Kos­ten und Pflich­ten des Daten­schutz­beauf­tragten

Vor allem Unter­neh­mer klei­ner Unter­neh­men fra­gen sich oft, was ein Daten­schutz­beauf­trag­ter genau macht und mit wel­chen Kos­ten man rech­nen muss.

Vorab. Wie immer ver­wende ich auch in die­sem Arti­kel die männ­li­che Form und ver­meide Gen­der­stern­chen. Das soll nicht bedeu­ten, dass ich Frauen nicht respek­tiere. Ggfs. werde ich zukünf­tig die männ­li­che und weib­li­che Form im Wochen­rhyth­mus abwech­seln, auch wenn ich nicht der Mei­nung, dass der respekt­volle Umgang mit Frauen davon abhängt.

Inter­ner oder exter­ner Daten­schutz­beauf­trag­ter?

Grund­sätz­lich kann der Daten­schutz­be­auf­tragte ein Mit­ar­bei­ter Ihres Unter­neh­mens sein, was meist dann vor­kommt, wenn das Unter­neh­men ver­pflich­tet ist, einen Daten­schutz­beauf­tragten zu benen­nen und das Unter­neh­men eine gewisse Größe erreicht hat. Man spricht dann von einem inter­nen Daten­schutz­beauf­tragten. Für klei­nere Unter­neh­men ist die Lösung eher weni­ger sinn­voll. Neh­men Sie einen exter­nen Dienst­leis­ter in Anspruch, spricht man von einem exter­nen Daten­schutz­beauf­tragten. Was sind die jewei­li­gen Vor- und Nach­teile?

Vor­teile und Nach­teile eines inter­nen Daten­schutz­beauf­tragten

Wich­tig ist, dass der intern benannte Daten­schutz­be­auf­tragte die bestehen­den Anfor­de­run­gen erfüllt, da das Unter­neh­men gesetz­lich ansons­ten so gestellt wird, als ob es kei­nen Daten­schutz­beauf­tragten bestellt hätte, was hohe Buß­gel­der zur Folge haben kann.

Ein wesent­li­cher Vor­teil des inter­nen Daten­schutz­beauf­tragten: Er kennt die Pro­zesse im Unter­neh­men bereits sehr gut, wäh­rend ein exter­ner DSB sich in diese zuerst ein­ar­bei­ten muss. Gern stief­müt­ter­lich behan­delt wird jedoch der Umstand, dass der interne DSB zur Erlan­gung der erfor­der­li­chen Fach­kunde umfang­rei­che und kost­spie­lige Schu­lungs­maß­nah­men absol­vie­ren muss und sich auch im Anschluss lau­fend fort­bil­den und die Fach­kun­de­er­hal­tung nach­wei­sen muss. Für das Unter­neh­men ent­ste­hen hier­durch Kos­ten durch die Schu­lungs­maß­nahme selbst sowie für das zeit­li­che Frei­stel­len des Mit­ar­bei­ters – on top zum nor­ma­len Gehalt.

Hin­zu­kom­men Nach­teile wie die meist erschwerte Suche eines geeig­ne­ten Kan­di­da­ten, wo es Inter­es­sens­kon­flikte zu ver­mei­den gilt. So kann z.B. ein IT-Lei­ter nicht gleich­zei­tig inter­ner DSB sein. Außer­dem muss der Mit­ar­bei­ter ein gewis­ses Inter­esse am Thema zei­gen, um sein Wis­sen lau­fend und aktiv aktu­ell zu hal­ten. Wei­tere Nach­teile sind die meist feh­lende Akzep­tanz im Unter­neh­men, eine oft als Betriebs­blind­heit genannte ein­ge­schränkte Wahr­neh­mung der Abläufe und Pro­zesse, eine beschränkte Arbeit­neh­mer­haf­tung mit voll­um­fäng­li­cher Unter­neh­mer­haf­tung und last but not least ein beson­de­rer Kün­di­gungs­schutz.

