Datenschutzbeauftragter Hildesheim Datenschutzerklärung

Die Kün­di­gung des exter­nen Datenschutzbeauftragten

[toc]

Die Rechts­be­zie­hun­gen mit dem Datenschutzbeauftragten

Nicht immer funk­tio­niert die Zusam­men­ar­beit mit dem exter­nen Daten­schutz­be­auf­trag­ten rei­bungs­los. Das liegt zum einen in der Natur der Sache: der Daten­schutz­be­auf­trag­te soll ja “den Fin­ger in die Wun­de” legen. Zum ande­ren passt es aber nicht mehr, weil sich z.B. die Zie­le des Unter­neh­mens geän­dert haben. Manch­mal ist Unter­neh­men aber auch nicht so ganz klar, was der eigent­lich macht. Und manch­mal kommt ein Anbie­ter, der ver­spricht, die iden­ti­sche Leis­tung für deut­lich weni­ger Kos­ten zu realisieren.

Jetzt soll der alte Daten­schutz­be­auf­trag­te nach Mög­lich­keit so schnell wie mög­lich “ent­sorgt” wer­den… Aber: wie kann ich mich dann von dem exter­nen Daten­schutz­be­auf­trag­ten lösen?

Hier ist es zunächst wich­tig, die vor­han­de­nen bei­den unter­schied­li­chen Rechts­be­zie­hun­gen zu unterscheiden:

  1. die Benen­nung zum Daten­schutz­be­auf­trag­ten gemäß Daten­schutz­grund­ver­ord­nung (DSGVO)
  2. der Dienst­leis­tungs­ver­trag zwi­schen dem Daten­schutz­be­auf­trag­ten und dem Unternehmen.

Die Benen­nung stellt die for­ma­le Ein­set­zung der betref­fen­den Per­son als Daten­schutz­be­auf­trag­ten dar, wäh­rend der Dienst­leis­tungs­ver­trag die Ein­zel­hei­ten der Zusam­men­ar­beit fest­legt, z. B. den kon­kre­ten Umfang der Leis­tung sowie das Entgelt.

Wenn wir zwei Rechts­ver­hält­nis­se fest­stel­len kön­nen, müs­sen wir eben auch zwei Rechts­ver­hält­nis­se kün­di­gen — so ein­fach ist das ;o)

Abbe­ru­fung des exter­nen Datenschutzbeauftragten

Der Daten­schutz­be­auf­trag­te muss auf der einen Sei­te for­mal von sei­ner Auf­ga­be ent­bun­den wer­den. Die­ses erfolgt durch schrift­li­che Abbe­ru­fung, die dem Daten­schutz­be­auf­trag­ten und der Auf­sichts­be­hör­de mit­ge­teilt werden.

“Hier­mit ent­bin­den wir Sie von Ihrer Tätig­keit als Daten­schutz­be­auf­trag­ter für die Pfef­fer­min­zia GmbH mit Wir­kung ab dem 01.01.2018”.

Nun muss noch die Kün­di­gung des Dienst­leis­tungs­ver­trags erfolgen.

Kün­di­gungs­schutz für den exter­nen Datenschutzbeauftragten?

Die wei­te­ren Rege­lun­gen in § 6 BDSG fin­den kei­ne Anwen­dung bei der Kün­di­gung exter­ner Daten­schutz­be­auf­trag­ter, da die­se in kei­nem Arbeits­ver­hält­nis mit dem Unter­neh­men ste­hen. Dies bedeu­tet, dass sie in die­ser Hin­sicht – anders als intern beru­fe­ne Daten­schutz­be­auf­trag­te – über kei­nen Kün­di­gungs­schutz verfügen.

Grün­de für die Kün­di­gung exter­ner Datenschutzbeauftragter

War­um wer­den exter­ne Daten­schutz­be­auf­trag­te von ihren Auf­ga­ben ent­bun­den? Eine pau­scha­le Ant­wort lässt sich hier ver­ständ­li­cher­wei­se nicht geben.

