Interner oder externer Datenschutzbeauftragter?

In Deutschland gibt als Unternehmer viele gesetzliche Vorgaben zu erfüllen - eine davon ist sicherlich auch der Datenschutz. Die DSGVO hat die Anforderungen, die Unternehmen in Bezug auf den Datenschutz erfüllen und einhalten müssen, noch einmal deutlich verschärft. Sofern Unternehmen bestimmte Kriterien erfüllen, die unter anderem im Bundesdatenschutzgesetz (BDSG), der DSGVO und der E-Privacy-Verordnung verankert sind, sind sie gesetzlich dazu verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen.

Dieser hat die Aufgabe, sämtliche den Datenschutz betreffende Vorgänge innerhalb des Unternehmens auf ihre Datenschutzkonformität zu überprüfen und zu gewährleisten, dass die gesetzlichen Vorgaben jederzeit eingehalten werden. Ob Unternehmen dabei einen internen oder einen externen DSB einstellen, ist ihnen prinzipiell freigestellt. Es gibt allerdings einige Aspekte, die man in diesem Zusammenhang beachten sollte.

Wie sieht die Arbeit eines Datenschutzbeauftragten aus und welche speziellen Kenntnisse und Fähigkeiten muss dieser besitzen?

Die Arbeit eines DSB ist vielfältig und findet auf allen Ebenen statt, die den Datenschutz betreffen. Um dieser Aufgabe auch adäquat nachkommen zu können, muss er selbstverständlich über spezifisches Fachwissen verfügen und sich bestens mit den relevanten Verordnungen und Gesetzen auskennen. Generell ist für die Tätigkeit als Datenschutzbeauftragter keine bestimmte Ausbildung vorgesehen, insbesondere die in §4g BDSG aufgezählten Aufgaben sind allerdings nicht zu unterschätzen. Neben den notwendigen technischen Kenntnissen, muss ein DSB auch über fundierte juristische Kenntnisse verfügen, ein besonderer Schwerpunkt liegt hier auf dem Datenschutzrecht.

Darüber hinaus muss ein Datenschutzbeauftragter auch in der Lage sein, die erforderliche Zuverlässigkeit an den Tag zu legen und seine Aufgaben ordnungsgemäß zu erfüllen.

Vor- und Nachteile der Bestellung eines internen oder externen Datenschutzbeauftragten

Sofern ein Mitarbeiter bereits über die notwendigen Qualifikationen verfügt und sich auf dem Gebiet auskennt, bietet es sich durchaus an ihn als internen Datenschutzbeauftragten zu bestellen. Mitarbeiter, die zwar über die notwendigen Kenntnisse und Fähigkeiten verfügen, in der Vergangenheit allerdings schon einmal durch Verletzung der Verschwiegenheitspflicht aufgefallen sind, eignen sich nicht für die Arbeit als DSB, dennoch kann es unter Umständen sinnvoll sein, einen internen Mitarbeiter mit dieser verantwortungsvollen Aufgabe zu betrauen. Oftmals übernehmen beispielsweise Geschäftsführer, IT-Verantwortliche oder Personalleiter die Aufgabe eines internen DSB. Es ist allerdings zu empfehlen, interne DSB mit speziellen Schulungen für diese Tätigkeit zu qualifizieren.

Zusätzliche Schulungen für einen externen DSB erübrigen sich, da sich diese eigenständig über den aktuellen Stand der Dinge auf dem Laufenden halten und sämtliche relevanten Qualifikationen besitzen, um direkt mit der Aufgabe zu beginnen. Der größte Vorteil eines externen Datenschutzbeauftragten ist sicherlich die Risikominimierung für Unternehmen, da die Grundsätze der beschränkten Arbeitnehmerhaftung in diesem Fall keine Anwendung finden.

Bei einem durch einen internen DSB verursachten fahrlässigen Verhalten oder einer groben Missachtung geltender Bestimmungen, haftet das Unternehmen in vollem Umfang. Ein externer Datenschutzbeauftragter hingegen arbeitet eigenverantwortlich und kann somit für Fehler haftbar gemacht werden.

Insgesamt ergeben sich jeweils folgende Vor- und Nachteile:

• Kosten

  Neben dem regulären Gehalt müssen Unternehmen internen DSB zusätzlich zum regulären Gehalt Kosten für Ausbildungen, Qualifikationen und Fortbildungen zahlen oder einen zusätzlichen Mitarbeiter einstellen. Ein externer DSB hingegen bietet durch vertraglich geregelte Preise eine sehr transparente und überschaubare Kostenstruktur.

• Kompetenzen / Qualifikationen

  In vielen Fällen ist die Bestellung eines internen Datenschutzbeauftragten mit zeitintensiven Qualifizierungen und Weiterbildungen verknüpft, um zu erreichen, dass dieser kompetent genug für die verantwortungsvolle Aufgabe ist. Bei einem externen Datenschutzbeauftragten erübrigen sich entsprechende Maßnahmen. Oftmals übernehmen auch auf Datenschutzrecht spezialisierte Rechtsanwälte Aufgaben als externe Datenschutzbeauftragte.

• Haftung

  Während ein externer Datenschutzbeauftragter selbst für etwaige Fehler oder Falschentscheidungen haftet, muss das Unternehmen bei einem internen DSB selbst für den entstandenen Schaden aufkommen. Im Zweifel drohen hohe Strafen.

• Betriebliche Kenntnisse

  Ein interner DSB ist mit sämtlichen Betriebsabläufen vertraut, ein externer Datenschutzbeauftragter muss sich im Zweifel erst einmal in die Abläufe einarbeiten. Unter Umständen kann es sinnvoll sein, einen branchenspezifischen externen Datenschutzbeauftragten zu bestellen.

Fazit

Die Tätigkeitsbereiche eines internen oder externen Datenschutzbeauftragten sind dieselben, prinzipiell macht es also keinen Unterschied, für welche Variante ein Unternehmen sich entscheidet. Dennoch haben beide Optionen Vor- und Nachteile, die es bei der Entscheidung zu berücksichtigen gilt. Ein interner DSB kann entweder ein bereits im Unternehmen vorhandener Mitarbeiter sein, oder aber durch eine neue Stelle geschaffen werden. Allerdings ist es nicht für jedes Unternehmen vorteilhaft oder aus Kostengründen machbar, extra einen neuen Mitarbeiter einzustellen. Ganz allgemein spricht aber nichts dagegen, bestehende Mitarbeiter mit dieser Aufgabe zu betrauen.

Externe Datenschutzbeauftragte sind selbstständige Unternehmer, die bereits über sämtliche Kenntnisse und Fähigkeiten verfügen, um in der Lage zu sein, die Aufgabe gewissenhaft zu übernehmen. Oft sind es auch Rechtsanwälte für Datenschutzrecht, die ihre Leistungen als externer Datenschutzbeauftragter anbieten. Unter Umständen kann es sinnvoll sein, einen externen DSB, der sich auf eine bestimmte Branche spezialisiert hat, zu bestellen.