Vor­teile und Nach­teile eines exter­nen Daten­schutz­beauf­tragten

Die Vor­teile des inter­nen Daten­schutz­beauf­tragten sind zugleich die Nach­teile den exter­nen Daten­schutz­beauf­tragten. So muss er sich zuerst in die Pro­zesse und Abläufe Ihres Unter­neh­mens  ein­ar­bei­ten. Es über­wie­gen jedoch die Vor­teile, denn für ihn spre­chen eine trans­pa­rente und ver­trag­lich fest­ge­legte Kos­ten­struk­tur, bereits vor­han­de­nes Fach­wis­sen inkl. Nach­weis und eine neu­trale Posi­tion im Unter­neh­men sowohl nach außen als auch inner­halb des Unter­neh­mens. Dar­über hin­aus ver­rin­gert ein exter­ner Daten­schutz­beauf­trag­ter das Risiko für das Unter­neh­men, da die Grund­sätze der beschränk­ten Arbeit­neh­mer­haf­tung hier keine Anwen­dung fin­den und eine Pflicht­ver­si­che­rung die Haf­tung mini­miert. Sie kön­nen außer­dem den exter­nen DSB zu ver­trag­lich gere­gel­ten Fris­ten kün­di­gen, bei mir z.B. mit einer Frist von drei Mona­ten zum Ende eines Kalen­der­mo­nats, frü­hes­tens jedoch zum Ablauf der Min­dest­ver­trags­lauf­zeit von 12 Mona­ten.

Die Kos­ten des exter­nen Daten­schutz­beauf­tragten

Ich gehe nach­ste­hend nur noch vom exter­nen Daten­schutz­beauf­tragten (eDSB) aus, da der interne DSB in der Regel nur in grö­ße­ren Unter­neh­men vor­ge­fun­den wird. Bevor ich zu den Pflich­ten des DSB komme, kläre ich die Kos­ten und räume damit auch mit einem der gro­ßen Irr­tü­mer auf. Viele eDSB berech­nen eine monat­li­che Grund­ge­bühr. Darin sind bei eini­gen DSB bereits eine gewisse Anzahl Stun­den indi­vi­du­el­ler Leis­tun­gen ein­ge­rech­net. Andere, wie ich, tren­nen diese jedoch. Die Vor- und Nach­teile bei­der Vari­an­ten kön­nen Sie sich selbst aus­ma­len. Kau­fen Sie bereits eine gewisse Anzahl Stun­den im Vor­aus, ver­tei­len sich diese Kos­ten über das Jahr und fal­len nicht dann geballt an, wenn sie auf­tre­ten. Auf der ande­ren Seite, wenn Sie diese im Vor­aus bezahl­ten Stun­den nicht nut­zen, ent­fal­len sie in der Regel, was für den DSB eine nette, für Sie aber eine ärger­li­che Ange­le­gen­heit dar­stellt.

Warum eine monat­li­che Grund­ge­bühr

Egal wel­ches Preis­mo­dell Sie nut­zen, es wird Ihnen so oder so eine monat­li­che Grund­ge­bühr oder auch Basis­ge­bühr berech­net. Die zah­len Sie je nach Ver­ein­ba­rung monat­lich oder jähr­lich im Vor­aus, wobei Sie bei Letz­te­rem in der Regel wegen gerin­ge­rer Buch­hal­tungs­auf­wände eins, zwei Monats­ge­büh­ren ein­spa­ren. Was bezah­len Sie mit die­ser Grund­ge­bühr? Da diese nicht immer trans­pa­rent dar­ge­stellt wer­den, kön­nen ich hier nur für mich spre­chen.

