Logo der activeMind AG

Abberufung und Wechsel des externen Datenschutzbeauftragten

Inhalt

Es gibt vielfältige Gründe, die Zusammenarbeit mit einem externen Datenschutzbeauftragten zu beenden. Da die Position einerseits gesetzlich vorgeschrieben sein kann und andererseits der bestellte Beauftragte einen gewissen Schutz genießt, müssen Sie bei der Abberufung und der Neubestellung eines externen Datenschutzbeauftragten einige wichtige Schritte beachten (Achtung: Für die Abbestellung eines internen bzw. betrieblichen Datenschutzbeauftragten gelten einige Besonderheiten, auf die hier nicht eingegangen wird).

Gründe für die Abberufung eines externen Datenschutzbeauftragten

Gründe, den externen Datenschutzbeauftragten abzuberufen, gibt es ggf. etliche. Hauptsächlich dürften es die folgenden sein:

1. Die Beratung ist unzureichend

Die Bezeichnung Datenschutzbeauftragter ist nicht geschützt. Jeder darf diese Dienstleistung anbieten. Sehr oft stellt sich für Unternehmen erst einige Zeit nach der Bestellung des externen Datenschutzbeauftragten heraus, dass der Anbieter tatsächlich nicht ausreichend qualifiziert ist und ein grob unterschätztes Haftungsrisiko darstellt. Probleme werden nicht erkannt, rechtlich und technisch nicht überblickt und keiner zulässigen und praktikablen Lösung zugeführt. Hierbei sind „Verhinderer“ ebenso wie blauäugige „Alles-kein-Problem“-Sager zu nennen.

Sicher – auch der Datenschutzbeauftragte kann nicht hexen. Manches lässt sich nicht so umsetzen, wie es vom Management oder beispielsweise auch Vertrieb gewünscht ist. Die Kunst besteht darin, den Rahmen zu kennen und die Anpassungen vorzuschlagen, die es ermöglichen, dem gewünschten Ziel im Ergebnis so nah wie möglich zu kommen, ohne gegen das Datenschutzrecht zu verstoßen. Dies ist aber ohne eine allgemeinjuristische, also nicht allein auf den Datenschutz beschränkte, Ausbildung sowie vertiefte Kenntnisse in der Technik nicht möglich.

2. Der Berater steht nicht ausreichend zur Verfügung

Durch den Hype um die Datenschutz-Grundverordnung (DSGVO) sind viele Anbieter als One-Mann-Show auf den Markt getreten oder haben sonst nicht ausreichenden Personalbestand. Sie nehmen unbegrenzt Beratungsaufträge an, versprechen Kunden mit Kampfpreisen pauschal zu viel und gehen dann schnell unter. Die Folge ist ausbleibende oder aber jedenfalls dem Einzelfall nicht angepasste oder falsche Beratung.

3. Der Berater erzeugt nicht vorgesehene Kosten

Es gibt etliche Modelle, bei denen sich erst in Nachhinein herausstellt, was die Unterstützung tatsächlich kostet. Etwa, wenn die angebotene Leistung des externen Datenschutzbeauftragten nicht klar beschrieben oder nicht transparent abgerechnet wird. Auch Fälle, in denen ein pauschal abgerechnetes Kontingent „völlig unvorhergesehen“ nie oder nur selten ausreicht, sind nicht ungewöhnlich.

4. Die Beratung erfolgt durch wechselnde Personen

Einige Anbieter bieten Unterstützung lediglich per Callcenter. Dem Kunden wird kein fester Ansprechpartner geboten, sondern Anfragen erreichen den nächsten freien Mitarbeiter, der im Zweifel weder den Kunden kennt noch sonderlich qualifiziert ist. Die Folge sind pauschalisierte Antworten und Lösungen von der Stange, die weder auf die konkrete Situation noch auf den konkreten Bedarf des Unternehmens eingehen. Die Folge sind wiederum unzureichende Beratung und Unzufriedenheit.

5. Der Beauftragte hätte nie bestellt werden dürfen

Ob intern oder extern: Der Datenschutzbeauftragte muss unabhängig sein. So verlockend es für ein Unternehmen sein kann, beispielsweise IT-Unterstützung und Datenschutz aus einer Hand zu bestellen – wer als Datenschutzbeauftragter die Güte seiner eigenen Bemühungen als IT-Dienstleister kontrollieren müsste, darf nicht bestellt werden!

