Vertrag Datenschutzbeauftragter

Vertrag des externen Datenschutzbeauftragten

In diesem Fall erbringt ein fachkundiger Dienstleister Leistungen für das Unternehmen, die die Tätigkeit als Datenschutzbeauftragter abdecken. Die Dienstleistung wird auf vertraglicher Basis erbracht. Der Vertrag des Datenschutzbeauftragten regelt das Verhältnis zum Unternehmen und sollte mindestens folgende Bereiche umfassen:

• Aufgaben eines Datenschutzbeauftragten: Auch wenn der externe Beauftragte die datenschutzrechtlichen Pflichten kennt, sollten klare Absprachen zu seinen Aufgaben getroffen werden. Die Vorteile aus der Bestellung eines Datenschutzexperten – einfachere Kündigungsmöglichkeiten, hohe Expertise und Haftung als Dienstleister – realisieren sich nur, wenn der Vertrag Datenschutzbeauftragter entsprechend genau und eindeutig gefasst wird.
• Beendigung des Vertrages: Es werden Regelungen zur Kündbarkeit des Vertrages getroffen. Die Kündigungsfrist für eine ordentliche Kündigung liegt im Belieben der Vertragsparteien, sollte aber nicht zu lang angesetzt werden. Es ist einer der entscheidenden Vorzüge eines externen Datenschutzbeauftragten, dass das Unternehmen sich von ihm schnell trennen kann, wenn man nicht zueinander passt.
• Entlohnung: Die Bezahlung des Datenschutzbeauftragten muss ebenfalls eindeutig geregelt sein. Hier sind verschiedene Modelle möglich. Der Datenschutzbeauftragte kann nach Zeit und/oder pauschal sowie projektbezogen entlohnt werden. Vielfach entwickeln sich Mischformen, wenn etwa von dem externen Berater die IT-Abteilung technisch zusammen mit den Administratoren in einem gesonderten Projekt datenschutzrechtlich „fit gemacht“ und dies projektbezogen abgerechnet wird, er daneben aber seine Routinearbeit im Bereich Datenschutz über eine monatliche Pauschale abwickelt. In allen Fällen gilt, dass der Vertrag des Datenschutzbeauftragten gerade in punkto Entlohnung möglichst eindeutig und klar, aber auch flexibel genug gestaltet werden sollte, um eine erfolgreiche Tätigkeit eines externen Datenschutzbeauftragten zu ermöglichen.
• Haftung: Ein weiteres Thema von Bedeutung ist die Haftung des Datenschutzbeauftragten. Im Zuge der Einführung der DSGVO, und dem damit verbundenen hohen Bußgeldern, wird der Haftungsfrage zukünftig noch mehr Bedeutung beizumessen sein. Während sich der interne Datenschutzbeauftragte, die notwendigen datenschutzrechtlichen Fachkenntnisse erst aneignen muss, bringt der externe Datenschutzbeauftrage diese Kenntnisse bei Tätigkeitsbeginn bereits mit und ist auch selbst für die Aktualisierung seines Wissens vollumfänglich verantwortlich. Dementsprechend ist bei einem externen Datenschutzbeauftragten eine fachkundige Betreuung auch unter Berücksichtigung aktueller Entwicklungen des Datenschutzrechts gewährleistet, wodurch die Gefahr von bußgeldbewährten Datenschutzverstößen oder -verletzungen minimiert wird.

Unsere Leistungspakete für den externen Datenschutzbeauftragten und die Datenschutzsoftware Proliance 360

Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.

Vertrag des Datenschutzbeauftragten – was gilt für den internen Datenschutzbeauftragten?

Auch bei internen Datenschutzbeauftragten ist eine schriftliche Vereinbarung sinnvoll. Der interne Datenschutzbeauftragte ist weiterhin bei dem Unternehmen angestellt. Es ist ein „Zusatzvertrag Datenschutzbeauftragter“ zu schließen, in dem die Tätigkeit genau beschrieben wird. Dies umfasst etwa die datenschutzrechtliche Aus- und Weiterbildung des Betroffenen sowie die konkreten Kompetenzen und Tätigkeitsbereiche. Weitergehend ist zu beachten, dass der interne Datenschutzbeauftragte eine Sonderstellung genießt, die insbesondere erhöhte Anforderungen an eine Kündigung stellen. Zudem haftet der interne Datenschutzbeauftragte – im Gegensatz zu dem externen Datenschutzbeauftragten – nur nach Maßgabe seines Beschäftigungsverhältnisses.

Zudem ist gemäß Art. 39 Abs. 6 S. 2 DSGVO elementar, dass bei dem betreffenden Mitarbeiter, der die Aufgabe des internen Datenschutzbeauftragten übernehmen wird, kein Interessenkonflikt zwischen seiner Aufgaben und Pflichten als Datenschutzbeauftragten und seiner regulären Tätigkeiten im Unternehmen auftritt. Da die datenschutzrechtlichen Pflichten durchaus auch einen unliebsamen Mehraufwand für Unternehmen bedeuten und bisherige Tätigkeiten nicht wie gewohnt weitergeführt werden können, können insbesondere bei Mitarbeitern auf oberer Managementebene (inklusive der Geschäftsführung) entsprechende Interessenkonflikte auftreten. Demgemäß dürfen solche Personen die Rolle als interner Datenschutzbeauftragter nicht wahrnehmen. Hierin liegt ein weiterer Vorteil des externen Datenschutzbeauftragten. Da dieser nicht Teil der Unternehmenssphäre ist, ist gewährleistet, dass keine Interessenkonflikte auftreten und er seinen gesetzlichen Aufgaben und Pflichten vollumfänglich nachkommen kann.