Die Antwort ist leicht – Daten glänzen zwar nicht, sind jedoch ein Schatz.

Das hat auch die EU erkannt und die neue Datenschutzverordnung auf den Weg gebracht. Verbraucher sollen so stärker in ihrem Recht geschützt werden, selber zu bestimmen wo, wann und vor allem welche Informationen über sie verarbeitet werden dürfen.

Denn Niemand möchte wegen einer politischen Meinung, einer religiösen Überzeugung oder dem gesundheitlichen Hintergrund auf dem Arbeitsmarkt, bei Versicherungen oder in der öffentlichen Verwaltung benachteiligt werden. Um einen flächendeckenden Schutz für den Verbraucher zu erreichen, werden deshalb alle gesellschaftlichen Bereiche in die Pflicht genommen, ihren Beitrag in Sachen Datenschutz zu leisten. Ihr externer Datenschutzbeauftragter.

Datenschutz wird insbesondere als Schutz vor unerlaubter Datenverarbeitung verstanden und begründet daher das Recht auf informationelle Selbstbestimmung, das Persönlichkeitsrecht bei der Datenverarbeitung und auch der Privatsphäre gemäß der EU-Charta Artikel 8 und Artikel 7. Indessen wird der Datenschutz häufig als Recht empfunden, dass gewährleistet, dass jede Person entscheiden kann, wem, wann und welche seiner persönlichen Daten zugänglich gemacht werden.

Wesentlicher Zweck des Datenschutzes ist es daher, die Machtungleichheit zwischen juristischen und natürlichen Personen auszugleichen. Datenschutz soll das digitale Abbild des Menschen in der immer mehr digitalisierten und vernetzten Gesellschaft, vermehrten staatlichen Überwachungsmaßnahmen und der Entstehung von BigData /DataMininig von Konzernen entgegenwirken. Unser Service unterstützt Sie bei der Umsetzung des Datenschutzes in Ihrem Unternehmen.

Wie schnell die DSGVO in Ihrem Unternehmen oder durch Sie als interner Datenschutzbeauftragter, Freiberufler, Anwalt Arzt oder Einzelunternehmer umgesetzt wird, hängt natürlich von dem wichtigsten Faktor überhaupt ab: IHNEN! Faktoren wie Unternehmensgröße, Anzahl der Mitarbeiter, Anzahl der Abteilungen, Geschäftsart und Anzahl der Standorte, spielen natürlich eine weitere entscheidende Rolle in der Zeitplanung.

Um schnell erste Fortschritte zu erzielen, empfehlen wir Ihnen nach dem Zwiebel Prinzip vorzugehen. Sie können bekommen hier eine Möglichkeit wie Sie mit einfachen Mitteln den Datenschutz in Ihrem Unternehmen beginnen können. Wir handeln hier nach dem Prinzip: „Außen vor Innen“: Um möglichst schnell gegenüber Kunden, Behörden und Geschäftspartner DSGVO-Konform auftreten zu können, bietet es sich an, die offensichtlichen Dinge der Außenwahrnehmung, zuerst anzugehen:

• schauen Sie das Ihre Datenschutzerklärung und das Impressum aktuell ist
• Wichtig ist, dass alle durch Sie verarbeitenden Prozesse abgebildet sind, das können z.B. Kontaktformular, Cookies und Trackingtools sein.
• Kann der Benutzer der Website seine Betroffenenrechte Kapitel 3 DSGVO wahrnehmen?
• Kann das Impressum von überall auf der Seite erreicht werden oder ist es ggf. durch den Cookie-Disclaimer verdeckt?
  

• Welche Verträge haben Sie mit anderen Unternehmen und Kunden? Erstellen Sie sich eine Liste und prüfen Sie mit wem Sie alles ein AVV Vertrag nach Art 28 DSGVO schließen müssen und wo eine Anpassung an den bereits bestehenden Vertrag ausreicht.

