Die Benennung eines Datenschutzbeauftragten (DSB) ist ein Thema, das zahlreichen Entscheidern Kopfschmerzen bereitet. Denn häufig ist gar nicht klar, ob sich eine freiwillige Benennung empfiehlt oder sogar eine gesetzliche Verpflichtung besteht. Ergänzend reihen sich weitere Fragen ein, beispielsweise welchen konkreten Nutzen ein externer Datenschutzbeauftragter bietet, welche Kosten zu erwarten sind und welcher Anbieter der passende ist.

Diese und weitere Fragen klären wir hier. So können Sie die richtigen Schlüsse ziehen und eine fundierte Entscheidung zur Verbesserung des Datenschutzes in Ihrer Organisation treffen.

Was ist ein externer Datenschutzbeauftragter?

Ein externer Datenschutzbeauftragter ist ein unabhängiger Experte, der von einem Unternehmen beauftragt wird, um die Einhaltung der Datenschutzvorschriften sicherzustellen. Im Gegensatz zum internen Datenschutzbeauftragten ist der externe DSB nicht beim Unternehmen angestellt, sondern arbeitet als externer Dienstleister im Auftrag des Unternehmens.

Durch die Benennung eines externen Datenschutzbeauftragten kann sich ein Unternehmen unmittelbar von einem unabhängigen Experten unterstützen zu lassen, der über umfangreiche Kenntnisse und Erfahrung im Bereich Datenschutz verfügt. Im Gegensatz zur Benennung eines internen Datenschutzbeauftragten braucht das Unternehmen keine Ressourcen für Ausbildung und Schulung der Fachkraft bereitstellen.

Einen Ausbildungsberuf gibt es übrigens nicht, seine Expertise kann ein DSB auf unterschiedliche Weise entwickelt haben. Viele Datenschutzexperten haben Rechtswissenschaften oder im IT-Umfeld studiert. Kompetenz in den Feldern Datenschutz und Datenschutzmanagement wird oft per Zertifikat nachgewiesen. Kurse mit abschließender Prüfung können unter anderem bei den Industrie- und Handelskammern oder der Gesellschaft für Datenschutz und Datensicherheit (GDD) absolviert werden.

Aufgaben eines Datenschutzbeauftragten

Grob betrachtet, lassen sich die Aufgaben des DSB in zwei Prozessstufen unterteilen.

Stufe 1: Ausreichendes Datenschutzniveau herstellen

Zunächst geht es darum, die IST-Situation im Unternehmen zu erfassen und im Anschluss auf Lösungen hinzuwirken, die einen ausreichenden Datenschutz versprechen. Entscheidend ist eine ganzheitliche Vorgehensweise, die von der Bestandsaufnahme über die Ausarbeitung von Maßnahmen bis hin zur Umsetzung reicht.

Stufe 2: Datenschutzniveau erhalten und verbessern

Ein wesentlicher Bestandteil dieser Arbeit ist das Kontrollieren, Dokumentieren, Bewerten und Verbessern der laufenden Prozesse. Die Umsetzung von Maßnahmen nach dem Stand der Technik, die Einschätzung von Verfahren, die Bewertung neuer Technologien, das Hinterfragen bisheriger getroffener Entscheidungen unterliegen stetig einem Optimierungsprozess. Dieser ständige Zyklus trägt wesentlich zu Erhalt und Verbesserung des Datenschutzniveaus bei.

Aufgaben eines Datenschutzbeauftragten - Prozessstufen für Herstellung und Erhalt des Datenschutzniveaus

Prozessstufen für Herstellung und Erhalt des Datenschutzniveaus

Aufgaben des DSB im Detail

Ob interner oder externer Datenschutzbeauftragter, die konkreten Aufgaben leiten sich aus der DSGVO ab. Diese lassen sich in folgende Kategorien zusammenfassen.