Grün­de, den exter­nen Daten­schutz­be­auf­trag­ten abzu­be­ru­fen, gibt es ggf. etli­che. Haupt­säch­lich dürf­ten es die fol­gen­den sein:

Was macht der eigent­lich? Woan­ders gibt’s das billiger!

Natür­lich soll­ten Sie nicht nur die Prei­se ver­glei­chen, son­dern müs­sen sich auch die jewei­li­ge Leis­tung anschau­en. …und ein guter Daten­schutz­be­auf­trag­ter küm­mert sich auch dann um Ihr Unter­neh­men, wenn Sie es nicht merken.

Neben der Erstel­lung der erfor­der­li­chen Doku­men­te und der Prü­fung Ihrer Pro­zes­se küm­mert er sich auch um die Fort­bil­dung Ihrer Beschäf­tig­ten — und natür­lich auch um sei­ne eige­ne Qua­li­fi­ka­ti­on. Auch soll­te er für Sie jeder­zeit erreich­bar sein und Pro­ble­me lösen kön­nen — also auch prä­ven­tiv z.B. Ihre Web­site regel­mä­ßig prü­fen und an die sich ändern­den Anfor­de­run­gen anpas­sen. Den­ken Sie z.B. an die kom­men­de ePri­va­cy-Ver­or­dung, die Recht­spre­chung des EuGH und die Ver­öf­fent­li­chun­gen der Lan­des­da­ten­schutz­be­hör­den. Wenn der Daten­schutz­be­auf­trag­te die­ses ernst­haft macht, lässt sich die­se Leis­tung nicht “bil­lig” anbieten.

Es ist eine betriebs­wirt­schaft­li­che Bin­sen­weis­heit, dass die Kos­ten auf die jewei­li­gen Man­dan­te umge­legt wer­den müs­sen. Wenn der Anbie­ter mit Kampf­prei­sen im Markt akti­ve ist, muss er zwin­gend mehr Man­dan­ten haben, damit sich sein Unter­neh­men rech­net. Wenn er dann vie­le Man­dan­ten betreu­en muss, um kos­ten­de­ckend arbei­ten zu kön­nen, bleibt wenig Raum für die Betreu­ung des ein­zel­nen Mandanten.

Die fach­li­che Kom­pe­tenz reicht nicht aus!

Lei­der ist die Bezeich­nung “Daten­schutz­be­auf­trag­ter” nicht geschützt, sodass jeder — auch ohne oder schlech­te fach­li­che Qua­li­fi­ka­ti­on — die Dienst­leis­tun­gen anbie­ten kann. Vie­le Unter­neh­men stel­len dann recht schnell fest, dass außer ein paar schö­nen Mus­ter­vor­dru­cken kei­ne lösungs­ori­en­tier­te und fach­li­che fun­diert Bera­tung erfolgt. Der Daten­schutz­be­auf­trag­ten ist tat­säch­lich nicht aus­rei­chend qua­li­fi­ziert und stellt damit ein grob unter­schätz­tes Haf­tungs­ri­si­ko dar.

Pro­ble­me wer­den ent­we­der gar nicht erkannt, oder recht­lich und tech­nisch nicht über­blickt. Die aus­ge­dach­ten Lösun­gen sind unzu­läs­sig und wenig prak­ti­ka­bel. Alles in allem kein wirk­li­cher Gewinn für das Unternehmen.

Sicher – auch der Daten­schutz­be­auf­trag­te kann nicht hexen. Man­ches lässt sich eben nicht so umset­zen, wie es vom Manage­ment oder bei­spiels­wei­se auch Ver­trieb gewünscht ist. Und manch­mal müs­sen Daten­schutz­be­auf­trag­te bei der Unter­neh­mens­lei­tung, den Beschäf­tig­ten oder dem Betriebs­rat rich­tig dicke Bret­ter bohren.