• Holen Sie, wenn notwendig, von ihren Kunden Einwilligungen ein. Wie das genau geht, erfahren Sie hier.
  

• sollten sie Beispielsweise in Ihren Räumlichkeiten eine Videoüberwachung installiert haben, müssen Sie zusätzlich zu verschiedenen anderen Tätigkeiten auch, Ihrer Pflicht zur Information nachkommen. Dieser Pflicht, lässt sich durch ein Hinweisschild (Link) und dem sichtbaren Anbringen in dem zu überwachenden Bereich nachkommen.
  

• Prüfen Sie welche Daten bei Ihnen durch welche Verarbeitungstätigkeit anfallen.
• Wo und wann erhebe oder verarbeite ich personenbezogene Daten von Kunden, Mitarbeitern, Dienstleistern, Behörden?
• Erstellen Sie ein Verarbeitungsverzeichnis, hier bietet es sich an ein Datenschutzmanagementsysteme oder bereits fertig erstelle Mustervorlagen zu nutzen und dann anzupassen. Alle Prozesse können meist damit nicht abgebildet werden. In diesem Fall, sollte ein Datenschutzbeauftragter zu Rate gezogen werden. Insbesondere wenn selbst schon viel in Eigenleistung erstellt wurde, können Kosten eingespart werden.
• Zusatz für Projekterfahrene: wer hier gleich seine Prozesse ganzheitlich analysiert, bekommt vielleicht die Möglichkeit seine Prozesse auch auf Optimierungspotenzial zu prüfen und zu verbessern.
  

• Die Umsetzung der TOM´s ist meist eines der umfangreichen Unterfangen, die es gilt auf dem Weg zur Datenschutzkonformität zu erreichen. Hier versschmilzt schnell der Datenschutz und die Datensicherheit. An dieser stelle sollten sie Ihre IT-Abteilung mit ins Boot holen. Sollten Sie keinen Dienstleister oder eine eigene IT-Abteilung haben, bietet es sich an, sich auf den Seiten des BSI(Link) zu dem Thema BSI Grundschutz zu informieren.
  
  Die Grundlegende Frage lautet hier: „Durch welche Tätigkeiten sichere ich meine Daten ab und reicht das aus?“ Erstellen Sie sich also eine Risikoanalyse (dabei ist keine Datenschutzfolgeabschätzung(link) gemeint. Mit der Risikoanalyse stellen Sie schnell fest, was Sie tun müssen um Ihre Daten und die Ihrer Kunden ausreichend zu schützen.
• Ein Teil der technischen organisatorischen Maßnahmen, die es gilt umzusetzen ergeben sich aus den genutzten IT-Systemen; wie Hardware, Software.
• Auch der Standort an dem Sie Ihre Daten aufbewahren wird in die Analyse miteinbezogen.
• Schauen Sie, wer, wann zu welcher Zeit Zugriff auf die Daten erhalten kann.
• Sind die Aspekte der Vertraulichkeit, Verfügbarkeit und Integrität beachtet worden?

• In  5 Abs. 2 DSGVO wird der Grundsatz der „Rechenschaftspflicht“ gegenüber Dritten definiert. Es gilt, dass Verantwortliche gemäß Art. 4 Ziffer 7 DSGVO für die Einhaltung bestimmter Datenschutzgrundsätze (aus Art. 5 Abs.1 DSGVO) verantwortlich sind und deren Einhaltung nachweisen müssen. Der Art. 24 Abs.1 DSGVO greift diese Pflicht weiter auf. Der Verantwortliche steht hierbei in der Pflicht, den Nachweis zu erbringen, dass die Datenverarbeitung im rechtlichen Rahmen der Datenschutzgrundverordnung verläuft.
• Sie sollten alle Ihre Tätigkeiten wie Datenschutzrichtlinien, Datenschutzkonzepte, Verarbeitungsverzeichnisse (VV), technisch organisatorischen Maßnahmen (TOM), Auftragsverarbeitungsverträge (AVV), Arbeitsanweisungen und Leitlinien; Löschkonzepte, Notfallpläne zentral an einem Ort greifbar und gesichert zusammenfassen. Hier haben Sie die Möglichkeit ein Datenschutzmanagementhandbuch zu erstellen oder sich eines Datenschutzmanagementsystems bedienen.
  

