Unternehmen durfen einen Datenschutzbeauftragten intern oder extern bestellen. Was ist die bessere Wahl?
Unternehmer und Auftragsverarbeiter sind unter bestimmten Voraussetzungen verpflichtet einen Datenschutzbeauftragten zu bestellen. Ein Datenschutzbeauftragter (DSB) kann aber auch auf freiwilliger Basis benannt werden.
Hierbei steht es dem Unternehmer und Auftragsverarbeiter frei um sich für einen Internen oder externen Datenschutzbeauftragten zu entscheiden. Vor allem Unternehmer und Auftragsverarbeiter von kleine und mittelständische Betriebe entscheiden sich oft für einen internen Datenschutzbeauftragten.
Der Unternehmer sollte aber auf jeden darauf achten, das der betrieblicher DSB auch die geforderten Fähigkeiten besitzt. Hat er diese Fähigkeiten nicht, oder werden diese erst später erworben, dann wird dies Gesetzlich so behandelt, als ob kein DSB im Unternehmen vorhanden wäre.
Der interne Datenschutzbeauftragte
Die interne Lösung hat den (oft vermeintlichen) Vorteil der geringere Kosten. Unbestritten ist auch die Tatsache dass der Mitarbeiter die internen Unternehmensstrukturen, Abläufe und Mitarbeiter bereits kennt.
Wenn der interner Mitarbeiter also alle notwendigen Anforderungen erfüllt, kann dieser als interner Datenschutzbeauftragten bestellt werden. Nach der Berufung zum internen Datenschutzbeauftragten steht der Mitarbeiter dabei unter einem erweiterten Kündigungsschutz und hat Rechte auf weitere Ansprüche, wie zum Beispiel eine eigene Ausstattung und Fortbildungen.
Auf den ersten Blick ist die Bestellung eines internen Datenschutzbeauftragten also sehr verlockend. Damit die Aufsichtsbehörde die Bestellung akzeptiert, müssen aber auch einige Voraussetzungen erfüllt werden:
- Keine Verantwortung – kein Interessenkonflikt
Der zukünftige DSB darf hinsichtlich personenbezogener Daten keine Verantwortung tragen. Es darf auch nicht zu einem Interesskonflikt kommen. Damit fallen die Geschäftsführung (und deren Lebenspartner), EDV-Verantwortlicher, Vertriebsleiter und Personalleiter weg. - Erforderliche Fachkunde
Die geforderte Fachkunde in den juristischen und technischen Bereichen muss bereits bei der Bestellung nachgewiesen werden können.
- Vertrauen der Geschäftsführung und Mitarbeiter
Da der Mitarbeiter auch mit sensible Betriebsinternas in Berührung kommt muss dieser das Vertrauen vom Unternehmer. Da er aber auch der Ansprechpartner für die Mitarbeiter sein soll, muss er auch deren Vertrauen haben.
- Kündigungsschutz
Der erhöhte Kündigungsschutz darf für das Unternehmen kein Problem darstellen.
Warum ein interner DSB möglicherweise keine gute Lösung ist.
- Es entstehen Kosten für eine DSB-Grundschulung und Weiterbildung.
- Bei einem internen Datenschutzbeauftragten ist eine Kündigung nur dann rechtmäßig, wenn ein wichtiger Grund vorliegt. Ansonsten ist die Beendigung des Arbeitsverhältnisses nur durch einen einvernehmlichen Aufhebungsvertrag möglich.
Ein nachträglicher Wechsel auf ein ext. DSB ist kein wichtiger Grund.
(Siehe: 2 AZR 225/20 von 25.08.2022)
Der externe Datenschutzbeauftragte
Diese Lösung erscheint in den meisten Fällen für Unternehmen deutlich teurer zu sein als ein interner Datenschutzbeauftragter. Es ist aber fraglich ob dies aber wirklich so ist.
Entscheider sollten bedenken das ein interner Datenschutzbeauftragter auch Personalkosten entstehen lässt. Vor allem in der Anfangsfase wird seine effektive Arbeitszeit als DSB durch Weiterbildungsmaßnahmen, Planung und das sammeln von Erfahrungen im Umgang mit der DS-GVO viel Zeit in Anspruch nehmen. Auch im Bereich des Kündigungsschutzes ist ein externer Datenschutzbeauftragter weniger problematisch.