    1. Ben­nen­ung
      Mit der Benen­nung ist der Daten­schutz­beauf­trag­ter auto­ma­tisch Ihr Ansprech­part­ner für die Auf­sichts­be­hörde und zur Zusam­men­ar­beit mit die­ser ver­pflich­tet. Ebenso ist er auto­ma­tisch Ansprech­part­ner für Betrof­fene. Er muss leicht, also auch kurz­fris­tig, erreich­bar sein. Dar­über hin­aus müs­sen Anfra­gen in der Regel kurz­fris­tig bear­bei­tet wer­den, was vom DSB bei sei­ner Pla­nung berück­sich­ti­gen muss. Bei mir wer­den Ihre Anrufe rund um die Uhr durch mein Sekre­ta­riat ange­nom­men und ich umge­hend infor­miert. Ich melde mich spä­tes­tens am Fol­ge­tag, in Not­fäl­len auch frü­her.
    2. Haf­tung
      Mit jeder Benen­nung geht der DSB ein Haf­tungs­ri­siko ein, dass er mit einer kos­ten­pflich­ti­gen Ver­mö­gens­scha­den­haft­pflicht­ver­si­che­rung absi­chert. Den­noch bleibt ein Rest­ri­siko. Auch dies muss der DSB ein­kal­ku­lie­ren.
    3. Fach­wis­sen­er­hal­tung
      Jeder Daten­schutz­be­auf­tragte ist dazu ver­pflich­tet, Fach­wis­sen zu erwer­ben und nach­zu­wei­sen und dar­über hin­aus das erwor­bene Fach­wis­sen lau­fend aktu­ell zu hal­ten und dies eben­falls nach­zu­wei­sen. Die Kos­ten für Schu­lungs­maß­nah­men und Fach­li­te­ra­tur sowie den zeit­li­chen Ein­satz wird der DSB als einen der Haupt­kos­ten in sei­ner Grund­ge­bühr berück­sich­ti­gen.
    4. Daten­schutz-Manage­ment-Sys­tem
      Die Lizenz für das Daten­schutz-Manage­ment-Sys­tem, meist als Soft­ware as a Ser­vice (SaaS) inkl. einer gewis­sen Anzahl an Benut­zern und einem fest­ge­leg­ten Spei­cher­platz für Doku­mente muss der DSB für seine Kun­den in der Regel für 12 Monate im Vor­aus bezah­len und wird sie in die Grund­ge­bühr ein­kal­ku­lie­ren. Hier und da gibt es auch noch DSB, die ana­log arbei­ten und daher keine Soft­ware­kos­ten wei­ter­ge­ben müs­sen. Diese stel­len jedoch die Aus­nahme dar.
      Die­ses Sys­tem ermög­licht dem Ver­ant­wort­li­chen das Füh­ren sei­nes DSGVO-Ord­ners mit dem Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten, den tech­nisch und ora­ni­sa­to­ri­schen Maß­nah­men (TOM), das Durch­füh­ren einer Daten­schutz-Fol­gen-Abschät­zung (DSFA) und vie­les mehr. Der DSB kann diese Doku­mente alle Prü­fen, frei­ge­ben oder mit Kom­men­ta­ren ver­se­hen zurück­ge­ben. Er kann For­mu­lare erstel­len und somit Prü­fun­gen durch­füh­ren, er kann Online-Richt­li­nien an die Mit­ar­bei­ter her­aus­ge­ben und diese digi­tal unter­zeich­nen las­sen und letzt­end­lich auch Online-Schu­lungs­maß­nah­men durch­füh­ren und doku­men­tie­ren.
      Es ist noch mehr mög­lich, aber das würde den Rah­men spren­gen. In einem spä­te­ren Arti­kel werde ich das Sys­tem genauer vor­stel­len, über das der Ver­ant­wort­li­che bzw. das Daten­schutz-Team mit dem DSB per E-Mail kom­mu­ni­ziert, so dass jeg­li­che Aus­sa­gen doku­men­tiert wer­den.
    5. Stan­dards
      Ich ent­wickle und erstelle lau­fend For­mu­lare, Richt­li­nien und Ver­ein­ba­run­gen, die von allen Kun­den kos­ten­frei genutzt wer­den kön­nen – ent­we­der 1:1 oder als Basis für das Erstel­len indi­vi­du­el­ler Doku­mente. Diese erleich­tern Ihnen die Arbeit und erspa­ren Ihnen Kos­ten. Zusätz­lich kaufe ich Vor­la­gen und andere Inhalte und Tools ein und erwei­tere das Daten­schutz-Manage­ment-Sys­tem um kos­ten­pflich­tige Optio­nen, wie z.B. Vor­la­gen für das Ver­fah­rens­ver­zeich­nis, was mei­nen Kun­den das Erstel­len die­ses Ver­zeich­nis­ses stark ver­ein­facht. Die Kos­ten sol­cher Erwei­te­run­gen bewe­gen sich schnell im 3-stel­li­gen Bereich. Diese Kos­ten sind eben­falls in der Grund­ge­bühr ein­kal­ku­liert.
    6. Frei­heit
      Ver­ste­hen Sie die­sen Punkt „Frei­heit“ nicht als eine Art Finan­zie­rung freier Zei­ten zum Urlau­ben oder Hoch­le­gen der Füße. Gemeint ist damit ein Puf­fer, der es dem DSB erlaubt, Tele­fo­nate zu füh­ren, E-Mails zuschrei­ben und ähn­li­che Arbei­ten für Kun­den zu erle­di­gen, ohne jede Klei­nig­keit notie­ren und berech­nen zu müs­sen. Ein gewis­ser Umfang an Kleinst­tä­tig­kei­ten ist also in der Grund­ge­bühr ein­kal­ku­liert.

Ich berechne in der Regel eine Grund­ge­bühr in Höhe von 99 Euro pro Monat zzgl. MwSt. Je nach Bran­che kann dies auch abwei­chen.

Und dar­über hin­aus?