• Sichern Sie als erstes Ihre IT die Sie täglich nutzen, mit sicheren Passwörtern ab.
• Verschlüsseln Sie Ihre Festplatten und bewahren Sie diese sicher vor dritten auf.
• Schaffen Sie Redundanzen für Ihre Daten, das kann im einfachsten eine zweite Festplatte sein (schlechte Lösung) oder ein Rechenzentrum mit Sitz in Deutschland oder der EU und einer Tier 4 Zertifizierung (ideal Fall). Wichtig ist aber in jedem Fall, dass die redundante Lösung, räumlich und am besten örtlich getrennt von den zu sichernden Daten aufbewahrt wird.
• Der Grundsatz ist, dass kein System sicher ist. Sie sollten sich also überlegen mit welchen Mitteln Sie Ihre Daten, im Rahmen Ihrer Möglichkeiten, am besten schützen können.
  

• Das Verarbeitungsverzeichnis (VV) hilft Ihnen dabei festzustellen welche Daten wo, wann, wie und durch wen erhoben und verarbeitet werden. Daher bietet es sich an die Speicherorte aufzulisten wo Ihre Daten abgespeichert werden, das Ablagesystem sollte dabei einer logisch nachvollziehbaren Ordnerstruktur zugrunde liegen.
  
  Hier ergibt es Sinn, sich von Anfang an für das Unternehmen die Ordner immer nach einer sich wiederholenden Ordnerbezeichnung für alle Kunden, Mitarbeiter Geschäftspartner etc. anzulegen. Das kann man entweder nach Themen ordnen: Bsp.: Rechnungen/Quartal, Projekt etc./Kunden/Kunde001/ oder anders herum Kunden/Kunde001/Rechnungen/Quartal/Monat/. Bei CRM-Software oder anderen Programmen, bieten die meist schon Systemseitig Filterfunktionen an, die eine Abfrage sicherstellen.Auch Systeme wie Omikron, intergator oder contractmanager helfen dabei Daten der betroffenen Person ausfindig zu machen. Wichtig ist das Sie schnell alle relevanten Daten zu der Person finden können.
• Ebenso müssen Sie sicherstellen das die Person welche die Auskunft stellt, auch berechtigt ist diese zu erhalten. Ein Nachweis darüber muss ebenfalls protokolliert werden. Für die Auskunftserteilung haben Sie einen Monat Zeit. Bei begründetem erschwertem Aufwand kann die Frist auf zwei Monate verlängert werden.
• Bei Löschung der personenbezogenen Daten sollten Sie immer die Art der Daten im Blick haben und welche anderen Gesetze Sie sogar dazu verpflichten die Daten nicht zu löschen.
• Das Ändern oder Berechtigen von Daten sollte ebenfalls beachtet und immer mit protokoliert werden.
  

• Sollte es mal vorkommen das es in Ihrem Unternehmen zu einem Datenschutzverstoß oder einer Datenschutzverletzung kommt, bleiben Sie ruhig!
• Das klingt banal aber die meisten Datenschutzverstöße entstehen dadurch, dass unbeabsichtigt Daten an die falsche E-Mail versendet werden. Dies lässt sich meist mit einem Anschreiben an die betroffenen beteiligten Personen klären. Wenn es sich bei den personenbezogenen Daten nicht um Daten nach 9 DSGVO handelt und ein Missbrauch der Daten ausgeschlossen und der Schaden abgewendet werden kann, entfällt auch die Meldung gegenüber der Behörde.

Die Haftungsfrage bei Datenschutzverletzung deren Höhe bei unterschiedlichen Arten von Datenschutzverstößen wird in den nächsten Jahren noch viel Raum für Diskussionen und Anpassungen bieten. Hierbei sollte der Grundansatz aber sein, Abmahnungen oder Haftungsansprüche zu vermeiden.