Hinwirken auf Einhaltung der Vorschriften der DSGVO:

Hinwirken steht für das Beraten, Ausarbeiten und Vorschlagen von Maßnahmen, deren Implementierung und Einhaltung einen ausreichenden Datenschutz gewährleisten. Eine direkte Umsetzung unterliegt nicht der Entscheidungsgewalt des Datenschutzbeauftragten.

Datenverarbeitung überwachen:

Es wird kontrolliert, ob die Abläufe den gesetzlichen Anforderungen gerecht werden. Diese Maßnahme soll bewirken, dass Datenschutzverstöße gar nicht erst begangen werden. Die Kontrollkompetenz gilt im gesamten Unternehmen.

Übersicht der Verarbeitungstätigkeiten:

Die Übersicht der Verarbeitungstätigkeiten dokumentiert Art und Umfang der Datenverarbeitung im Unternehmen. Der Datenschutzbeauftragte führt in Zusammenarbeit mit dem jeweiligen Fachbereich die relevanten Informationen zusammen und ist für eine fortlaufende Aktualisierung des Verzeichnisses verantwortlich. Aus diesen Verarbeitungstätigkeiten lassen sich die jeweiligen Aufbewahrungsfristen und Löschfristen ableiten, die für das Löschkonzept erforderlich sind. Das Löschkonzept wird ergänzt durch eine detaillierte technische Beschreibung der Datenlöschung.

Risikoeinschätzung bei Verarbeitungstätigkeiten:

Sobald der Einsatz einer Verarbeitung oder neuer Technologie zu einem hohen Risiko für die Rechte und Freiheiten einer natürlichen Person führt, muss eine Risikobewertung erfolgen. Der Datenschutzbeauftragte ist beratend und überwachend bei der Durchführung, der sogenannten Datenschutzfolgeabschätzung, tätig. Er bewertet die zu treffenden Schutzziele und Schutzmaßnahmen.

Schulung der Mitarbeiter:

Mitarbeiter, die personenbezogene Daten verarbeiten, müssen in Bezug auf den Umgang mit personenbezogenen Daten, aber auch im Umgang mit technischen Endgeräten, sowie Gefahren der elektronischen Verarbeitung, geschult und sensibilisiert werden.

Ansprechpartner sein:

Diese Aufgabe wird gerne unterschätzt, doch sobald Fragen zum Thema Datenschutz aufkommen, muss eine fachkompetente Beantwortung gewährleistet sein. Hierbei spielt es keine Rolle, ob Kunden, Mitarbeiter, die Geschäftsführung oder Dritte die Fragen stellen.

Fachabteilungen leisten Unterstützung bei Umsetzung des Datenschutzes

Der Datenschutzbeauftragte kann nicht alle Aufgaben, die rund um den Datenschutz anstehen, selbst angehen. Oft ist er in überwachender Funktion tätig und erhält Unterstützung aus den Fachabteilungen.

Deshalb muss er innerhalb der Organisation gut vernetzt sein und seine Ansprechpartner kennen. Liegt eine Betreuung durch einen externen Datenschutzbeauftragten vor, empfiehlt sich die Unterstützung durch einen Datenschutzkoordinator. Er ist sein direkter Ansprechpartner und stellt den Informationsaustausch zwischen DSB und Fachabteilungen sicher.

Notwendigkeit der Benennung eines DSB

Gemäß Datenschutzgrundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) sind Unternehmen in bestimmten Fällen dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Ob eine Benennungspflicht besteht, hängt unter anderem von der Kerntätigkeit und den stattfindenden Datenverarbeitungen ab. Ebenso kann entscheidend sein, wieviele Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ausführliche Informationen zur Benennungspflicht finden Sie in unserem Beitrag zur Benennung des Datenschutzbeauftragten.

Die datenschutzrechtlichen Bestimmungen regeln nicht, ob ein interner oder externer Datenschutzbeauftragter zu benennen ist. Jedes Unternehmen kann eigenständig entscheiden, ob entweder ein Mitarbeiter oder stattdessen ein Dienstleister von außerhalb die Rolle des DSB übernimmt.