Nach unse­rer Auf­fas­sung besteht die Kunst dar­in, den recht­li­chen und tech­ni­schen Rah­men zu ken­nen und die not­wen­di­gen Anpas­sun­gen vor­zu­schla­gen, die es ermög­li­chen, dem gewünsch­ten Ziel im Ergeb­nis so nah wie mög­lich zu kom­men, ohne gegen das Daten­schutz­recht zu ver­sto­ßen. Dies ist aber ohne eine all­ge­me­in­ju­ris­ti­sche, also nicht allein auf den Daten­schutz beschränk­te, Aus­bil­dung sowie ver­tief­te Kennt­nis­se in der Tech­nik nicht möglich.

Wie bit­te soll ein Anbie­ter mit einer 3‑tägigen Aus­bil­dung ein rechts­wis­sen­schaft­li­chen Stu­di­um kom­pen­sie­ren? Woher soll er denn Kennt­nis­se aus dem Ver­trags­recht, Straf­recht usw. haben?

Und schon fast als all­ge­mein­gül­ti­ger Rechts­satz kann die Aus­sa­ge gel­ten: “Gutes kos­tet gutes Geld”. Ärgern Sie sich also nicht über die Qua­li­fi­ka­ti­on des Bera­ters — suche Sie lie­ber nach Qua­li­tät und Leistung.

Wo ist mein Bera­ter denn eigentlich?

Durch die Auf­re­gung ab März/April 2018 um die ab Mai 2018 gel­ten­de Daten­schutz-Grund­ver­ord­nung (DSGVO) sind vie­le Anbie­ter auf­ge­taucht, die mit einer schö­nen Web­site aber nicht aus­rei­chen­dem Per­so­nal­be­stand in den Markt getre­ten sind. Ger­ne neh­men sie Bera­tungs­auf­trä­ge an, ver­spre­chen Kun­den mit Kampf­prei­sen pau­schal zu viel und ver­su­chen sich dann mit Stan­dard-Mus­tern an der Bera­tung, weil es sonst zeit­lich gar nicht geschafft wer­den kann.

Wie­so kos­tet das denn jetzt extra?

Es gibt etli­che Model­le, bei denen sich erst spä­ter her­aus­stellt, was die Dienst­leis­tung tat­säch­lich kos­tet. Auf ein­mal kos­tet der Jah­res­be­richt extra, die Schu­lung der Mit­ar­bei­ter soll geson­dert ver­gü­tet wer­den und die Erst­ana­ly­se kos­tet pau­schal 2.000 EUR…

Wenn die ange­bo­te­ne Leis­tung des exter­nen Daten­schutz­be­auf­trag­ten nicht klar beschrie­ben ist, ärgern Sie sich nicht. Die­ses Feh­ler ist vie­len Unter­neh­men pas­siert — Sie befin­den sich in guter Gesellschaft.

Wer ist denn mein Bera­ter oder habe ich mehrere?

Eini­ge Anbie­ter nut­zen sehr aus­gie­big Büro­dienst­leis­ter, wie z.B. Call­Cen­ter. Hier wird dem Kun­den kein fes­ter Ansprech­part­ner an die Sei­te gestellt, son­dern immer der, der gera­de Zeit hat. Die­ser kennt im Zwei­fel weder den Kun­den noch ist aus­rei­chend qua­li­fi­ziert. Wir ken­nen Call-Cen­ter als Dienst­leis­ter für einen Daten­schutz­be­auf­trag­ten, denen ein Fra­ge-Ant­wor­ten-Kata­log zur Ver­fü­gung gestellt wird, der die feh­len­de Qua­li­fi­ka­ti­on des Gesprächs­part­ners kom­pen­sie­ren soll (“Die 30 häu­figs­ten Kunden-Fragen”).

Darf der das eigent­lich? Risi­ko Inkompatibilität!

Bei der Bestel­lung des Daten­schutz­be­auf­trag­te muss dar­auf geach­tet wer­den, dass die­ser unab­hän­gig ist und bleibt.

