Externe Datenschutzbeauftragte

Landesarbeitsgericht Mecklenburg-Vorpommern zum erforderlichen Fachwissen bei DSB

Ein Urteil des Landesarbeitsgerichts Mecklenburg-Vorpommern (LAG M-V) befasst sich mit dem erforderlichen Fachwissen, das ein Datenschutzbeauftragter (DSB) aufzuweisen hat, um die Tätigkeit des DSB auszuüben (Urteil vom 25.02.2020, Az.: 5 Sa 108/19).

Gestritten haben im vorliegenden Fall ein Konzerndatenschutzbeauftragter und eine Körperschaft des öffentlichen Rechts, deren behördlicher DSB der Kläger war. Die Beklagte betreibt ein Universitätsklinikum.

Aus mehreren Gründen gab es „Ärger“ zwischen den Parteien. Unter anderem auch deswegen, weil der DSB zudem Mitglied des Gesamtpersonalrats war. Nicht ganz unbedeutend ist in diesem Fallszenario auch, dass der DSB Volljurist war.

Letztlich wurde der DSB „abberufen“. Und zwar mehrfach – mit jeweils unterschiedlicher Begründung.

In dem Urteil musste sich das Gericht mit vielen „Querelen“ der Parteien beschäftigen. Der Punkt, der mich an dem Urteil interessiert hat, ist, dass das Gericht Ausführungen zu dem nach Art. 37 DSGVO erforderlichen Fachwissen des DSB macht. Allerdings macht das Gericht das nicht direkt, verweist aber auf die grundsätzliche Anwendbarkeit der Ausführungen des Gerichts in denselben Urteil zu den Voraussetzungen an die Fachkunde, die nach dem alten Landesdatenschutzgesetz in Mecklenburg-Vorpommern diesbezüglich anzusetzen seien.

Wenn wir die Ausführungen des LAG M-V heranziehen, ergibt sich für das Fachwissen, das nach Art. 37 Abs. 5 DSGVO bei einem DSB vorliegen muss, Folgendes:

  • Der Datenschutzbeauftragte muss über die Fähigkeit verfügen, seine in Artikel 39 DSGVO genannten Aufgaben zu erfüllen.
  • Die Tätigkeit des Datenschutzbeauftragten ist nicht an eine bestimmte Ausbildung oder näher bezeichnete Fachkenntnisse geknüpft.
  • Welche Sachkunde erforderlich ist, richtet sich insbesondere nach der Größe der Organisation, dem Umfang der anfallenden Datenverarbeitungsvorgänge, den eingesetzten IT-Verfahren und dem Typus der anfallenden Daten.
  • Wenn der DSB nur in einem Teilbereich über eine eigene Qualifikation verfügt, genügt es, wenn er im Übrigen auf fachkundige Mitarbeiter zurückgreifen kann.
  • Fortbildungen des DSB zu neuen technischen Entwicklungen und Gesetzesänderungen bzw. Entwicklungen in der Rechtsprechung sind unerlässlich.
  • Der Datenschutzbeauftragte muss nicht nur die nötigen Fachkenntnisse besitzen, sondern auch die Gewähr bieten, dass er seinen Aufgaben gewissenhaft nachkommt und nicht gegen seine Pflichten als Datenschutzbeauftragter, z. B. gegen seine Verschwiegenheitspflicht, verstößt.
  • Der DSB muss – über die Sachkunde hinaus – eine wirksame Selbstkontrolle der Organisation gewährleisten können.

Ich denke, das ist eine recht gute Zusammenfassung der wesentlichen Vorgaben, die an einen DSB zu stellen sind.

