Datenschutzbeauftragter

Datenschutzbeauftragter: Aufgaben, Ausbildung und Kosten für Unternehmen

In Zeiten der Digitalisierung und der Verbreitung des Onlinehandels arbeitet nahezu jedes Unternehmen mit personenbezogenen Daten und ein Datenschutzbeauftragter wird für viele Firmen immer wichtiger.

Durch Webseiten, Newsletter, Kundenbestellungen und –bearbeitungen, aber auch durch Arbeitsverträge werden diese Daten erhoben, verarbeitet und vom Unternehmen genutzt.

Datenschutz im Onlinehandel

Ab wann ist die Benennung eines Datenschutzbeauftragten im Unternehmen Pflicht?

Im Deutschen Bundesdatenschutzgesetz (BDSG) ist geregelt, dass ein Datenschutzbeauftragter bestellt werden muss, wenn:

  • mindestens 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, wie zum Beispiel im Zuge der Verarbeitung von Kundendaten, Erstellung von Gehaltsabrechnungen oder Bearbeitung von Bewerbungen

    oder

  • wenn Ihr Unternehmen oder ein Auftragsdatenverarbeiter Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen

    oder

  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Wichtig ist hierbei nicht die tatsächliche Anzahl der Angestellten, sondern die Anzahl der Personen, die tatsächlich im Unternehmen mitwirken. So werden also Freiberufler, Geschäftsführer und Auszubildende ebenfalls hinzugezählt. Teilzeitkräfte werden voll berücksichtigt.

Jedes Unternehmen muss spätestens nach einem Monat der Aufnahme seiner Tätigkeit einen Datenschutzbeauftragten bestellen, andernfalls liegt eine Ordnungswidrigkeit vor, die mit einem Bußgeld von bis zu 10.000.000,00 € bzw. mit bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden kann.

Ein Datenschutzbeauftragter muss nicht bestellt werden, wenn weniger als 10 Mitarbeiter bei der ständigen Datenverarbeitung mitwirken. Hier muss die Geschäftsführung aber natürlich trotzdem dafür Sorge tragen, dass mit den Daten korrekt umgegangen und die europäische Datenschutzgrundverordnung eingehalten werden.

Welche Qualifikation benötigt ein betrieblicher Datenschutzbeauftragter?

Die Hauptaufgabe eines Datenschutzbeauftragten ist die Überwachung des Datenschutzniveaus innerhalb eines Unternehmens. Grundsätzlich kann ein betrieblicher Datenschutzbeauftragter intern, in Form eines Mitarbeiters oder als externer Dienstleister von einem Unternehmen bestellt werden.

Er wird zur Beratung und Unterstützung in Datenschutzfragen hinzugezogen und besitzt damit eine Stabstellenfunktion. Diese Stelle kann nur einmalig besetzt werden und es muss eine natürliche Person sein.

Der Datenschutzbeauftragte muss wesentliche Anforderungen erfüllen:

  • Fachliche Eignung: Es muss ein weitreichendes Interesse und Verständnis für die Thematik vorhanden sein. Fachkunde ist im betrieblichen Datenschutz eine wichtige Voraussetzung.

  • Einblick in fachbereichsübergreifende Prozesse: Der Datenschutzbeauftragte muss die Prozesse im Unternehmen genau kennen, um zu identifizieren, an welchen Stellen mit sensiblen Daten gearbeitet wird und Prozesse zu verbessern bzw. zu implementieren sind.

  • Ausreichende Kommunikationsfähigkeiten: Der Datenschutzbeauftragte muss Lösungsansätze in der Datenverarbeitung innerhalb verschiedener Bereiche im Unternehmen äußern und logisch begründen können.

Ein Datenschutzbeauftragter ist unabhängig, weisungsfrei und folgt dem Gesetz. Den Expertenstatus muss ein Datenschutzbeauftragter durch Qualifikationen und Fortbildungen nachweisen können.