Ziel und Anspruch sollte es daher sein die rechtliche Umsetzung der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes. Erste Rechtsprechungen europäischer und nationaler Gerichte zum neuen Datenschutzrecht zeigen auf, dass eine rechtlich sichere Umsetzung nicht immer schwer sein muss.

Die DSGVO unterscheidet zum einen bei Verstößen in Bezug auf materiellen und immateriellen Schadensersatz gem. Art. 82 DSGVO und Geldbußen gem. Art. 83 DSGVO in einer Höhe bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes des Unternehmens. Angesprochen wird immer der oder die Verantwortliche/n.

Verantwortlicher nach der DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet gem. Art. 4 Nr. 7 DSGVO. Für Sie als Unternehmen heißt das, die Gesellschaft (GmbH, AG etc.) für Schäden haftbar gemacht werden kann.

Es spielt in dabei keine Rolle wer in dem Unternehmen den Datenschutzverstoß verursacht hat. Eine Ausnahme kann eventuell bei besonders schweren Verstößen einzelner Personen im Unternehmen zu einer Haftung der jeweiligen Person direkt gegenüber dem Betroffenen führen.

Im gesetzten Fall, dass ein Unternehmen für einen verursachten Datenschutzverstoß die Haftung übernehmen muss, kann es innerhalb des Unternehmens dazu führen das Regressansprüche gestellt werden sollen. Hierfür werden drei Parteien betrachtet:

Für die Einhaltung der Pflichten und Gesetze im Datenschutzbereich sind die Geschäftsführer und Vorstände zentral gem. § 43 GmbHG bzw. des § 93 Abs. 2 AktG. persönlich verantwortlich und demnach ersatzpflichtig gegenüber dem Unternehmen zu machen.

Die Einhaltung datenschutzrechtlicher Vorschriften ist nach Ansicht des europäischen Gesetzgebers eine der zentralen Aufgaben der Geschäftsleitung.

Die Aussage; über nicht ausreichendes Wissen in dem Bereich zu verfügen entfällt. Der Geschäftsführer ist verpflichtet seinen Kontrollaufgaben nachzukommen und sich umfassend mit dem Datenschutzrecht auseinander zu setzen oder sich Beratung für diesen Bereich zukommen zu lassen. Sollte dem nicht nachgekommen werden droht die Haftung der Geschäftsführung mit dem Privatvermögen.

Mitarbeiter haften nach den Grundsätzen der Arbeitnehmerhaftung nur eingeschränkt. Dies dient dem Arbeitnehmerschutz, vor allem um Arbeitnehmer vor Arbeitsverträgen mit unverhältnismäßigen Strafen zu schützen. Die Haftbarkeit des Arbeitnehmers wird in Abhängigkeit vom Schweregrad des Verschuldens bewertet. Dabei wird zwischen vier Schweregarden unterschieden:

Leichteste-/ leichte Fahrlässigkeit
Der Arbeitnehmer handelt nur leicht fahrlässig und haftet nicht. Hierbei sind das Tätigkeiten die nur auf geringfügige und leicht entschuldbare Pflichtverstöße zurückzuführen sind, und jedem Menschen aus unbeabsichtigter Unachtsamkeit passieren können.

‍Normale-/ mittlere Fahrlässigkeit
Die Handlung des Arbeitnehmers wird als „normal“ fahrlässig wertet, wenn der Mitarbeiter sich seiner Tätigkeit bewusst ist und aufgrund von fehlender notwendiger Sorgfalt einen vermeidbaren Schaden verursacht. In diesem Fall wird der Schaden geteilt. Die Höhe der Strafe wird meist auf ein Monatsgehalt begrenzt.

