Nachfolgend betrachten wir folgende Themen und geben Antworten auf häufige Fragen:
- Kosten – des internen Datenschutzbeauftragten in Voll- oder Teilzeit
- Kündigungsschutz – des internen DSB
- Bestellung – des DSB - was man dabei beachten sollte
- Bußgelder – Hinweise zur Regelung des BDSG und der DSGVO
- Meldepflicht – des Datenschutzbeauftragten an die Datenschutzaufsichtsbehörde
- Kostengünstige Lösung – externer Datenschutzbeauftragter als preiswerte Alternative
Was bzw. wie viel kostet ein externer Datenschutzbeauftragter – diese Frage steht im Raum, wenn man einen DSB bestellen muss oder möchte. Da Datenschutz kein Produkt von der Stange ist, kann man keinen Pauschalpreis für jedes Unternehmen festlegen. Somit kann man im Grunde keine allgemeine Aussage zu den Kosten der Bestellung eines externen DSB treffen.
Pauschalpreisangebote in Form von Datenschutzpaketen a la Standard oder Basic, Professionell und Flatrate sollten skeptisch betrachtet werden. Das Bundesdatenschutzgesetz (BDSG) sowie die EU-Datenschutzgrundverordnung (EU-DSGVO) geben klar vor, welche Aufgaben und Pflichten ein Datenschutzbeauftragter hat. Daher darf ein seriöses Angebot kein Datenschutz auf Raten sondern muss ein Komplettpaket sein.
In vielen Unternehmen besteht die Auffassung, dass ein interner Datenschutzbeauftragter die günstigere Wahl ist. Werden doch die Aufgaben von einem bestehenden Mitarbeiter oder Mitarbeiterin übernommen – günstiger geht es doch wohl nicht.
In den meisten Fällen ist dies jedoch ein Trugschluss, wie folgende Gründe zeigen.
Kosten eines internen Datenschutzbeauftragten
Bei der Bestellung eines Mitarbeiters zum Datenschutzbeauftragten unterscheidet man in der Regel zwischen Fulltimejob und Teilzeit, was sich in der Regel an Unternehmensgröße und Anzahl der eingesetzten Verfahren sowie anderer Indikatoren festmacht.
Nachfolgend wollen wir die Kosten dieser beiden Varianten des internen DSB darlegen.
| Interner Datenschutzbeauftragter | Vollzeit | Teilzeit |
| Arbeitszeitanteil als DSB | 100 Prozent | 10 Prozent |
| Nettogehalt pro Monat | 3.000 EUR | 3.000 EUR |
| monatlicher Gehaltsanteil als DSB | 3.000 EUR | 300 EUR |
| einmalige Ausbildungskosten* | 2.500 EUR | 2.500 EUR |
| jährliche Kosten Weiterbildung | 1.000 EUR | 1.000 EUR |
| jährliche Nebenkosten** | 1.000 EUR | 1.000 EUR |
| Jahreskosten (im ersten Jahr) | 39.500 EUR | 7.100 EUR |
| Jahreskosten (in den Folgejahren) | 38.000 EUR | 5.600 EUR |
| Monatskosten (im ersten Jahr) | 3.291,67 EUR | 591,67 EUR |
| Monatskosten (in den Folgejahren) | 3.166,67 EUR | 466,67 EUR |
Diese Kostenübersicht der Nettokosten beider Varianten eines internen Datenschutzbeauftragten basieren auf einem eher günstigen marktüblichen Gehalt, Ausbildungskosten und Weiterbildung im Bundesdurchschnitt. Je nach Region und Bundesland – z. B. in Berlin, Hamburg oder München - können die Kosten mehr als das Doppelte betragen.
Interner Datenschutzbeauftragter besitzt Kündigungsschutz
Ein interner Datenschutzbeauftragter besitzt gemäß § 4f Absatz 3 des Bundesdatenschutzgesetzes Kündigungsschutz – Zitat:
Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden. Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu bestellen,so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.
Zusammengefasst sagt dieser Absatz aus, dass – der interne DSB in der Ausübung seiner Tätigkeit weisungsfrei und direkt der Geschäftsleitung unterstellt ist. Die verantwortliche Stelle – das Unternehmen – hat die Kosten der Fortbildung und Weiterbildungskosten zu tragen. Der Datenschutzbeauftragte besitzt Kündigungsschutz – kann nur „aus wichtigem Grund“ gekündigt werden. Der Kündigungsschutz besteht ein Jahr nach Abberufung als Datenschutzbeauftragter fort.
Ein Interner Datenschutzbeauftragter hat auch Vorteile
Der im Grunde einzige Nachteil des externen DSB ist zugleich der entscheidende Vorteil eines internen Datenschutzbeauftragten. Der Mitarbeiter bzw. die Mitarbeiterin der verantwortlichen Stelle – des Unternehmens, Vereins oder der Gesellschaft – ist mit den unternehmensinternen Prozessen vertraut.
Somit kann der interne DSB in der Regel ohne eine doch recht zeitintensive Einarbeitungszeit mit der schwerpunktbezogenen Bearbeitung beginnen – Lösungen schneller erarbeitet werden. Unter Umständen relativiert sich dieser Vorteil jedoch, da ein externer Datenschutzbeauftragter über Erfahrungen in ähnlich gearteten Unternehmen verfügt.
Bestellung des Datenschutzbeauftragten – was man beachten muss
Für die Bestellung eines „Beauftragten für den Datenschutz“ gibt es klare gesetzliche formelle Vorgaben, die man einhalten sollte, da eine unwirksame Bestellung des DSB einen Datenschutzverstoß darstellt und mit einem Bußgeld durch die Datenschutzaufsichtsbehörde geahndet werden kann.