Die Aufsichtsbehörden können dies überprüfen und die Eignung feststellen. Des Weiteren muss der Datenschutzbeauftragte die betrieblichen Prozesse kennen, verstehen und sich loyal gegenüber dem Unternehmen und seinem Aufgabenbereich verhalten.

Der Datenschutzbeauftragte nimmt eine beratende und unterstützende Funktion im Unternehmen ein und darf daher in keinem Interessenskonflikt stehen.

So ist es ausgeschlossen, dass beispielsweise ein Geschäftsführer, der Leiter der IT-Abteilung, der Steuerberater oder Wirtschaftsprüfer zum Datenschutzbeauftragten ernannt wird, da diese Personen ein direktes Interesse am Unternehmen haben.

  • Wichtig: Ein Datenschutzbeauftragter ist unabhängig, weisungsfrei, qualifiziert und kontrolliert das Datenschutzniveau.

Datenschutzbeauftragter: Aufgaben im Unternehmen

Die Kernaufgabe des Datenschutzbeauftragten ist die Überwachung und Analyse des Umgangs mit personenbezogenen Daten in einem Unternehmen. So sollen Datenschutzverstöße bereits im Vorfeld erkannt und vermieden werden.

Hierzu macht er der Leitung und auch den einzelnen Abteilungen Vorschläge, wie man Datenschutzprozesse implementieren und verbessern kann.

Er selbst hat keinerlei Einfluss auf Entscheidungen, er fungiert einzig und allein als Berater und ist der Geschäftsführung unterstellt.

Dennoch trägt der Datenschutzbeauftragte große Verantwortung im Unternehmen und muss sicherstellen, dass die komplexe Gesetzeslage eingehalten wird.

Hierzu muss er stets auf dem aktuellsten Stand der Gerichtsentscheidungen sein und nicht nur die Datenschutzgesetze ausführlich kennen, sondern auch bereichsspezifische Spezialnormen und andere Vereinbarungen, wie zum Beispiel mit Arbeitnehmervertretungen.

Datenschutzbeauftragter Tätigkeitsbereiche

Sein Aufgabenbereich ist vielfältig und zieht sich durch das ganze Unternehmen, von der Personalabteilung übers Controlling und der Finanzbuchhaltung bis hin zum Marketing und Vertrieb.

Folgende Aufgaben obliegen dem Datenschutzbeauftragten:

  • Gutachten erstellen

  • Verträge mit externen Dienstleistern prüfen

  • Erteilung von Auskünften

  • Kommunikation mit Behörden

  • Datensicherungsmaßnahmen innerhalb des Unternehmens kontrollieren

  • Datenverarbeitung von Aufträgen überprüfen

  • Protokolldaten untersuchen

  • Rechtmäßigkeit der Profilbildung beurteilen

  • Datennutzung im Marketing überwachen

  • Übermittlung von Daten in Drittstaaten kontrollieren

  • Zulässigkeit der Videoüberwachung in öffentlichen Räumen checken

Wie sieht es mit dem Kündigungsschutz beim Datenschutzbeauftragten aus?

Interner Datenschutzbeauftragter

Seit 2009 gibt es einen Kündigungsschutz für interne Datenschutzbeauftragte. Das bedeutet konkret, dass eine Kündigung nur aus wichtigem Grund zulässig ist und der interne Datenschutzbeauftragte einen nachwirkenden Kündigungsschutz von einem Jahr genießt.

Dies bedeutet im Klartext, dass ein Unternehmen einen ehemaligen internen Datenschutzbeauftragten erst ein Jahr nach dessen Abberufung kündigen kann.

Externer Datenschutzbeauftragter

Externe Datenschutzbeauftragte werden in der Regel im Rahmen eines Dienstleistungsvertrags tätig und sind nicht im Unternehmen angestellt. Sie sind damit vom Kündigungsschutz ausgeschlossen.

