datenschutz.org logo

Ihr Ratgeberportal zum Datenschutz im Internet- und Arbeitsrecht

Datenschutz.org mobile logo

Externer Datenschutzbeauftragter als Dienstleister

  • Von Louisa N.
  • Letzte Aktualisierung am: 19. August 2024
Geschätzte Lesedauer: 5 Minuten

Das Wichtigste zum externen Datenschutzbeauftragten in Kürze

  • In Unternehmen, für die eine Pflicht besteht, einen Datenschutzbeauftragten (DSB) zu benennen, kann diese Aufgabe auch durch einen externen Dienstleister wahrgenommen werden.
  • Ein solcher externer Datenschutzbeauftragter unterliegt, da er kein Beschäftigter des Unternehmens ist, in der Regel nicht der Gefahr eines Interessenkonflikts.
  • Die von ihm zu erbringenden Leistungen werden in einem Dienstleistungsvertrag festgehalten.

Spezifische Informationen zum externen Datenschutzbeauftragten

Voraussetzungen des externen DSB Kosten für einen externen DSB Abberufung des externen DSB Vertrag für den externen DSB

Was ist ein externer Datenschutzbeauftragter?

Was macht ein externer Datenschutzbeauftragter?
Was macht ein externer Datenschutzbeauftragter?

Ein Datenschutzbeauftragter ist gemäß Datenschutzrecht in vielen Unternehmen, die personenbezogene Daten verarbeiten, gesetzlich vorgeschrieben. Dessen Aufgaben umfassen laut Art. 39 Datenschutzgrundverordnung (DSGVO) unter anderem:

  • Unterrichtung und Beratung hinsichtlich der datenschutzrechtlichen Pflichten
  • Überwachung der Einhaltung von Vorschriften zum Schutz personenbezogener Daten
  • Beratung zur Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Anlaufstelle für die Aufsichtsbehörde

Diese Aufgaben muss nicht zwingend ein Mitarbeiter des Unternehmens wahrnehmen – es kann auch ein externer Datenschutzbeauftragter benannt werden. Rechtliche Grundlage hierfür ist Art. 38 Abs. 6 DSGVO, wo der Abschluss eines Dienstleistungsvertrags für diese Tätigkeit zugelassen wird.

Ein externer Datenschutzbeauftragter kann Vorteile bieten – vor allem für kleinere Unternehmen.
Ein externer Datenschutzbeauftragter kann Vorteile bieten – vor allem für kleinere Unternehmen.

Gerade für kleinere und mittlere Unternehmen ist es nämlich schwierig, einen geeigneten Mitarbeiter für diese Funktion zu finden. Laut Art. 37 DSGVO muss er nämlich über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen. Auch wenn ein Beschäftigter eine Schulung durchläuft, ist nicht immer gewährleistet, dass er die umfangreichen Aufgaben im Alltag problemlos wahrnehmen kann.

Ein externer Datenschutzbeauftragter (DSB) kann in solchen Fällen eine Lösung darstellen. Als Dienstleister kümmert er sich um alle Datenschutz-Belange, die das Unternehmen betreffen. Die genauen Leistungen werden dabei individuell festgelegt.

Für viele Unternehmen bietet ein externer Datenschutzbeauftragter also dadurch Vorteile, dass sie keinen ihrer Beschäftigten erst aufwendig schulen müssen. Zudem müsste ein solcher von seinen üblichen Aufgaben zumindest teilweise freigestellt werden.

Wann muss ein DSB bestellt werden?

Ein interner oder externer Datenschutzbeauftragter muss von einem Unternehmen dann benannt werden, wenn es bestimmte Formen der Datenverarbeitung vornimmt. Diese sind in Art. 37 DSGVO definiert und werden für den deutschen Rechtsraum durch § 38 Bundesdatenschutzgesetz (BDSG) konkretisiert und ergänzt.

So ist nach dem BDSG immer dann ein DSB notwendig, wenn mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Auch Verarbeitungen, die eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO benötigen, oder solche zum Zwecke der geschäftsmäßigen Übermittlung oder der Markt- und Meinungsforschung erfordern – unabhängig von der Zahl der involvierten Mitarbeiter – die Bestellung eines solchen Beauftragten.

Welche Voraussetzungen muss ein externer DSB erfüllen?

Externer Datenschutzbeauftragter: Die Voraussetzungen umfassen u.a. Kenntnisse der Datenschutzpraxis.
Externer Datenschutzbeauftragter: Die Voraussetzungen umfassen u.a. Kenntnisse der Datenschutzpraxis.

Ein externer Datenschutzbeauftragter muss gewisse Voraussetzungen erfüllen, um seine Funktion ausüben zu können. In Art. 37 DSGVO steht dazu Folgendes:

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

Konkret heißt das, dass er nicht nur in den rechtlichen Bestimmungen des Datenschutzes und den technischen Maßnahmen für Datensicherheit firm sein muss, sondern auch Kenntnisse der konkreten Arten und Verfahren der Datenverarbeitung, die in dem Unternehmen durchgeführt werden, haben muss, um als externer Datenschutzbeauftragter seine Aufgaben wahrnehmen zu können.

Interessenkonflikt umgehen

Eine Voraussetzung, die in Art. 38 Abs. 6 DSGVO aufgeführt ist, besteht darin, dass ein Datenschutzbeauftragter zwar neben dieser Funktion auch andere Aufgaben und Pflichten haben kann, dies aber nicht zu einem Interessenkonflikt führen darf.