Interner und externer Datenschutzbeauftragter im Vergleich

Die Benennung eines Datenschutzbeauftragten kann auf unterschiedlichem Wege erfolgen. Zum einen besteht die Möglichkeit sich für einen internen Datenschutzbeauftragten zu entscheiden. Bei ihm handelt es sich um eine Person, die unmittelbar im Unternehmen beschäftigt ist. Zum anderen kann ein externer Datenschutzbeauftragter bestellt werden. In diesem Fall wird die Leistung von einem spezialisierten Dienstleister erbracht.

Die nachfolgende Gegenüberstellung führt die Unterschiede auf, die zwischen beiden Lösungen bestehen.

Interner Datenschutzbeauftragter Externer Datenschutzbeauftragter
Betriebskenntnis Gute Kenntnisse über Abläufe und Prozesse im Unternehmen. Allerdings besteht ein Risiko der Betriebsblindheit. Einnahme einer neutralen Perspektive, dadurch kein Risiko der Betriebsblindheit.
Lernkurve Sofern er als Datenschutzbeauftragter noch unerfahren ist, drohen Anlaufschwierigkeiten. Die Effizienz ist gering und externe Unterstützung muss oft zusätzlich eingekauft werden. Erfahrung und das Arbeiten auf Basis erprobter Konzepte versprechen eine hohe Effizienz und somit ein schnelles Erreichen des erforderlichen Datenschutzniveaus zu niedrigen Kosten.
Haftungsrisiko Haftungsrisiko bleibt im Unternehmen. Der Mitarbeiter kann für Fehlentscheidungen oft gar nicht haftbar gemacht werden, sofern er nicht nachweislich mit Vorsatz gehandelt hat. Der externe Datenschutzbeauftragte haftet im Rahmen der vereinbarten Summe für sein Handeln. Dadurch ist mehr Sicherheit für das Unternehmen geboten.
Fokussierung Hohe Wahrscheinlichkeit, dass die Haupttätigkeit im Vordergrund bleibt und die Aufgaben eines Datenschutzbeauftragten hinten angestellt werden. Ausschließliche Konzentration auf Aufgaben, die mit dem Datenschutz in Verbindung stehen.
Durchdringung des Unternehmens Mitarbeiter reagieren auf Anfragen oft nur langsam oder gar nicht. Mitarbeiter nehmen den externen Datenschutzbeauftragten und dessen Aufgaben anders wahr. Antwortzeiten fallen erfahrungsgemäß kürzer aus.
Kosten Kosten für Aus- und Fortbildung einschließlich Erwerb von Literatur sind vom Unternehmen zu tragen. Ein externer Datenschutzbeauftragter ist bereits ausgebildet, Kosten der Fortbildung werden vom Anbieter selbst getragen. Weiterhin gibt es keine Ausfallzeiten durch Aus- und Fortbildung.
Kündigungsschutz Der interne Datenschutzbeauftragte genießt ausgeprägten Kündigungsschutz mit einem Jahr Nachwirkung. Eine Abberufung ist nur langsam und unter großem Aufwand möglich. Vereinbarung regulärer Kündigungsfristen über den Dienstvertrag ist möglich.

Schlussendlich haben beide Varianten ihre eigenen Vor- und Nachteile. Welche Lösung für ein Unternehmen besser ist, hängt sowohl von der jeweiligen Ausgangssituation als auch dem Bedarf ab. Faktoren wie Unternehmensgröße, Branche und Personalpolitik sind zu berücksichtigen.

Für Unternehmen, die sich Tag für Tag mit datenschutzrechtlichen Fragestellungen beschäftigen müssen, ist ein interner DSB üblicherweise die bessere Wahl. Sollte der Bedarf hingegen nur von Zeit zu Zeit bestehen, ist es meist sinnvoller, die externe Lösung zu wählen. Wenn Sie hierüber mehr erfahren möchten, stehen wir Ihnen im Rahmen unserer kostenlosen Erstberatung gerne zur Seite.

