Der Datenschutzbeauftragte – intern oder extern?
Jedes Unternehmen, welches einen Datenschutzbeauftragten (DSB) zu benennen hat (vgl. Art. 37 DS-GVO, § 38 BDSG-neu), steht vor der Frage ob ein interner- oder externer Datenschutzbeauftragter benannt werden soll. In Art. 37 Abs. 6 DS-GVO ist geregelt, dass das Unternehmen die freie Wahl hat, ob es einen internen- oder externen Datenschutzbeauftragten benennt.
Um es gleich vorwegzunehmen: Beide Varianten haben ihre Vor- und Nachteile.
Der interne Datenschutzbeauftragte
Noch immer entscheiden sich viele Unternehmen für einen internen Datenschutzbeauftragten. Von der Unternehmensleitung wird einer bestimmten Person aus dem Kreis der Beschäftigten die Aufgabe des Datenschutzbeauftragten übertragen. Viele gehen hier von der Überlegung aus, dass bei dieser Variante keine Zusatzkosten entstehen und den Anforderungen des Gesetzes genüge getan wurde.
Hier sollten aber folgende Punkte bedacht werden:
Gemäß Art. 37 Abs. 5 DS-GVO wird der Datenschutzbeauftragte aufgrund seines Fachwissens und seiner beruflichen Qualifikation benannt. Dies setzt voraus, dass derjenige dieses Fachwissen schon besitzt. (vgl. DS-GVO Kommentar Ehmann/Selmayr zu Art.37, Rn.38). Doch auch in diesem Fall muss berücksichtigt werden, dass auch hier weitere Kosten zu kalkulieren sind.
Die umfangreichen Regelungen der DS-GVO können nicht „nebenbei“ erledigt werden. Dem Datenschutzbeauftragten sind gem. Art. 39 DS-GVO bestimmte Aufgaben zugewiesen worden. Hierfür wird ein bestimmtes Zeitkontingent erforderlich sein. Während dieser Zeit muss der DSB von seinen sonstigen Aufgaben freigestellt werden.
Für den Fall, dass der DSB seine ursprüngliche Tätigkeit weiterhin ausübt (was meistens der Fall sein dürfte), muss noch gem. Art. 38 Abs. 6 DS-GVO beachtet werden, dass hier kein Interessenkonflikt entsteht. Vereinfacht ausgedrückt: Der DSB darf nicht in die Situation kommen, dass er sich selbst kontrolliert. Somit scheiden als DSB regelmäßig aus:
- Mitglieder der Geschäftsführung
- IT-Leiter
- Leiter Personalabteilung
Ansonsten sollte man bei der DSB Auswahl stets einen Interessenkonflikt im Einzelfall prüfen. Für viele kleine Unternehmen ergibt sich bereits hier nicht mehr viel Spielraum für einen internen DSB und es muss ein externer DSB benannt werden.
Der erforderliche Zeitanteil für einen internen DSB wird sicherlich in Abhängigkeit der vom Unternehmen verarbeiteten Daten einer großen Bandbreite unterliegen. Aber auch für den Fall, dass keine umfang- und risikoreichen Daten verarbeitet werden, sollte man sicherlich einen Zeitanteil von 25% der Arbeitszeit eines Vollbeschäftigten hierfür kalkulieren. Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9 DS-GVO) ist hier jedoch ein wesentlich höherer Anteil anzusetzen.
Weiterhin sind noch Kosten für die regelmäßige Weiterbildung (Erhaltung des Fachwissens gem. Art. 38 Abs. 2 DS-GVO) zu berücksichtigen.
Die Konsequenzen bei Nichtbeachtung der oben genannten Punkte sind für jedermann in Art. 83 Abs.4 DS-GVO nachzulesen.
Wenn man davon ausgeht, dass aufgrund der hohen Qualifikationsanforderungen, welche die DS-GVO an den DSB stellt, der entsprechende Mitarbeiter bereits eine angemessene Vergütung bezieht, kann man leicht eine Beispielrechnung aufstellen und die ungefähren Kosten pro Jahr ermitteln:
- Kosten Mitarbeiter pro Jahr (incl. AG-Anteile zur SV) 45.000 Euro
- Davon 25% – > 11.250 Euro
- Jährliche Fortbildungskosten 2.500 Euro
- Fachliteratur / sonstige Ressourcen (PC, Einzelbüro…) 750 Euro/Jahr
Somit würden sich in diesem Fall jährliche Kosten in Höhe von 14.500 Euro ergeben.
