Externen Datenschutzbeauftragten benennen

Als Geschäftsführer tragen Sie die Verantwortung für die Einhaltung der DSGVO. Ein externer Datenschutzbeauftragter entlastet Sie, minimiert Haftungsrisiken und stellt sicher, dass Ihr Unternehmen rechtssicher aufgestellt ist. Erfahren Sie, wie Sie einen externen Datenschutzbeauftragten einsetzen.

Wie benenne ich einen externen Datenschutzbeauftragten rechtssicher?

Die Antwort in 30 Sekunden

Sie müssen einen Datenschutzbeauftragten (DSB) bestellen, sobald in Ihrem Unternehmen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht werden und die Benennung muss der Datenschutzbehörde mitgeteilt werden. Wichtig: Die Pflicht entsteht ab dem Zeitpunkt, an dem die Schwelle von 20 Personen erreicht wird. Danach sollten Sie umgehend die Benennung vornehmen und die erforderlichen Prozesse aufbauen.

Viele Unternehmen sind unsicher, ob und wann sie einen Datenschutzbeauftragten bestellen müssen. Die gesetzlichen Vorgaben sind komplex und Fehler können zu Bußgeldern führen. Rechtsanwältin Christiane Henneken erklärt Ihnen Schritt für Schritt, wann die Bestellpflicht greift, wie Sie einen externen Datenschutzbeauftragten benennen und welche Aufgaben dieser übernimmt. Im Folgenden erfahren Sie im Detail, wann die Bestellpflicht greift und wie Sie einen externen Datenschutzbeauftragten rechtssicher beauftragen.

Wann muss ich einen Datenschutzbeauftragten benennen?

Die gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten ist in der DSGVO (Artikel 37) und im Bundesdatenschutzgesetz (§ 38 BDSG) geregelt. Sie müssen einen Datenschutzbeauftragten benennen, wenn

• mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder

• Ihr Unternehmen Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterliegen (z. B. umfangreiche Videoüberwachung, Profiling) oder

• Ihr Unternehmen geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet oder

• Ihre Kerntätigkeit in Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

• Sie umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO vornehmen.

Die 20-Personen-Schwelle bezieht sich auf alle Beschäftigten, die regelmäßig mit personenbezogenen Daten arbeiten – unabhängig davon, ob in Vollzeit, Teilzeit oder geringfügig beschäftigt. Auch Aushilfen und befristet Beschäftigte zählen mit. Teilzeitbeschäftigte zählen – anders als in arbeitsrechtlichen Konstellationen – nicht anteilig, sondern voll.

Fazit: Sobald 20 Personen ständig mit personenbezogenen Daten arbeiten, besteht die Bestellpflicht. Prüfen Sie regelmäßig, ob diese Schwelle erreicht ist.

Sobald die Bestellpflicht greift, stehen Sie vor einer wichtigen Entscheidung: Sollen Sie einen Mitarbeiter aus Ihrem Unternehmen zum Datenschutzbeauftragten ernennen oder einen externen Dienstleister beauftragen? Beide Varianten haben spezifische Vor- und Nachteil

Was ist der Unterschied zwischen internem und externem Datenschutzbeauftragten?

Sie können einen Mitarbeiter aus Ihrem Unternehmen zum Datenschutzbeauftragten bestellen (interner DSB) oder einen externen Dienstleister beauftragen (externer DSB).


Interner Datenschutzbeauftragter

Vorteile: Kennt das Unternehmen und die internen Abläufe.

Nachteile: Hat besonderen Kündigungsschutz ähnlich einem Betriebsratsmitglied. Muss über die erforderliche Fachkunde verfügen, regelmäßig geschult werden und darf keine Interessenkonflikte haben (z. B. darf die Geschäftsführung nicht gleichzeitig DSB sein).


Externer Datenschutzbeauftragter

Vorteile: Bringt Fachkunde und Erfahrung mit, keine Schulungskosten, kein Kündigungsschutz.

Nachteile: Muss sich in die Unternehmensstrukturen einarbeiten.


