Da unsere Rechtsanwälte bei vielen Firmen als externe Datenschutzbeauftragte tätig sind, werden wir vor der Beauftragung immer wieder gefragt: „Warum muss ich Ihnen eigentlich jeden Monat Geld bezahlen? Können wir das nicht so machen, dass ich Sie nur dann bezahlen muss, wenn ich Sie anrufe und Sie dann etwas für mich machen?

Die Antwort auf diese Frage kann aus mehreren Gründen nur „NEIN“ lauten.

Da uns diese Frage jedoch immer wieder gestellt wird, möchten wir Ihnen die Gründe dafür erläutern, warum ein Datenschutzbeauftragter jeden Monat bezahlt werden muss:

1. Nach der DSGVO wird der Datenschutzbeauftragte zum Unternehmensberater

Die Frage, warum ein Datenschutzbeauftragter monatlich zu bezahlen ist, wird zumeist nur von Firmen oder Unternehmern gestellt, die sich erstmalig mit dem Thema Datenschutzrecht beschäftigen.  Es ist nämlich zu berücksichtigen, dass es sich bei einer datenschutzrechtlichen Beratung immer um eine Dauerberatung handelt. Häufig meinen Unternehmen und Unternehmer, dass einmal ein datenschutzrechtliches Audit im Unternehmen durchgeführt werden muss und damit das Thema „Datenschutz“ dann erledigt sei. Allenfalls wird dann noch eine Datenschutzerklärung auf der Homepage eingefügt und dann „muss es aber auch gut sein“.

Diese Annahme ist jedoch, gerade unter dem Blickwinkel der am 25.05.2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO), falsch.

Das neue Datenschutzrecht nach der Datenschutzgrundverordnung ist als klassisches „Datenschutz-Management-System“ ausgestaltet. Datenschutz ist jetzt ein Compliancethema. Die Pflicht zur Schaffung eines datenschutzrechtlichen Compliance-Systems trifft jedes Unternehmen. Diese Pflicht besteht auch unabhängig davon, ob ein Unternehmen dazu verpflichtet ist, einen externen Datenschutzbeauftragten nach den gesetzlichen Regelungen zu bestellen oder nicht. Jedes Unternehmen muss folglich über ein datenschutzrechtliches Management-Compliance-System verfügen und dieses ständig pflegen und weiterentwickeln. Aufgrund der Komplexität der datenschutzrechtlichen Normen und der damit einhergehenden rechtlichen Schwierigkeit ein solches System zu erstellen, zu entwickeln, umzusetzen und zu pflegen, ergibt sich bereits, dass eine ständige Beratung eines Unternehmens durch datenschutzrechtlichen „Experten“ erforderlich ist.

Der Datenschutzbeauftragte ist nach der DSGVO in sämtliche Unternehmensvorgänge, die mit dem Datenschutzrecht in Berührung kommen, zukünftig einzubeziehen.

Dies bedeutet, dass ein externer Datenschutzbeauftragter insbesondere bei nahezu allen arbeitsrechtlichen Maßnahmen, wie die Einstellung und Entlassung von Mitarbeitern, dem Umgang von Arbeitnehmerdaten, aber auch bei nahezu sämtlichen Marketingmaßnahmen, Werbemaßnahmen und auch im Umgang mit Kundendaten beratend hinzugezogen werden muss.

Bereits aus den vorgenannten Ausführungen, die lediglich einen Ausschnitt der umfangreichen Beratung eines externen Datenschutzbeauftragten berücksichtigen, wird ersichtlich, dass ein externer Datenschutzbeauftragter, der seine Tätigkeit ordnungsgemäß wahrnimmt, ohnehin jeden Monat für ein Unternehmen tätig werden muss. Der hierbei zu erbringende Umfang der Tätigkeit bemisst sich selbstverständlich nach Art und Umfang des Unternehmens und nach der Unternehmensgröße.

2. Das abstrakte Haftungsrisiko von 20 Millionen Euro

Die Datenschutzgrundverordnung sieht Bußgelder bis zu 20 Millionen Euro für Datenschutzverstöße vor. Es besteht daher ein enormes Haftungsrisiko für Unternehmen und ihre gesetzlichen Vertreter wie Vorstände, Geschäftsführer und dergleichen. Es besteht darüber hinaus eine persönliche Haftung der gesetzlichen Vertreter von juristischen Personen (UG, GmbH, AG, GmbH & Co. KG). Bei Personengesellschaften (KG, e.K., Einzelkaufleuten und der OHG) besteht ohnehin eine persönliche Haftung der handelnden Personen mit dem gesamten Vermögen. Weiter ist zu berücksichtigen, dass nach bestimmten Gesichtspunkten auch eine verschuldensunabhängige Verhaftung der vorgenannten Personen besteht.