Sie unterliegen dem Bürgerlichen Gesetzbuch, wonach bei Vertrauensstellungen, denen kein Arbeitsverhältnis zugrunde liegt, jederzeit eine Kündigung durch den Arbeitgeber möglich wäre.

Verträge mit externen Datenschutzbeauftragten sollten deshalb eine bestimmte Mindestlaufzeit aufweisen.

Schulung bzw. Ausbildung von betrieblichen Datenschutzbeauftragten

Eine offizielle Berufsausbildung oder einen Studiengang zum Datenschutzbeauftragten gibt es momentan leider nicht. Da das Thema Datenschutz immer mehr an Bedeutung gewinnt und fast alle Unternehmen mittlerweile dazu verpflichtet sind, sich dieser Thematik zu widmen, existieren zahlreiche Weiterbildungsangebote.

So können sowohl Einsteiger als auch Fortgeschrittene die für sie notwendige Qualifikation erreichen.

Datenschutzbeauftragter Ausbildung

Der TÜV, die Dekra und auch die IHK bieten inzwischen geeignete Seminarreihen an, in denen sich Interessierte innerhalb nur einer Woche notwendige Fachkenntnisse zum Thema Datenschutz aneignen können.

Nach dem erfolgreichen Abschluss der Seminarreihe sind Teilnehmer zertifizierte Datenschutzbeauftragte gemäß dem Datenschutzgesetz.

Die Seminarreihe ist geeignet für Personen, die sich in das Themengebiet des betrieblichen Datenschutzes einarbeiten möchten. Es werden Grundkenntnisse erworben und vertieft.

Folgende Themen werden im Seminar bearbeitet:

  • Praktische Umsetzung des Datenschutzes nach BDSG und DSGVO

  • Datensicherheit und Datenschutz

  • Beschäftigtendaten und Datenschutz

  • Kundendaten und Datenschutz

Die Intensiv-Seminarreihe erstreckt sich über 5 Tage und kostet ca. 2.050,00€.

Wer ernennt einen Datenschutzbeauftragten und was ist dabei zu beachten?

Die Geschäftsleitung bzw. eine Führungskraft mit Prokura ernennt den Datenschutzbeauftragten.

Allerdings sind im Rahmen der Bestellung des Datenschutzbeauftragten zahlreiche Formalitäten einzuhalten, damit sie wirksam bleibt:

  • Die Bestellung muss schriftlich erfolgen

  • Eine Unterschrift der Bestellurkunde muss von beiden Parteien unterzeichnet werden

  • Die Bestellung muss außerhalb eines bestehenden Vertrags erfolgen

  • Die Bestellung muss eine konkrete Beschreibung der Aufgaben enthalten, die Aufschluss über die organisatorische Stellung bietet und dem Datenschutzbeauftragten personelle und materielle Unterstützung zusichert

Die Form muss deshalb dringend eingehalten werden, damit allen Beteiligten die Notwendigkeit und Bedeutung des Amts dargestellt werden kann.

Immerhin trägt der Datenschutzbeauftragte eine erhebliche Verantwortung für das Unternehmen.

Tipp:

Ein externer Datenschutzbeauftragter kann bei der Einführung des betrieblichen Datenschutzes und der Ernennung eines Datenschutzbeauftragten eine enorme Stütze sein. Ein externer Datenschutzbeauftragter ist im Normalfall nicht nur günstiger, sondern entlastet das Unternehmen, da der Datenschutz seine Kernkompetenz darstellt.

Wie viel kostet ein betrieblicher Datenschutzbeauftragter?

Bei der Frage, ob ein interner Datenschutzbeauftragter bestellt werden soll, lohnt es sich vorher eine Kostenkalkulation aufzustellen, welche Kosten in diesem Fall anfallen würden.

