Externe Datenschutzbeauftrage und zertifizierte Datenschutzauditorin nach BDSG, DSGVO und KDG

Warum ist Datenschutzberatung nötig?

Nach Art. 37 Abs. 1 lit. a – c DS-GVO ist auf jeden Fall ein Datenschutzbeauftragter zu benennen, wenn eine der folgenden Voraussetzungen gegeben ist:

  • Behörde oder öffentliche Stelle (mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln),
  • Kerntätigkeit mit umfangreicher oder systematischer Überwachung von Personen oder
  • Kerntätigkeit mit umfangreicher Verarbeitung besonders sensibler Daten (Artikel 9, 10 DSGVO).

Kerntätigkeit ist die Haupttätigkeit eines Unternehmens, die es untrennbar prägt, und nicht die Verarbeitung personenbezogener Daten als Nebentätigkeit (ErwGr. 97 der DS-GVO).

Zu den Kerntätigkeiten gehören danach auch alle Vorgänge, die einen festen Bestandteil der Haupttätigkeit des Verantwortlichen darstellen. Hierzu gehören nicht die das Kerngeschäft unterstützenden Tätigkeiten wie z. B. die Verarbeitung der Beschäftigtendaten der eigenen Mitarbeiter.

Für die Definition des Begriffs „umfangreich“ können aus ErwGr 91 der DS-GVO folgende Faktoren herangezogen werden:

Die Menge der verarbeiteten personenbezogenen Daten (Volumen), die Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt), die Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße) und die Dauer der Verarbeitung (zeitlicher Aspekt).

Nach § 38 BDSG-neu ist eine Benennung eines DSB auch in folgenden Fällen erforderlich:

  • in der Regel sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder
  • es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen oder es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet;

Dabei kann das Unternehmen intern einen Mitarbeiter zum betrieblichen Datenschutzbeauftragten bestellen oder auch mit einen externen Datenschutzbeauftragten für diese Tätigkeit ernennen.

Doch welche Entscheidung ist hier die Richtige?

Die Praxis zeigt, dass die Beauftragung eines externen Datenschutzbeauftragten viele Vorteile bringt, denn diese Person

  • verfügt über umfangreiches Fachwissen und einen großen Erfahrungsschatz,
  • übernimmt ihre Fortbildungskosten selbst,
  • hat keinen Interessenskonflikt innerhalb des Unternehmens,
  • bedarf keines speziellen Kündigungsschutzes
  • verfügt über eine neutrale Position innerhalb und außerhalb des Unternehmens,

Dies ist alles bei der Bestellung eines internen Mitarbeiters kritisch zu bedenken.

Dipl.-Ing.
Brigitta Müller

Datenschutzbeauftragte 
Datenschutzauditorin TÜV
Qualitätsmanagerin DGQ

Telefon 07231-2816446
Telefax 07231-4404162

info@schutz-unserer-daten.de
www.schutz-unserer-daten.de