Kann ein externer Datenschutzbeauftragter benannt werden und welches sind die Vor- und Nachteile?

Der externe Datenschutzbeauftragte

Eine Benennung von externen Datenschutzbeauftragten ist zulässig. Der Datenschutzbeauftragte kann seine Aufgaben auch auf Grundlage eines Dienstleistungsvertrages erfüllen dies ergibt sich aus Art. 37 Abs. 6 DSGVO. Der externe Datenschutzbeauftragte wird somit regelmäßig aufgrund eines Dienstleistungsvertrages tätig.

Haftung des externen Datenschutzbeauftragten

Auch durch das Benennen eines externen Datenschutzbeauftragten lässt sich die Haftung des Verantwortlichen nicht auf diesen „auslagern“. Dennoch sind auch hier wie beim internen Datenschutzbeauftragten Konstellationen denkbar, bei denen es zu einer Durchgriffshaftung bzw. zu einem Regress im Innenverhältnis kommen kann. Externen Datenschutzbeauftragten kommt mangels Beschäftigungsverhältnis mit der verantwortlichen Stelle bzw. Auftragsverarbeiter eine arbeitsrechtliche Haftungsprivilegierung nicht zu Gute. Hier stellt sich die Frage inwieweit ein Verantwortlicher seinen externen Datenschutzbeauftragten in Regress nehmen kann. Zunächst müsste der externe Datenschutzbeauftragte auch entsprechend dem Unternehmensrisiko versichert sein und der Versicherungsschutz auch greifen. Soweit ein Versicherungsschutz nicht greift wird bei einer Privatperson kaum ein höherer Schadensbetrag in Millionenhöhe vollstreckbar sein.

Anmerkung: Daher ist es wichtig im Rahmen einer Risiko-Folgen Abwägung sich über die Höhe des potentiellen Risikos bewusst zu werden und zumindest zu versuchen diesen zu versichern.

Externer Datenschutzbeauftragter vs interner Datenschutzbeauftragter

Es besteht die Möglichkeit sowohl einen internen als auch einen externen Datenschutzbeauftragten zu benennen, vgl. Art. 37 Abs. 6 DSGVO. Beide Alternativen bergen Vor- und Nachteile.

Interner Datenschutzbeauftragte

Ein Vorteil ist, dass ein interner Datenschutzbeauftragter das Unternehmen bereits sehr genau kennt, regelmäßig vor Ort ist und kontinuierlich an der Implementierung und Evaluierung von datenschutzfreundlichen Arbeitsabläufen mitwirken kann.

Auch wenn der interne Datenschutzbeauftragte besonderen Kündigungsschutz genießt - sofern eine Benennungspflicht besteht (§ 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG), gestaltet sich im Arbeitsverhältnis eine Beratung auf Augenhöhe zwischen Angestellten und Vorgesetzten häufig als schwierig. Ein weiterer Nachteil ist, dass bei einem internen Datenschutzbeauftragen die verantwortliche Stelle selbst für eine Vertretung sorgen muss. Denn bei einem internen Datenschutzbeauftragten muss – für den Fall, dass dieser abwesend ist, eine Vertretung sichergestellt werden. Auch bei längerer Abwesenheit des internen Datenschutzbeauftragten muss der Verantwortliche den Datenschutz im Betrieb gewährleisten und Anfragen von Betroffenen bearbeiten können. D.h. ein Stellvertreter muss entsprechend eingearbeitet werden. Alternativ kann für den Vertretungszeitraum auf einen externen Datenschutzbeauftragten ausgewichen werden. Auch die interne Stellvertretung des Datenschutzbeauftragten genießt, soweit eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht, besonderen Kündigungsschutz.

Externer Datenschutzbeauftragte

Ein Vorteil eines externen Datenschutzbeauftragten ist, dass dieser aus der Sicht eines Außenstehenden Arbeitsabläufe einschätzen und bewerten kann. Ein externer Datenschutzbeauftragter hinterfragt Prozesse viel unvoreingenommener auch wenn z.B. der Einwand kommt „das haben wir schon immer so gemacht“. Ein weiterer Vorteil ist, dass eine Beratung auf Augenhöhe eher möglich ist, da ein typisches Abhängigkeitsverhältnis aus einem Arbeitsverhältnis fehlt. Der externe Datenschutzbeauftragte wird aufgrund eines Vertrages tätig, welcher regelmäßig nur auf eine bestimmte Laufzeit gerichtet ist. Ein Nachteil bei einem externen Datenschutzbeauftragten ist, dass dieser die Abläufe im Betrieb nicht so gut kennt wie ein Beschäftigter und auch nicht regelmäßig vor Ort im Betrieb ist. D.h. der Kommunikationsaufwand ist bei einem externen Datenschutzbeauftragten höher.

Praxistipp: Bei der Auswahl eines externen Datenschutzbeauftragten, sollte darauf geachtet werden, dass dieser neben einer regelmäßigen Beratung sich auch die Arbeitsabläufe in bestimmten Abständen vor Ort ansehen kann. Denn gerade bei der Implementierung neuer Prozesse oder der Prüfung der Umsetzung von Maßnahmen und Empfehlungen schleichen sich gerne Schwachstellen ein.

Die Kosten eines externen Datenschutzbeauftragten 

Hier kann keine feste Angabe gemacht werden, da das Honorar des externen Datenschutzbeauftragten von vielen Kriterien abhängt - ähnlich wie bei einem internen Datenschutzbeauftragten zählen hierzu (branchenspezifische) Kenntnisse, besondere Qualifikationen etc. und letztlich bestimmt auch Angebot und Nachfrage den Marktpreis.

Die Voraussetzungen/Qualifikationen eines externen Datenschutzbeauftragten

Gem. Art. 37 Abs. 5 DSGVO werden Datenschutzbeauftragte auf Grundlage

  • berufliche Qualifikation
  • Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
  • die Fähigkeit zur Erfüllung der Aufgaben nach Art. 39 DSGVO

D.h. der Datenschutzbeauftragte muss nachweisliche über Kenntnis im Bereich des Datenschutzes und der sich thematisch anschließenden Gesetze sowie Know-how bzgl. der technisch –organisatorischen Maßnahmen verfügen. Zudem darf sich der DSB in keiner Interessenkollision befinden.

Form der Benennung des Datenschutzbeauftragten

Da die DSGVO und das BDSG lediglich von einer Benennung des Datenschutzbeauftragten sprechen ist keine Schriftform notwendig. Aus Beweisgründen und Dokumentationsgründen sowie zur Schaffung einer Rechtsklarheit ist eine schriftliche Benennung eines Datenschutzbeauftragten dennoch empfehlenswert.

Bekanntgabe des Datenschutzbeauftragten

Verantwortliche und Auftragsverarbeiter müssen die Kontaktdaten ihres Datenschutzbeauftragten:

  1. veröffentlichen (z.B. auf der Firmen-Website) und
  2. diese der zuständigen Aufsichtsbehörde mitteilen, Art. 37 Abs. 7 DSGVO.

Anmerkung: Es wird in der DSGVO nach dem Wortlaut zwischen Namensnennung und Nennung der Kontaktdaten unterschieden. Für das Verarbeitungsverzeichnis ergibt sich z.B. eine explizite Pflicht der namentlichen Benennung des Datenschutzbeauftragten aus Art. 30 Abs. 1 a DSGVO.