‍Grobe-/ gröbste Fahrlässigkeit
Sollte der Mitarbeiter grob fahrlässig handeln, haftet er grundsätzlich in vollem Umfang. Dabei wird die Schadenshöhe von den Gerichten, in den meisten Fällen auf drei Monatsgehälter festgesetzt. diese gilt auch wenn der Mitarbeiter den Schaden zwar vorsätzlich begangen hat, der Schadenseintritt aber nur fahrlässig herbeigeführt wird.

‍Vorsatz
Sollte ein Mitarbeiter wissentlich in voller Absicht, vorsätzlich den Schaden verursachen und dieser auch verursacht werden, haftet er im vollen Umfang.

Ein externer Datenschutzbeauftragter haftet im Unternehmen für eigene Fehler gegenüber dem Verantwortlichen aufgrund einer vertraglichen Pflichtverletzung. Verletzt der Datenschutzbeauftragte seine Aufgaben und Pflichten, insbesondere seine Überwachungs- und Beratungspflicht, kann er sich schadensersatzpflichtig machen.

Allerdings ist hier ein etwaiges Mitverschulden der Geschäftsleitung zu berücksichtigen. Bei einem internen Datenschutzbeauftragten, sind hier die Grundsätze der Arbeitnehmerhaftung zu beachten.

Diese Tatsache ist unter anderem der Grund warum ein Interesse daran bestehen, sollte, einen externen Datenschutzbeauftragten zu benennen und das Risiko zu minimieren.

Zur Benennung verpflichtet sind Behörden, Unternehmen und Private deren Datenverarbeitung ein hohes Gefahrenpotenzial für das Persönlichkeitsrecht der von der Datenverarbeitung Betroffenen innehat (vgl. Art. 37 DSGVO).

Unternehmen mit 10 Mitarbeitern die „ständig“ personenbezogene Daten verarbeiten, benötigen in jedem Fall einen Datenschutzbeauftragten gem. Art. 37 DSGVO i. V. m. §§ 5, 38 Abs. 1 BDSG. Bei der Ermittlung der Mitarbeiterzahl ist es allerdings unerheblich, ob die Mitarbeiter voll- oder teilzeitbeschäftigt sind. Ebenso werden freie Mitarbeiter oder Leiharbeitnehmer, Auszubildende, Volontäre und Praktikanten miteinbezogen.

Dabei ist zu beachten, dass die Person regelmäßig und ständig mit der automatisierten Datenverarbeitung befasst ist. Kurzfristige Schwankungen der Tätigkeiten sind unerheblich. Als maßgeblichen Zeitraum für die Betrachtungsweise wird regelmäßig ein Jahr betrachtet (Kühling/Buchner, „DSGVO und BDSG-Kommentar“, 2. Auflage 2018).

Ist die Kerntätigkeit des Unternehmens personenbezogene Daten geschäftsmäßig zu übermitteln bzw. zu erheben und zu verarbeiten oder für Markt- und Meinungsforschung automatisiert zu verarbeiten, ist die Bestellung eines Datenschutzbeauftragten – unabhängig von der Anzahl der Beschäftigten – ebenfalls eine Verpflichtung (vgl. Art. 37 DSGVO, §§ 5, 38 BDSG).

Dieses Erfordernis gilt auch für die Geschäfte bei der die Verarbeitung einer Vorabkontrolle unterliegt, da hierbei rechtlich unterstellt wird, dass von der Verarbeitung der Daten besondere Risiken ausgehen (vgl. § 4f BDSG a. F.). Hierzu ist nunmehr eine Datenschutzfolgeabschätzung nötig, die unter 10 Mitarbeitern auch vom Geschäftsführer erledigt werden kann aber in jedem Fall muss.

Als Musterbespiele für die risikoreiche Verarbeitung von Daten gelten Auskunfteien, Detekteien, Bewachungsunternehmen, Personal- und Partnervermittlungen oder ein zielgruppenorientierter Online-Werbemarkt. Aber auch zum Teil Bewerbungsprozesse oder die Verarbeitung großer Datenmengen.

