Überlastung des Datenschutzbeauftragten: Kein Kavaliersdelikt

PrintMailRate-it

veröffentlicht am 28. Juli 2022


Beim Aufwand für den Datenschutzbeauftragten gilt oft die Devise: je billiger, desto besser. Mit Hinblick auf die ausdrückliche Ressourcenforderung in der DSGVO greift diese Sichtweise jedoch zu kurz.


Unternehmen des Gesundheitswesens benötigen unabhängig von der Unternehmensgröße in aller Regel einen Datenschutzbeauftragten, da ihre Tätigkeit in erheblichem Umfang die Bearbeitung sensibler personenbezogener Daten umfasst. Die Funktion des Datenschutzbeauftragten wird dabei häufig als nicht wertschöpfende Tätigkeit und damit ausschließlich unter Kostengesichtspunkten betrachtet, auch wenn diese Sichtweise bei objektiver Analyse häufig infrage gestellt werden muss.


Soweit aber die Funktion ausschließlich als Kostenfaktor betrachtet wird, liegt es nahe, die damit verbundenen Kosten und damit die für die Wahrnehmung der Funktion bereit gestellte Arbeitszeit so gering wie möglich halten zu wollen. Allerdings sollten dabei auch die Vorgaben des Art. 38 Abs. 2 DSGVO bedacht werden. Demnach muss der Verantwortliche dem Datenschutzbeauftragten die für die Erfüllung seine Aufgaben erforderlich Ressourcen zur Verfügung stellen.


Natürlich kann die Rolle des Datenschutzbeauftragten mit anderen Aufgaben kombiniert werden. In der Praxis kleinerer Einrichtungen ist dies häufig auch der richtige Weg, da das Tätigkeitsvolumen nicht einer vollen Stelle entspricht. Häufig sieht man hier Kombinationen mit verwandten anderen Aufgaben wie zum Beispiel dem Qualitätsmanagement.


Gerade in solchen Konstellationen muss der Verantwortliche, also die Geschäftsleitung, sich allerdings fragen, auf welche Weise der potenzielle Vorwurf widerlegt werden kann, das Zeitbudget für den Datenschutzbeauftragten zu gering angesetzt zu haben. Im Falle eines Datenschutzverstoßes wird diese Frage beispielsweise dann eine unmittelbare Bedeutung gewinnen, wenn der betreffende Datenschutzbeauftragte aus der Perspektive der Aufsichtsbehörde fachlich unsicher und wenig vertraut mit einschlägigen Datenschutzbestimmungen wirkt. In einem solchen Fall wird die Einhaltung von Artikel 38 Abs. 2 DSGVO unmittelbar kritisch hinterfragt werden.


Wenn sich dann beispielsweise in einer Pflegeeinrichtung mit mehreren Standorten herausstellt, dass rechnerisch für die Tätigkeit des Datenschutzbeauftragten 0,1 VZÄ zur Verfügung standen und dass der Betreffende tatsächlich nur alle paar Monate Gelegenheit dazu fand, sich mit dem Datenschutz zu beschäftigen, muss sicherlich mit einer Beanstandung und potenziell auch mit einem Bußgeld seitens der Aufsichtsbehörde gerechnet werden. Sofern also der betreffende Datenschutzbeauftragte die Geschäftsleitung immer wieder darauf hinweist, dass die in für diese Tätigkeit zur Verfügung stehende Zeit nicht ausreicht, sollte dies nicht ignoriert, sondern umgehend reagiert werden.


Unbedingt sollte diese Überlegung auch bei der Beauftragung eines externen Datenschutzbeauftragten berücksichtigt werden. Im Hinblick auf die ausdrückliche Sorgfaltspflicht des Verantwortlichen bei der Ressourcenausstattung des Datenschutzes ist der billigste Anbieter, also derjenige, der mit angeblich der geringsten Anzahl an Stunden auskommt, nicht automatisch der am besten geeignetsten. Ein seriöser externer Anbieter wird immer darauf achten, dass er die für den Auftrag veranschlagte Zeit aus anderen vergleichbaren Aufträgen heraus sinnvoll plausibilisieren kann. Dies ist eine der Gründe, warum die gezielte Beauftragung eines Dienstleisters mit einschlägiger Branchenerfahrung für den Fall einer externen Vergabe unbedingt zu empfehlen ist. Rödl & Partner hat langjährige Erfahrung sowohl mit den rechtlichen Anforderungen als auch mit den praktischen Prozessen im Datenschutz bei den Unternehmen der Gesundheits- und Sozialwirtschaft.


Hier finden Sie mehr Artikel aus der Rubrik „Datenschutzthema des Monats” »

Folgen Sie uns!

Linkedin Banner

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Datenschutzbeauftragter DSB-TÜV, Prüfer für Interne Revisionssysteme (DIIR), Datenschutzauditor (TÜV), IT-Auditor IDW

Associate Partner

+49 911 9193 3628

Anfrage senden

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu