Freiwillig einen Datenschutzbeauftragten bestellen – ist das sinnvoll?

Die DSGVO Umsetzung in Unternehmen hält einige Hürden bereit. Dazu gehört die Frage: Wann muss ein Datenschutzbeauftragter (DSB) bestellt werden? Vor dem Inkrafttreten der DSGVO war die Angelegenheit überschaubar geregelt. Nötig wurde ein eigener DSB ab einer bestimmten Unternehmensgröße. Doch das hat sich geändert. Deshalb müssen jetzt auch kleine und mittelständische Betriebe selbständig klären, ob sie verpflichtet sind, einen DSB zu benennen. Die DSGVO listet allerlei Voraussetzungen auf, die eine solche Verpflichtung beim Datenschutz für Firmen auslösen. Zu beachten sind beispielsweise folgende Punkte: Wie viele Mitarbeiter sind regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt? Welche Daten werden verarbeitet? Zu welchem Zweck geschieht das? Leider können KMUs oft nicht einschätzen, ob sie beim Verzicht auf einen DSB ihren Pflichten beim Datenschutz für Unternehmen tatsächlich noch gerecht werden.

Wer freiwillig einen Datenschutzbeauftragten bestellt, verhält sich abmahnungssicher

Problematisch ist, dass die Regelungen der DSGVO keineswegs eindeutig sind. Dazu ein Beispiel: Laut Verordnung muss ein DSB benannt werden, wenn „in der Regel“ mindestens neun Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Doch was bedeutet „in der Regel“? Und welche Mitarbeiter sind gemeint – auch Hilfskräfte mit kurzer Fristanstellung oder Minijobber? Diese Grauzonen lösen Verunsicherung aus und schüren Angst vor teuren Abmahnungen. Die freiwillige Beauftragung eines DSB schafft generelle Rechtssicherheit. Ist ein DSB benannt, kann diesbezüglich keine Abmahnung drohen.

Der freiwillig bestellte DSB und die Kostenfrage

Für kleine und mittlere Unternehmen ist die Beauftragung eines DSB eine wichtige Kostenfrage. Vorteilhaft ist, dass mit der neuen Verordnung die Möglichkeit eingeräumt wird, dass mehrere Unternehmen gemeinsam einen externen DSB beauftragen dürfen. Ob sich ein externer DSB für ein Unternehmen lohnt, klärt sich u. a. an folgenden Fragen: Müsste erst ein Mitarbeiter zeit- und kostenintensiv in die Thematik eingearbeitet werden? Wie zeitaufwändig sind die betrieblichen DSGVO-Dokumentationspflichten? Was kostet also letztendlich mehr: die interne Einarbeitung und Dokumentation oder die externe Beauftragung? Besonderes Augenmerk gilt außerdem den Haftungsfragen. Wenn der ausgewählte DSB ein interner Angestellter ist, haftet auch das eigene Unternehmen für Fehler beim Datenschutz. Wird ein externer DSB beauftragt, trägt er im Fall des Falles die Haftungskosten.

Fazit:
Beim Datenschutz für Unternehmen kann sich die freiwillige Beauftragung eines Datenschutzbeauftragten aus mehreren Gründen lohnen und sollte mit Blick auf die Kostenplanung genau durchdacht werden.