Benennung eines internen oder externen Datenschutzbeauftragten

Jeder, der nicht nur zu privaten Zwecken personenbezogene Daten verarbeitet, ist neben speziellen Fällen in der Regel dann verpflichtet, einen Datenschutzbeauftragten (auch: DSB) zu benennen, wenn mindestens 20 Personen regelmäßig personenbezogene Daten automatisiert (mit dem Computer) verarbeiten (§ 38 BDSG). Aber auch wer nicht verpflichtet ist, einen Datenschutzbeauftragten zu benennen, muss gleichwohl alle datenschutzrechtlichen Bestimmungen einhalten. Hierbei kann die Stelle eines freiwillig benannten Datenschutzbeauftragten oder Datenschutzkoordinators hilfreich sein. Zum Datenschutzbeauftragten kann ein Unternehmen sowohl eine interne als auch eine externe Person benennen.

Ist sich ein Verantwortlicher, z. B. ein Unternehmen, eine Behörde, ein Verein etc. einmal darüber im Klaren, dass es einen Datenschutzbeauftragten braucht bzw. gesetzlich zur Benennung verpflichtet ist (mehr Informationen dazu hier), stellt sich die nächste Frage: Ist es vorzuziehen, einen internen oder externen Datenschutzbeauftragten zu benennen? Beide Varianten haben sowohl ihre Vor- als auch Nachteile.

Der interne Datenschutzbeauftragte

Zuallererst betrachten wir den internen Datenschutzbeauftragten näher.

Die Vorteile des internen Datenschutzbeauftragten

Im Folgenden erfahren Sie, welche Vorteile sich bei der Benennung eines internen Datenschutzbeauftragten ergeben können.

Teil des Unternehmens

Ein interner Datenschutzbeauftragter ist als Mitarbeiter Teil des Unternehmens. Diese Person kennt die Firma. Sie hat zumindest über einen Teil der internen und vertraulichen Prozesse einen Überblick und ist wahrscheinlich einen Großteil der Arbeitszeit vor Ort. Somit bekommt sie datenschutzrechtliche Probleme oder neue Vorhaben, die datenschutzrechtlich zu begleiten sind, früher mit.

Die Nachteile des internen Datenschutzbeauftragten

Neben den Vorteilen, gibt es bei einem internen Datenschutzbeauftragten aber auch Nachteile.

Zeitmangel

Gerade weil der interne Datenschutzbeauftragte im Unternehmen eingegliedert und höchstwahrscheinlich nur nebenberuflicher Datenschutzbeauftragter ist, fehlt es oft an der nötigen Zeit für die Tätigkeit als Datenschutzbeauftragten oder diese Person fehlt bei der Wahrnehmung ihrer ursprünglichen Aufgabe.

Überforderung

Die Folge kann sein, dass sich diese Person mit den Hauptaufgaben und den Datenschutz-bezogenen Pflichten überfordert fühlt.

Unsicherheit

Auch kann sie sich nicht tief genug in den Datenschutz einarbeiten. Eventuell kann sie beiden Aufgaben nicht mehr richtig nachgehen. Kennt ein Datenschutzbeauftragter nur die Verbote, aber nicht die Ausnahmen oder ist sich mangels Kenntnis und Erfahrung unsicher, kann dies leicht zu Fehlern oder Blockaden, z. B. bei Produktinnovationen, führen. Beides kann für das Unternehmen teuer werden.

Fehlende Expertise und Erfahrung

Mit dem Datenschutz beschäftigt sich ein Datenschutzbeauftragter möglichst schnell und effizient. Wenn dieser Mitarbeiter aber noch andere Aufgaben innehat, ist dies eventuell nicht möglich. Auch fehlen möglicherweise die nötige Expertise, das rechtliche Wissen und die Erfahrung. Dies zieht nach sich, dass der Arbeitgeber in Seminare, Schulungen, Fachliteratur und eventuelle Fachmitgliedschaften investieren muss. Das erworbene Wissen muss ein Datenschutzbeauftragter ständig auf dem neuesten Stand halten und erweitern. Interne Datenschutzbeauftragte sind oft Einzelkämpfer, ihnen fehlt der Austausch. Folglich sollte man eine Möglichkeit für solchen mit anderen Datenschutzexperten schaffen, sei es durch Mitgliedschaften, Foren, Netzwerke usw.