Fazit: Für viele Unternehmen ist ein externer Datenschutzbeauftragter die praktikablere Lösung, da er sofort einsatzbereit ist und keine internen Ressourcen bindet.

Unser Service als Ihr externer Datenschutzbeauftragter

Die Anforderungen der DSGVO sind komplex und binden wertvolle Zeit. Wir übernehmen als Ihr externer Datenschutzbeauftragter die volle Verantwortung für die Einhaltung der Datenschutzvorschriften in Ihrem Unternehmen. So können Sie sich auf Ihr Kerngeschäft konzentrieren, während wir Ihre rechtliche Absicherung und Compliance gewährleisten.

 

Prüfung der Bestellpflicht und Erst-Analyse

Wir prüfen rechtssicher, ob in Ihrem Unternehmen eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht und analysieren den aktuellen Stand des Datenschutzes in Ihrem Haus.

 

Rechtssichere Bestellung und Meldung bei der Behörde

Wir führen den gesamten formalen Prozess für Sie durch: von der Erstellung des Benennungsschreibens bis zur fristgerechten Meldung an die zuständige Aufsichtsbehörde.

 

Laufende Überwachung und Beratung

Wir überwachen die Einhaltung der Datenschutzvorschriften, stehen Ihnen und Ihren Mitarbeitern als ständiger Ansprechpartner zur Verfügung und beraten Sie proaktiv bei allen datenschutzrechtlichen Fragestellungen im Betriebsalltag.

 

Erstellung und Pflege der rechtlichen Dokumentation

Wir erstellen und pflegen essenzielle Dokumente wie das Verzeichnis von Verarbeitungstätigkeiten (VVT) und prüfen Ihre Datenschutzerklärung, um sicherzustellen, dass alles auf dem neuesten Stand ist

 

Ansprechpartner für Behörden und Betroffene

Wir sind die offizielle Kontaktperson für Datenschutz-Aufsichtsbehörden und übernehmen die Kommunikation bei Anfragen von Kunden, Mitarbeitern oder anderen betroffenen Personen

 

Unterstützung bei Datenschutz-Folgenabschätzungen

Bei risikoreichen Verarbeitungsprozessen (z.B. Einführung neuer Technologien) beraten und unterstützen wir Sie bei der gesetzlich vorgeschriebenen Datenschutz-Folgenabschätzung

Rechtsanwältin, DSGVO-Expertin Christiane Henneken mit verschränkten Armen an eine eine pinkfarbene Säule gelehnt. Sie lacht offen. Sie trägt einen schwarzen Blazer und ein weißes T-Shirt.

Sie haben konkrete Fragen oder möchten sich einfach informieren?
Buchen Sie direkt Ihr kostenfreies Erstgespräch.
Rechtsanwältin Christiane Henneken freut sich auf Sie.

Unabhängig davon, ob Sie sich für einen internen oder externen Datenschutzbeauftragten entscheiden: Die Person muss bestimmte fachliche und rechtliche Anforderungen erfüllen. Für externe Datenschutzbeauftragte gelten dabei besondere Qualifikationskriterien

Welche Anforderungen muss ein externer Datenschutzbeauftragter erfüllen?

Der Datenschutzbeauftragte muss über die erforderliche Fachkunde verfügen. Das bedeutet: Er muss die DSGVO, das BDSG und die relevanten technischen und organisatorischen Anforderungen kennen. Konkret muss der externe Datenschutzbeauftragte

• die gesetzlichen Vorgaben der DSGVO und des BDSG beherrschen,

•  technische und organisatorische Maßnahmen (TOM) bewerten können,

•  Erfahrung in der Beratung von Unternehmen haben,

•  regelmäßig an Fortbildungen teilnehmen, um auf dem aktuellen Stand zu bleiben

•  darf in keinem Interessenkonflikt stehen.

Zudem muss der externe Datenschutzbeauftragte unabhängig sein. Das heißt: Er darf keine Weisungen erhalten, wie er seine Aufgaben zu erfüllen hat, und darf nicht wegen der Erfüllung seiner Aufgaben benachteiligt werden.

