Externer vs. interner Datenschutzbeauftragter

Der Datenschutzbeauftragte kann intern im Unternehmen oder auch als externer Datenschutzbeauftragter bei einem entsprechenden Anbieter bestellt werden.

Externer vs. interner Datenschutzbeauftragter

Bevor sich ein Unternehmen die Frage stellt, ob ein interner oder ein externer Datenschutzbeauftragter (DSB) besser ist, sollte klar sein ob und wann die Pflicht zur Bestellung eines DSB überhaupt besteht. Nach Art. 37 der neuen DSGVO ist ein Datenschutzbeauftragten zu benennen, wenn das Unternehmen zur Erreichung seiner Unternehmensziele (Kerntätigkeit):

  • Daten verarbeitet, die aufgrund ihrer Art, ihres Umfangs und/oder Zweck der Datenverarbeitung eine kontinuierliche Beobachtung der Betroffenen erfordern.
  • oder besonders sensible Daten verarbeitet, (siehe Art. 9 DSGVO und 10 DSGVO).

Die Pflicht zur Benennung eines Datenschutzbeauftragten betrifft auch Auftragsdatenverarbeiter. 
Das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (DSAnpUG-EU) vom 30. Juni 2017, führt im Art. 38 weitere Gründe für die Benennung eines Datenschutzbeauftragten auf. Danach ist ein Datenschutzbeauftragter auch zu benennen, wenn:

  • im Unternehmen mindestens 10 Personen regelmäßig personenbezogene Daten verarbeiten
  • die Datenverarbeitung der Datenschutzfolgenabschätzung nach Art. 35 DSGVO unterliegt
  • die Verarbeitung von personenbezogenen Daten geschäftsmäßig für Zwecke der anonymisierten Übermittlung oder der Markt- oder Meinungsforschung erfolgt

Der Datenschutzbeauftragte kann intern im Unternehmen oder auch als externer Datenschutzbeauftragter bei einem entsprechenden Anbieter bestellt werden. Die Tätigkeit eines Datenschutzbeauftragten erfordert eine berufliche und fachliche Qualifikation. Diese Anforderung könnte auf den ersten Blick für einen externen Datenschutzbeauftragten sprechen, da man extern sowohl auf einen Volljuristen, als auch auf einen zertifizierten Datenschutzbeauftragten zugreifen kann. Diese weitgehende Ausbildung hat ein interner Datenschutzbeauftragter im Regelfall sicher nicht. Allerdings darf man Datenschutz nicht nur von der rechtlichen Seite sehen. Er hat auch eine technische Seite. Es ist daher von Vorteil, wenn sich der Datenschutzbeauftragte auch in IT-Themen auskennt. 
Bei der Entscheidung ob intern oder extern spielen folgende Kriterien eine entscheidende Rolle:

  • Kosten
  • Qualifikation
  • Haftung
  • Kenntnis interner Abläufe
  • Stellung im Unternehmen
  • Kündigung

Unternehmen entscheiden sich aus Kostengründen oft für einen externen Datenschutzbeauftragten, denn dieser bietet durch vertraglich festgelegte Preise eine klare und überschaubare Kostenstruktur. Beim internen Datenschutzbeauftragten kommen auf Unternehmen neben dem regulären Gehalt weitere Kosten für Aus- und Fortbildung, sowie Erwerb von Literatur hinzu.

Hinsichtlich der erforderlichen Qualifikation muss sich ein interner Datenschutzbeauftragte zunächst einer Grundausbildung zur Erlangung der Fachkunde und weiteren zeitaufwendigen Weiterbildungsmaßnahmen zur Erhaltung dieses Wissens unterziehen, während ein externer Datenschutzbeauftragte bereits von Beginn an über entsprechende Fachkenntnis verfügt. Folgekosten wie z.B. die Weiterbildung trägt zudem der Anbieter.

Hinsichtlich des Kriteriums "Kenntnis der Betriebabläufe" hat ein interner Datenschutzbeauftragter wiederum gewisse Vorteile. Beim internen Datenschutzbeauftragten entfällt eine Einarbeitung in betriebliche Abläufe und Prozesse, da er diese in der Regel bereits kennt, während sich ein externer Datenschutzbeauftragter erst umfassend einarbeiten muss.

Die Haftungsfrage spricht für einen externen Datenschutzbeauftragten. Dieser haftet für seine externe Beratung im Rahmen der vereinbarten Haftungssumme. Der interne Datenschutzbeauftragte hingegen haftet nur im Rahmen der beschränkten Arbeitnehmerhaftung, was wiederum eine vollumfängliche Haftung des Unternehmers zur Folge hat. Die Bestellung eines externen Datenschutzbeauftragten kann sich daher daher risikomindernd auf ein Unternehmen auswirken.

Auch die Kündigungsfrage spricht für einen externen Datenschutzbeuftragten. Diesem kann fristgerecht gekündigt werden, während ein interner Datenschutzbeauftragter besonderen Kündigungsschutz geniesst. Auch eine Abberufung ist sehr schwierig.

Und letztendlich spielt auch die Stellung im Unternehmen eine wichtige Rolle. Der externe Datenschutzbeauftragte hat eine neutrale Position im Unternehmen. Das läßt sich beim internen Datenschutzbeauftragten nicht ohne weiteres unterstreichen. Die Akzeptanz bei den Mitarbeitern kann durch unbequeme datenschutzrechtliche Maßnahmen in Mitleidenschaft gezogen werden. Da der interne Datenschutzbeauftragte als Mitarbeiter im Unternehmen bekannt ist, könnten evtl. bestehende gute Beziehungen zu den anderen Mitarbeitern auch zu Interessenskonflikten führen. Nicht unterschätzen dürfen Unternehmer auch das Risiko der Betriebsblindheit.

Im Fazit ist es wohl so, dass sowohl externe wie interne Datenschutzbeauftragte ihre eigenen Vor- und Nachteile mit sich bringen. Das Unternehmen muss demnach für sich abwägen welche Lösung die beste ist.

Passende Artikel zum Thema:
Lösungen

Wir vervollständigen Ihre Datensicherheit.

Mit Cloony.co sind Sie auf der sicheren Seite und für jede datenschutzrelevante Situation im E-Mail Marketing vorbereitet.

Kundendaten Überwachung

Mehr erfahren

Missbrauchs Monitoring

Mehr erfahren

Beweissicherung

Mehr erfahren

Präventivschutz

Mehr erfahren

Notfallpaket

Mehr erfahren

Forensik Erweiterung

Mehr erfahren

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden. Mehr Infos