datenschutz.org logo

Ihr Ratgeberportal zum Datenschutz im Internet- und Arbeitsrecht

Datenschutz.org mobile logo

Externer Datenschutzbeauftragter: Welche Voraussetzungen müssen erfüllt sein?

  • Von Louisa N.
  • Letzte Aktualisierung am: 22. August 2024
Geschätzte Lesedauer: 3 Minuten

Das Wichtigste zu den Voraussetzungen eines externen Datenschutzbeauftragten in Kürze

  • Unternehmen können ihren Datenschutzbeauftragten auch extern bestellen.
  • Dieser kommt durch seine Bestellung und zusätzlich durch einen Dienstleistungsvertrag in seine Position.
  • Ein externer Datenschutzbeauftragter muss die Voraussetzungen erfüllen, die allgemein für diese Funktion vorgeschrieben sind.

Externer Datenschutzbeauftragter: Voraussetzungen für die Bestellung

Externer Datenschutzbeauftragter: Welche Voraussetzungen müssen erfüllt sein?
Externer Datenschutzbeauftragter: Welche Voraussetzungen müssen erfüllt sein?

Wann Unternehmen verpflichtet sind, einen Datenschutzbeauftragten (DSB) zu bestellen, steht in Art. 37 Abs. 1 Datenschutzgrundverordnung (DSGVO) sowie in § 38 Bundesdatenschutzgesetz (BDSG). Dieser DSB ist dann unter anderem für die Einhaltung der datenschutzrechtlichen Bestimmungen zuständig.

Doch dürfen Unternehmen diese Funktion auch extern bestellen, also nicht von einem eigenen Mitarbeiter, sondern einem Dienstleister erledigen lassen?

Die Zulässigkeit der Bestellung externer Datenschutzbeauftragter sowie die Voraussetzungen werden aus Art. 37 Abs. 6 DSGVO deutlich:

Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

Hieraus können wir also entnehmen, dass bei einer externen Besetzung dieser Stellung eine bloße Bestellung, wie sie bei einem internen Datenschutzbeauftragten erfolgt, nicht ausreicht. Zusätzlich ist ein Dienstleistungsvertrag notwendig, in dem die zu erbringenden Leistungen, aber zum Beispiel auch die genauen Kosten festgelegt werden.

Grundsätzlich lässt sich aber feststellen, dass ein externer Datenschutzbeauftragter ohne weitere Voraussetzungen ernannt werden kann. Das Unternehmen ist also in seiner Entscheidung, ob es diese Position intern oder extern besetzen soll, in der Regel frei. Lediglich die gewählte Person muss geeignet sein.

Welche Voraussetzungen muss ein externer Datenschutzbeauftragter erfüllen?

Was nun die Person selbst betrifft, also was ein externer Datenschutzbeauftragter an fachlichen Voraussetzungen erfüllen muss, um in diese Stellung benannt zu werden, darüber gibt Art. 37 Abs. 5 DSGVO Auskunft. Dabei ist es unerheblich, ob eine interne oder externe Bestellung erfolgt. Die Bedingungen, die an die Qualifikation der betreffenden Person gestellt werden, sind immer die gleichen.

Welche Voraussetzungen muss ein externer Datenschutzbeauftragter für seine Bestellung erfüllen?
Welche Voraussetzungen muss ein externer Datenschutzbeauftragter für seine Bestellung erfüllen?

Neben seiner beruflichen Qualifikation wird vor allem sein Fachwissen als Bedingung für die Bestellung eines Datenschutzbeauftragten genannt. Dieses Wissen soll folgende Bereiche umfassen:

  • Datenschutzrecht (v.a. DSGVO und BDSG)
  • Datenschutzpraxis

Der Datenschutzbeauftragte muss also nicht nur die gesetzlichen Bestimmungen genau kennen, sondern auch deren Umsetzung und die Art der betriebenen Datenverarbeitung. Es gehören also auch Kenntnisse der technischen Maßnahmen zu den Voraussetzungen, die ein externer Datenschutzbeauftragter erfüllen muss.

Wichtig ist auch: Der externe Datenschutzbeauftragte wird „auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben“ (Art. 37 Abs. 5 DSGVO) benannt. Es reicht also nicht, dass er die genannten Qualifikationen formal vorweisen kann – er muss darüber hinaus auch tatsächlich in der Lage sein, seine Tätigkeit mit all ihren Erfordernissen auszuüben.

Kein Interessenkonflikt bei externer Bestellung

Gerade für kleinere Unternehmen interessant ist die Tatsache, dass ein externer Datenschutzbeauftragter eine der Voraussetzungen (vgl. Art. 38 Abs. 6 DSGVO) in jedem Fall erfüllt: Er unterliegt keinem Interessenkonflikt, da er nicht selbst für das Unternehmen tätig ist.

So ist der externe Datenschutzbeauftragte frei in seiner Tätigkeit für den Schutz personenbezogener Daten und unterliegt nicht dem Verdacht, womöglich geschäftliche Interessen des Unternehmens zuungunsten des Datenschutzes zu berücksichtigen.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (25 Bewertungen, Durchschnitt: 4,60 von 5)
Loading ratings...Loading...

Weiterführende Suchanfragen

Das könnte Sie auch interessieren:

Über den Autor

female author icon
Louisa N.

Louisa hat Informatik an der Hochschule für Technik und Wirtschaft in Berlin studiert und mehrere Jahre im Bereich IT-Sicherheit gearbeitet. Seit 2018 ist sie Redakteurin bei datenschutz.org und unterstützt unser Team mit ihrer Expertise. Ihre Texte befassen sich u. a. mit Themen wie Datenlöschung und Datenrettung.

Leser-Interaktionen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

✖ Anzeige
Haben Sie eine Rechtsfrage zum Thema DSGVO / Datenschutz?
Finden Sie jetzt mit Klugo einen Fachanwalt und lassen sich helfen!
Kostenlose Ersteinschätzung
X
Bleiben Sie über alle Änderungen sowie Tipps & Tricks informiert
Jetzt kostenlos per E-Mail abonnieren:
Mit dem Absenden akzeptieren Sie unsere Datenschutzerklärung.