Ich möchte Ihnen hier kurz die Arbeit als externer Datenschutzbeauftragter vorstellen. Ob Sie einen Datenschutzbeauftragten bestellen müssen hängt von der Größe Ihrer Organisation und den Daten, die Sie verarbeiten, ab. Natürlich berate ich Sie auch dazu. Näheres darüber, wie ich für Sie tätig werden kann, finden Sie unter dem Punkt „Preise und Konditionen“.

Der externe oder auch interne Datenschutzbeauftragte (DSB) in einem Unternehmen ist niemand, der etwas verbieten oder anordnen kann. Vielmehr handelt es sich um eine Beratungsstelle der Geschäftsführung. Und am Ende trifft die Geschäftsführung auch die Entscheidungen und ist dafür verantwortlich. Der DSB selbst ist nur in soweit verantwortlich, dass er die Geschäftsführung richtig beraten und seine Aufgaben vollständig erfüllt hat. Dabei sollte gerade der externe Datenschutzbeauftragte stets lösungsorientiert arbeiten. Es geht im Datenschutz darum datenschutzkonforme Wege für betrieblich notwendige Prozesse zu finden, die diese Prozesse so wenig wie möglich beeinträchtigen. Es geht im Datenschutz nicht darum mit dem Datenschutz als Argument die betrieblichen Prozesse zum Stillstand zu bringen.

Der Datenschutzbeauftragte informiert die Geschäftsführung über die allgemeinen Regelungen und Veränderungen im Datenschutz und über die Ausführungen der Aufsichtsbehörden zur Umsetzung des Datenschutzes in Unternehmen. Hier ist es sehr wichtig, dass der DSB stets aktuell informiert ist und sich stetig weiterbildet.

Der DSB analysiert alle Prozesse einer Organisation, in welchen personenbezogene Daten verarbeitet werden. Hierbei untersucht der DSB insbesondere die Rechtsgrundlage für die Verarbeitung. Dieser Teil wird oftmals unterschätzt, ist aber in der Praxis sehr komplex. Oftmals sind gesetzliche Regelungen nicht auf den ersten Blick zu erkennen oder verstecken sich in den verschiedensten Gesetzen, Verordnungen und Satzungen. Nicht selten gibt es auch Vereinbarungen der Spitzenverbände mit öffentlichen Trägern, in denen bestimmte Regelungen getroffen werden, die datenschutzrelevant sind. Der Datenschutzbeauftragte findet also heraus, welche personenbezogenen Daten für welchen Zweck erhoben, verarbeitet und wie lange aufbewahrt werden dürfen. Auf dieser Basis gibt der DSB Empfehlungen zur Umsetzung des Datenschutzes in den verschiedenen Prozessen an die Geschäftsführung.

Der Datenschutzbeauftragte arbeitet für die Geschäftsführung Vorlagen als Empfehlung aus, welche Einwilligungsverfahren und Informationspflichten an betroffene Personen umsetzen. Er prüft Auftragsverarbeitungsverträge und nimmt Risikoabwägungen vor, zum Beispiel bei der Datenverarbeitung auf der Grundlage eines berechtigten Interesses. Ferner erstellt der DSB im Zusammenarbeit mit der Geschäftsführung ein Verzeichnis der Verarbeitungstätigkeiten (VVT) sowie ein betriebliches Verfahren zum Umgang mit Datenpannen. Wenn es im Einzelfall erforderlich ist, arbeitet der DSB zusammen mit der Geschäftsführung eine Datenschutzfolgeabschätzung aus.

Der Datenschutzbeauftragte empfiehlt der Geschäftsführung technische und organisatorische Maßnahmen, welche zur Umsetzung des Datenschutzes allgemein sowie in bestimmten Prozessen erforderlich sind. In diesem Zusammenhang schult der DSB auch regelmäßig die Mitarbeiter*innen auf den Datenschutz. Der DSB ist auch der Ansprechpartner der zuständigen Aufsichtsbehörde und führt ggf. die Kommunikation mit dieser. Bei Datenpannen empfiehlt der DSB der Geschäftsführung eine Vorgehensweise.

Letztlich kommt es dem DSB auch zu, die Umsetzung des Datenschutzes in einem angemessenen Rahmen zu prüfen. Alle Prozesse sind am Ende nur so gut, wie sie auch wirklich in der Praxis umgesetzt werden oder technisch funktionieren. Hierbei ist als Qualifikation eines DSB, gerade auch eines externen Datenschutzbeauftragten, ein breites Grundwissen in der digitalen Welt und in IT erforderlich, damit technische Verfahren analysiert werden können. Findet der DSB Umsetzungsfehler, unterrichtet er hierüber die Geschäftsführung.

Interner Datenschutzbeauftragter versus externer Datenschutzbeauftragter

Wie man an den oben kurz skizierten Aufgaben sehen kann, bedarf Datenschutzbeauftragter zu sein schon eine sehr komplexen Qualifikation. Ein Datenschutzbeauftragter muss sich juristisch auskennen, aber auch fit in IT und digitaler Technik sein. Aus- und gerade Weiterbildung sind hier ein ganz wichtiges Thema. Das ist oftmals schwierig mit einem internen Datenschutzbeauftragten umzusetzen und regelmäßig auch viel teurer. Ein externer Datenschutzbeauftragter rechnet sich gerade für die kleineren Unternehmen, die diese Position nicht in Vollzeit besetzen müssen. Daneben können interne Mitarbeiter*innen, die man als DSB ausgebildet hat, kündigen. Dann hat man viel Geld für nichts ausgegeben und muss jemanden neues finden oder ausbilden. Daher sind die Lösungen mit einem externen Datenschutzbeauftragten meisten bevorzugt.