Unsere Rolle als externer Datenschutzbeauftragter

Die Rolle eines Datenschutzbeauftragten ist vielseitig. Primäre Zielsetzung ist es, auf die Erreichung eines zuvor definierten Datenschutzniveaus hinzuwirken. Anschließend steht dessen Aufrechterhaltung im Fokus.

In Summe gehen mit dieser Zielsetzung viele Aufgaben einher. Nachfolgend haben wir diese Aufgaben in Clustern zusammengefasst, um ein besseres Verständnis hinsichtlich unserer Rolle als externer Datenschutzbeauftragter zu vermitteln.

  • Zentraler Ansprechpartner für sämtliche Stakeholder

    Innerhalb der jeweiligen Organisation ist der Datenschutzbeauftragte zentraler Ansprechpartner für Angelegenheiten rund um den Datenschutz. Sowohl für die Geschäftsführung, die Fachabteilungen und auch Außenstehende ist damit geregelt, an wen Fragen, Hinweise oder auch Beschwerden zu richten sind.

    Als externer Datenschutzbeauftragter koordinieren wir auf Wunsch gerne die Kommunikation mit der zuständigen Aufsichtsbehörde. Wir stellen beispielsweise sicher, dass Fragen der Behörden fristgerecht beantwortet werden.

  • Beratung und Unterstützung

    Als externer Datenschutzbeauftragter beraten und unterstützen wir unsere Mandanten bei der Erfüllung geltender Datenschutzanforderungen. Wir identifizieren Datenschutzrisiken, entwickeln Lösungsansätze und leisten ebenso Unterstützung bei der Umsetzung von Maßnahmen zur Risikominimierung. Dies ist ein breit gefächertes Aufgabenfeld, das von der Durchführung von Analysen über die Umsetzung bis hin zur Dokumentation reicht.

  • Überwachung der Einhaltung von Datenschutzvorschriften

    Als externer DSB legen wir großen Wert auf die dauerhafte Einhaltung der geltenden Datenschutzvorschriften. Sollten sich beispielsweise die rechtlichen Rahmbedingungen oder datenschutzrelevante Prozesse innerhalb des Unternehmens ändern, prüfen wir den Sachverhalt, um das Datenschutzniveau weiterhin aufrechtzuerhalten.

Welche Datenpannen drohen Unternehmen?

Datenpannen entstehen, wenn unbefugte Personen auf personenbezogene Daten zugreifen können, wodurch deren Schutz nicht mehr gewährleistet ist. Solche Vorfälle können in jedem Unternehmen schnell passieren. Hier sind drei häufige Beispiele:

  1. Verlorene USB-Sticks
    USB-Sticks werden häufig für den Datentransport genutzt. Gehen sie verloren oder werden gestohlen, können sensible Informationen in die falschen Hände geraten, insbesondere wenn die Daten nicht verschlüsselt sind.
  2. Unverschlüsselte E-Mails
    Das Versenden personenbezogener Daten über unverschlüsselte E-Mails ist ein häufiger Fehler. Dritte können diese E-Mails abfangen und die darin enthaltenen Informationen missbrauchen.
  3. Dokumente im Altpapier
    Werden sensible Dokumente, wie Gehaltsabrechnungen oder Verträge, einfach über den Papierkorb entsorgt, können diese Informationen leicht in die falschen Hände geraten und einen Datenschutzvorfall verursachen.

Folgen eines Datenschutzverstoßes

Bei einem DSGVO-Verstoß drohen Strafen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes, je nachdem welcher Wert höher ist. Die zuständigen Behörden berücksichtigen mildernde Umstände, wie das umgehende Melden des Verstoßes durch das Unternehmen. Trotzdem sind Bußgelder im fünf- bis sechsstelligen Bereich nicht selten. Neben finanziellen Strafen können Datenpannen auch erheblichen Imageschaden und Vertrauensverlust bei Kunden zur Folge haben.