‍Fazit:
‍Grundsätzlich ab 10 Mitarbeitern die „ständig“ mit der automatisierten Verarbeitung von personenbezogen Daten gem. Art. 37 Abs. 4 DSGVO umgehen; alternativ mit sensiblen Daten gem. Art. 9 DSGVO.

Wenn besondere Kategorien von personenbezogenen Daten verarbeitet werden, die über Rasse, ethnische Herkunft, politische Meinung und Zugehörigkeit, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren, besteht eine Verpflichtung unabhängig von der Anzahl der Mitarbeiter.

Ist die Kerntätigkeit des Unternehmens, personenbezogene Daten geschäftsmäßig zu übermitteln bzw. zu erheben und zu verarbeiten, ist die Bestellung eines Datenschutzbeauftragten, ebenfalls unabhängig von der Anzahl der Beschäftigten, eine Verpflichtung.

Darüber hinaus wird ein Datenschutzbeauftragter benötigt, wenn das Unternehmen besonders sensible Daten gem. Art. 9 DSGVO verarbeitet; die Anzahl der Mitarbeiter ist hierbei unerheblich. Dies hat den Hintergrund, dass personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, einen besonderen Schutz benötigen, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können (Erwägungsgrund der DSGVO Nr. 51).

Es handelt es sich kurz gesagt, um ein sogenanntes informationelles Diskriminierungsverbot. Daher ist besondere Vorsicht bei der Einschätzung geboten. Die Tätigkeiten sollten individuell im geschäftlichen Kontext vorqualifiziert werden.

Erfahrungsgemäß ist es dabei hilfreich eine Gegenüberstellung von verarbeiteten Personen und Stellen, der Art der Verarbeitung sowie die ergriffenen Schutzmaßnahmen zu erstellen und schließlich gemäß dem höchstrichterlich anerkannten Verhältnismäßigkeitsgrundsatzes (Legitimer Zweck, Geeignetheit, Erforderlichkeit, Angemessenheit und Verhältnismäßigkeit im engeren Sinn) auszuwerten.

Unser zweites Steckenpferd die Projektmanagementtätigkeit hat sich für diesen Zweck als äußerst hilfreich erwiesen, um vor allem auch kompliziertere Vorgänge noch überblicken zu können. Insbesondere zählen zu den personenbezogenen Daten Informationen über die Rasse, die ethnische Herkunft, politische Meinung und Zugehörigkeit, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person.

Nach einem ersten persönlichen Telefongespräch mit uns, ermitteln wir Ihren notwendigen Leistungsrahmen. Ein erstes Kennenlernen in Ihren Geschäftsräumen ist allerdings auch möglich.

Wir stellen Ihnen im Anschluss eine Reihe von Fragen zu Ihrem Unternehmen. Auf Grundlage dieser Informationen wird relativ schnell klar, welche ersten Sofort-Maßnahmen ergriffen werden müssen.

Dabei nehmen wir unteranderem folgende Aufgaben für Sie wahr:

• Datenschutzschulungen von Geschäftsführung und Mitarbeitern,
• Wir stehen als Kontaktperson für Kunden und Mitarbeiter, die Fragen des Datenschutzes betreffen zur Verfügung,
• Die Sicherstellung der externen Zusammenarbeit des Datenschützer mit der Datenschutzbehörde und Auftragsverarbeitern,
• Wir als Datenschutzbeauftragter unterliegen der Verschwiegenheitspflicht,
• Ihre internen Unternehmensabläufe werden regelmäßig überwacht und auf Einhaltung der Ihrer Datenschutzrichtlinien kontrolliert,
• Sie erhalten eine Beratung und Unterrichtung der Geschäftsführung bzgl. datenschutzrechtlicher Fragen.

Wenn sie noch umfangreichere Informationen benötigen schauen Sie hier nach oder kontaktieren Sie uns einfach direkt.

