Der Datenschutzbeauftragte: Intern oder extern? – Eine Frage der Priorität!

Der Datenschutzbeauftragte: Intern oder extern? – Eine Frage der Priorität!

In einem unserer letzten Beiträge hatten wir aufgezeigt, was ein Datenschutzbeauftragter eigentlich genau macht und wieso dieser für Unternehmen notwendig ist: Ein Datenschutzbeauftragter – Was macht der eigentlich? Sowohl der interne, als auch der externe Datenschutzbeauftragte bringen beide die eigenen Vor- und Nachteile mit sich. Jedes Unternehmen muss für sich selbst abwägen, welche Vor- bzw. Nachteile wichtiger sind bzw. überwiegen. Es ist daher eigentlich nicht möglich zu sagen, was besser oder schlechter ist, es ist vielmehr eine Frage der Priorität.

Klar ist, dass seit Einführung der DSGVO die Anforderungen an den Datenschutz deutlich gestiegen sind. Gleiches gilt auch für die Angst vor etwaigen Sanktionen. Das eigentlich jedes Unternehmen, egal welcher Größe, sich fachkundiges Wissen im Datenschutz aneigenen sollte, steht außer Frage. Auch wenn keine Verpflichtung zur Bestelltung eines Datenschutzbeauftragten bei der Behörde besteht, müssen die Vorschriften der DSGVO dennoch eingehalten werden. Hierzu ist es zwingend notwendig zu wissen, welche Anforderungen bestehen und wie man diese am Besten in der Praxis umsetzen kann. Ob man für diese Aufgabe nun einen internen oder einen externen Datenschutzbeauftragten bestellen möchte, bleibt jedem Unternehmen selbst überlassen!

Der interne Datenschutzbeauftragte

Für den Einsatz eines internen Datenschutzbeauftragten spricht, dass dieser bereits sehr gute Kenntnise über die Prozesse und internen Abläufe im Unternehmen hat. Er kennt die Abteilungen und die Vorgestzen, weiß wie mit diesen umzugehen ist und kann seine Maßnahmen gezielt daran ausrichten. Zudem spart man sich die Zeit eines länger andauernden Kennenlernprozesses.
Allerdings übt der interne Datenschutzbeauftragte in der Regal bereits einen Beruf im Unternehmen aus. Erfahrungsgemäß kommt daher eine der beiden Aufgaben zu kurz. Die DSGVO fordert ganz klar, dass der Datenschutzbeauftragte seinen Fokus auf die datenschutzrechtliche Betreuung des Unternehmens legen muss. Dies muss zwingend die Haupttätigkeit dieser Person darstellen. Dementsprechend ist anzuraten, den internen Datenschutzbeauftragten von seinen sonstigen Tätigkeiten weitgehend frei zu stellen, um den Anforderungen auch gerecht werden zu können.

Stellt man nicht extra für diese Zwecke einen internen Datenschutzbeauftragten ein, wird die Person welche die Aufgabe übernimmt normalerweise erste Anlaufschwierigkeiten haben. Häufig übernehmen Personen diese Aufgabe, welche zuvor nicht sehr viel mit dem Thema Datenschutz zu tun hatten. Diese müssen dann zunächst einige Schulungen absolvieren und sich in das Thema einarbeiten. Diese Schulungen, Weiterbildungen und Einarbeitung ist sehr kosten- und zeitaufwendig.

Für die Beratung und Erledigung der anfallenden Aufgaben muss irgendjemand die Haftung übernehmen. Daher erscheint es nur logisch, das bei Einstellung eines internen Datenschutzbeauftragten, das Unternehmen selbst die Haftung für falsche Auskunft, für das nicht Erfüllen notwendiger Aufgaben und für die nicht Einhaltung von Vorschriften zu übernehmen hat. Da ein Mitarbeiter selbst oftmals nicht direkt belangt werden kann, haftet hierfür häufig die Geschäftsleitung selbst. Gerade als Geschäftsführung sollte man sich somit genau überlegen, ob man die Haftung nicht lieber auslagern möchte. Etwas anders gilt natürlich, wenn man einen Experten in dem Bereich Datenschutz eingestellt hat.