Geschäftsführer, Mitglieder der Geschäftsleitung, IT-Leiter, Personalleiter u.ä. dürfen auf Grund eines Interessenkonfliktes in der Regel nicht als Datenschutzbeauftragter benannt werden!

Fazit: Achten Sie bei der Auswahl auf nachweisbare Fachkunde, Erfahrung und Unabhängigkeit. Prüfen Sie zudem, wenn Sie einen internen Datenschutzbeauftragten einsetzen, unbedingt, ob der Benennung ein Interessenkonflikt entgegensteht.

Wenn Sie einen qualifizierten externen Datenschutzbeauftragten gefunden haben, folgt die formelle Bestellung. Dieser Prozess umfasst mehrere rechtlich relevante Schritte, die Sie sorgfältig dokumentieren sollten.

Wie läuft die Bestellung eines externen Datenschutzbeauftragten ab?

Die Bestellung erfolgt in mehreren Schritten:

 

1. Prüfung der Bestellpflicht

Stellen Sie fest, ob die 20-Personen-Schwelle erreicht ist oder aus einem der anderen Gründe eine Bennennungspflicht besteht.

 

2. Auswahl des externen Datenschutzbeauftragten


Prüfen Sie Qualifikation, Erfahrung und Verfügbarkeit.

 

3. Abschluss eines Dienstleistungsvertrags


Regeln Sie Aufgaben, Vergütung, Laufzeit und Kündigungsfristen schriftlich.

 

4. Schriftliche Benennung


Erstellen Sie zusätzlich zum Dienstleistungsvertrag ein Benennungsschreiben.

 

5. Meldung an die Datenschutzbehörde

Teilen Sie der zuständigen Aufsichtsbehörde die Kontaktdaten des Datenschutzbeauftragten mit. Dies kann auch der Datenschutzbeauftragte nach der Benennung übernehmen.

 

6. Veröffentlichung der Kontaktdaten


Veröffentlichen Sie die Kontaktdaten des Datenschutzbeauftragten in Ihrer Datenschutzerklärung und allen relevanten Dokumenten wie z.B. der Information nach Artikel 13, 14 DSGVO.

Nach der erfolgreichen Bestellung stellt sich die Frage: Welche konkreten Aufgaben übernimmt der Datenschutzbeauftragte in Ihrem Unternehmen? Mit der erfolgreichen Bestellung ist der formale Teil abgeschlossen. Jetzt beginnt die eigentliche Arbeit des Datenschutzbeauftragten in Ihrem Unternehmen. Seine gesetzlich definierten Aufgaben sind umfangreich und gehen weit über eine reine Beratungsfunktion hinaus.

Welche Aufgaben übernimmt der externe Datenschutzbeauftragte?

Der Datenschutzbeauftragte hat nach Art. 39 DSGVO folgende Kernaufgaben:

 

Unterrichtung und Beratung


Er informiert Sie und Ihre Mitarbeiter über die Pflichten aus der DSGVO und dem BDSG.

 

Überwachung der Einhaltung


Er prüft, ob Ihr Unternehmen die datenschutzrechtlichen Vorgaben einhält.

 

Beratung bei Datenschutz-Folgenabschätzungen


Er unterstützt Sie bei der Bewertung risikoreicher Verarbeitungen.

 

Zusammenarbeit mit der Aufsichtsbehörde


Er ist Ansprechpartner für die Datenschutzbehörde und für betroffene Personen.

 

Schulung der Mitarbeiter


Er führt Schulungen durch, damit Ihre Mitarbeiter datenschutzkonform arbeiten.

 

Wichtig: Der Datenschutzbeauftragte ist nicht für die Umsetzung der Maßnahmen verantwortlich. Die Verantwortung bleibt bei der Geschäftsführung. Der Datenschutzbeauftragte berät und überwacht – er entscheidet nicht.

Fazit: Der externe Datenschutzbeauftragte ist Ihr Berater und Kontrolleur. Er unterstützt Sie dabei, die DSGVO einzuhalten, aber die Umsetzung liegt bei Ihnen.

