Warum ein externer Datenschutzbeauftragter sinnvoll ist und was das kostet

Ein externer Datenschutzbeauftragter kann helfen, den Datenschutz im eigenen Business rechtskonform und allgemein sicherer zu gestalten. Für die meisten kleinen Unternehmen ist das allerdings kaum ein Thema, den eine gesetzliche Pflicht für kleine und mittlere Unternehmen und Handwerksbetriebe für einen externen Datenschutzbeauftragten gibt es erst ab 20 Mitarbeitern. Trotzdem habe ich mich vor kurzem dazu entschieden, auch als kleines Unternehmen einen Compliance-as-a-Service Unternehmen damit zu beauftragen, unser externer Datenschutzbeauftragter zu sein. Der Anlass war eine Abmahnung durch die Datenschutzbehörde und die daraus entstandenen vielen Fragezeichen, die es zu klären galt.

Warum brauche ich einen externen Datenschutzbeauftragten?

Spätestens seit 2018, als die DSGVO uns Website-Betreiber über Tage und Wochen beschäftigte, und wir seitdem alle mehr oder weniger "richtige" Cookie-Consent-Banner auf unseren Websites haben, besteht Unsicherheit unter uns Online Unternehmern. Egal, mit wem ich spreche, niemand kann oder will eine 100 %ige Aussage treffen, was erlaubt ist und was nicht. Darunter sind auch Anbieter von Cookie-Bannern, gestandene Unternehmer oder gar Anwälte. Häufig werden Formulierungen mit "müsste" oder "wir würden empfehlen..." verwendet, aber so ganz sicher ist sich zumindest aus meiner Erfahrung kaum jemand.

Mein Hauptproblem ist aber, dass ich als Gründer eigentlich gerne andere Dinge erledigen will. Dinge, die z. B. Geld verdienen und nicht Geld & Zeit kosten. Bitte nicht falsch verstehen: Ich finde Datenschutz richtig und wichtig, aber es kostet Zeit, die ich dafür schaffen muss. Die Lösung für mich: Ein externer Datenschutzbeauftragter.

Externer Datenschutzbeauftrager -as-a-Service

Natürlich ist es für kleine Unternehmen nicht realistisch, eine volle Stelle für den Datenschutz intern zu besetzen. Gut, dass es aber Dienstleister und Compliance Startups gibt, die den wichtigsten Service und wertvolle Beratung in Form von einfach kalkulierbaren Paketen anbieten. Ich selbst habe mich für heyData* aus Berlin entschieden, aber es gibt auch Alternativen wie dataguard.de oder harpocrates-corp.com.

Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Die DSGVO gibt vor, wann personenbezogene Daten verarbeitet werden dürfen.

• Art. 6 Abs. 1 S. 1 lit. a DSGVO ist Rechtsgrundlage für Verarbeitungsvorgänge, für die wir eine Einwilligung einholen.
• Art. 6 Abs. 1 S. 1 lit. b DSGVO ist Rechtsgrundlage, soweit die Verarbeitung personenbezogener Daten zur Erfüllung eines Vertrages erforderlich ist, z. B. wenn ein Seitenbesucher von uns ein Produkt erwirbt oder wir für ihn eine Leistung ausführen. Diese Rechtsgrundlage gilt auch für Verarbeitungen, die für vorvertragliche Maßnahmen erforderlich sind, etwa bei Anfragen zu unseren Produkten oder Leistungen.
• Art. 6 Abs. 1 S. 1 lit. c DSGVO findet Anwendung, wenn wir mit der Verarbeitung personenbezogener Daten eine rechtliche Verpflichtung erfüllen, wie es z. B. im Steuerrecht der Fall sein kann.
• Art. 6 Abs. 1 S. 1 lit. f DSGVO dient als Rechtsgrundlage, wenn wir uns zur Verarbeitung personenbezogener Daten auf berechtigte Interessen berufen können, z. B. für Cookies, die für den technischen Betrieb unserer Website erforderlich sind.

Besonders letzter Punkt mit dem berechtigten Interesse wird in meiner Erfahrung unter Unternehmern gerne recht weit definiert. Wann ein Interesse berechtigt ist oder nicht, ist für uns als Anwender meisten schwer zu greifen. Ein externer Datenschutzbeauftragter kann hier mit Erfahrungen und Einschätzungen ebenfalls helfen.

