Folgendes müssen Sie bei der Benennung eines externen Datenschutzbeauftragten beachten

Ab Mai 2018 gilt die Datengrundschutzverordnung der EU (DSGVO) in Verbindung mit dem neuen Bundesdatenschutzgesetz (BDSG-neu). Sie ersetzt das Bundesdatenschutzgesetz (BDSG), das bisher die Bestellung eines Datenschutzbeauftragten geregelt hat. Lesen Sie in folgendem Beitrag, was sich mit der DSGVO ändert und wann der Einsatz eines externen Datenschutzbeauftragten Sinn machen kann.

Gemäß Art. 37 Abs. 1 DSGVO müssen Behörden und andere öffentliche Stellen ausnahmslos einen Datenschutzbeauftragten benennen. Für nichtöffentliche Stellen greift die Bestellpflicht gem. Art. 37 Abs. 1 DSGVO, wenn die Kerntätigkeit in einer umfangreichen, regelmäßigen und systematischen Überwachung oder in einer umfangreichen Verarbeitung von besonderen Datenarten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht. § 38 BDSG-neu erweitert die Bestellpflicht auf Unternehmen, in denen mindestens zehn Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind oder Verarbeitungen einer Datenschutz-Folgenabschätzung unterliegen. Im Gegensatz zum BDSG regelt Art. 37 Abs. 2 DSGVO, dass Unternehmensgruppen jetzt auch einen gemeinsamen Datenschutzbeauftragten benennen dürfen. Dieser Konzerndatenschutzschutzbeauftragte muss aber von jeder Niederlassung aus leicht erreichbar sein.

Das sind die Vor- und Nachteile eines externen Datenschutzbeauftragten

In Art. 37 Abs. 6 regelt die DSGVO die Modalitäten der Ernennung. So kann wie bisher der Datenschutzbeauftragte ein Beschäftigter des Unternehmens sein oder basierend auf einem Dienstleistungsvertrag die Rolle übernehmen.

Die fachlichen Anforderungen sind hoch und sehr spezialisiert. Externe Datenschutzbeauftragte bieten daher für viele Unternehmen die Sicherheit, dass das nötige Fachwissen und praktisches Know-how aus anderen Beschäftigungsverhältnissen vorhanden ist. Zeitintensive und mit hohen Kosten verbundene Weiterbildungsmaßnahmen für interne Mitarbeiter entfallen damit komplett. Außerdem steht der eigene Mitarbeiter weiterhin zu 100 Prozent für seine eigentliche Haupttätigkeit zur Verfügung.

Nicht nur Kostengründe sprechen für einen externen Datenschutzbeauftragten. Zwar kennt er sich mit den betrieblichen Abläufen zunächst noch nicht aus, aber dafür gibt es auch keine Interessenskonflikte. Er hat eine neutrale Position und kann so seine Rolle unabhängig erfüllen. Auf diese Weise kann er schneller und einfacher die erforderlichen Maßnahmen umsetzen.

Des Weiteren wird per Vertrag meistens die Haftung durch den externen Datenschutzbeauftragten übernommen. Ist die Position intern besetzt, haftet der Geschäftsführer aufgrund der beschränkten Arbeitnehmerhaftung. Auf diese Weise minimiert ein Unternehmen das Risiko hoher Strafzahlungen oder andere Ahndungen durch den Gesetzgeber.

Die Abberufung eines internen Datenschutzbeauftragten ist nur aus wichtigen Gründen möglich. Außerdem genießt er - ähnlich wie ein Betriebsratsmitglied – einen ausgeprägten Kündigungsschutz. Dieser greift bis zu einem Jahr nach Ende der Tätigkeit. Das Dienstleistungsverhältnis kann - je nach vertraglicher Regelung - jederzeit aufgelöst werden.

Mitspracherecht des Betriebsrats

Der Betriebsrat hat bei der Bestellung eines externen Datenschutzbeauftragten grundsätzlich kein Mitbestimmungsrecht. Ist der externe Datenschutzbeauftragte allerdings wie ein interner Mitarbeiter in das Unternehmen eingebunden – zum Beispiel mit einem eigenen Arbeitsplatz – kann der Betriebsrat sehr wohl mitbestimmen. So hat bereits 1989 das LAG Frankfurt in einem Urteil entschieden. Trotz dieses Urteils sind aber nicht allein äußere Umstände bei der Beurteilung ausschlaggebend.

Besteht eine Mitbestimmungspflicht, muss der Arbeitgeber dem Betriebsrat alle relevanten Unterlagen, wie zum Beispiel Nachweise über die fachliche Eignung, vorlegen. Hintergrund ist, dass der Datenschutzbeauftragte bereits bei der Benennung über die nötige Fachkunde verfügen muss. Ansonsten liegt ein Gesetzverstoß vor und der Betriebsrat kann seine Zustimmung verweigern.

Trotz zahlreicher Vorteile eines externen Datenschutzbeauftragten müssen sich Unternehmen gut überlegen, ob sie die Rolle auslagern. Interne Mitarbeiter kennen die Strukturen und Besonderheiten eines Unternehmens bestens und können so mit einem anderen Hintergrundwissen die Position wahrnehmen. Letztlich gibt es keine Blaupause für die richtige Wahl – die jeweiligen, individuellen Umstände sind zu verschieden, um eine generelle Empfehlung auszusprechen.