Dies bedeutet wiederum, dass ein externer Datenschutzbeauftragter, sofern er nicht ordnungsgemäß handelt, nachrangig für diese Bußgelder ggf. in Anspruch genommen werden kann.

Dies bedeutet, dass ein Datenschutzbeauftragter ohnehin ständig tätig sein wird und auch zum Schutz des Unternehmens und der Unternehmer tätig werden muss, um Bußgelder zu verhindern.

3. Ständige Fortbildung und Kontrolle der Dokumentationen

Um eine ordnungsgemäße Tätigkeit für ein Unternehmen und einen Unternehmer erbringen zu können, muss sich ein externer Datenschutzbeauftragter ständig schulen und Mitglied in den entsprechenden Vereinigungen und Organisationen sein, um rechtliche Entwicklungen und Gesetze schon dann umsetzen zu können, wenn sie nicht in Kraft getreten sind, um hierdurch Bußgelder und datenschutzrechtliche Problemstellungen für Unternehmen und Unternehmer zu vermeiden.

Ferner muss ein Datenschutzbeauftragter auch schon die Verfahrensverzeichnisse und Dokumentationen eines Unternehmens prüfen und entsprechende Bearbeitungen empfehlen, wenn dies erforderlich ist, ohne dass hierfür ein gesonderter Auftrag des jeweiligen Unternehmens erforderlich ist.

Aus den vorgenannten Punkten wird folglich schon ersichtlich, dass ein externer Datenschutzbeauftragter, der seine Tätigkeit ordnungsgemäß zum Schutze eines Unternehmens erbringt, ohnehin jeden Monat bzw. dauerhaft für ein Unternehmen beratend zur Verfügung stehen muss. Er muss auch ständig rechtliche Entwicklungen beachten und jeweils prüfen, ob Maßnahmen für ein Unternehmen erforderlich sind.

Aus den vorstehenden Gründen wird daher deutlich, warum ein Datenschutzbeauftragter ständig und ohne gesonderte Beauftragung bezahlt werden muss. Er muss zum Schutze für ein Unternehmen, wenn es erforderlich ist. Nicht wenn er beauftragt wird.

4. Nachvollziehbare Kostengestaltung – keine Pauschalen

In unserer Sozietät sind wir daher dazu übergegangen, dass wir nicht wie einige Unternehmen mit Pauschalbeträgen arbeiten, sondern in unseren Beratungsverträgen lediglich eine Mindestabnahmezeit vereinbaren, die der Höhe nach in dem Umfang liegt, der nach unserer Einschätzung für das jeweilige Unternehmen ohnehin monatlich anfallen wird.

Wir können den Unmut einiger Unternehmen und Unternehmern teilweise verstehen, die uns mitteilen, dass man nicht einsehen würde, für Datenschutz Geld auszugeben, da man als Unternehmen hiervon „keine wirtschaftlichen Vorteile“ habe.

Es ist in diesem Zusammenhang bereits fraglich, ob man von der ordnungsgemäßen Umsetzung der gegebenen datenschutzrechtlichen Regelungen tatsächlich „nichts“ hat.

Diese Frage stellt sich aber bereits nicht, da die gesetzlichen Datenschutzregelungen zwingend sind und für jeden Unternehmer und für jedes Unternehmen gelten. Wer sich nicht an diese Regelungen hält, riskiert erhebliche Bußgelder, die möglicherweise die Existenz eines Unternehmens bedrohen. Sämtliche Unternehmen sind dazu verpflichtet, die datenschutzrechtlichen Regelungen einzuhalten. Dies bedeutet, dass auch Unternehmen, die mit anderen Unternehmen zusammenarbeiten, auch von ihren Partnerunternehmen zukünftig immer häufiger gefragt werden, ob sie denn die datenschutzrechtlichen Regelungen der DSGVO einhalten. Im Anschluss daran werden zumeist Nachweise verlangt. Denn selbst wenn Sie als eigenes Unternehmen sämtliche datenschutzrechtliche Bestimmungen einhalten und mit Partnerunternehmen zusammenarbeiten, die es Ihnen nicht gleichtun, haften Sie mitunter ebenfalls für die hierdurch entstehenden Datenschutzverstöße.

