Interner vs. Externer Datenschutzbeauftragter

Vereinssoftware campai klärt auf. Jeder Verein stellt sich irgendwann die Frage, ob ein Datenschutzbeauftragter (folgend „DSB“) benannt werden muss. Die Pflicht zur Benennung ergibt sich aus Art. 37 DSGVO. Demnach gibt es drei Konstellationen in denen ein DSB zu benennen ist:

§  Die Datenverarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten. 

§  Die Kerntätigkeit des Verantwortlichen (hier Verein) liegt in einer Datenverarbeitung, welche die umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erfordert. 

§  Die Datenverarbeitung des Verantwortlichen (hier Verein) liegt in der umfangreichen Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO. 

Keine dieser drei Voraussetzungen trifft in der Regel auf einen Verein zu. Kann daraus geschlussfolgert werden, dass ein Verein somit keine Verpflichtung zur Benennung eines DSB hat? Nein, denn in § 38 BDSG sind weitere Voraussetzungen benannt. 

Demnach muss ein DSB benannt werden, wenn 

§  in der Regel 20 Mitarbeiter*innen beim Verein beschäftigt sind, die sich ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen,

§  der Verein Datenverarbeitungen durchführt, die einer Datenschutz-Folgenabschätzung (folgend „DSFA“) gem. Art. 35 DSGVO unterliegen oder

§  Verarbeitungen erfolgen, die geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung dienen. 

Trifft eine der Voraussetzungen zu, besteht grundsätzlich die Pflicht zur Benennung eines DSB.

Muss der Datenschutzbeauftragte bei mir beschäftigt sein?

Die DSGVO als auch das BDSG lassen es offen, ob ein DSB bei dem Verantwortlichen (hier Verein) beschäftigt oder extern beauftragt werden kann. Insofern kann der Verantwortliche die Entscheidung von wirtschaftlichen Indikatoren (z.B. Kosten) abhängig machen.

Welche Vorteile als auch Nachteile haben interne sowie externe Datenschutzbeauftragte? 

Der Vorteil eines internen DSB liegt vor allem darin, dass die Person den Verein kennt. Sie ist hier „zu Hause“, und in die Kommunikation, sowie Verflechtungen des Vereins bestens eingebunden. Sie kennt die Strukturen und Mitarbeiter*innen genauer als es externe DSB tun. Die Kosten für den internen DSB sind in der Regel fix und gut planbar, da hier nicht Aufwand abgerechnet werden muss. Das macht die Kostenplanung einfacher. Jedoch sollten die Nachteile nicht unerwähnt bleiben. Damit ein*e Mitarbeiter*in interner DSB werden kann, gilt es die Voraussetzungen nach Art. 37 Abs. 5 DSGVO zu erfüllen. Da kann es schon schwierig werden, denn die Person muss über das notwendige Fachwissen und der geeigneten beruflichen Qualifikation verfügen. Oft sind dann externe Schulungen und Weiterbildungen nötig. Die Kosten trägt der Verantwortliche (hier Verein). Wird ein*e Mitarbeiter*in als interne DSB benannt, sollte dieser Aufwand nicht unterschätzt werden. Auch verfügt ein DSB über einen Sonderkündigungsschutz. Kurzfristige Senkungen der Personalkosten sind demnach nur mit erhöhtem Aufwand zu realisieren.

Die Nachteile des internen DSB sind gleichzeitig die Vorteile des externen DSB. So ist ein externer DSB bereits qualifiziert und bildet sich eigenständig und regelmäßig fort. Er bringt aus seiner Beratungspraxis auch Erfahrungen aus anderen Unternehmen oder Vereinen mit und weiß so, schnell auf Anfragen von Mitarbeiter*innen zu reagieren oder Problemstellungen zu lösen. Im Regelfall verfügt er über ein Datenschutzkonzept oder einen Fahrplan, um Datenschutzkonformität sicherzustellen. Ein Sonderkündigungsschutz besteht für externe DSB nicht. Dadurch das der externe DSB allerdings nicht bei dem Verantwortlichen (hier Verein) beschäftigt ist, kennt er die Besonderheiten des Vereins nicht in Gänze. Meisten haben die Mitarbeiter*innen eine gewisse „Scheu“ auf den externen DSB zuzugehen und Fragen zu stellen, weil dadurch Kosten verursacht werden. Dadurch können Risiken unentdeckt bleiben. 

Vermeidung von Interessenskonflikten 

Sind die Kosten für einen internen als auch externen DSB zu hoch, so könnte man auf den Gedanken kommen, den Vereinsvorsitzenden auch als DSB zu benennen. Der Gedanke könnte sein: „Es werden keine neuen Beschäftigten benötigt und keiner kennt den Verein mit seinen Prozessen besser. Dem Datenschutz wird zugleich auf oberster Vereinsebene begegnet.“ – Doch so einfach ist es nicht. Nach Art. 38 Abs. 6 DSGVO muss streng darauf geachtet werden, dass keine Interessenkonflikte entstehen. Es ist sicherzustellen, dass der DSB den Verantwortlichen objektiv kontrollieren kann. Prüft er sich und seine Arbeit selbst, kann es hierbei zu einem Interessenkonflikt zwischen beiden Funktionen kommen. 

Wie wird ein Datenschutzbeauftragter benannt?

Die Benennung des Datenschutzbeauftragten ist in Art. 37 Abs. 7 DSGVO geregelt. Demnach muss der Verantwortliche (hier Verein) die Kontaktdaten des DSB veröffentlichen und diese der Aufsichtsbehörde mitteilen. Der Veröffentlichung der Kontaktdaten wird durch die Nennung in Datenschutz-Informationsblättern oder -erklärungen nachgekommen. Die Anzeige bei der zuständigen Aufsichtsbehörde kann auf verschiedenen Wegen erfolgen, so z.B. online auf der behördlichen Webseite, per E-Mail oder postalisch. Der eigentliche Vorgang der Benennung ist somit recht unkompliziert. 

Verstöße einer fehlerhaften oder ausbleibenden Ernennung des DSB

Kommt es bei der Ernennung des DSB zu Verstößen, sodass z.B. kein DSB benannt wird oder ein Wechsel nicht ordnungsgemäß mitgeteilt wurde, so können Geldbußen durch die zuständige Aufsichtsbehörde verhängt werden. Nach Art. 83 Abs. 4 DSGVO können diese mit bis zu 10 Mio. EUR oder im Falle eines Unternehmens mit bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. 

Zusammenfassung 

Sofern den Verantwortlichen eine Verpflichtung trifft gibt es einige Faktoren, die Einfluss auf die Frage haben können, ob ein interner oder externe DSB benannt werden soll. Häufig sind finanzielle Argumente mit der Umsetzung der datenschutzrechtlichen Anforderungen abzuwiegen. Entscheidet man sich sich für einen externen DSB, so sollte intern klar kommuniziert werden, dass der DSB auch jederzeit einzubinden ist. Denn nur Prozesse die der externe DSB kennt, kann er auch prüfen und verbessern. Zu beachten sind ggf. auch die finanziellen Auswirkungen bei einem internen DSB. Insbesondere das Thema Interessenkonflikt dürfte für viele Vereine ein Deal Breaker bei der internen Benennung eines DSB sein, denn die Geldbußen bei Verstößen können empfindlich sein. 

Weitere Informationen finden Sie unter:

Dr. Datenschutz; Intersoft consulting services; Die Benennung des Datenschutzbeauftragten; Madeleine Kümmerle; Stand 12.Mai 2022, aufrufbar unter: https://www.dr-datenschutz.de/die-benennung-des-datenschutzbeauftragten/ 

‍