Zuständigkeit und Haftung

Für Datenschutzverletzungen haftet der Verantwortliche. Bei internen Datenschutzbeauftragten greift die beschränkte Arbeitnehmerhaftung, bei externen nicht.

Beispiele für Datenschutzmaßnahmen aus der Praxis

Wesentlicher Bestandteil der Arbeit eines Datenschutzbeauftragten ist die Begleitung und gegebenenfalls direkte Umsetzung konkreter Datenschutzmaßnahmen. Welche Maßnahmen im Einzelnen erforderlich sind, hängt von der jeweiligen Ausgangssituation ab. Nachfolgend führen wir Beispiele für solche Datenschutzmaßnahmen auf.

  • Einführung eines Datenschutzmanagementsystems
    Ein Datenschutzmanagementsystem (DSMS) regelt den Datenschutz innerhalb einer Organisation. Zielsetzung ist die permanente Aufrechterhaltung eines definierten Datenschutzniveaus. Als externer Datenschutzbeauftragtr übernehmen wir Entwicklung und Einführung des DSMS.
  • Führen des Verzeichnisses von Verarbeitungstätigkeiten
    Das Verzeichnis von Verarbeitungstätigkeiten (VVT) dokumentiert sämtliche Verarbeitungstätigkeiten der Organisation, die personenbezogenen Daten betreffen. Wir stellen sicher, dass ein VVT existiert, es vollständig ist und bei Notwendigkeit aktualisiert wird.
  • Schulung von Mitarbeitern
    Ein großer Teil an Datenschutzverstößen geht auf Fehler von Mitarbeitern zurück. Umso wichtiger ist es, Mitarbeiter im Datenschutz zu schulen. Als externer Datenschutzbeauftragter stellen wir sicher, dass Ihre Mitarbeiter die jeweils relevanten Datenschutzanforderungen verstehen und in der Lage sind, diese zu erfüllen. Unsere Online-Schulungsplattform vereinfacht den Prozess und verspricht höchste Effizienz.

Beratung und Unterstützung beim Datenschutz in der Praxis

Wie die Unterstützung des externen Datenschutzbeauftragten in der Praxis aussieht, hängt von der Ausgangssituation und der Zielsetzung des Mandanten ab. Wir arbeiten vorzugsweise mit einem Datenschutzmanagementsystem, das kontinuierlich den PDCA-Zyklus durchläuft. Er untergliedert sich in vier Schritte.

ablauf datenschutzberatung pdca

1. Planen (Plan)

Bedarfsanalyse und Zieldefinition

  • Problem / Aufgabe erkennen und definieren
  • Ursachenanalyse
  • Lösungsansätze, Methodik und Ziele festlegen

2. Umsetzen (Do)

Implementierung von Maßnahmen

  • Umsetzung planen und koordinieren
  • Durchführung der Maßnahmen
  • Dokumentation

3. Überprüfen (Check)

Überwachung und Bewertung der Maßnahmen

  • Kontrolle der Ergebnisse
  • Analyse von Feedback
  • Tests durch Experten
  • Bewertung der Soll-Ist-Analyse

4. Handeln (Act)

Kontinuierliche Verbesserung und Anpassung

  • Definition von Regeln, Handlungsanweisungen und Verfahren
  • Optimierungspotential feststellen
  • Optimierungen durchführen

Der PDCA-Zyklus gewährleistet, dass sich das Datenschutzmanagementsystem fortlaufend auf dem neuesten Stand befindet und eine kontinuierliche Verbesserung erfolgt.

Es ist wichtig zu verstehen, dass der Datenschutzbeauftragte (ob intern oder extern) diese Aufgaben nicht alleine schultern muss. Seine Kernaufgabe besteht darin, auf die Erreichung eines definierten Datenschutzniveaus hinzuwirken und dieses im Anschluss zu erhalten. Zur Erreichung dieser Ziele bringt er sein Fachwissen ein und ist koordinierend tätig. Einzelne Aufgaben können daher auch delegiert werden, wie z.B. an die jeweiligen Fachabteilungen innerhalb der Organisation.