Das datenschutzrechtliche Compliance-Thema wird daher zunehmend auf die Gesamtwirtschaft Auswirkungen haben und dazu führen, dass Ihnen als Unternehmen und Unternehmer ohnehin nichts anderes übrigbleibt, als sich an die datenschutzrechtlichen Regelungen zu halten.

Darüber hinaus „haben“ Sie auch wirtschaftlich etwas vom Einhalten der datenschutzrechtlichen Regelungen.

Sie dürfen den Marketingaspekt einer den gesetzlichen Anforderungen entsprechenden datenschutzrechtlichen Compliance-Richtlinie nicht unterschätzen. Das Bewusstsein von Unternehmen, Unternehmern und auch Kunden zum Thema Datenschutz steigt zunehmend. Sie können sich daher als Unternehmen und Unternehmer, das die Regelungen der Datenschutzgrundverordnung einhält, positiv am Markt hervorheben und aktiv am Markt damit werben, dass Ihnen sowohl Mitarbeiter- als auch Kundendaten viel bedeuten und Sie daher diese Daten schützen.

Häufig vergessen Unternehmen und Unternehmer, die eine ständige Beratung durch Rechtsanwälte in Anspruch nehmen, dass man mitunter die Tätigkeit eines ständigen Beraters nicht sieht. Die Tätigkeit eines externen Datenschutzbeauftragten, der als ständiger Berater für Unternehmen tätig ist und Sie und Ihr Unternehmen vor datenschutzrechtlichen Verstößen schützt, ist auch dann für Sie tätig, wenn Sie es nicht sehen. Es ist die Aufgabe eines Beraters, sich ständig fortzubilden, auf aktuelle rechtliche Entwicklungen zu achten und zu überprüfen, ob Gesetzesänderungen, Änderungen in der Rechtsprechung oder Änderungen in der Meinung der Literatur direkte Auswirkungen auf Ihr Unternehmen und auf Ihr Datenschutzmanagement-System/datenschutzrechtliches Compliance-System hat. Ist es erforderlich, wird er für Sie tätig. Es ist daher eine ständige Überprüfung, Beratung und Beobachtung Ihres Unternehmens erforderlich, um die Tätigkeit eines externen Datenschutzbeauftragten ordnungsgemäß zu erbringen. Diese Tätigkeiten, Arbeitsvorgänge und Prüfungen sind jedoch überwiegend von den beratenden Unternehmen gar nicht wahrzunehmen.

Auch nicht zu verdenken ist, dass durch eine ständige Mindestabnahme von Stunden  sichergestellt ist, dass Ihnen der Berater bei sämtlichen Fragestellungen sofort zur Verfügung steht. Andernfalls müssten Sie nämlich damit rechnen, dass bei entstehenden datenschutzrechtlichen Problemen Ihnen kein Berater zur Verfügung steht, da dieser bereits mit zahlreichen Verfahren ausgelastet ist.

Wir vertreten daher und beraten unsere Unternehmen so, dass zu dem Zeitpunkt, wenn datenschutzrechtliche Problematiken durch die Presse bekannt werden, wir bereits schon längst diese Problemstellungen für Ihr Unternehmen gelöst haben und Sie jederzeit ein optimales Datenschutz-Management-System in Ihrem Unternehmen besitzen.

5. Zusammenfassung

Zusammenfassend lässt sich daher feststellen, dass Sie einen externen Datenschutzbeauftragten monatlich bezahlen müssen, da er ohnehin nach den neuen gesetzlichen Regelungen als ständiger Berater Ihres Unternehmens tätig sein wird und muss. Ferner stellt er für Sie sicher, dass Ihr Unternehmen DSGVO-konform aufgestellt ist und bleibt, ohne dass Sie es merken.

 

Für Rückfragen zu diesem Thema stehen wir Ihnen gerne zur Verfügung.

 

GoldbergUllrich Rechtsanwälte 2018

Rechtsanwalt Michael Ullrich, LL.M. (Informationsrecht)

Fachanwalt für Informationstechnologierecht

E-Mail: info@goldberg.de