Hinweis – Bußgeld BDSG vs. EU-DSGVO
Wenn man sich für die interne Variante also die Bestellung eines Mitarbeiters oder einer Mitarbeiterin zum/zur Datenschutzbeauftragten entscheiden sollte, sind unter anderem folgende Punkte obligatorisch. Die Nichtbeachtung führt zur Unwirksamkeit der Bestellung und ist somit bußgeldbewehrt.
Mit Inkrafttreten der EU-DSGVO sind je nach Art und Schwere des Datenschutzverstoßes Geldbußen in Höhe von bis zu 20.000.000 EUR (20 Mio. EUR) bzw. bis zu 4 Prozent des durch die verantwortliche Stelle weltweit erzielten Jahresumsatzes möglich. Hier gilt der höhere Betrag als Grundlage der Bußgeldberechnung. Die nationale Regelung des BDSG sieht Geldbußen von bis zu 50.000 EUR sowie Freiheitsstrafe bis zu 3 Jahren vor.
Eignung und Fachkunde des „Beauftragten für den Datenschutz“
Wer zum Datenschutzbeauftragten bestellt - als DSB benannt - werden darf, regeln § 37 DS-GVO und § 5 BDSG (neu) – hier lautet es:
Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel - 39 DSGVO bzw. § 7 BDSG (neu) - genannten Aufgaben.
Der Datenschutzbeauftragte der verantwortlichen Stelle muss also über die erforderliche Fachkunde verfügen. Außerdem so regeln es die DS-GVO und BDSG muss ein Interessenskonflikt vermieden werden, was bedeutet, das weder die Geschäftsleitung noch Mitarbeiter in Schlüsselpositionen des Unternehmens zum DSB benannt werden dürfen.
Ausführliche Informationen hierzu unter Wer muss wann einen Datenschutzbeauftragten haben - bestellen?
Schriftliche Bestellung des Datenschutzbeauftragten notwendig?
Die EU-DSGVO sieht eine schriftliche Bestellung des „Beauftragten für den Datenschutz“ nicht vor – es genügt die Benennung. Es muss an die jeweils zuständige Datenschutzaufsichtsbehörde die schriftliche Meldung erfolgen, wer Datenschutzbeauftragter des Unternehmens, des Vereins oder der Gesellschaft ist. Darüber hinaus müssen die Daten des DSB transparent für Betroffene verfügbar gemacht werden – z. B. durch Bekanntgabe in der Datenschutzerklärung auf der Unternehmenswebseite.
Meldepflicht des DSB erleichtert die Arbeit der Datenschutzaufsichtsbehörden
Die bisherige nationale Regelung des Bundesdatenschutzgesetzes sah keine Meldepflicht des Beauftragten für den Datenschutz vor. Demnach war es für Unternehmen, Vereine und Organisationen – für die verantwortliche Stelle – in vielen Fällen möglich sich der Bestellpflicht des DSB zu entziehen.
Da es nun mit Inkrafttreten der DSGVO verpflichtend ist die Meldung über den benannten DSB schriftlich durchzuführen, wird dies die Arbeit der Aufsichtsbehörde deutlich erleichtern, da sie nun nur noch Daten abgleichen müssen.Kosten Externer Datenschutzbeauftragter die günstigere Lösung
In der obigen Kostenaufstellung eines internen Datenschutzbeauftragten in Voll- oder Teilzeit sind die finanziellen Aufwendungen für die verantwortliche Stelle dargestellt. Im Idealfall belaufen sich die Kosten für die interne Lösung auf knapp unter 500 EUR pro Monat.
Ein externer Datenschutzbeauftragter ist bei einem seriösen Angebot in der Regel bedeutend günstiger. Es gibt leider auch Anbieter, die sich an einer Gebührentabelle für Rechtsanwälte mit regional bedingten Kostenaufschlägen orientieren. Stundensätze von über 500 EUR sind die Folge und ganz klar dreiste Abzocke.
Auf der anderen Seite gibt es Unternehmen, die der Meinung sind „Datenschutz ist sexy“ - genauer die Dienstleistung im Bereich Datenschutz als „Eierlegende Wollmilchsau“ missbrauchen zu können und bieten Datenschutz als eine von vielen Dienstleistungen Ihres Unternehmens zum Dumpingpreis an. Das in manchen dieser Fälle die Fachkunde als fraglich zu betrachten ist, zeigt ein versierter Blick in den Quelltext der Webseite des Anbieters, der einen Datenschutzverstoß offenlegt, der darin besteht, dass Daten von Webseitenbesuchern nicht-datenschutzkonform an ein Unternehmen in den USA übermittelt werden – einfach nur billig, dreist und dumm.
Unser Angebot - externer Datenschutzbeauftragter Berlin - Hamburg - Kosten sparen!
Das die Kosten für einen externen Datenschutzbeauftragten nicht hoch und der Leistungsumfang keine abgestufte Lösung – unkalkulierbare Kostenposition der Unternehmenskosten – sein müssen, können Sie aus Ihrem persönlichen Angebot ersehen.
Die monatlichen Kosten für meine Bestellung als Datenschutzbeauftragter, individuelle Datenschutzberatungen und bedarfsgerechte Datenschutzschulungen ergeben sich aus den tatsächlichen Gegebenheiten der verantwortlichen Stelle. Neben dem Grundhonorar von 25,00 EUR wird ein individuelles Stundenkontingent pro Monat vertraglich vereinbart.
Kontaktieren Sie uns und fordern Sie Ihr Angebot an – gern können wir Sie fachkundig beraten und bei der Umsetzung des Datenschutzes unterstützen.