Beispiele aus der Praxis, wo ein externer Datenschutzbeauftragter helfen kann

Datenschutzfragen begegnen mir als Unternehmen ständig im Alltag. Wer ein Online Geschäftsmodell betreibt, verarbeitet zwangsläufig auch personenbezogene Daten. Dazu gehören z. B.

• E-Mailadresse
• Rechnungs- und Lieferadresse
• Telefonnummer
• IP-Adresse

Besonders die IP-Adresse wird gerne mal "vergessen".  Hier sind ein paar Beispiele, die vermutlich auch mindestens 90 % + der Leser dieses Beitrags betreffen:

Google Analytics

In Frankreich und Österreich haben die Datenschutzbehörden den Einsatz von Google Analytics in konkreten Fällen bereits für unzulässig erklärt. Nach Argumentation der Behörde stellen die vom Dienst gesetzten Online-Kennungen jedenfalls in Verbindung mit der ebenfalls verarbeiteten IP-Adresse personenbezogene Daten dar, die ohne ausreichende Rechtsgrundlage in die USA weitergegeben werden. In den USA können nämlich US-Behörden Zugriff auf die Daten nehmen. Google Analytics hat - so die Behörde - keine ausreichenden Schutzmaßnahmen ergriffen, um die Möglichkeit eines Zugriffs zu verhindern.

Die Behörde schreibt dazu in ihrem Schreiben aus dem April 2022 an mich konkret:

Da auf Ihrer Webseite Nutzungsdaten an US-amerikanische Diensteanbieter (insbesondere Google) übermittelt werden, weise ich Sie außerdem auf Folgendes hin: Die Übermittlung von Nutzungsdaten an US-amerikanische Diensteanbieter, die im Rahmen der Einbindung dieser Dienste in die Webseite stattfindet, ist nach dem sogenannten Schrems-Il-Urteil des Europäischen Gerichtshofs (EuGH-Urteil C-311/18) aus dem Jahr 2020 nicht ohne weiteres zulässig. Der EuGH hat Datenübermittlungen in die USA auf der Grundlage des sog. Privacy Shield für unzulässig erklärt. Der Privacy Shield ist ungültig und kann keine Datenübermittlung in die USA rechtfertigen. Auch aufgrund von Einwilligungen können Nutzungsdaten nicht regelmäßig, sondern nur in Ausnahmefällen in die USA übermittelt werden. Da eine für Cookies, Plugins und andere Trackingmechanismen passende Lösung bisher nicht gefunden wurde, ist der Einsatz dieser Dienste US-amerikanischer Anbieter auch aufgrund von Einwilligungen unzulässig.

Landesdatenschutzbeauftragte Rheinland-Pfalz

Klaviyo, Shopify, und andere US-Anbieter

Klaviyo ist in diesem Fall ein stellvertretendes Beispiel für andere US-Tools, die bei Online Unternehmern gerne im Einsatz sind. Es ist ein in der deutschen E-Commerce-Szene beliebtes E-Mail Marketing Tool, was auch in den USA hostet. Darf ich Klaviyo deshalb es verwenden oder sollte ich eine Alternative verwenden? Die einen sagen so, die anderen anders - und mittlerweile wurden sogar in dem Fall erste Abmahnungen verschickt. Gleiches gilt für die Nutzung von Shopify (kanadisches Unternehmen mit u. a. Infrastruktur in den USA). Hier wurde ich tatsächlich selbst von der Datenschutzbehörde abgemahnt und von meinem externen Datenschutzbeauftragten bei der Kommunikation in Richtung Shopify und Behörde unterstützt.

