierter Fachexperte und bringt die entsprechende Expertise direkt mit  auch wenn er sich, im Gegensatz zum internen DSB, zunächst mit den betrieblichen Abläufen vertraut machen muss. 

Verfügbarkeit 

Ein interner Datenschutzbeauftragte kann ausfallen – ob durch Krankheit, Urlaub oder dringende betriebliche Erfordernisse. In den wenigsten Unternehmen existiert für solche Fälle ein Vertreter, der genauso umfangreich geschult ist. Gerade wenn spezifische Fristen eingehalten werden müssen (beispielsweise die Meldung einer Datenschutzpanne binnen 72 Stunden), kann das Probleme verursachen. 

Der externe Datenschutzbeauftragte hat dagegen im Idealfall ein ganzes Team im Rücken, sodass jederzeit ein Mitarbeiter als Ansprechpartner bereitsteht. 

 

Guard_newsletter

Weitere Informationen rund um den Datenschutz?

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps, Neuigkeiten, Eventvorschläge und Branchenwissen erhalten Sie über unseren Newsletter:

 

Was kostet ein externer DSB? 

Externe Hybridanbieter wie DataGuard bieten monatliche Paketpreise ab circa 150 Euro an. 

Da unter dem Überbegriff „externer Datenschutzbeauftragter“ aber unterschiedliche Service-Dienstleistungen gefasst werden, variieren die üblichen monatlichen Kosten deutlich. Auch Faktoren wie Mitarbeiterzahl und Branche des Unternehmens wirken sich auf den Preis aus. Entscheidend ist, dass Sie stets nicht nur die absoluten Kosten im Blick behalten, sondern auch die detaillierten Leistungen gegenüberstellen, die externe Partner Ihnen für den Preis bieten. 

Fest steht, dass interne Datenschutzbeauftragte nahezu immer höhere Kosten verursachen, da Aus- sowie Fortbildungskosten anfallen und gleichzeitig ihr Gehaltsanspruch steigt. Ein Datenschutzbeauftragter, der 20 Prozent seiner Arbeitszeit dem Datenschutz widmet, verursacht schnell fünfstellige Kosten pro Jahr. 

Wussten Sie, dass die Kosten für einen externen DSB wesentlich geringer sein können? Bei manchen Anbietern finden Sie eine externe Lösung bereits ab 150 Euro monatlich. Eine exakte Beispielrechnung sowie mehr Informationen zu den verschiedenen Preis- und Leistungsmodellen externer Dienstleister finden Sie in unserem Artikel zum Thema Kosten. 

Wann haftet ein externer DSB? 

Der externe Datenschutzbeauftragte haftet in dem Umfang, der im Dienstleistungsvertrag festgehalten wurde. Dementsprechend übernimmt der externe DSB einen Teil der Haftung und ist entsprechend versichert. So kann er Schäden aus Bußgeldern oder Abmahnungen bezahlen, falls diesen eine mangelhafte Beratung zugrundliegt. 

Begeht der interne DSB Fehler in Sachen Datenschutz, trägt dagegen die Geschäftsführung des Unternehmens die volle Verantwortung. Das ergibt sich aus dem Prinzip der eingeschränkten Arbeitnehmerhaftung. Nur bei grober Fahrlässigkeit kann der interne DSB umfassend in die Haftung genommen werden, hier liegt die Beweispflicht allerdings beim Unternehmen. Das sollte insbesondere vor dem Hintergrund deutlich gestiegener Strafen bei Datenschutzverstößen mit der DS-GVO bedacht werden. 

Bußgelder nach DS-GVO 

Mit Inkrafttreten der DS-GVO sind die Bußgelder gestiegen. Kommt ein Unternehmen der Pflicht zur Benennung eines Datenschutzbeauftragten nicht nach, wird das mit bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes geahndet. Bei schwerwiegenden Datenschutzverstößen können Unternehmen sogar mit Bußgeldern in der doppelten Höhe belangt werden. 

