In letzter Zeit prüfen die zuständigen Datenschutzbehörden vermehrt Unternehmen auf das Bestehen ausreichenden Datenschutzes und verhängen bei Verstößen auch Strafen. Dieses gilt auch für die Frage, ob die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht und eine geeignete Person hierzu bestimmt wurde.
Oft werden externe Datenschutzbeauftragte beauftragt
Viele Unternehmen greifen zur Erfüllung ihrer gesetzlichen Pflicht auf externe Datenschutzbeauftragte zurück. Dabei unterliegen sie vermehrt dem Irrtum, den gesetzlichen Anforderungen Genüge zu tun, indem „irgendein“ Datenschutzbeauftragter bestellt wird, und zwar auf Basis einer möglichst günstigen Pauschalvergütung mit minimalem Leistungsumfang.
Vorsicht bei Pauschalbestellungen
Den gesetzlichen Anforderungen ist aber nur Genüge getan, wenn der Datenschutzbeauftragte nicht nur fachlich ausreichend befähigt ist, sondern auch wenn die internen Prozesse eine ausreichende Berücksichtigung des Datenschutzes durch umfassende Einbindung des Beauftragten vorsehen. Insbesondere muss sichergestellt sein, dass er ausreichend Zeit auf Mitarbeiterschulungen, Erstellung des Verfahrensverzeichnisses, Kontrollen und Beratung von Mitarbeitern aufwendet. Dies gilt umso mehr, umso schützenswerter verarbeitete personenbezogene Daten sind. Dies ist bei der Vereinbarung von Pauschalbestellungen mit definierten Arbeitsobergrenzen nicht stets gewährleistet und kann dazu führen, dass die Bestellung bei behördlichem Audit nicht anerkannt wird und Bußgeld fällig wird.
Datenschutzbeauftragter sollte Beratungsbedarf wirklich abdecken
Wir empfehlen daher, bei der Auswahl des externen Datenschutzbeauftragten darauf zu achten, dass die zu vergütende Beauftragte den Beratungsbedarf abdeckt. Eine Bestellung nur um „formal“ einen externen Datenschutzbeauftragten vorweisen zu können ist kein sinnvoller Weg.