Oftmals werden in solchen Kalkulationen Posten wie Zeitaufwände, Aus- und Weiterbildung, Reisekosten oder auch personelle Unterstützung außer Acht gelassen.

Wenn man all diese Kosten miteinkalkuliert, kommt man auf eine ungefähre Schätzung, was ein betrieblicher Datenschutzbeauftragter kosten kann.

Kosten eines internen Datenschutzbeauftragten in Vollzeit pro Jahr:

PostenBetrag
Gehalt40.000,- €
Aus- und Weiterbildung2.050,- €
Reisekosten u. Verpflegung500,- €
Personelle Unterstützung1.000,- €
Gesamtkosten im Jahr43.550,- €

Kosten eines internen Datenschutzbeauftragten in Teilzeit pro Jahr:

PostenBetrag
Kalkulatorisches Gehalt bei einer Auslastung von 20%8.000,- €
Aus- und Weiterbildung2.050,- €
Reisekosten u. Verpflegung500,- €
Personelle Unterstützung1.000,- €
Gesamtkosten im Jahr11.550,- €

Wie viel kostet ein externer Datenschutzbeauftragter?

Die Kosten für einen externen Datenschutzbeauftragten richten sich insbesondere nach der Anzahl der Mitarbeiter, die in Ihrem Betrieb mit personenbezogenen Daten arbeiten.

  • Nehmen wir an, es geht um einen Handwerksbetrieb mit 10 Mitarbeitern, bei dem die Kerndienstleistungen klar abgegrenzt sind. In diesem Fall können Sie bei unserem Angebot mit pauschal 100,00 € pro Monat für einen Datenschutzbeauftragten rechnen.

  • Handelt es um ein mittelständisches Unternehmen mit einer komplexeren Dienstleistungsstruktur, dann können Sie bei uns pauschal 230,00 € pro Monat einrechnen.

Nur sehr wenige Anbieter arbeiten in diesem Bereich mit einer Pauschale. Die meisten staffeln die Preise nach dem Umfang ihrer Tätigkeiten und den Leistungen.

Bei unserem Angebot handelt es sich um einen fixen Pauschalpreis, der nicht nur auf bestimmte Tätigkeiten begrenzt ist, sondern sämtliche Arbeiten beinhaltet, die im Datenschutzbereich anfallen können. Das gibt Ihnen die Möglichkeit die Kosten unter Kontrolle zu haben und den Überblick zu behalten.

Warum eignet sich ein externer Datenschutzbeauftragter meist besser für Unternehmen?

Die Aufgabenreiche eines internen und eines externen Datenschutzbeauftragten sind komplett identisch. Was einen externen Datenschutzbeauftragten für Unternehmen aber oftmals attraktiver macht, ist die Tatsache, dass er preiswerter und unabhängiger ist.

Zudem bringt der externe Datenschutzbeauftragte noch viele weitere Vorteile mit sich:

  • Der externe Datenschutzbeauftragte bietet eine bessere Haftung und Absicherung, weil für ihn nicht die „betriebliche Veranlassung“ gilt.

  • Er bietet eine transparentere Kostenstruktur aufgrund des gesonderten Dienstleistungsvertrages über Aufgabenbereiche, Verantwortlichkeiten und Kostenpunkte.

  • Da ein externer Datenschutzbeauftragter aufgrund des Wettbewerbes immer auf dem neuesten Stand der Dinge bleiben muss, kommt er für Weiterbildungskosten selbst auf, wohingegen das Unternehmen diese beim internen Datenschutzbeauftragen selbst tragen muss.

  • Da ein externer Datenschutzbeauftragter in der Regel viele externe Kunden hat, verfügt er über ein weitreichendes und bereichsübergreifendes Fachwissen, das er in seine Arbeit einfließen lassen kann.

  • Der externe Datenschutzbeauftragte ist nicht mit dem Unternehmen verbunden, daher kann es nicht zu Interessenskonflikten mit anderen Abteilungen kommen.