Eine Grund­ge­bühr kün­digt meist wei­tere Kos­ten an. So auch beim Daten­schutz­beauf­tragten. Wird der DSB aktiv, berech­net er die Auf­wände minu­ten­ge­nau ab. Einige DSB berech­nen eine geringe Grund­ge­bühr und dafür höhere Stun­den­sätze, andere anders­herum. Die Stun­den­sätze lie­gen in der Regel zwi­schen 100 und 300 Euro. Wir berech­nen 120 Euro netto bzw. genau­ge­nom­men 2 Euro pro Minute. Was ins­ge­samt auf Sie zukommt, hängt auch von Ihnen ab. Wird der DSB Sie viel bera­ten und unter­stüt­zen, Sie vor Ort besu­chen und an Mee­tings teil­neh­men? Gibt es zu Ihren Aus­füh­run­gen viele Rück­fra­gen oder haben Sie so vor­ge­ar­bei­tet, dass er nichts zu bean­stan­den hat?

Der Groß­teil der Gesamt­kos­ten fällt sicher­lich initial an. Ist die DSGVO ein­mal soweit umge­setzt, ent­ste­hen Auf­wände und Kos­ten für den jähr­li­chen Tätig­keits­be­richt, ein bis zwei Über­prü­fun­gen pro Jahr sowie Maß­nah­men bei der Ein­stel­lung neuer Mit­ar­bei­ter, der Anschaf­fung neuer Hard- oder Soft­ware, bei neuer bzw. Ände­rung vor­han­de­ner Pro­zesse und bei Fra­gen Ihrer­seits und Bera­tung durch den DSB. Nach den initia­len Kos­ten sind die lau­fen­den Kos­ten am ehes­ten even­tu­ell mit denen eines Steu­er­be­ra­ters ver­gleich­bar.

Pflich­ten des exter­nen Daten­schutz­beauf­tragten

Ich habe den Punkt Kos­ten vor den Pflich­ten auf­ge­führt, da der eine oder andere glau­ben könnte, sich mit der Grund­ge­bühr einem Ablass­brief ähn­lich von allen DSGVO-Pflich­ten und Haf­tun­gen frei­zu­kau­fen. Mit­nich­ten. Spre­chen wir von den Pflich­ten des Daten­schutz­beauf­tragten, dann gleich­zei­tig auch über Ihre Pflich­ten als Ver­ant­wort­li­cher. Wie das Wort erah­nen lässt: Sie als Inha­ber, Geschäfts­füh­rer oder Vor­stand sind Ver­ant­wort­li­cher – und blei­ben es auch. So wie ein Steu­er­be­ra­ter Ihnen diese Ver­ant­wor­tung nicht bei den Steuer­angelegen­heiten abneh­men kann, so kann der DSB dies auch nicht beim betrieb­li­chen Daten­schutz tun. Er kann und wird Sie aber unter­stüt­zen, Sie und Ihre Mit­ar­bei­ter bera­ten, Ihnen hel­fen und all das, was Sie machen, kon­trol­lie­ren.

Zusam­men­ge­fasst

Der Daten­schutz­be­auf­tragte sen­si­bi­li­siert, unter­rich­tet und berät die beschäf­tig­ten Per­so­nen im Unter­neh­men. Er über­wacht die Ein­hal­tung der Stra­te­gien für den Schutz per­so­nen­be­zo­ge­ner Daten sowie grund­sätz­lich die Ein­hal­tung der Vor­ga­ben der DSGVO und ande­rer Daten­schutz­vor­schrif­ten wie z.B. das Bun­des­da­ten­schutz­ge­setzt (BDSG).

Was ist mit der Schu­lung der Mit­ar­bei­ter?

Der Daten­schutz­be­auf­tragte sollte die Mit­ar­bei­ter nicht selbst schu­len, er ist für die Sen­si­bi­li­sie­rung ver­ant­wort­lich, auch wenn die deut­schen Auf­sichts­be­hör­den den Punkt etwas anders deu­ten und aktu­ell nichts gegen Schu­lun­gen durch den DSB aus­zu­set­zen haben. Ich schule den­noch nicht selbst, biete aber über das Daten­schutz-Manage­ment-Sys­tem Daten­schutz­schu­lun­gen als E-Lear­ning-Modul an, inklu­sive Wis­sens­test und Nach­weis. Für Inhouse-Schu­lun­gen habe ich jedoch einen Part­ner, der diese auf Wunsch in Ihrem Unter­neh­men durch­füh­ren kann.

Anlauf­stelle für Auf­sichts­be­hörde und Betrof­fene

Nach außen hin ist der Daten­schutz­be­auf­tragte die Anlauf­stelle für die Auf­sichts­be­hörde. Er ist zur Zusam­men­ar­beit mit die­ser ver­pflich­tet und muss für sie erreich­bar sein. Zusätz­lich ist der DSB die Anlauf­stelle für die Betrof­fe­nen, die sich zur Wahr­neh­mung ihrer Rechte an ihn wen­den und in zu Rate zie­hen kön­nen.