Wie teuer wird eine Datenpanne für Ihr Unternehmen?  

Genau lässt sich das nicht seriös beziffern. Allein der Vertrauensverlust bei Kunden kann ein Unternehmen in die Insolvenz führen. Investitionen in den Datenschutz sind daher ein Muss und lohnen sich mit Sicherheit. Kommt es doch mal zu einer Datenpanne, gibt unser DS-GVO-Bußgeldrechner eine erste Orientierungshilfe. 

Berechnen Sie Ihre zu erwartende Bußgeldhöhe schnell und unkompliziert: 

ZUM DSGVO-BUSSGELDRECHNER

Wie läuft die Zusammenarbeit mit einem externen Partner ab? 

Im Folgenden werden wir Sie Schritt für Schritt durch den Prozess begleiten – von der Suche nach einem Partner über die tägliche Zusammenarbeit bis hin zur Abberufung. 

1. Die Suche: Wie weist der externe Datenschutzbeauftragte seine Kompetenz nach? 

(Branchen-)Erfahrung, nachweisbare Qualifikationen und ein seriöses Preis-Leistungs-Verhältnis zeichnen einen guten externen Datenschutzbeauftragten aus. Zusätzlich sollte er ein automatisiertes Software-Tool mitbringen, das die effiziente Bearbeitung von Prozessen ermöglicht. Nicht zuletzt ist ein interdisziplinäres Team im Hintergrund unerlässlich, um ständige und fachgerechte Beratung zu gewährleisten. 

Sobald Sie sich (online) auf die Suche nach einem externen DSB begeben, werden Sie mit den unterschiedlichsten Angeboten konfrontiert werden. Um den bestmöglichen Partner auswählen zu können, sollten Sie daher nicht nur auf den gesetzlich vorgeschriebenen Fachkundenachweis achten, sondern auch auf die beschriebenen weiteren Qualitätsmerkmale, die den optimalen Partner in Sachen Datenschutz auszeichnen. 

Bei DataGuard kümmern sich über 100 Generalisten und Fachexperten (darunter Juristen, Informatiker, Ingenieure und Betriebswirte) leidenschaftlich um Ihren Datenschutz. Für Monatspreise ab 150 Euro erhalten Sie nicht nur einen externen DSB, der Ihnen jederzeit zur Seite steht, sondern auch umfangreiche Beratung zu sämtlichen Datenschutzanliegen sowie eine Webplattform, mit der wir sämtliche Prozesse digitalisieren und automatisieren.

2. Der VertragWie benennen Sie einen externen DSB? 

Ist ein passender Dienstleister gefunden, müssen Sie ihn benennen. Diese Aufgabe obliegt der Geschäftsführung. Sie setzt eine entsprechende Benennungsurkunde auf und setzt den Partner so offiziell als Datenschutzbeauftragten ein. In diesem Dokument werden zum Beispiel Beginn der Tätigkeit, die Aufgaben des DSB und eine Verschwiegenheitsverpflichtung festgehalten. 

Zusätzlich schließen Sie mit dem externen DSB einen Dienstleistungsvertrag, der die Details Ihres Geschäftsverhältnisses definiert. Hier werden zusätzlich zur Laufzeit und Kündigungsfrist der Dienstleistung auch die vereinbarten Preise, der genaue Aufgabenbereich des DSB und die Voraussetzungen für seine Abberufung und Neubenennung festgehalten. Zudem kann vertraglich geregelt werden, in welchen Abständen der DSB die Geschäftsführung über den Verlauf seiner Arbeit unterrichtet und Änderungsvorschläge anbringt. 