Vorteile eines externen Datenschutzbeauftragten

Mit einer Betreuung durch uns als externer Datenschutzbeauftragter profitieren Sie von folgenden Vorteilen:

  • Fachlich am Puls der Zeit

    Beim internen Datenschutzbeauftragten entscheidet über die Qualität des Datenschutzes die Kompetenz der benannten Person. Bei unzureichendem Fachwissen drohen Lücken im Datenschutz mit all ihren Konsequenzen. Als Datenschutzspezialist sind wir stets auf dem neuesten Wissensstand und damit bestens für das sich ständig verändernde Feld der Datenschutzgesetze und Technologien gewappnet.

  • Schneller ans Ziel

    Ein interner Datenschutzbeauftragten wird nicht von heute auf morgen benannt. Bis eine qualifizierte Person gefunden oder ausgebildet ist, können Monate vergehen. Unsere Datenschutzexpertise steht hingegen sofort zur Verfügung, sodass Sie Ihr angestrebtes Datenschutzniveau schneller erreichen.

  • Weniger Ablenkung vom Tagesgeschäft

    Datenschutz ist ein komplexes Feld, das eine hohe Aufmerksamkeit verlangt. Deshalb kann eine interne Lösung umfassende Ressourcen vom Management und den betroffenen Fachabteilungen in Beschlag nehmen. Wir verfolgen einen praxisnahen Beratungsansatz, um Ihre Datenschutzziele zügig und zielsicher zu erreichen, während Sie sich auf Ihr Tagesgeschäft fokussieren.

  • Vermeidung unnötiger Kosten

    Ein interner Datenschutzbeauftragter ist längst nicht so günstig, wie oft vermutet. Insbesondere die hohen Gehaltsforderungen und zusätzliche Kosten für Aus- und Weiterbildungen sind nicht zu unterschätzen. Die Kosten für die Betreuung durch einen externen DSB liegen meist deutlich niedriger.

  • Optimierung der Haftungssituation

    Wird ein interner DSB benannt, verbleibt das Haftungsrisiko im Unternehmen. Fehler des internen Datenschutzbeauftragten erfolgen somit zu Lasten des Arbeitgebers. Als externer Datenschutzbeauftragter haften wir im Rahmen der vereinbarten Summe für unser Handeln, wodurch Sie besser abgesichert sind.

  • Leichterer Wechsel

    Einen internen Datenschutzbeauftragten nimmt aus arbeitsrechtlicher Sicht eine besondere Stellung ein. Eine Abberufung muss unter Berücksichtigung der rechtlichen Vorgaben erfolgen. Zugleich genießt die beschäftigte Person einen ausgeprägten Kündigungsschutz. Bei unserer Leistung hingegen wird auf Basis eines Dienstvertrags erbracht. Sie haben die Möglichkeit, den Vertrag innerhalb der vereinbarten Frist zu kündigen.

Kriterien zur Auswahl eines externen Datenschutzbeauftragten

Die Auswahl eines Anbieters, der die Rolle des externen Datenschutzbeauftragten übernimmt, erfordert große Sorgfalt. Im Rahmen Ihrer Entscheidungsfindung sollten Sie folgende Kriterien berücksichtigen.

Qualifikation

Fundierte Kenntnisse im Datenschutz sind für einen Datenschutzbeauftragten grundlegende Voraussetzung. Jeder Datenschutzexperte sollte deshalb seine Fähigkeiten nachweisen können. Wie bereits erwähnt, bilden zertifizierte Ausbildungen von IHK oder GDD eine gute Basis als Nachweis der erlangten Fachkunde.

Ergänzende Zertifizierungen rund um den Datenschutz und angrenzende Felder, wie z.B. der Informationssicherheit, untermauern die Kompetenz des Datenschutzbeauftragten.