Weitere Vorteile eines externen Datenschutzbeauftragten
- Fachlicher Expertise im Bereich Datenschutz
Der externe Datenschutzbeauftragte hat in der Regel schon mehrere Unternehmen betreut. Somit wird er wissen welche Schritte in welcher Reihenfolge notwendig sind. Auch wird er die Prioritäten kennen und diese für das Unternehmen klar erkennbar machen.
Die Mitarbeiter werden die mögliche Verbesserungen sofort erkennen und verstehen, worauf der Datenschutz abzielt. Sie werden somit bestmöglich eingebunden und wissen, dass sie sich mit ihren Fragen jederzeit an einen Experten wenden können.
- Juristische und technische Kompetenz
Von einem externe Datenschutzbeauftragter kann man erwarten das sein juristische und technische Kompetenz außer frage stehen. Dies sollte er natürlich auch nachweisen können.
Mit seinem theoretischen Wissen der DS-GVO und praktische Erfahrungen in der Umsetzung ist sein Rat gefragt und wird bei den Entscheidungen berücksichtigt. Der externe Datenschutzbeauftragter sollte lösungsorientiert und pragmatisch sein. ein gutes und sachliches Verhältnis sowohl zur Geschäftsführung, als auch zum Management, als auch zu den Beschäftigten aufzubauen
- Prophet im eigenen Land
Als „Fremder“ im Unternehmen hat der externer Datenschutzbeauftragter den Vorteil optimal zwischen den (manchmal divergierenden) Interessen van Arbeitgeber und Arbeitnehmer vermitteln zu können. Der externe Datenschutzbeauftragte ist dabei nicht der „Prophet im eigenen Land“. Wenn er etwas zu bemängeln hat, dann wird es von den Mitarbeitern häufig nicht als Kritik angesehen, sondern als objektiver Handlungsbedarf. Große Diskussionen, Zänkerei und Missgunst werden somit vermieden. Es gibt nur Herausforderungen und Lösungen.
- Neutral im Unternehmen
Der Datenschutzbeauftragte stellt sowohl für Personal als auch für die Geschäftsführung die erste Instanz dar, die bei datenschutzrechtlichen Fragestellungen kontaktiert wird. Der Datenschutzbeauftragte sollte daher stets eine neutrale Position im Unternehmen einnehmen, so dass sowohl die Mitarbeiter als auch die Geschäftsführung ihn als unabhängige Instanz wahrnehmen und sich seiner Unvoreingenommenheit sicher sein können.
- Verlässlich und zuverlässig
Dass ein Datenschutzbeauftragte zuverlässig, also verlässlich sein muss steht außer Frage. Er sollte aber auch ohne Interessenkonflikte im Unternehmen agieren können.
Dies ist auch der Grund, warum IT-Mitarbeiter, Mitarbeiter der Personalabteilung und viele weitere interne Positionen als Datenschutzbeauftragter ausscheiden: Sie hätten die Aufgabe, ihr eigenes Agieren zu kontrollieren. Zuverlässig im Sinne des Gesetzes können nur Personen sein, für die eine Tätigkeit als Datenschutzbeauftragter nicht im Widerspruch zu ihrer sonstigen Tätigkeit oder Position im Unternehmen steht.
Durch seine breite Erfahrungen im Umgang mit der DS-GVO, seine praktische Erfahrungen und bei Verhandlungen mit Dritten, wie z.B. Auftragsverarbeitern können Sie sich auf das fundierte Wissen und Können des externen Datenschutzbeauftragten verlassen.
- Kostensicherheit und Planungssicherheit
Der externer Datenschutzbeauftragter benötigt neben seiner Bestellung noch einen Dienstleistungsvertrag, auf dessen Grundlage er tätig wird. Dieser Vertrag kann zwischen dem Unternehmen und dem zukünftigen externen Datenschutzbeauftragter frei ausgehandelt werden. In der Regel enthält der Dienstleistungsvertrag die Aufgaben und die entsprechenden Preise sowie Laufzeiten und Kündigungsfristen. Für den Unternehmer bedeutet dieses eine hohe Planungssicherheit.
Die genaue Gestaltung der Vergütung ist frei. So kann etwa eine monatliche Pauschale entrichtet oder aber nach einzelnen Leistungen oder Projekten bezahlt werden.