3. Die KooperationWie gewährleistet ein externer Berater optimalen Datenschutz? 

Die Aufgaben des Datenschutzbeauftragten regelt Artikel 39 der DS-GVO: 

  • Er unterrichtet und berät den oder die Verantwortlichen sowie die Beschäftigten, die mit der Datenverarbeitung betraut sind, im Hinblick auf ihre Pflichten, die sich aus der DS-GVO sowie dem Bundesdatenschutzgesetz (BDSG) ergeben. 
  • Darüber hinaus koordiniert er sämtliche Datenschutzaktivitäten, in der Regel mit der Hilfe eines Datenschutzmanagementsystems. 
  • Er überwacht die Strategien (und deren Erfolg) zur Einhaltung sämtlicher datenschutzrechtlicher Vorgaben. Dazu gehören die Zuweisung von Zuständigkeit sowie Sensibilisierung und Schulung der datenverarbeitenden Mitarbeiter. 
  • Auf Anfrage berät er den oder die Verantwortliche/n in Bezug auf die Datenschutz-Folgenabschätzung und deren Durchführung. 
  • Er arbeitet mit der Aufsichtsbehörde zusammen und agiert als deren Anlaufstelle im Rahmen von Fragen, die mit der Datenverarbeitung zusammenhängen. 

Der externe Datenschutzbeauftragte beginnt seine Tätigkeit mit einer Erstbegehung des Unternehmens sowie eines Audits der bestehenden relevanten Prozesse zur Datenverarbeitung. Darüber hinaus stellt der DSB regelmäßig verschiedene Unterlagen aus: 

  • eine Executive Summary für die Entscheider im Unternehmen 
  • einen Maßnahmenplan, der die Umsetzung der Datenschutzrichtlinien spezifiziert 
  • einen jährlichen Tätigkeitsbericht 
  • diverse Vorlagen, mit deren Hilfe alltägliche Datenverarbeitungs-Prozesse erleichtert werden 

4. Das Ende der ZusammenarbeitWie wird ein externer Datenschutzberater abberufen? 

Möchten Sie die Position des Datenschutzbeauftragten neu besetzen, müssen Sie den aktuellen DSB zunächst abberufen. Beim internen Datenschutzbeauftragten ist das nicht ohne Weiteres möglich, sondern nur wenn schwerwiegende Gründe vorliegen. Aber selbst, wenn eine Abberufung möglich ist, genießt der Mitarbeiter Kündigungsschutz und muss an anderer Stelle im Unternehmen weiterbeschäftigt werden. 

Beim externen Datenschutzbeauftragten gestaltet sich das wesentlich einfacher. Ihm können Sie unter Einhaltung der im Dienstleistungsvertrag festgelegten Fristen kündigen oder den Vertrag einfach auslaufen lassen. 

Wichtig: Position nicht unbesetzt lassen 

Falls Sie rechtlich zur Benennung eines Datenschutzbeauftragten verpflichtet sind, muss die Position auch ununterbrochen besetzt sein. Falls Sie Ihren Datenschutzbeauftragten also abberufen möchten, sollten Sie sich vorher bereits um einen Nachfolger kümmern. Dessen Namen sowie die Abberufung seines Vorgängers sollten Sie der Aufsichtsbehörde dann umgehend mitteilen. 

Fazit 

Egal, ob Sie rechtlich zur Benennung eines Datenschutzbeauftragten verpflichtet sind oder nicht – die Kooperation mit einem externen Datenschutzexperten iBst in den allermeisten Fällen eine gute Entscheidung. Umfangreiche Expertise, Neutralität, Haftungsübernahmen und der Kostenfaktor sprechen allesamt für diese Lösung. 

Achten Sie bei der Suche nicht nur auf die Erfüllung der rechtlichen Mindeststandards, sondern legen Sie Wert auf Praxiserfahrung, transparente Preise, ein interdisziplinäres Team im Hintergrund sowie ein hilfreiches Software-Tool, das der externe DSB selbst mitbringen sollte. 

In der Zusammenarbeit sind Sie außerdem vollkommen flexibel: Der externe DSB ist schnell benannt und auch wieder abberufen, da Sie hier keinen Kündigungsschutz berücksichtigen müssen. 

 

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenloses Erstgespräch vereinbaren

Zurück zum Seitenanfang

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.