Erfahrung

Erfahrung ist ein entscheidender Faktor bei der Auswahl eines externen Datenschutzbeauftragten. Es ist vorteilhaft, wenn die Person bereits in ähnlichen Projekten tätig war und beispielsweise Fachwissen im Hinblick auf branchenspezifische Besonderheiten mitbringt. Solch ein Erfahrungsschatz hilft, datenschutzrechtliche Fragestellungen effizient zu lösen.

Vertrauenswürdigkeit

Als Außenstehender erhält der externe Datenschutzbeauftragte Einblicke in Daten und Abläufe des Unternehmens. Für den Mandanten ist es wichtig zu wissen, dass sensible Unternehmensdaten und personenbezogenen Informationen in besten Händen sind. Deshalb ist es von größter Bedeutung, einen vertrauenswürdigen Partner auszuwählen. Referenzen und Empfehlungen helfen, die Vertrauenswürdigkeit zu beurteilen.

Rechte des externen Datenschutzbeauftragten

Der Datenschutzbeauftragte einer Organisation hat das Recht auf uneingeschränkten Zugang zu allen Informationen und Unterlagen, die für die Erfüllung seiner Aufgaben relevant sind. Er ist berechtigt, unabhängig zu handeln und verfügt ergänzend über eine gewisse Entscheidungsbefugnis in datenschutzrechtlichen Angelegenheiten.

Externer Datenschutzbeauftragter – für mehr Sicherheit im Datenschutz

Gern stellen wir Ihnen einen externen Datenschutzbeauftragten zur Verfügung, der Ihnen mit Fachwissen und Expertise zur Seite steht. Dadurch sparen Sie Ressourcen und Kosten einer internen Stelle. Unser erfahrener Experte übernimmt die Verantwortung für Ihren Datenschutz und sorgt für eine effektive Umsetzung der Datenschutzrichtlinien.

  • Keine Personalsuche oder langwierigen Weiterbildungen
  • Zugang zum unserem Know-how ab dem ersten Tag
  • Praxisorientierte Vorgehensweise für eine sichere Zielerreichung
  • Neu aufkommende Datenschutzthemen werden aktiv und rechtzeitig angesprochen
  • Hohe Kosteneffizienz, vor allem perspektivisch

Fragen & Antworten zum Thema

Wer braucht einen externen Datenschutzbeauftragten?

DSGVO und BDSG führen Kriterien auf, bei deren Erfüllung die Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Darüber hinaus kann sich ein Unternehmen für eine freiwillige Benennung entscheiden. Besonders wenn die Absicht besteht, den Datenschutz professionell auf Basis eines Managementsystems anzugehen, ist dies ein sinnvoller Schritt.

Sollte ein interner oder externer Datenschutzbeauftragter benannt werden?

Dies hängt von den Ressourcen des Unternehmens ab. Gerade im Mittelstand ist eine interne Lösung oftmals nur aufwändig zu realisieren. Die Benennung eines externern DSB punktet häufig damit, dass das Fachwissen sofort zur Verfügung steht, die Haftung minimiert wird und niedrigere Kosten locken. Mehr erfahren Sie in unserem Vergleich zwischen dem internen und externen DSB.

Wie viel kostet ein externer Datenschutzbeauftragter?

Welche Kosten entstehen, hängt vom Umfang der notwendigen Leistungen ab. Außerdem spielt es eine Rolle, ob ein interner oder externer Datenschutzbeauftragter bestellt wird. Häufig wird vermutet, ein interner Datenschutzbeauftragter wäre günstiger, weil ein bestehender Mitarbeiter sämtliche Aufgaben des Datenschutzbeauftragten übernimmt. Jedoch geht diese Rechnung nur selten auf, was folgende Gründe hat.