Sonderkündigungsschutz

Auch in arbeitsrechtlicher Hinsicht sollte sich ein Unternehmen überlegen, ob es einen bestimmten Mitarbeiter zum Datenschutzbeauftragten benennen möchte: Bestand die Pflicht zur Benennung eines Datenschutzbeauftragten, so genießt der interne Datenschutzbeauftragte hinsichtlich seines Arbeitsverhältnisses einen besonderen Kündigungsschutz. Ein Arbeitgeber kann diesen Mitarbeiter nur und im Rahmen von § 626 BGB i. V. m. § 38 Abs. 2 BDSG fristlos kündigen, wenn hierfür ein besonderer Grund vorliegt. Selbst nach Aufgabe der Tätigkeit als interner Datenschutzbeauftragter darf der Mitarbeiter innerhalb des darauffolgenden Jahres nur dann gekündigt werden, wenn hierfür ein besonderer Grund vorliegt. Zu  beachten ist, dass der Datenschutzbeauftragte in keinem Fall aufgrund der Ausübung seiner Aufgaben abberufen oder benachteiligt werden darf.

Mögliche Beeinträchtigung der Weisungsungebundenheit

Aufgrund der notwendigen Unabhängigkeit besteht die Herausforderung darin, eine Person zu benennen, die tatsächlich unabhängig ist und sich nicht aufgrund ihrer Weisungsgebundenheit in ihrer Haupttätigkeit bei der Ausübung ihres Amtes beeinflussen lässt.

Fehlende Vertretung

Die Urlaubs- und Krankheitsvertretung ist möglicherweise nicht gewährleistet, was gerade bei kurzen Fristen im Falle von Datenschutzvorfällen (72 Stunden) nachteilig ist.

Der externe Datenschutzbeauftragte

Im Folgenden gehen wir auf den externen Datenschutzbeauftragten ein.

Die Nachteile des externen Datenschutzbeauftragten

Hier erklären wir die Nachteile, die es bei einem externen Datenschutzbeauftragten geben kann.

Nicht unternehmensintern

Der externe Datenschutzbeauftragte ist nicht beim Unternehmen beschäftigt und ist im Alltag weniger nahe dran. Von daher kennt er die inneren Strukturen und Prozesse weniger gut als ein Mitarbeiter. Auch kann eine unternehmensinterne Person beim externen Datenschutzbeauftragten nicht soeben an die Bürotür klopfen, wenn sich eine Frage zum Datenschutz ergibt.

Die Vorteile des externen Datenschutzbeauftragten

Dennoch bringt die Benennung eines externen Datenschutzbeauftragten zahlreiche Vorteile mit sich.

Leicht erreichbar

Als Unternehmen bzw. Mitarbeiter kann man allerdings sehr leicht mit dem externen Datenschutzbeauftragten durch z. B. einen Anruf oder eine E-Mail Kontakt aufnehmen.

Expertise im Datenschutz

Da der externe Datenschutzbeauftragte Spezialist in seiner Branche ist und sein Fokus auf dem Datenschutz liegt, kann er Fragen vielfach zügig und sicher beantworten. Ansonsten hat er die dafür nötigen Recherchequellen. Sie müssen hier keine Mitgliedschaften zahlen, keine Fachliteratur anschaffen oder Fortbildungskurse etc. finanzieren. Trotzdem ist sein Wissen auf dem neuesten Stand.

Rechtlich wichtiges Wissen

Auch in rechtlicher Hinsicht lohnt sich ein externer Datenschutzbeauftragter. Denn die DSGVO muss im Zusammenhang mit anderen (datenschutzrechtlichen) Vorschriften betrachtet werden. Diese Fähigkeiten sollten externe Datenschutzbeauftragte mit sich bringen bzw. für diese Expertise sorgen können. Wir arbeiten dahingehend u. a. mit Rechtsanwalt David Seiler zusammen. Mit seinem umfassenden Fachwissen in u. a. dem Datenschutz-, IT- und Fotorecht trägt er dazu bei, dass wir beim Datenschutz im Zusammenhang mit anderen Vorschriften vielseitig beraten und unterstützen können.

Hilfe bei Dokumentationen

Im Übrigen kann der externe Datenschutzbeauftragte auch schnell bei der Fertigstellung gesetzlich erforderlicher Dokumente beraten.

Vertretungsmöglichkeiten

Ein externer Datenschutzbeauftragter kann leichter als ein interner Datenschutzbeauftragter für seine Vertretung im Urlaubs- und Krankheitsfall sorgen.

Konsultation und Beratung

Bei einem Datenschutzvorfall ist es möglich, den externen Datenschutzbeauftragten zu konsultieren, um über die Notwendigkeit einer Meldung an die Datenschutzaufsicht, eventuell auch an Betroffene und den Inhalt der Meldung zu beraten.

Fazit

Die Entscheidung zur Benennung eines internen oder externen Datenschutzbeauftragten kann kompliziert sein, schon weil die falsche Entscheidung schwerwiegende Folgen haben kann. Wir haben sowohl die Kompetenz, Erfahrung als auch das Fachwissen Ihnen als Datenschutzbeauftragter oder/und auch -berater verlässlich zur Seite stehen zu können. Kontaktieren Sie uns hierzu und wir erstellen gern ein unverbindliches Angebot.