Beispiel: Klick -und Öffnungsraten

Wenn du Öffnungs- und Klickraten der Empfänger deiner Newsletter messen willst, brauchst du dafür nach Ansicht der Datenschutzbehörde neben der Anmeldung für den Newsletter eine zusätzliche Einwilligung. Das ist in der Umsetzung sehr unpraktisch, weil Leads dann sich für den Newsletter anmelden, aber die Messung von Öffnungs- und Klickraten ablehnen können. Mit einem geringen Bußgeld- und Abmahnrisiko könntest du die Erklärungen deshalb auch zusammenfassen, als Beispiel: "Ich möchte den Newsletter mit (Inhalt spezifizieren) erhalten. Ich bin einverstanden, dass die Öffnungs- und Klickraten zur Verbesserung des Newsletters gemessen werden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Mehr Informationen erhältst du in unserer Datenschutzerklärung [Link]“

Das ist ein Beispiel, bei dem ein externer Datenschutzbeauftragter konkret in der Umsetzung helfen kann.

VG Wort und andere EU Angebote

Nicht nur die Datenübermittlung in die USA ist ein Problem, auch Daten, die das Land oder die EU zumindest nicht verlassen. Auch hier gibt es Fragezeichen. Was ist z. B. mit dem VG Wort Pixel, mit Bewertungswidgets, mit lokalen Analytics (z. B. das, was direkt in Shopify erfasst und gemessen wird)? Das Gesetz bietet hier mehrere Rechtsgrundlagen, deren konkrete Anwendung aber letztlich Auslegungssache ist.

Blogger Kollege Peer Wandiger hat z.B. bei der Behörde in Bayern die Rückmeldung bekommen, dass der VG Wort Cookie auch nach Inkrafttreten des TTDSG ohne Consent geladen werden darf. Ich habe es aus Rheinland-Pfalz anders gemeldet bekommen. Cookies, die zu statistischen Zwecken eingesetzt werden, dürfen demnach nur mit Consent geladen werden! Genauso sieht das übrigens auch der Cookie Consent Anbieter Borlabs.

Was ist die Aufgabe eines (externen) Datenschutzbeauftragten?

Ein externer Datenschutzbeauftragter übernimmt diese Aufgaben:

• Beratung der Geschäftsführung und Fachabteilungen
• Kontakt mit der Datenschutzbehörde
• Ansprechpartner für Kollegen im eigenen Unternehmen (z. B. für Schulungen)
• Regelmäßige Datenschutz-Audit im Unternehmen
• Erstellung und Verwaltung von Pflichtdokumenten. Beispiele:
• Datenschutzerklärung für die Website
• Auftragsverarbeitungsverträge
• Schulungsdokumente und Zertifikate für Mitarbeiter, z.B. Verpflichtung auf Datengeheimnis
• Info zu betrieblicher Nutzung auf privaten Endgeräten
• Verzeichnis von Verarbeitungstätigkeiten
• Technische und organisatorische Maßnahmen (TOMs)
• Datenschutzfolgeabschätzungen (wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Pflichten von natürlichen Personen zur Folge hat).

In den meisten Fällen bietet ein externer Datenschutzbeauftrager auch eine passende Softwarelösung mit an, in der wichtige Dokumente, Audit Fragebögen, Schulungsunterlagen, etc. gesammelt und erstellt werden.

Wann ist ein externer Datenschutzbeauftragter Pflicht?

Für kleine Unternehmen ist ein externer (oder interner) Datenschutzbeauftragter nicht verpflichtend, zumindest nicht von Anfang an. Nach §38 (1) des Bundesdatenschutzgesetz ist die Nennung eines Datenschutzbeauftragten jedoch spätestens ab 20 Mitarbeitern Pflicht, sofern sich diese 20 ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Das können also Mitarbeiter sein, die z.B. Zugang zu Tools im Unternehmen haben (wie Email, Support, Shop, Marketing, Sales, Fulfillment, etc.), wo personenbezogene Daten zugänglich sind. Auch Kollegen in Teilzeit, Aushilfen, Praktikanten werden voll in diese Rechnung mit einbezogen.

Mögliche Bußgelder bei Verstößen

Datenschutz ist im Gesetz geregelt und kann bei Verstößen hohe Bußgelder nach sich ziehen. Demnach sind laut Gesetz Bußgelder von bis zu 20 Mio Euro oder 4% des letzten weltweiten Jahresumsatzes möglich gemäß Art. 83 Abs. 4 (a) DSGVO.

Aktuell verfolgen die Behörden nach meiner Wahrnehmung nicht merklich aktiv Verstöße auf Eigeninitiative. Aber immer häufiger gibt es wachsame Kunden und Besucher von Websites, die gerne mal eine Beschwerde bei der Behörde einlegen, die dieser dann auch nachgehen müssen.