  • Die Ausbildung des internen DSB ist aufwendig und daher auch kostspielig. Kurse, die sich ausschließlich mit dem betrieblichen Datenschutz befassen, genügen nicht. Ebenso bedarf es des Verständnisses über technische Hintergründe, weshalb oft ergänzende Kurse zu belegen sind.
  • Der interne Datenschutzbeauftragte kann seiner Haupttätigkeit nicht im vollen Umfang nachgehen. Die wirtschaftliche Ertragsleistung des Mitarbeiters geht zwangsläufig zurück.
  • In Anbetracht seiner gestiegenen Qualifikationen ist es erfahrungsgemäß nur eine Frage der Zeit, bis der Mitarbeiter eine Gehaltserhöhung fordert. Das Durchschnittsgehalt für einen Datenschutzbeauftragten beträgt 49.200 Euro p.a. – je nach Qualifikation kann es deutlich höher liegen.

Kosten eines internen Datenschutzbeauftragten (Beispielrechnung)

Position des Mitarbeiters DSB in Vollzeit DSB in Teilzeit
Zeitaufwand 100 Prozent 20 Prozent
Jahresgehalt 41.200 EUR 41.200 EUR
davon Gehalt als DSB 41.200 EUR 8.240 EUR
20% Arbeitgeberkosten 8.240 EUR 1.648 EUR
Aus- und Weiterbildung 3.000 EUR 3.000 EUR
Reisekosten und Spesen 1.000 EUR 1.000 EUR
Sonstige Kosten 1.500 EUR 1.500 EUR
Gesamtkosten pro Jahr 54.940 EUR 15.388 EUR

Kosten eines externen Datenschutzbeauftragten

Die Kosten eines externen Datenschutzbeauftragten sind vertraglich geregelt. Die Abrechnung erfolgt auf Basis der erbrachten Leistungen gemäß der vereinbarten Konditionen. Preislisten für einen externen DSB sind online selten zu finden. Bei den meisten Anbietern erfolgt die Abrechnung nach Stundensatz oder Manntag. Insgesamt lassen sich die Kosten in zwei Bereiche untergliedern.

  • Zunächst fallen Kosten für ein Datenschutzaudit / die Analyse der Ausgangssituation sowie der anschließenden Schaffung des erforderlichen Datenschutzniveaus an. Hier kann der Leistungsbedarf je nach Unternehmen sehr verschieden bemessen sein. Die Abrechnung erfolgt überwiegend auf Stundenbasis.
  • Ist das Datenschutzniveau erreicht, übt der externe Datenschutzbeauftragte fortan seine Kontrollfunktion aus und steht zudem als Ansprechpartner zur Verfügung. Außerdem wird die Haftungsübernahme gewährleistet und je nach Anbieter ein Gütesiegel verfügbar gemacht. Die Abrechnung erfolgt monatsbezogen auf Basis der erbrachten Einzelleistungen.

Bei der Wahl eines Anbieters, der den externen Datenschutzbeauftragten bestellt, sollte keinesfalls nur auf die Kosten geachtet werden. Es empfiehlt sich, die folgenden Punkte ebenfalls zu berücksichtigen:

  • Qualität und Umfang der Aus- und Weiterbildung
  • Einbindung und Unterstützung von Mitarbeitern
  • Art und Umfang des Versicherungsschutzes
  • Integration in Datenschutz-Netzwerke
  • Klima der Geschäftsbeziehung

Externer DSB ist meist deutlich günstiger

Die Bestellung eines internen Datenschutzbeauftragten ist kostspieliger, als in den meisten Fällen zunächst vermutet. Insbesondere die Ausbildung des Mitarbeiters sowie die Einschränkungen bei dessen Haupttätigkeit sind als Kostenfaktoren nicht außer Acht zu lassen.

Aus finanzieller Sicht sind viele Unternehmen besser damit beraten, einen externen Datenschutzbeauftragten zu bestellen. Dessen Leistungen können ganz nach augenblicklichem Bedarf in Anspruch genommen werden. Zumal er erfahrungsgemäß schnellere Ergebnisse liefert und außerdem bei Unzufriedenheit leichter austauschbar ist.