Auch wenn es durch­aus Sinn machen kann, wenn der IT-Dienst­leis­ter sich auch um den Daten­schutz küm­mert, liegt hier eine sog. Inkom­pa­ti­bi­li­tät vor:

Der Daten­schutz­be­auf­trag­ter soll ja die Qua­li­tät und Daten­schutz­kon­for­mi­tät des IT-Dienst­leis­ters kon­trol­lie­ren — dann kann er natür­lich nicht Prü­fer und Dienst­leis­ter in einer Per­son sein!

Ein­ver­nehm­li­che Abberufung

Neben der ein­sei­ti­gen Been­di­gung des Dienst­leis­tungs­ver­tra­ges und Abbe­ru­fung kann die­ses auch ein­ver­nehm­lich erfol­gen. Der Daten­schutz­be­auf­trag­te und das Unter­neh­men eini­gen auf die Been­di­gung der Tätig­keit. Hier reicht eine kur­ze schrift­li­che Vereinbarung.

“Die Par­tei­en sind sich einig, dass der Dienst­leis­tungs­ver­trag zwi­schen Mül­ler und Mei­er GmbH vom 15.10.2018 zum 01.01.2019 ein­ver­nehm­lich sein Ende fin­det. Mit Ablauf des 31.12.2018 wird Herr Mül­ler als Daten­schutz­be­auf­trag­ter abberufen.”

An was muss ich nach der Kün­di­gung denken?

Wenn Sie ver­pflich­tet sind, einen Daten­schutz­be­auf­trag­ten zu bestel­len, muss im Anschluss an die Tätig­keit des gekün­dig­ten Daten­schutz­be­auf­trag­te unmit­tel­bar ein neu­er Daten­schutz­be­auf­trag­te bestellt wer­den. Suchen Sie sich daher recht­zei­tig einen neu­en Anbie­ter, der bes­ser zu Ihnen und Ihrem Unter­neh­men passt.

Und jetzt müs­sen Sie noch alle Doku­men­te usw. ändern. Die­ses sind alle Tex­te usw., in denen auf den Daten­schutz­be­auf­trag­ten ver­wie­sen wird oder des­sen Kon­takt­da­ten ange­ge­ben sind. Den­ken Sie aber auch an

  • die Daten­schutz­hin­wei­se auf Ihrer Website,
  • die Daten­schutz­hin­wei­se für ande­re Funk­tio­nen und Tools (z.B. Wlan),
  • Infor­ma­ti­on des Betriebs­ra­tes, Gesamt- und Kon­zern­be­triebs­rat, Spre­cher­aus­schuss usw.
  • Infor­ma­tio­nen für Betrof­fe­ne (Kun­den, Mit­ar­bei­ter usw.)
  • Rege­lun­gen und Kon­zep­te, wie an Auf­trag­ge­ber und Part­ner, die über den Wech­sel des Ansprech­part­ners infor­miert wer­den müssen.

Füh­ren Sie ein ord­nungs­ge­mä­ßes Off-Boar­ding durch:

  • Sind Schlüs­sel oder Arbeits­ma­te­ri­al aus­ge­hän­digt wor­den? Ach­ten Sie auf voll­stän­di­ge Rückgabe.
  • Wenn Zugangs- und Zugriffs­be­rech­ti­gun­gen erteilt wur­den, ändern Sie die­se rechtzeitig
  • Ach­ten Sie dar­auf, dass Sie die not­wen­di­gen Unter­la­gen, die der Daten­schutz­be­auf­trag­te erstellt hat, erhalten.
  • Sind noch The­men offen oder Anfra­gen unbearbeitet?
  • usw.

Zusam­men­fas­send lässt sich fest­hal­ten, dass der Wech­sel des Daten­schutz­be­auf­trag­te durch Kün­di­gung oder Ver­ein­ba­rung natür­lich Auf­wand ver­ur­sacht. U.E. ist die­ser Auf­wand aber überschaubar.