Die Pflichtaufgaben eines Datenschutzbeauftragten nach der DSGVO lassen sich in drei Blöcke gliedern:

1. Interne Hauptaufgaben im Unternehmen:

• Unterrichtung und BeratungArt. 38 Abs. 1 Buchst. a fordert die Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters.
• Überwachung der Einhaltung von Vorgaben
  Art. 38 Abs. 1 Buchst. b verlangt die Überwachung der Einhaltung der DSGVO
• Sonderproblem: Datenschutz-FolgenabschätzungArt. 39 Abs. 1 Buchst. c/Art. 35 Abs. 2 /Art. 38 Abs. 1 DSGVO

2. Verhältnis zur Aufsichtsbehörde

• Bei der „Zusammenarbeit mit der Aufsichtsbehörde“ wird der DSB gegenüber der Aufsichtsbehörde aktiv. Ist er dagegen als „Anlaufstelle“ tätig, meint die DSGVO damit, dass die Aufsichtsbehörde den DSB anspricht.
  

3. Ansprechpartner für Betroffene

• Der Datenschutzbeauftragten dient als Anlaufstelle für Betroffene („betroffene Personen“). Betroffene haben das Recht, den DSB zu allen Fragen „zu Rate zu ziehen“, die mit „der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte“ gemäß der DSGVO im Zusammenhang stehen (Art. 38 Abs. 4 DSGVO). Der Begriff „zu Rate ziehen“ sollte dabei nicht überinterpretiert werden. Er führt nicht dazu, dass der DSB zu einer Art „Beratungsbüro für Betroffene“ wird.
  
  

Bei der Entscheidung – Interner oder externer -Datenschutzbeauftragter ist guter Rat in der Regel teuer. Die Richtige Antwort darauf müssen Sie zwar selber finden, wir von Extrinsus können sie darin jedoch unterstützen. Aus diesem Grund stellen wir Ihnen eine kostenlose Vergleichsübersicht zur Verfügung, die Ihnen bei der Entscheidung hilft.

Vor- und Nachteile interner Datenschutzbeauftragter

Nachteile interner Datenschutzbeauftragter (DSB)

• Kündigungsschutz des internen DSB.
• Innerhalb des Betriebes ist es oftmals schwierig, eine geeignete qualifizierte Person zu finden.
• Der Arbeitsaufwand und die Kosten für interne DSB sind meist schwer
  kalkulierbar.
• Durch Unwissenheit des internen DSB werden ggf. bestehende suboptimale Lösungen beibehalten.
• Fortbildungskosten die jedes Jahr entstehen müssen vom Unternehmen getragen werden

Vorteile interner Datenschutzbeauftragter (DSB)

• Der interne DSB ist in die tägliche Kommunikation eingebunden
• Er kennt das Unternehmen und die Ansprechpartner gut.
• Es wird kein zusätzlicher Mitarbeiter eingestellt, die Kosten bleiben vordergründig unverändert.
  

Vor- und Nachteile externer Datenschutzbeauftragter

Nachteile externer Datenschutzbeauftragter (DSB)

• Keine automatische Einbindung in bestehende Prozesse, sondern gesonderte Information/ Beauftragung notwendig.
• Ggf. Scheu interner Mitarbeiter auf Externen Datenschutzbeauftragten mit Problemen zu zugehen.
• Teilweise fehlt Branchenkenntnis.
  

Vorteile externer Datenschutzbeauftragter (DSB)

• Der externe DSB hat den Überblick über eine marktübliche Umsetzung
• Externer DSB ist meist schneller und qualifizierter als ein interner DSB und kann auf bestehende Unterlagen zurückgreifen.
• Externe DSB bekommen meist schneller qualifizierte Antworten, da kein Konkurrenzverhältnis besteht und dem „Beauftragten der Geschäftsführung“ schnell weitergeholfen werden kann.
• Ein externer DSB stößt oft auf eine bessere Akzeptanz beim Betriebsrat.
• Die Kosten sind ca. um 80% günstiger als ein interner, gemessen am Aufwand und Weiterbildungskosten.