20 Jahre Datenschutz- bzw. Audit-Erfahrung

Dipl.-Wirtschaftsinformatiker (FH) und Datenschutzbeauftragter (TÜV)

Helmut Häck

Viktoriastr. 2
53879 Euskirchen

02251 / 9299520
info@datapro.de

Was macht ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte hat mindestens die Aufgaben nach Artikel 39 DSGVO. Dazu zählen:

  • Unterrichtung und Beratung des Verantwortlichen (oder des Auftragsverarbeiters) und der Beschäftigten, die Verarbeitungen durchführen hinsichtlich ihrer Pflichten nach der DSGVO sowie sonstigen Datenschutzvorschriften 
  • Überwachung der Einhaltung der DSGVO bzw. anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO 
  • Ansprechpartner für Betroffene in allen Fragen zur Verarbeitung ihrer personenbezogenen Daten

Wer muss einen Datenschutzbeauftragten haben?

Die Voraussetzungen, wann ein Datenschutzbeauftragter zwingend erforderlich ist, sind sowohl in der Datenschutzgrundverordnung als im neuen Bundesdatenschutzgesetz geregelt. Insoweit ist grundsätzlich ein Datenschutzbeauftragter zu benennen, wenn

  • mindestens 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Die Zahl der Köpfe und nicht der Stellen ist entscheidend. Teilzeitkräfte werden „voll“ mit berücksichtigt.
  • eine Datenschutzfolgenabschätzung nach Artikel 35 DSGVO vorgenommen werden muss
  • personenbezogene Daten für die Markt- oder Meinungsforschung verarbeitet werden
  • die Kerntätigkeit in der Verarbeitung von besonderen Datenkategorien (z.B. Gesundheitsdaten) liegt. Z.B. Hörgeräteakustiker und Optiker.
  • die Kerntätigkeit des Verantwortlichen (z.B. Unternehmen) oder Auftragsverarbeiters (Dienstleister) in der Durchführung von umfangreichen, regelmäßigen und systematischen Überwachung von Personen liegt (z.B. Überwachungsfirmen, Auskunfteien)

In den 4 letztgenannten Fällen ist unabhängig von der Anzahl der Beschäftigten ein Datenschutzbeauftragter zu benennen. Aber auch ohne Pflicht zur Benennung eines Datenschutzbeauftragten begrüßt die Datenschutzaufsichtsbehörde NRW die freiwillige Benennung. Schließlich sind die Datenschutzanforderungen unabhängig von der Anzahl der Beschäftigten umzusetzen. Ohne Datenschutzbeauftragten fehlt es den Unternehmen häufig an der erforderlichen fachlichen Unterstützung.

Wer darf Datenschutzbeauftragter werden?

Der Datenschutzbeauftragte hat noch Artikel 39 DSGVO folgende Voraussetzungen zu erfüllen:

  • berufliche Qualifikation
  • Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
  • die Fähigkeit zur Erfüllung der Aufgaben nach Artikel 39 DSGVO.

Nach Ansicht der LDI NRW sollte der Datenschutzbeauftragte darüber hinaus ein solides Fachwissen bezüglich IT-Systemen und IT-Sicherheitsmaßnahmen verfügen. Das erforderliche Niveau richtet sich insbesondere nach dem erforderlichen Schutz für die personenbezogenen Daten, die das Unternehmen verarbeitet. D.h.: Je komplexer die Datenverarbeitungen sind oder je größer die Menge sensibler Daten ist, desto höhere Anforderungen sind an den Datenschutzbeauftragten zu stellen.

Wer ernennt den Datenschutzbeauftragten?

Nach Artikel 37 DSGVO benennt der Verantwortliche (Unternehmen, Kanzlei, Apotheke usw.) und der Auftragsverarbeiter (Dienstleister) den Datenschutzbeauftragten, wenn dies erforderlich ist. Sieh hierzu: Wer muss einen Datenschutzbeauftragten haben?

Was kostet ein externer Datenschutzbeauftragter?

Die Kosten sind nicht in einem Satz oder mit einer konkreten Zahl zu beantworten und hängen von verschiedenen Faktoren ab, wie z.B.:

  • Größe des Unternehmens
  • Ist das Unternehmen national oder international aufgestellt?
  • Branche des Unternehmens
  • Sensibilität der Daten

In den meisten Fällen ist die Benennung eines externen Datenschutzbeauftragten günstiger als einen bestehenden Mitarbeiter zum Datenschutzbeauftragten zu benennen. Hierzu ein Rechenbeispiel:

Position des MitarbeitersDatenschutzbeauftragter
in Vollzeit
Datenschutzbeauftragter
in Teilzeit
Zeitaufwand100%20%
Jahresgehalt36.000 Euro36.000 Euro
Gehalt als Datenschutzbeauftragter36.000 Euro7.200 Euro
20% Arbeitgeberkosten7.200 Euro1.440 Euro
Aus- / Weiterbildung3.000 Euro3.000 Euro
Reisekosten (ggf. mit Übernachtung)1.000 Euro1.000 Euro
Sonstige Kosten (z. B. Tools)1.000 Euro1.000 Euro
Gesamtkosten pro Jahr48.200 Euro13.640 Euro 

Eine Beauftragung von DATApro wird günstiger sein. In einem Erstgespräch können wir gerne die Kosten für Ihr Unternehmen ermitteln.

Wo muss ich einen Datenschutzbeauftragten melden?

Im Artikel 37, Absatz 7 ist geregelt, dass der Verantwortliche (Unternehmen, Kanzlei, Apotheke usw.) oder der Auftragsverarbeiter (Dienstleister) die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der diese Daten der Aufsichtsbehörde mitteilt. Für Unternehmen in NRW ist der Datenschutzbeauftragte bei der LDI NRW in Düsseldorf zu melden. Hierfür ist das Meldeportal der LDI unter https://www.ldi.nrw.de/mainmenu_Aktuelles/Formulare-und-Meldungen/Inhalt2/Kontaktdaten/Meldeportal-fuer-Kontaktdaten.html zu nutzen.

Darf ein Datenschutzbeauftragter zusätzlich andere Aufgaben haben?

Der Datenschutzbeauftragte kann auch andere Aufgaben und Pflichten wahrnehmen (Art. 38 Absatz 6 Satz 1 DSGVO). Es liegt im Verantwortungsbereich des Unternehmens, dass derartige zusätzliche Aufgaben und Pflichten nicht zu einem Interessenkonflikt nach Art. 38 Absatz 6 Satz 2 DSGVO führen. Beispiele für Tätigkeitsfelder, die zu einem Interessenkonflikt führen können sind:

  • Leitung eines Unternehmens 
  • Leitung der IT-Abteilung 
  • Leitung der Personal-Abteilung 
  • Beschäftigte der IT- oder Personal-Abteilung, wenn diese Datenverarbeitungsprozesse wesentlich beeinflussen können. Z. B. IT-Administratoren.