Die Aufgaben des Datenschutzbeauftragten zeigen: Seine Funktion ist unverzichtbar für die DSGVO-Konformität Ihres Unternehmens. Wer die Bestellpflicht ignoriert, riskiert erhebliche rechtliche und finanzielle Konsequenzen.

Was passiert, wenn ich keinen Datenschutzbeauftragten bestelle?

Wenn Sie trotz Bestellpflicht keinen Datenschutzbeauftragten benennen, verstoßen Sie gegen Artikel 37 DSGVO, § 38 BDSG. Die Nichtbestellung eines Datenschutzbeauftragten kann zu Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes führen. Zudem kann die Aufsichtsbehörde die Bestellung anordnen und bei Nichtbefolgung Zwangsgelder verhängen

Fazit: Die Nichtbestellung eines Datenschutzbeauftragten ist kein Kavaliersdelikt. Handeln Sie rechtzeitig, um Bußgelder und behördliche Anordnungen zu vermeiden.

Wie finde ich den richtigen externen Datenschutzbeauftragten?

Bei der Auswahl sollten Sie auf folgende Kriterien achten:

 

Fachkunde


Stellen Sie gezielte Frage, die auf eine Fachkunde schließen lassen.

 

Erfahrung 


Fragen Sie nach Referenzen und Erfahrung in Ihrer Branche.

 

Verfügbarkeit 


Klären Sie, wie schnell der Datenschutzbeauftragte erreichbar ist und wie oft er vor Ort sein kann.

 

Vertragliche Regelungen 


Achten Sie auf klare Regelungen zu Aufgaben, Vergütung und Kündigungsfristen.

 

Haftung 

Klären Sie, ob der externe Datenschutzbeauftragte eine Berufshaftpflichtversicherung hat.

 

Fazit: Wählen Sie einen externen Datenschutzbeauftragten, der nicht nur fachlich qualifiziert ist, sondern auch zu Ihrem Unternehmen passt und verlässlich erreichbar ist.

Rechtsanwältin, DSGVO-Expertin Christiane Henneken mit verschränkten Armen an eine eine pinkfarbene Säule gelehnt. Sie lacht offen. Sie trägt einen schwarzen Blazer und ein weißes T-Shirt.

Autorin

Rechtsanwältin Christiane Henneken verfügt über langjährige Erfahrung im Datenschutzrecht und begleitet Unternehmen bei der Umsetzung von DSGVO-konformen Prozessen und als externe Datenschutzbeauftragte.

.

Häufig gestellte Fragen (FAQ)

Muss ich als Kleinunternehmen einen Datenschutzbeauftragten bestellen?

Wenn weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Sie keinen Datenschutzbeauftragten benennen. Wichtig: es gibt Ausnahmen von dieser Regel. Wenn Ihr Unternehmen Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterliegen, geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet, Ihre Kerntätigkeit in Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder Sie umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO vornehmen, müssen Sie trotzdem einen Datenschutzbeauftragten benennen.

Ja, das geht und ist sogar sinnvoll. Denn die Vorgaben der DSGVO müssen Sie auch dann vollständig umsetzen, wenn Sie keinen Datenschutzbeauftragten einsetzen müssen und dafür benötigen Sie interne oder externe Expertise. Alternativ können Sie einen Datenschutzkoordinator einsetzen – wesentliche Unterschied: dieser wird nicht der Behörde gemeldet, kümmert sich aber ebenfalls um alle wesentlichen datenschutzrechtlichen Belange in Ihrem Unternehmen.

Nein, wenn Sie Geschäftsführer sind, geht das nicht. Die Geschäftsführung darf nicht gleichzeitig Datenschutzbeauftragter sein, da ein Interessenkonflikt besteht. Gleiches gilt in der Regel für die IT-Leitung, die Personalleitung u.ä.

Die Benennung selbst ist schnell erledigt. Nach Vertragsabschluss unterzeichnen Sie das Bestellungsschreiben und wir melden die Kontaktdaten unverzüglich der Datenschutzbehörde. Der gesamte Prozess kann in einem Tag abgeschlossen werden.

Die fehlende Meldung ist ein Verstoß gegen Art. 37 Abs. 7 DSGVO und kann mit einem Bußgeld geahndet werden.