Home
Intern
veröffentlicht am 1. April 2019 | von Bastian Schönnenbeck
Schon seit dem 25. Mai 2018 gilt die Europäische Datenschutz-Grundverordnung (DSGVO). Für viele neu dabei: Die Bestellung eines Datenschutzbeauftragten. Oft herrscht Unklarheit darüber, ob und ab wann ein Datenschutzbeauftragter bestellt werden muss. Viel wichtiger aber ist: Hat man intern überhaupt die Ressourcen und das Know-how, um Datenschutzkonformität zu gewährleisten? Diese Problematik kann mit der Bestellung eines externen Datenschutzbeauftragten behoben werden.
Die Pflicht zur Benennung eines Datenschutzbeauftragten besteht für alle Behörden und öffentlichen Stellen unabhängig von der Art der verarbeiteten personenbezogenen Daten (Art. 37 Abs. 1 lit. a DSGVO). Den öffentlichen Stellen steht seit Inkrafttreten der DSGVO eine erweiterte Wahlmöglichkeit zu: neben der Benennung eines Bediensteten als internen Datenschutzbeauftragten können nun auch Externe als Datenschutzbeauftragte bestellt werden. Diese Wahlmöglichkeit ergibt sich aus der DSGVO selbst (siehe Art. 37 Abs. 6 DSGVO) und ermöglicht nun erstmals den kommunalen Trägern Dienstleistungen Dritter in Anspruch zu nehmen. Bis dato erfolgte die Bestellung eines internen Datenschutzbeauftragten aus den vorhandenen Reihen, der bisherige IT-Sicherheitsbeauftragte wurde häufig in diese Rolle gedrängt.
Die Vorteile eines externen Datenschutzbeauftragten überwiegen.
Dabei sollte die Entscheidung über die Bestellung eines internen oder externen Datenschutzbeauftragten gründlich durchdacht werden, da ein Wechsel des Datenschutzbeauftragten nur unter besonderen Voraussetzungen möglich und als absoluter Ausnahmefall zu betrachten ist.
Bei der Ernennung eines externen Datenschutzbeauftragten ist damit zu rechnen, dass eine Einarbeitung in die internen Prozesse und Strukturen deutlich mehr Zeit in Anspruch nimmt als bei der Einarbeitung eines Bediensteten, der bereits mit der Behördenkultur und den internen Arbeitsabläufen vertraut ist. Ein weiterer nicht zu unterschätzender Faktor ist die Erreichbarkeit. Je nach Standort des externen Datenschutzbeauftragten verlagern sich die Kommunikationswege auf E-Mail und Telefon, sodass der persönliche Kontakt in den Hintergrund rückt. Insbesondere bei Anliegen der Bediensteten oder bei Datenpannen sind entsprechende Vorkehrungen zu treffen.
Demgegenüber sind die Vorteile eines externen Datenschutzbeauftragten zu betrachten. Ein für die Umsetzung geltender Vorschriften wichtiger Aspekt ist die Fachkunde des externen Datenschutzbeauftragten. Der externe Datenschutzbeauftragte verfügt aufgrund seiner Berufswahl über eine ausgeprägte (Projekt-)Erfahrung in dem Bereich des Datenschutzrechts und punktet mit einer breiten Fachkompetenz, einschließlich der Kenntnisse über länderspezifische Datenschutzvorschriften.
Im Gegensatz zu den schwer kalkulierbaren Kosten eines internen Datenschutzbeauftragten aufgrund von Schulungen und Fortbildungen, dem notwendigen Arbeitsmaterial und dem monatlichen Gehalt, erfolgt die Ernennung des externen Datenschutzbeauftragten auf Basis eines Dienstleistungsvertrags. Der zeitliche Aufwand und die entstehenden Kosten können transparent aufgeschlüsselt und schriftlich fixiert werden.
Aus dem Dienstleistungsvertrag selbst ergibt sich ein weiterer Vorteil für die Ernennung eines externen Datenschutzbeauftragten. Im Gegensatz zu einem internen Datenschutzbeauftragten, genießt der externe Datenschutzbeauftragte keinen besonderen Kündigungsschutz. Die geltenden Kündigungsfristen können individuell innerhalb des Dienstleistungsvertrags vereinbart werden, wobei die Benennung auf mindestens zwei Jahre geschlossen werden sollte.
Stark begrenzte Ressourcen und zusätzliche Vorschriften aus den jeweiligen Landesdatenschutzgesetzen erschweren die Umsetzung datenschutzrechtlicher Vorgaben und Prozesse.
Besonders betroffen sind kleinere Kommunen, die aufgrund beschränkter Personalressourcen oft keinen Vollzeit-Datenschutzbeauftragten benennen können. Dies hat nicht selten große Defizite in der Umsetzung der geltenden Vorschriften zur Folge.
