Archives Januar 2019

Externer Datenschutzbeauftragter die bessere Lösung?

Ein Datenschutzbeauftragter kann als interner oder als externer Datenschutzbeauftrgater beauftragt werden, es gibt eine Reihe von Punkten, die abgewogen werden müssen, bei der Entscheidung ob ein interner oder ein externer DSB die bessere Wahl ist. Dabei gilt es ökonomische, administrative, und inhaltliche Punkte bei der Bestellung abzuwägen.

Dabei ist die Frage der gebundenen Arbeitszeit durch die Aufgaben des Datenschutzbeauftragten im Tagesgeschäft aber auch für der Aufbaus einer entsprechenden Qualifikation und auch die laufende Weiterbildung aus ökonomischer Sicht wie auch aus administrativer Sicht entscheidend, denn ein Mitarbeiter der mit umfangreichen zusätzlichen Aufgaben betraut wird und der in einem zusätzlichen Aufagbenfeld weitergebildet werden muß, fällt für das betriebliche Kerngeschäft zumindest für einen bestimmten Teil seiner verfügbaren Arbeitszeit aus. Zudem fallen Lehrgangs. und Lehrmitelkosten an. Eine entspreched geeignete Vertretungslöung muß bereitgehalten werden, damit bei Urlaub oder krankheitsbedingtem Ausfal,l der Datenschutz gewährleistet werden kann. Zudem steht ein interner Datenschutzbeauftragter in einer zusätzlichen, besonders abzusichernden Haftung, die durch ein geeignete Versicherung abzusichern ist. Nicht zuletzt spielt auch die arbeitsrechtliche Seite eine erhebliche Rolle bei dieser Entscheidung, ein interner Datenschutzbeauftragter steht unter einem besondern Kündigungsschutz der eine Kündigung während der Bestellung bis zu einem Jahr nach der Bestellung ausschließt. Ein Datenschutzbeauftragter darf weder der Geschäftsleitung noch der Ebene der Abteilungsleiter angehören, muß aber auf Augenhöhe mit der Geschäftsleitung kommunizieren , denn in seiner Eigenschaft als DSB ist der entsprechende Mitarbeiter weisungsfrei und untersteht hier nur dem Gesetz nicht aber der Geschäftsleitung.

Es gibt also ein Reihe von Abwägungsgründen, die bedacht werden müssen bei der Entscheidung für einen internen oder externen DSB.

Oft ist ist es aus den genannten Gründen sinnvoller und erheblich wirtschftlicher einen externen DSB zu bestellen, da dieser zum Einen kostengünstiger und kompetenter ist, durch die tägliche Praxis und die Bestellung zum Anderen adminstrativ nicht zu Einschränkungen in der betrieblichen Kapazität führt bzw. er unabhhängig von der Unternehrmensstruktur aufgestellt ist

Schulung

Die Einhaltung von datenschutzrechtlichen Bestimmungen hängt im Wesentlichen von einer ausreichenden Sensibilisierung der Mitarbeiter ab. Schulungen zum Thema Datenschutz sind hier das geeignete Mittel dieses zu erreichen. Die Datenschutzrisiken werden hierdurch in erheblichem Maße reduziert. Schulungen stärken insbesondere das Problembewuss-tsein der Mitarbeiter, für Fragestellungen zum Thema Datenschutz. Die Datenschutz-Grundverordnung schreibt die Überwachung der Sensibili-sierung und Schulung von Mitarbeitern als Aufgabe des Datenschutzbe-auftragten vor. Sie ist fester Bestandteil des Datenschutz-konzepts.

Mitarbeiterschulungen beinhalten folgende Schwerpunkte:

  • Grundsätze des Datenschutzes
  • Rechtlicher Rahmen und wesentliche Begriffe des Datenschutzes
  • Grundlagen der Datenverarbeitung
  • Betroffenenrechte
  • Verhalten bei Datenschutzverletzungen und Verstößen
  • Hinweise zu den technischen und organisatorischen Maßnahmen / zur Datensicherheit
  • Hinweise zum datenschutzgerechten Einsatz mobiler Geräte
  • Hinweise zur Datenschutzrichtlinie im Unternehmen

Was müssen Sie wissen?

