Viele Unternehmen sind gesetzlich nach § 4 f BDSG verpflichtet, einen Datenschutzbeauftragten zu bestellen. Als Faustregel gilt, dass bereits bei zehn Arbeitsplätzen, die die automatisierte Verarbeitung von Daten zum Gegenstand haben, die Bestellung erforderlich ist. Dieses können z.B. sein, Sachbearbeiter, Mitarbeiter im Vertrieb, Finanzwesen, IT sowie HR, aber auch jeder der mit der Vor- und Nachbereitung beschäftigt ist (z.B. Lochen, Abheften und Kuvertieren ausgedruckter Serienbriefe).
In letzter Zeit prüfen die zuständigen Datenschutzbehörden vermehrt Unternehmen auf das Bestehen ausreichenden Datenschutzes und verhängen bei Verstößen auch Strafen. Dieses gilt auch für die Frage, ob die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht und eine geeignete Person hierzu bestimmt wurde.
Viele Unternehmen greifen zur Erfüllung ihrer gesetzlichen Pflicht auf externe Datenschutzbeauftragte zurück. Dabei unterliegen sie vermehrt dem Irrtum, den gesetzlichen Anforderungen Genüge zu tun, indem „irgendein“ Datenschutzbeauftragter bestellt wird, und zwar auf Basis einer möglichst günstigen Pauschalvergütung mit minimalem Leistungsumfang.
Den gesetzlichen Anforderungen ist aber nur Genüge getan, wenn der Datenschutzbeauftragte nicht nur fachlich ausreichend befähigt ist, sondern auch wenn die internen Prozesse eine ausreichende Berücksichtigung des Datenschutzes durch umfassende Einbindung des Beauftragten vorsehen. Insbesondere muss sichergestellt sein, dass er ausreichend Zeit auf Mitarbeiterschulungen, Erstellung des Verfahrensverzeichnisses, Kontrollen und Beratung von Mitarbeitern aufwendet. Dies gilt umso mehr, umso schützenswerter verarbeitete personenbezogene Daten sind. Dies ist bei der Vereinbarung von Pauschalbestellungen mit definierten Arbeitsobergrenzen nicht stets gewährleistet und kann dazu führen, dass die Bestellung bei behördlichem Audit nicht anerkannt wird und Bußgeld fällig wird.
Wir empfehlen daher, bei der Auswahl des externen Datenschutzbeauftragten darauf zu achten, dass die zu vergütende Beauftragte den Beratungsbedarf abdeckt. Eine Bestellung nur um „formal“ einen externen Datenschutzbeauftragten vorweisen zu können ist kein sinnvoller Weg.