Diesem Problem kann effektiv im Rahmen einer interkommunalen Zusammenarbeit in Verbindung mit einem externen Datenschutzbeauftragten entgegengewirkt werden. Bisher war lediglich die Bestellung eines gemeinsamen behördlichen (internen) Datenschutzbeauftragten für mehrere öffentliche Stellen möglich. Unter Geltung der DSGVO wurde diese Konstellation nun um den externen Datenschutzbeauftragten ergänzt und eröffnet für öffentliche Stellen den Zugang zu externen Spezialisten. Insbesondere kleinere und mittlere Kommunen profitieren enorm im Rahmen einer interkommunalen Zusammenarbeit von diesen Spezialisten und können so die bereits stark begrenzten Ressourcen optimal einsetzen.
Es besteht auch dann eine Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn besondere Kategorien von personenbezogenen Daten verarbeitet werden. Dies gilt, unabhängig von der Größe des Unternehmens bzw. der Mitarbeiterzahl, zum Beispiel für Informationen über die ethnische Herkunft, die religiöse Überzeugung, die politische Meinung, Gewerkschaftszugehörigkeiten sowie über Gesundheit oder Sexualleben einer Person. In der Praxis erleben wir diese Auflage häufig als irritierenden und verunsichernden Faktor. Vor allem im Bereich von Personalabteilungen bzw. der Human-Ressources-Einheit in Unternehmen, Gemeinden, Städten oder Verwaltungen. Häufig stoßen Mandanten gerade bei personalrechtlichen Fragen in Verbindung mit Datenschutz an Grenzen und kommen zu dem Entschluss, externe Fachexpertise und Beratung zu beauftragen. Ein weiterer Grund hierfür ist die zeitlich massive Inanspruchnahme der Abbildung von Datenschutzkonformität und die Einarbeitung eines Mitarbeiters in die Thematik. Zwar muss ein – als intern bestellter Datenschutzbeauftragter – Mitarbeiter lt. Art 38 Abs. 2 DSGVO die nötigen Ressourcen (also auch Zeit) zur Verfügung gestellt bekommen, dies stellt sich in der Praxis jedoch als schwierig und häufig nicht umsetzbar heraus. Aus Gesprächen mit unseren Mandanten wissen wir, dass die Arbeit des internen Datenschutzbeauftragten fast immer als „Zusatzaufgabe” auszuführen ist und somit für wenig Begeisterung bei dem Mitarbeiter und für häufig unzureichende Qualität sorgt.
Deshalb ist unsere Aufgabe als externer Datenschutzbeauftragter nicht selten, die datenschutzrechtlichen Aspekte unserer Mandanten von vorn aufzurollen und der Thematik die nötige Wichtigkeit zukommen zu lassen. Zu Beginn versuchen wir ein möglichst klares Bild über den Status quo zu ermitteln und führen dazu mit allen Bereichen Interviews. Dieses Vorgehen hat nicht nur den Vorteil, dass wir durch eine solche Evaluierung das Delta zwischen „Soll” und „Ist” aufdecken, sondern auch, dass die Mitarbeiter uns physisch antreffen. Der Gefahr, dass der externe Datenschutzbeauftragte als „Geist” wahrgenommen werden könnte, weil er sich ja zumeist nicht permanent am Standort des Beauftragenden befindet, wirken wir mit diesem Vorgehen direkt zu Beginn entgegen.
Uns wird regelmäßig mitgeteilt, dass das Gefühl der fachkundigen Ansprechpartner hinsichtlich datenschutzrelevanter Fragestellungen für ein positives und entlastendes Gefühl bei den Mitarbeitern sorgt. Der externe Datenschutzbeauftragte ist erster Ansprechpartner für alle Belange zum Thema Datensicherheit, Datenschutzrecht sowie organisatorische und technische Maßnahmen zur Datenschutzkonformität, wozu auch die Schulung der Belegschaft zählt.
Der wechselseitig regelmäßige Austausch sowie ein gesundes Vertrauensverhältnis sind aus unserer Sicht Grundvoraussetzung für eine erfolgreiche Zusammenarbeit zwischen Auftraggeber und externem Datenschutzbeauftragten.
Die Benennung eines Datenschutzbeauftragten ist Pflichtprogramm für alle öffentlichen Stellen. Bei der Wahl des Datenschutzbeauftragten überwiegen die Vorteile des externen Datenschutzbeauftragten gegenüber denen eines internen Datenschutzbeauftragten. Die umfassende Transparenz bei der Kostenaufstellung ermöglicht insbesondere bei der interkommunalen Zusammenarbeit eine bestmögliche Berücksichtigung der unterschiedlichen Ressourcen.
Fokus Public Sector
Ausgabe April 2019 als PDF lesen
Hannes Hahn
CISA - CSP - DSB, IT-Auditor IDW
Partner, Rödl IT Secure GmbH
Anfrage senden