Gemäß Art. 37 Abs. 1 DSGVO ist unter bestimmten Voraussetzungen ein Datenschutzbeauftragter für die Praxis oder Unternehmen zu benennen. Ein Datenschutzbeauftragter muss bestellt werden, wenn regelmäßig zehn Personen oder mehr in der Firma oder Praxis mit Datenverarbeitung beschäftigt sind (vgl. § 38 Abs. 1 BDSG). Dabei wird schon der reine, nicht nur gelegentliche Zugang zu personenbezogenen Daten als ausreichend angesehen. Ein Anstellungsverhältnis ist nicht notwendig und auch eine urlaubs- oder krankheitsbedingte Abwesenheit lässt die Regelmäßigkeit nicht entfallen. Ebenso ist auch dem Praxis- oder Firmeninhaber selbst zu den zehn datenverarbeitenden Personen zu rechnen.

Art. 37 Abs. 1 DSGVO bestimmt zudem, dass ein Datenschutzbeauftragter auch bei geringerer Beschäftigtenzahl zu bestellen ist, wenn die Kerntätigkeit des Verantwortlichen in Verarbeitungsvorgängen liegt, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten besteht. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO unterliegen, haben sie ebenfalls unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.

Die Benennung der Person des Datenschutzbeauftragten ist dann auf Basis der beruflichen Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie der Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben (Art. 37 Abs. 5 DSGVO) vorzunehmen. Die DSGVO (Art. 38 Abs. 6 Satz 2) verbietet wie das BDSG Interessenkonflikte, sodass also weder der Praxis – oder Firmeninhaber selbst noch ein für die Datenverarbeitung verantwortlicher Mitarbeiter Datenschutzbeauftragter sein kann.

Selbst wenn geeignete Mitarbeiter in der Praxis für diese Aufgabe vorhanden sein sollten, ist vor einer Berufung zu bedenken, dass der Beauftragte bei Ausübung seiner Tätigkeit gem. § 4f Abs. 3 Satz 2 BDSG weisungsfrei ist und zur Sicherstellung der Weisungsfreiheit und Unabhängigkeit ein „interner“ Datenschutzbeauftragter einen besonderen Kündigungsschutz genießt. Der Externe Datenschutzbeauftragte ist oftmals die bessere Wahl, da dieser täglich mit dem Thema Datenschutz beschäftigt ist und sich schon aus diesem Grund immer Fortbilden muss.

Egal ob „extern“ oder „intern“ bestellt, hat der Datenschutzbeauftragte gem. § 4g BDSG im Rahmen seiner Tätigkeit auf die Einhaltung des Datenschutzes „hinzuwirken“. Er ist dabei nicht für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich, hat also die Compliance des Unternehmens nicht selbst sicherzustellen. Datenschutz bleibt immer „Chefsache“. Die Aufgabe des Datenschutzbeauftragten ist vielmehr die Beratung der Praxis, die Sensibilisierung von Mitarbeitern durch Schulungen sowie die Unterstützung bei der datenschutzkonformen Umsetzung von Projekten. Damit er auf Rechtsverstöße oder drohende Risiken hinweisen kann, ist er in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen frühzeitig einzubinden und durch den Praxisinhaber bei der Aufgabenerfüllung zu unterstützen. Ihm sind die zur Aufgabenwahrnehmung notwendigen Ressourcen und Fortbildungen genauso zu eröffnen wie der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen. Bedarf die Aufsichtsbehörde einer Anlaufstelle sowie einer internen Stelle für eine ggf. notwendige Zusammenarbeit, ist dafür der Datenschutzbeauftragte zuständig.

Machen Sie den Selbstcheck Klicken Sie HIER

Erste Hilfe

Wenn Sie plötzlich Post von der Landesdatenschutzbehörde bekommen, müssen Sie handeln.

Kontaktieren sie uns im Notfall gerne, auch am Wochenende sind wir unter unserer Notfall Hotline rund um die Uhr für sie erreichbar +49 4977 938 940 04


Nun heißt es, jedoch das Richtige zu tun. Als externer Datenschutzbeauftragter haben wir Erfahrung im Umgang mit den Datenschutzbehörden und können hier proffessionelle Hilfe leisten.

Lassen Sie es nicht zu einem Bußgeld wenden sie sich gerne an uns und nutzen sie unsere Kompetenz.