Entscheidet man sich für einen internen Datenschutzbeauftragten muss dem Unternehmen klar sein, dass diese Person einen besonderen Kündigungsschutz inne hat. Dieser ist vergleichbar mit dem eines Betriebsratsmitglieds. Der interne Datenschutzeauftrage darf mit einem Jahr Nachwirkung nicht entlassen werden. Darüber hinaus ist eine Abberufung nur langsam und mit großem Aufwand überhaupt möglich.

Der externe Datenschutzbeauftragte

Die Arbeit eines externen Datenschutzbeauftragten basiert in aller Regel auf Erfahrung und hohem Fachwissen. Unabhängig ob dieses durch viele Lehrgänge, Weiterbildungen oder durch ein Studium erlangt wurde, ist die korrekte datenschutzrechtliche  Beratung verschiedener Unternehmen in den unterschiedlichsten Branchen alltäglich. Somit kann ein externer Datenschutzbeauftragter mit hoher Effizienz arbeiten und das erforderliche Datenschutzniveau relativ zeitnah im Unternehmen zu niedrigen Kosten herstellen.

Häufig arbeiten externe Datenschutzbeauftragte für Beratungsunternehmen, bei welchen viele Experten beschäftigt sind. Ein reger fachlicher Austausch und stetige Fort- und Weiterbildung im Bereich Datenschutz sind somit garantiert. Ein externer Datenschutzbeauftragter ist bereits vollumfassend ausgebildet, sodass das Unternehmen kosten für interne Weiterbildungen, Unterlagen und Bücher einsparen kann.

Sicherlich einer der größten Vorteile besteh darin, dass die Haftung vom Unternehmen auf den externen Datenschutzbeauftragten übergeht. Aber Achtung! Nicht alle externen Datenschutzbeauftragten übernehmen die volle Haftung. Man sollte vor Beauftragtung sorgfältig im Vertrag prüfen, ob die Haftung nicht beschränkt, begrenzt oder sogar fast gänzlich im Rahmen des Möglichen ausgeschlossen wurde.

Erfahrungsgemäß nehmen Mitarbeiter im Unternehmen die Aussagen eines externen Beraters anders wahr als die eines Kollegen. Demnach ist die Bereitschaft zur Mitarbeiter deutlich höher und das Verständnis für unliebsame Aufgaben größer. Das Wort eines „Experten“ hat häufig einfach mehr Aussagekraft, als das eines langjährigen Freund und Kollegen, der davor gegebenenfalls noch überhaupt nichts mit dem Thema zu tun hatte.

Viele externe Datenschutzbeauftragte bieten eine Beratung zu kalkulierbaren Festpreisen an, sodass nicht wie häufig bei Anwälten anzutreffen, auf Stundenbasis bezahlt werden muss. Die Kosten für den Datenschutz können somit von Anfang an eingeschätzt und einbezogen werden. Vergleicht man die Kosten eines fest angestellten Mitarbeiters, welcher sich die meiste seiner Zeit um den Datenschutz kümmert und die Kosten eines externen Beraters, wird im Normalfall schnell feststellen, dass Zweiteres definitiv die günstigere Variante darstellt. Viele Beratungsunternehmen bieten auch variable Festpreise an, je nach Größe eines Unternehmens, sodass ganz individuell auf die Bedürfnisse eingegangen werden kann.

Die Vereinbarung von Kündigungsfristen ist selbstverständlich möglich. Viele Verträge haben in der Praxis eine Mindestlaufzeit und im Anschluss die Möglichkeit zur Kündigung.

Was ist nun besser?

Was die beste Lösung für das eigene Unternehmen ist lässt sich nicht von außen beurteilen. Hierzu spielen viel zu viele Faktoren eine entscheidende Rolle.
Die Geschäftsleitung muss im Einzelfall entscheiden, welche Variante die bessere darstellt. Wichtig ist nur, dass sich jemand wirklich intensiv um den Datenschutz kümmert. Ob das jetzt ein eigener Mitarbeiter ist, oder ein externer Berater, ist von nachrangiger Bedeutung. In jedem Fall sollte die Person eine entsprechende Fachkenntnis aufweisen können und sich in dem was sie tut wirklich sicher sein. Gerade bei internen Datenschutzbeauftragten welche neu in dieser Materie sind bietet es sich auch an, vielleicht über einen begrenzten Zeitraum hinweg einen externen Berater zusätzlich zur Einarbeitung und für Fragen zur Seite zu Stellen.

 

 

Christoph Renk
Christoph Rank
Senior Consultant Datenschutz & Compliance