Im Klartext heißt das: Seine Pflicht, für die Einhaltung des Datenschutzes zu sorgen, darf nicht durch wirtschaftliche Interessen überlagert und dadurch möglicherweise hintangestellt werden. Gerade in kleineren Unternehmen ist eine solche Situation aber oft nicht zu umgehen.

Daher kann ein externer Datenschutzbeauftragter einen solchen Interessenkonflikt verhindern. Da er seine Funktion dem Unternehmen nur als Dienstleistung anbietet, aber nicht in die geschäftlichen Tätigkeiten involviert ist, kann er nicht nur formal, sondern auch de facto völlig unabhängig agieren.

Dienstleistungsvertrag für externen Datenschutzbeauftragten

Ein Vertrag ist als externer Datenschutzbeauftragter erforderlich.
Ein Vertrag ist als externer Datenschutzbeauftragter erforderlich.

Wie kommt ein externer Datenschutzbeauftragter in seine Funktion? Wie auch ein betrieblicher DSB erfolgt dies durch eine Bestellung bzw. Benennung, die in der Regel schriftlich vorgenommen wird. In dieser werden normalerweise auch die Aufgaben festgehalten.

Bei einer externen Berufung ist dies nicht ausreichend, da die entsprechende Person nicht dem Unternehmen angehört. Ein externer Datenschutzbeauftragter benötigt einen Vertrag, in dem die Bedingungen der von ihm zu erbringenden Dienstleistung festzuhalten sind. Dieser Dienstleistungsvertrag enthält in der Regel nicht nur die Leistungen, sondern auch die korrespondierenden Preise.

Abberufung: Ein externer Datenschutzbeauftragter hat keinen besonderen Schutz

Während ein interner DSB im Rahmen der Erfüllung seiner Aufgaben einen Kündigungsschutz genießt, ist dies bei externen Datenschutzbeauftragten nicht der Fall, da diese ja keine Beschäftigten des Unternehmens sind. In der Regel wird hier auf der Grundlage von § 627 Bürgerliches Gesetzbuch (BGB) angenommen, dass jederzeit durch eine Kündigung ein externer Datenschutzbeauftragter von seinen Aufgaben entbunden werden kann.

Eine solche Situation könnte aber dazu führen, dass die geforderte Unabhängigkeit des externen Datenschutzbeauftragten nicht mehr gegeben ist. Daher wird normalerweise empfohlen, im Dienstleistungsvertrag eine Mindestlaufzeit von zwei Jahren zu vereinbaren.

Externer Datenschutzbeauftragter: Welche Kosten sind zu erwarten?

Externer Datenschutzbeauftragter: Welche Kosten sind zu erwarten?
Externer Datenschutzbeauftragter: Welche Kosten sind zu erwarten?

Neben der Abwägung, ob ein Datenschutzbeauftragter extern oder intern benannt werden sollte, geht es oft auch um die Frage: Was kostet eigentlich ein externer Datenschutzbeauftragter? Liegt ein Stundensatz zugrunde oder wird er pauschal vergütet?

Wie viel ein Datenschutzbeauftragter, der extern bestellt wird, kosten kann, ist nicht pauschal zu beantworten. Dies hängt unter anderem von der Größe des Unternehmens, dem Umfang und der Art der Datenverarbeitung sowie den in Auftrag gegebenen Leistungen ab. Dazu kommen noch die Preisunterschiede von Anbieter zu Anbieter.

Aufgrund dieser Variablen kann die Dienstleistung unterschiedlich viel kosten. Im Vertrag externer Datenschutzbeauftragter wird der Preis festgelegt, der konkret für die gegebenen Umstände und die gewünschten Leistungen zu zahlen ist.
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (40 Bewertungen, Durchschnitt: 4,33 von 5)
Loading ratings...Loading...

Weiterführende Suchanfragen

Das könnte Sie auch interessieren:

Über den Autor

female author icon
Louisa N.

Louisa hat Informatik an der Hochschule für Technik und Wirtschaft in Berlin studiert und mehrere Jahre im Bereich IT-Sicherheit gearbeitet. Seit 2018 ist sie Redakteurin bei datenschutz.org und unterstützt unser Team mit ihrer Expertise. Ihre Texte befassen sich u. a. mit Themen wie Datenlöschung und Datenrettung.

Leser-Interaktionen

Kommentare

  1. Dagmar

    Sehr geehrte Damen und Herren,
    wo bzw. an welcher Stelle kann ich widersprechen, wenn mir ein Unternehmen mitteilt, dass es meine, vom Kraftfahrt-Bundesamt erhaltenen, persönlichen Daten nach § 39 Abs. 1 für 36 Monate speichern und an Dritte weitergeben wird, um eventuelle, in meinem Fall nicht berechtigten Ansprüche, durchzusetzen. Ein unternehmenseigener Datenschutzbeauftragter handelt letztlich immer i. S. des Unternehmens!?

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

✖ Anzeige
Haben Sie eine Rechtsfrage zum Thema DSGVO / Datenschutz?
Finden Sie jetzt mit Klugo einen Fachanwalt und lassen sich helfen!
Kostenlose Ersteinschätzung
X
Bleiben Sie über alle Änderungen sowie Tipps & Tricks informiert
Jetzt kostenlos per E-Mail abonnieren:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.