Externer Datenschutzbeauftragter

Eine der Hauptfragen im Bezug auf die DSGVO: „Brauchen wir überhaupt einen Datenschutzbeauftragten?“

Zur Beantwortung sollten Sie sich die folgenden Fragen stellen. Bitte bedenken Sie, dass der Verantwortliche nach DSGVO sowohl eine natürliche als auch eine juristische Person sowie Behörde, Einrichtung oder andere Stelle sein kann. Betrachten Sie die Fragen also ggf. mit „wir“, „mein Unternehmen/meineFirma/etc.“ oder auch mit „meine Beschäftigten“:

• Bin ich eine Behörde oder öffentliche Stelle (mit Ausnahme von Gerichten) und verarbeiten wir personenbezogene Daten?
• Besteht meine Kerntätigkeit darin, Profiling [1] zu betreiben oder gar umfangreich regelmäßig und systematisch betroffene Personen zu überwachen?
• Besteht meine Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten [2]?
• Besteht meine Kerntätigkeit in der umfangreichen Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten?
• Beschäftige ich mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten?
• Erfordert meine Verarbeitung eine Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO?
• Verarbeite ich personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, auch wenn anonymisiert?
• Verarbeite ich personenbezogene Daten für Zwecke der Markt- oder Meinungsforschung?

Wenn Sie auch nur eine dieser Fragen mit „Ja“ beantworten konnten: Herzlichen Glückwunsch! Sie unterliegen der Bestellpflicht nach Artikel 37 DSGVO und/oder § 38 des neuen BDSG und brauchen definitiv einen Datenschutzbeauftragten. Zögern Sie nicht zu lange, denn allein das Nichtbestellen trotz Pflicht steht unter Strafe und kann Geldbußen bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes des Vorjahrs nach sich ziehen!

Hier kommt die ASOFTNET ins Spiel. Sofern wir nicht schon Dienstleistungen im Bereich Ihrer IT durchführen, können wir Ihnen diesen stellen! Beides gleichzeitig geht leider nicht, da es gesetzlich untersagt ist, seine eigene Arbeit zu kontrollieren. Denn ein Datenschutzbeauftragter muss unabhängig und weisungsfrei sein und darf niemals einem Interessenskonflikt unterliegen! Wir kümmern uns also um Ihre IT oder wir checken sie – in beiden Fällen natürlich datenschutzkonform! Unsere Mitarbeiter waren ja bereits technisch geschult und sind es nun auch im Datenschutz!

„Aber warum soll ich denn einen externen Datenschutzbeauftragten bestellen? Kann das kein Interner sein oder sogar ich selbst?“

Natürlich können Sie das auch selbst und auch intern. Allerdings gibt es einige Beschränkungen bezüglich des genannten Interessenskonflikts und außerdem hat ein externer Datenschutzbeauftragter einige Vorteile!

Ein Interessenskonflikt besteht beispielsweise bei

• – jeglicher Form der Geschäfts-/Unternehmensleitung,
• – IT-Leitern, IT-Verantwortlichen,
• – Marketingleitern,
• – Personalverantwortlichen, Personalentscheidungsträgern,
  da sämtliche Möglichkeiten der Selbstkontrolle verhindert werden sollen!

Vorteile eines externen Datenschutzbeauftragten sind unter anderem:

• – keine Aus- und Weiterbildungskosten für den internen Datenschutzbeauftragten
• – Ende der Beschäftigung à Ausgaben für die Katz und erneute Kosten für den Nachfolger
• – keine Betriebsblindheit, kein Interessenskonflikt
• – kein durch das neue BDSG zugesicherter besonderer Abberufungs- und Kündigungsschutz [3]
• – Beschäftigte unterliegen meist beschränkter Haftung und so kann diese auf Sie zurückfallen, wenn ihr interner Datenschutzbeauftragter (un)mittelbar einen Verstoß oder Vorfall bewirkt
• – Vertragsbindung: Garantie für eine DSGVO-konforme Aufgaben- und Pflichterfüllung
• – ein externer Datenschutzbeauftragter hat sich seinen Job im Normalfall selbst ausgesucht und sich freiwillig damit beschäftigt, ist also motivierter und bestrebter in seiner Funktion (;

[wsp=’69‘,’Übrigens finden Sie hier noch ein paar weitere wichtige Infos rund um das Thema der neuen Datenschutzgrundverordnung!‘][/wsp]

[1] Profiling: jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen

[2] personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

[3] § 6 Abs. 4: „Die Abberufung der oder des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 des Bürgerlichen Gesetzbuchs zulässig. Die Kündigung des Arbeitsverhältnisses ist unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragte oder als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.“
§ 38 Abs. 2: „§ 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.“