Keine Sorge! In der Regel wird - besonders bei kleinen Unternehmen - zunächst um eine Stellungnahme und Korrektur von identifizierten Verstößen gebeten und nicht mit Bußgeldern gedroht. Um dem ganzen aber vorzubeugen, kann ein externer Datenschutzbeauftragter durchaus schon vorab helfen.

Was kostet ein externer Datenschutzbeauftragter?

Dem gegenüber kann ein Invest in einen externen Datenschutzbeauftragten durchaus Sinn ergeben, auch für kleine Unternehmen mit weniger als 20 Mitarbeitern. Statt unkalkulierbare und teure Stunden für einen Datenschutzanwalt (kostet gerne mal 175€ / Stunde oder mehr), kostet ein externer Datenschutzbeauftragter monatlich planbare Kosten. Praktisch und viel freundlicher für die Liquiditätsplanung & Buchhaltung.

Konkret gehen die Kosten für heyData bei 79€ / Monat los. Ich selbst zahle dort für das Paket "Professional" aktuell 175€ / Monat. Darin enthalten sind der Zugang zur heyData Software zur Verwaltung meiner bis zu 20 AVVs, bis 10 Mitarbeiter und einer Website. Zusätzlich stehen mir 15 Stunden Beratungsleistung (pro Jahr) zur Verfügung, die mir z. B. bei der aktuellen Abmahnung sehr geholfen haben. So konnte ich konkrete Fragen zur Umsetzung stellen und bekam immer innerhalb eines Tages Rückmeldung per E-Mail. Zusätzlich gab es einen Video-Call nach meinem schriftlichen Audit und eine regelmäßige Fortschrittskontrolle bei der Umsetzung meiner Maßnahmen. Für mich als Unternehmer ist das wirklich ein gutes Gefühl, jetzt alles richtigzumachen.

Ein alternatives Angebot gibt es z.B. von DataGuard. In meinem Fall war das Angebot an monatlichen Kosten (bei nahezu gleichem Leistungsangebot) ähnlich, bzw. etwas höher. Allerdings hätte DataGuard als externer Datenschutzbeauftragter zusätzlich für das Audit einmalig 2000 €+ berechnet. Bei heyData wurde das Audit nicht separat berechnet.

Die gute Nachricht, falls dennoch ein kostenpflichtiges Datenschutz-Audit buchen möchtest: Die Häflte davon kann für Unternehmen, die jünger als 2 Jahre sind, über einen Antrag über eine BAFA-Förderung zurückgeholt werden. Allerdings müssen die Kosten dafür zunächst erstmal selbst ausgelegt werden.

Fazit: Externer Datenschutzbeauftragter ist auch für kleinere Unternehmen sinnvoll

Wer ein Online Business betreibt, sollte Datenschutz ernst nehmen. Ein externer Datenschutzbeauftragter ist nicht zwingend ab Tag 1 erforderlich, aber man sollte das Thema zumindest auf dem Schirm haben, wenn sich das Geschäft gut entwickelt und die Sichtbarkeit größer wird.

Im Gegensatz zu Abmahnvereinen ist die Datenschutzbehörde (zumindest in meinem Fall) hilfreich, aufklärend und kommt nicht direkt mit Bußgeldern um die Ecke. Allerdings stellte ich nach einem ersten Austausch fest, dass Datenschutz ein extrem komplexes Thema sein kann und mehr bedeutet, als ein passendes Cookie-Consent-Tool einzusetzen. Es geht darum, als verantwortlicher Geschäftsführer erstmal jede Menge Wissen zusammenzutragen, und dieses nachher auch technisch sauber umzusetzen (und fortlaufend zu kontrollieren).

Für mich hat sich ein externer Datenschutzbeauftragter gelohnt. Ich weiß jetzt mehr, habe weitere unsichere Stellen im Unternehmen identifiziert und konnte sie lösen, bevor es irgendwann knallt. Da ich mit den Leistungen von heyData immer noch recht zufrieden bin, empfehle ich den Service gerne weiter. Hier findest du mein heyData Erfahrungsbericht.