Anleitung zum Wechsel des externen Datenschutzbeauftragten

Einer der Vorteile des externen Datenschutzbeauftragten ist es, dass Sie sich relativ einfach von ihm trennen können (im Gegensatz zum internen bzw. betrieblichen Datenschutzbeauftragten). Die folgende Anleitung zeigt Ihnen auf, wie Sie dabei vorgehen sollten, so dass bis zur Bestellung eines neuen externen Datenschutzbeauftragten keine Datenschutzverstöße erfolgen:

1. Suche des Nachfolgers

Soweit Ihr Unternehmen verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, darf keine Lücke entstehen. Suchen Sie sich daher einen neuen Anbieter, der die Aufgaben zeitlich passend übernehmen kann. Achten Sie bei der Auswahl darauf, dass Gründe für den entstandenen Wechselwillen nicht erneut entstehen.

Tipp: Lesen Sie dazu unsere 14 Empfehlungen für die Auswahl eines externen Datenschutzbeauftragten!

2. Kündigung des Dienstleistungsvertrages

Der Datenschutzbeauftragte kann gegen seinen Willen nicht abberufen werden. Nicht geschützt ist aber der Bestand des Dienstleistungsvertrages, auf dessen Basis der externe Datenschutzbeauftragte regelmäßig tätig wird. Diesen können und müssen Sie kündigen. Achten Sie hierbei auf Laufzeiten und Kündigungsfristen, um den korrekten Zeitpunkt für die Nachfolge zu bestimmen.

Die Beendigung der Dienstleistung hat zwar keine Auswirkung auf die Bestellung des Datenschutzbeauftragten. Dieser dürfte aber mit Sicherheit sein Amt von sich aus niederlegen, sobald die Bezahlung ausbleibt.

3. Bestellung des neuen Datenschutzbeauftragten

Wenn die Punkte 1 und 2 erledigt sind, bestellen Sie den neuen externen Datenschutzbeauftragten mit Wirkung zum ersten Tag, der auf die Beendigung der Kooperation mit dem bisherigen Beauftragten folgt. Achtung: Es kann immer nur einen Beauftragten geben! Eine Neubestellung in eine noch bestehende Bestellung hinein ist zweifelhaft. Achten Sie auf ein passendes zeitliches Nacheinander.

4. Meldung an die Aufsichtsbehörde

Melden Sie die Änderung rechtzeitig der für Sie zuständigen Aufsichtsbehörde.

5. Anpassung von Angaben zum Datenschutzbeauftragten

Nehmen Sie rechtzeitig alle erforderlichen Anpassungen an Informationen vor, in denen auf den Datenschutzbeauftragten verwiesen wird oder dessen Kontaktdaten angegeben sind. Denken Sie genauso an Datenschutzhinweise auf der Website, Informationen für Betroffene, Regelungen und Konzepte, wie an Auftraggeber und Partner, die über den Wechsel des Ansprechpartners informiert werden müssen.

6. Übergabe an den neuen Datenschutzbeauftragten

Wird die Unterstützung im Datenschutz durch den neuen Datenschutzbeauftragten so beauftragt, dass sie – ungeachtet der erst später wirksamen Bestellung – sich mit der noch laufenden Kooperation des bisherigen Beauftragten überschneidet, besteht die Chance für eine geregelte Übergabe zwischen den Beauftragten. Aus den eingangs genannten Gründen, die zum Trennungswunsch geführt haben, sind die Erwartungen hieran allerdings möglicherweise zurecht eher gering.

7. Herausgabe von Unterlagen

Fordern Sie die Ihnen zustehenden Unterlagen vom bisherigen Beauftragten heraus. Wichtig: Auch diesen treffen vielfältige Pflichten, Daten aufzubewahren. Sie können daher nicht pauschal die Löschung von Daten verlangen. Fragen Sie aber nach dem, was Ihnen vereinbarungsgemäß zusteht.

8. Entzug von Berechtigungen

Soweit eingerichtet, entziehen Sie dem ehemaligen Datenschutzbeauftragten rechtzeitig Zugangsmittel und Rechte. Denken Sie insbesondere an sämtliche Remote-Zugriffsmöglichkeiten. Deaktivieren oder ändern Sie für den Datenschutzbeauftragten eingerichtete E-Mailadressen. Weisen Sie ggf. Pförtner und anderes Personal auf den Wechsel und die erloschene Zutrittsberechtigung hin.

Soweit dem ehemaligen Datenschutzbeauftragten Schlüssel oder Arbeitsmaterial ausgehändigt wurde, achten Sie auf vollständige Rückgabe.

Sie sind mit Ihrem Anbieter unzufrieden? Hier finden Sie konkrete Informationen, was wir als externe Datenschutzbeauftragte leisten.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.