Was der DSB nicht macht

Der Daten­schutz­be­auf­tragte wird nicht für Sie das Ver­zeich­nis für Ver­ar­bei­tungs­tä­tig­kei­ten erstel­len. Eben­so­we­nig darf und wird er nicht Ihre evtl. not­wen­dige Daten­schutz-Fol­gen­ab­schät­zung (DSFA) für Sie erstel­len. Er wird Sie jedoch dabei tat­kräf­tig unter­stüt­zen, indem er Ihnen z.B. Mus­ter an die Hand gibt oder das Eine oder Andere soweit für Sie vor­be­rei­tet, dass Sie die Anga­ben und Doku­mente ledig­lich prü­fen und anpas­sen müs­sen. Beach­ten sie immer: Dem Daten­schutz­beauf­tragten ist daran gele­gen, dass Sie die DSGVO voll­stän­dig und ord­nungs­ge­mäß umset­zen und dass Sie beim betrieb­li­chen Daten­schutz gut auf­ge­stellt sind. Ich werde z.B. lang­fris­tig gese­hen nur mit Kun­den zusam­men­ar­bei­ten, die den Daten­schutz ernst neh­men und nicht bera­tungs­re­sis­tent sind, denn ein schlecht auf­ge­stell­ter Kunde erhöht das Haf­tungs­ri­siko des Daten­schutz­beauf­tragten.

Haf­tung des exter­nen Daten­schutz­beauf­tragten

Da Sie als Inha­ber, Geschäfts­füh­rer oder Vor­stand für den Daten­schutz in Ihrem Unter­neh­men ver­ant­wort­lich sind und der Daten­schutz­be­auf­tragte nicht wei­sungs­be­fugt ist, haf­tet er auch nicht für die Daten­ver­ar­bei­tung oder Daten­schutz­ver­stöße Ihres Unter­neh­mens, da er sie selbst nicht abstel­len kann.

Sie kön­nen jedoch gegen den Daten­schutz­beauf­tragten Scha­dens­an­sprü­che wegen Falsch­be­ra­tung gel­tend machen. Auch Betrof­fene kön­nen den DSB haft­bar machen, wenn Sie auf­grund einer objek­tiv fal­schen Bera­tung durch den DSB eine daten­schutz­recht­lich unzu­läs­sige Maß­nahme durch­ge­führt haben, auf­grund der ein Betrof­fe­ner einen Scha­den erlei­det.

Die Ver­si­che­rung des DSB

Der Daten­schutz­be­auf­tragte ist dazu ver­pflich­tet eine Ver­mö­gens­scha­den­haft­pflicht­ver­si­che­rung abzu­schlie­ßen. Übli­che Ver­si­che­rungs­sum­men lie­gen bei 1 bis 3 Mio Euro. Meine habe ich bei der His­cox mit einer Ver­si­che­rungs­summe von 3 Mil­lio­nen Euro abge­schlos­sen. Sie haf­tet bei Bera­tungs­feh­lern, jedoch nicht bei grob­fahr­läs­si­gen oder vor­sätz­li­chen, denn die Ver­si­che­rung darf nicht dazu füh­ren, dass der Daten­schutz­be­auf­tragte seine Arbeit schlei­fen oder in kri­ti­schen Situa­tio­nen den Arbeit­ge­ber gewäh­ren lässt.

Fazit

Wie Sie sehen bzw. lesen, sind die Haupt­auf­ga­ben des DSB das Über­wa­chen, Bera­ten und Kon­trol­lie­ren. Er ver­fügt über keine ver­bind­li­chen Ent­schei­dungs- und Wei­sungs­be­fug­nisse. Er soll ledig­lich unter­stüt­zen. Dar­aus folgt, dass Sie als Ver­ant­wort­li­cher wei­ter­hin ver­ant­wort­lich blei­ben und dass mit der Benen­nung und der Zah­lung der Grund­ge­bühr das Thema DSGVO für Sie noch lange nicht erle­digt ist. Ein guter DSB nimmt Sie, bild­lich gespro­chen, an die Hand und führt Sie als Lotse durch den DSGVO-Dschun­gel. Um solch einen Lot­sen zu fin­den, müs­sen Sie nicht ins nächste Rei­se­büro, fra­gen Sie ein­fach mich.

DSGVO Kontakt - Telefon Rückruf

OK

Vielen Dank für Ihre Nachricht, wir melden uns bei Ihnen.