Sind Anwältinnen die besseren Datenschutzbeauftragten?

In der Diskussion um Datenschutzbeauftragte taucht neben der Frage der Pflicht zu ihrer Bestellung in regelmäßigen Abständen auch immer wieder eine weitere auf: muss ein Datenschutzbeauftragter eine Juristin sein?

Es gibt keine gesetzliche Anforderung für die Qualifikation einer Person als Datenschutzbeauftragte - oder auch "nur" als Datenschutzberater. Nirgends ist gesetzlich festgelegt, was jemand können muss, der oder die in diesem Beruf arbeiten will. Es ist nicht festgeschrieben, dass man für diese Tätigkeit ein Jura Studium absolviert haben muss. Anforderungen an das Berufsbild wurden im Laufe der Jahre von den Berufsverbänden, der Rechtsprechung und den Aufsichtsbehörden definiert.

Was Anwältinnen können, können nur Anwältinnen

Fest steht, dass im Datenschutz nichts geht ohne Verständnis für Recht und technische Zusammenhänge. Aber wo ist der Schwerpunkt, täglich, im Unternehmensalltag? Ich bin befangen. Trotzdem meine ich, der Einsatz einer Anwältin als Datenschutzbeauftragte ist das Beste, was ein Unternehmen tun kann. Was Anwältinnen können, können eben nur Anwältinnen - Gesetze verstehen, auslegen, anwenden, Compliance Risiken einschätzen und das in allen Feinheiten. Inzwischen müssen wir ja nicht nur die DSGVO beherrschen, sondern auch die ganze verwandte Materie: Dora, Data Act, AI-Act ... um nur ein paar aus der jüngsten Zeit zu nennen.

Gesetze

Bei aller Notwendigkeit auch technische Fragen zu verstehen und anwenden zu können, kommt es am Ende immer auf die Beurteilung an, ob eine bestimmte Situation gegen ein Gesetz verstößt oder nicht und welche möglichen Folgen sich ein Unternehmen damit ggfls. einhandelt. Sollte es zu einem Rechtsstreit mit einer Aufsichtsbehörde kommen, hat ein Unternehmen den nötigen Sachverstand gleich im Haus, sofern der Datenschutzbeauftragte auch Anwalt ist.

Wir stehen Ihnen mit Rat und Tat zur Seite, auch wenn Sie keinen Datenschutzbeauftragten brauchen. Sprechen Sie uns gerne an und vereinbaren Sie ein unverbindliches erstes Gespräch.

Brauchen Sie eine (externe) Datenschutzbeauftragte?

Wie funktioniert die Bestellung eines betrieblichen Datenschutzbeauftragten?

Das Bundesdatenschutzgesetz verpflichtet nichtöffentliche Stellen, die personenbezogene Daten verarbeiten, unter bestimmten Umständen zur Bestellung eines betrieblichen Datenschutzbeauftragten. In diesem Artikel erfahren Sie, unter welchen Bedingungen Ihr Unternehmen davon betroffen ist und wann Sie mich und die PrivCom Datenschutz GmbH dafür engagieren können.

Anfang ist, wo Sie stehen

Gut, dass Sie hier sind und sich dem Thema widmen! Es ist egal, wie lange Sie schon überlegen und welche Schritte Sie bisher unternommen haben. Wir holen Sie da ab, wo Sie gerade stehen.
Im Laufe der Jahre habe ich als Beraterin gelernt, mit der Führungsebene in Unternehmen Geduld zu haben, was die Bewertung der Wichtigkeit des Datenschutzes und seiner Umsetzung im Unternehmen angeht. Mehr als einmal erlebte ich, dass auch Geschäftsführungen, die Datenschutz zunächst als ein Thema betrachteten, dass zwar irgendwie bearbeitet werden müsste, aber kein weiteres Engagement bräuchte, im Laufe der Zeit umgedacht haben. Dieses Umdenken führte dann oft zu einem Engagement, das aus einer gewachsenen Überzeugung resultierte.

Die ungeliebten Themen endlich angehen

Insofern sind die mir liebsten Geschäftsführungen diejenigen, die Datenschutz und Informationssicherheit zwar mit einer gewissen Skepsis betrachten und von der Wichtigkeit im Grunde ihres Herzens nicht überzeugt sind, die aber gleichzeitig wissen, dass gute Standards ein Baustein ihres geschäftlichen Erfolgs sind. Bestenfalls wächst aus dieser Haltung eben jene Überzeugung, aus der heraus das Thema unternehmensintern bearbeitet wird.

Die Pflicht zur Bestellung einer / eines Datenschutzbeauftragten

…besteht für Unternehmen und Organisationen, sofern sie

„in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“;

§ 38 BDSG

und unabhängig von der Anzahl der beschäftigten Personen, wenn

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht"

Art. 37 Abs. 1 lit. c DSGVO

oder

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen"

Art. 37 Abs. 1 lit. b DSGVO

Datenschutzbeauftragte können unternehmensintern oder extern bestellt werden.

Bitte beachten Sie: Sofern Ihr Unternehmen nach den Vorgaben des § 38 BDSG nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, sind Sie trotzdem gehalten, die Anforderungen der DSGVO umzusetzen!

Bitte beachten Sie außerdem: Die mögliche Verpflichtung, eine Datenschutzbeauftragte zu bestellen, gilt sowohl für Verantwortliche (Unternehmen, die ihre eigenen Daten verarbeiten) als auch für Auftragsverarbeiter (Unternehmen, die die Daten anderer verarbeiten, z.B. Rechenzentren).

Auslagern hat Vorteile

Auch und gerade für kleine Unternehmen kann es vorteilhaft sein, die Bearbeitung der Datenschutz-Aufgaben auszulagern, anstatt sie selber bearbeiten zu wollen. Wir lösen Probleme in 15 Minuten, für die Sie Tage bräuchten, da wir uns seit vielen Jahren ausschließlich mit diesen Themen beschäftigen. Und wir übernehmen die Gewähr, dass unsere Lösungen richtig und rechtskonform sind.

... und die Kosten?

Für kleine Unternehmen haben wir Bausteine zu den wichtigsten Themen, die Sie auch ohne Bestellung als Datenschutzbeauftragte buchen können.

Für größere Unternehmen vereinbaren wir eine individuelle Beratung.

In beiden Fällen gilt: eine Auslagerung und externe Beratung ist günstiger als selber machen.