Hallo,
ich habe eine Spezialfrage und hoffe, dass mir jemand helfen kann.
Seit 2015 bin ich die betriebliche Datenschutzbeauftragte. Es handelt sich um einen weltweiten Konzern - ich bin für die deutsche Einheit zuständig.
Nun wurde das Unternehmen teilweise verkauft. Meine Funktion (also ich) wurde mitverkauft und ich werde somit die betriebliche DSB des neu zu bildenden Unternehmens (B).
Der verbleibende Teil (A) benötigt allerdings auch weiterhin eine Datenschutzbeauftragte.
Aus Sicht beider Unternehmen macht es Sinn, dass ich dies (erstmal) weiterhin für beide Unternehmen mache, da ich die Mitarbeiter, die Prozesse und die Datenschutz-Software seit Jahren kenne.
Nun zu meiner Frage:
Es wird eine geregelte Übergangszeit von 9 Monaten geben. Es müssen in dieser Zeit IT-Systeme getrennt werden, Prozesse neu aufgesetzt werden und sogar Gebäude neu zugeordnet werden. Es macht eigentlich sogar dringend Sinn, dass ich in dieser Zeit noch für beide Unternehmen zuständig wäre.
Besteht die Möglichkeit, in dieser neunmonatigen Übergangszeit, in der sich das Unternehmen “in Trennung” befindet, für das verbleibende Unternehmen A die Funktion der Datenschutzbeauftragen rechtlich zulässig weiter zu erfüllen? Unternehmen B würde Unternehmen A eine Rechnung für mich stellen, mich also “vermieten”.
Ich erinnere mich, dass es so eine Möglichkeit im Konzern gab. Kann man in dieser Übergangsfrist die beiden entstehenden Unternehmen noch ein bisschen als eine Einheit zählen (der rein-rechtliche Unternehmensübergang ist jedoch dann schon vollzogen).
Wie müsste man dies rechtlich regeln, damit es korrekt ist?
Kann mir jemand etwas zu der rechtlichen Lage in dieser 9monatigen Übergangsfrist sagen?
Vielleicht zu naiv betrachtet, aber ich denke das einzige das zu beachten ist, ist, dass ein entsprechender Vertrag über die von dir erbrachte Leistung besteht (wie es ja auch bei einem externen DSB passieren würde) und eine Bestellung (und später Abbestellung) bei den zuständigen Behörden vorgenommen wird.
Die Mehrfachbesetzung von dir als DSB scheint mir logisch und ich wüsste auch nichts, was dagegenspricht. Externe DSB machen ja nichts anderes.
Genau. Das Weitermachen lässt sich mit einem Dienstleistungsvertrag regeln, den der Arbeitgeber mit dem “fremden” Untenehmen schließt. Man wäre dann beim eigenen Arbeitgeber als interne DSB und beim anderen als externe DSB zuständig. Der Vertrag ließe sich bei Bedarf verkürzen, schrittweise verlängern, oder nach Absprache beibehalten, wenn sich’s bewährt.
Externe DSB hätten allerdings eine erweiterte Haftung. Die sollte deshalb im Dienstleistungsvertrag zwischen den Unternehmen auf dieselbe Haftung wie gegenüber dem Arbeitgeber reduziert sein.
Für jedes betreute Unternehmen sollte eine Ansprechperson festgelegt sein. Direkt Geschäftsführung oder Datenschutzkoordnination.
In den Datenschutzinformationen der Unternehmen sollten getrennte Kontaktdaten genannt sein. Damit Betroffene sich an “ihren” Veranwortlichen wenden, auch wenn dieselbe Person dahinter steht. (Mailadressen datenschutz@a.de, datenschutz@b.de und Anschriften “B c/o A”.)
der Teufel steckt wie immer im Detail! Als externe Datenschutzbeauftragte hast Du ein anderes Haftungsrisiko als in der Funktion des betrieblichen Pendants. Für betriebliche DSB greift das Mitarbeiterhaftungsprivileg, so dass du nur bei Vorsatz oder grober Fahrlässigkeit in die Haftung gehst. Als externe DSB haftest Du bereits bei leichter Fahrlässigkeit. Wenn die Tätigkeit übergangsweise über die erwähnte Dienstleistung läuft, solltest Du darauf achten nicht namentlich genannt zu werden, bei der neuen Firma.
Alternativ kann man das ggf. auch als Nebentätigkeit bei der neuen Firma regeln, dann bist Du wieder betriebliche DSB.