Bestellung eines externen Datenschutzbeauftragten

Grundsätzlich hat ein Unternehmen nach der Datenschutzgrundverordnung (DSGVO) die Wahl, ob es einen internen oder externen Datenschutzbeauftragten bestellt (Ausnahme bilden nicht EU-Länder, darunter auch die Schweiz, welche immer einen externen Datenschutzbeauftragten bestimmen müssen). Bei letzterem muss neben der regulären Benennung auch ein Dienstleistungsvertrag abgeschlossen werden, der das genaue Vertragsverhältnis, das zwischen dem Unternehmen und dem externen Dienstleister eingegangen wird, regelt. 

Dagegen wird ein interner Datenschutzbeauftragter lediglich benannt. Da es sich bei ihm um einen Mitarbeiter des Unternehmens handelt, ist sein Verhältnis zu diesem bereits durch den Arbeitsvertrag geregelt.

Externer Datenschutzbeauftragter: Was der Vertrag enthalten sollte

Der Dienstleistungsvertrag kann zwischen den beiden Vertragsparteien frei gestaltet werden. Damit die Zusammenarbeit ohne Probleme vonstattengeht, sollten jedoch einige Punkte beachtet werden. 

Der Vertrag, den ein externer Datenschutzbeauftragter mit dem Unternehmen schließt, regelt u.a. seine Aufgaben.

Als Grundlage der Zusammenarbeit sollten im Vertrag natürlich die Aufgaben festgehalten werden, die der externe Datenschutzbeauftragte im Unternehmen zu erfüllen hat. Diese können je nach Größe des Unternehmens sowie nach Art und Umfang der betriebenen Datenverarbeitung variieren. 

Von den zu erbringenden Leistungen hängt in der Regel auch ein weiterer Punkt ab: die Kosten. Da es hier keine allgemeinen Regelungen gibt, hängt die Vergütung, die ein externer Datenschutzbeauftragter erhält, vom Vertrag und den darin festgelegten Preisen ab. 

Dabei ist die genaue Gestaltung der Vergütung frei. So kann etwa eine monatliche Pauschale entrichtet oder aber nach einzelnen Leistungen oder Projekten bezahlt werden. 

Formalitäten im Vertrag festhalten

Des Weiteren sollten auch einige formale Regelungen enthalten sein, so etwa, wie lange ein solcher externer Datenschutzbeauftragter laut Vertrag seine Funktion ausüben soll. Diese Vertragslaufzeit sollte nicht zu kurz angesetzt sein, damit der Dienstleister in der Erfüllung seiner Aufgaben eine gewisse Unabhängigkeit aufzuweisen hat. 

Zudem sollte zwischen beiden Seiten eine Kündigungsfrist vereinbart werden, die sowohl für das Unternehmen als auch den externen Datenschutzbeauftragten akzeptabel ist. Für das Unternehmen wird hier im Vordergrund stehen, sich die Möglichkeit eines unproblematischen Wechsels offenzuhalten, um flexibel zu bleiben. 

Vertrag externer Datenschutzbeauftragter: Muster nach DSGVO 

Wie kann solch ein Vertrag konkret aussehen? Einen Mustervertrag, den ein externer Datenschutzbeauftragter mit dem Unternehmen vereinbaren könnte, stellen wir Ihnen hier vor. 

Es handelt sich hierbei aber nur um eine grobe Orientierung und ein Beispiel dafür, wie ein solches Dokument gestaltet werden könnte. Die Details wie Leistungen, Preise und Laufzeiten müssen stets im Einzelfall zwischen den Vertragsparteien abgesprochenund festgelegt werden.

MUSTER:

Dienstleistungsvertrag

für die Tätigkeit als externer Datenschutzbeauftragter

zwischen
[

Name und Anschrift des externen Datenschutzbeauftragten] und
[Name und Anschrift des beauftragenden Unternehmens]

1. Leistungen

Die Leistungen dieses Vertrags umfassen die Aufgaben des Datenschutzbeauftragten gemäß Art. 39 DSGVO. Dazu gehören u.a.:

• Unterrichtung und Beratung des Auftraggebers und seiner Beschäftigten         über ihre datenschutzrechtlichen Pflichten

• Überwachung der Einhaltung aller Bestimmungen des Schutzes                         personenbezogener Daten

• Zusammenarbeit mit der Aufsichtsbehörde

• Anlaufstelle für die Aufsichtsbehörde

2. Preise [Preise für die vereinbarten Leistungen]

3. [Weitere vertragliche Regelungen]

[hier weitere Regelungen einfügen]

Auf der Grundlage dieses Vertrags erfolgt die Benennung von [Name] zum Datenschutzbeauftragten gemäß Art. 37 DSGVO.

[Ort, Datum, Unterschrift beider Parteien]