Mustervertrag für externe Datenschutzbeauftragte (DSGVO) – in zwei Varianten

Wer beim Webinar dabei war, hat es mitbekommen: In Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO) sollten externe Datenschutzbeauftragte so langsam überlegen, wie sie die Verträge mit ihren Kunden gestalten wollen, wenn dann ab 25.05.2018 die DSGVO gilt. Es ist keine Frage des „Ob“, sondern des „Wie“. Auf einen bestehenden Vertrag auf Basis des BDSG aufzusetzen, ist in Anbetracht der Haftungsrisiken der DSGVO sicher keine gute Idee.
Ich bin selbst ein großer Freund von Mustern und Vorlagen. Gar nicht immer so sehr, um diese 1:1 zu verwenden. Sondern vor allem, um sich Inspirationen zu holen oder einfach auf der Basis eines Musters eigene Lösungen zu entwickeln. Wenn ich mir so die externen Datenschutzbeauftragten in meinen Mandanten- und Bekanntenumfeld ansehe, dann arbeiten sehr viele auf Basis von aufwandsbasierter Vergütung. Andere gehen aber auch – wie ich – den Weg über Pauschalvergütungen pro Monat. Ich stelle Mitgliedern von Datenschutz-Coaching die Vertragsmuster zur Verfügung:
  • Mustervertrag für externe Datenschutzbeauftragte - Pauschalbetrag (.docx)
  • Mustervertrag für externe Datenschutzbeauftragte - aufwandsbasiert (.docx)
Beide Muster basieren schon auf der DSGVO, können aber jetzt schon verwendet werden. Wer noch kein Coaching-Mitglied ist, kann natürlich einfach hier einen Coaching-Monat erwerben. Das kostet 49,00 € inkl. MwSt. Und der Preis für Vertragsmuster sollte sicher angemessen sein. Und natürlich gibt es auch noch Zugriff auf alle anderen „Coaching-Inhalte“.
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Externe DSB sollten ihre Verträge anpassen – die DSGVO steht vor der Tür

Externe Datenschutzbeauftragte (DSB) müssen nicht nur ihre Kunden und ihre Fachkunde auf die Datenschutz-Grundverordnung (DSGVO) vorbereiten, sondern auch ihre eigenen Verträge. Das wird nur manchmal gerne – im Eifer des Gefechts – übersehen. Ich würde das als externer DSB aber nicht als lästige Aufgabe, sondern vielmehr als Chance betrachten:
  • eine Chance für weniger Haftungsrisiko und
  • eine Chance für eine höhere Vergütung.
Wer will das nicht… Und darum solltet ihr euch als externe DSB auch um dieses Thema kümmern. Worauf es dabei ankommt und welche Fehler hier in der Praxis häufig gemacht werden, war Thema des Webinars, das gestern stattgefunden hat: „DSGVO: Empfehlungen für Vertragsanpassungen für externe DSB“ In dem Webinar lernt ihr vor allem auch etwas über die sog. „KISS & No Thrills“-Strategie im Vertragsrecht. Die solltet ihr unbedingt beachten. Eine Aufzeichnung des Webinars ist jetzt für Mitglieder des Datenschutz-Coachings hier anzuschauen:
Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Podcast: Weg vom Tausch „Zeit gegen Geld“ – neue Wege für externe Datenschutzbeauftragte

Ich greife hier mal den Gedanken aus der letzten Podcastepisode auf und möchte die Dienstleister (z.B. externe DSB) unter euch motivieren, sich Gedanken über euer Vergütungsmodell zu machen.

Solltet ihr bereits schon ein Vergütungsmodell haben, das nicht mehr am Ansatz „Zeit gegen Geld“ hängt, dann beinhaltet diese Folge vielleicht dennoch hier und da etwas, was euch zwar bekannt, aber auch interessant vorkommen kann.

Und für alle von euch, die immer noch Zeit gegen Geld tauschen: Hört euch bitte diese Folge an und startet mit einem Versuch. Und lasst mich wissen, wie es funktioniert hat. Ich bin gespannt…

Entschuldigt bitte die üble Audioqualität…

Ach ja…und hier findet ihr das Buch, das für mich ein „Gamechanger“ war:

Podcast: Externen Datenschutzbeauftragten nur bezahlen, wenn ich ihn in Anspruch nehme?

Ich bekam neulich einmal eine E-Mail mit der Frage, was ich davon halten würde, wenn ein Unternehmen, das einen externen Datenschutzbeauftragten sucht, sich auf den Standpunkt stellt, dass für diesen eine Vergütung immer nur dann anfalle, wenn man ihn auch in Anspruch nimmt.

Dieser Podcast gibt meine Antwort darauf. Und noch ein bisschen mehr…