Kündigungsschutz des internen Datenschutzbeauftragten
Auch wenn es bislang in vielen Veröffentlichungen sehr umstritten ist, soll ein Punkt nicht unerwähnt bleiben. Der interne Datenschutzbeauftragte unterliegt einem besonderen Kündigungsschutz gem. § 38 Abs. 2 BDSG-neu i.V.m. § 6 Abs. 4 BDSG-neu.
Der Kündigungsschutz des internen DSB ist vergleichbar mit dem Kündigungsschutz eines Mitglieds des Betriebsrates.
Die Regelung ist bislang jedoch sehr umstritten in vielen Veröffentlichungen, da hier die Regelung des alten BDSG (gültig bis 24.05.2018) in das neue BDSG übernommen wurde.
Die DS-GVO sieht jedoch keinen derartigen Kündigungsschutz vor und daher wird von vielen Autoren angezweifelt, dass der deutsche Gesetzgeber hierzu berechtigt war.
Dies wird jedoch sicherlich in Zukunft von der Rechtsprechung geklärt werden.
Vorteile des internen Datenschutzbeauftragten
Auch wenn bislang viele kritische Punkte für einen internen DSB aufgeführt wurden, sollen auch die Vorteile nicht verschwiegen werden.
Zum einen muss hier genannt werden, dass ein interner DSB sich bereits mit den Abläufen und Gegebenheiten des Unternehmens auskennt. Er weiß wo die Datenschutz-kritischen Verarbeitungen stattfinden und wer die entsprechenden Ansprechpartner sind. Hierdurch werden oft Zusammenhänge der Verarbeitungen besser erkannt und können schneller und ohne viele Anfragen an die jeweiligen Abteilungen in das Datenschutz Konzept eingebunden werden.
Der externe Datenschutzbeauftragte
Bei der Benennung eines externen DSB sind zum einen einige Kriterien von vornherein kein Problem für das Unternehmen:
- Der externe DSB ist selbst für die Erhaltung seines Fachwissens verantwortlich
- Es gibt keinen Interessenkonflikt bei der Benennung
- Die Mitarbeiter des Unternehmens werden nicht von ihren Aufgaben abgezogen
- Der besondere Kündigungsschutz eines internen DSB besteht nicht
Kosten eines externen Datenschutzbeauftragten
Auch der Kostenfaktor spricht in vielen Fällen für den externen DSB. Viele externe Datenschutzbeauftragte sind inzwischen dazu übergegangen, ihre Dienstleistung als Paket in Monatspauschalen anzubieten. Hierdurch entsteht eine hohe Kostentransparenz und die Kosten für den externen DSB sind im Voraus leicht zu kalkulieren.
Hierdurch entfällt auch ein anderer Nachteil, welcher durch einen externen DSB ggf. entstehen könnte. Bei der Vereinbarung von Monatspauschalen ist der Einarbeitungsaufwand in die Gegebenheiten des Unternehmens nicht mehr das Risiko des Auftraggebers, da kein erhöhter Stundenaufwand mit erhöhten Kosten entsteht.
Weiterhin kann man oft feststellen, dass ein externer DSB eine bessere Akzeptanz bei den Mitarbeitern genießt.
Erfahrung des externen Datenschutzbeauftragten
Ein vielfach unterschätzter Vorteil des externen DSB besteht darin, dass er aufgrund seiner Tätigkeit in verschiedenen Unternehmen ein breites Fachwissen vorweisen kann. Viele Fachkenntnisse, welche sich ein interner DSB erst durch Fachliteratur und Fortbildungen aneignen muss, sind beim externen DSB schon vorhanden, da er die gleichen oder ähnlichen Problemstellungen schon in einem anderen Unternehmen erlebt hat.
Durch ihre Tätigkeit haben externe Datenschutzbeauftragte auch viel Kontakt zu Mitarbeitern der Aufsichtsbehörden. Dies kann häufig dazu führen, dass der externe DSB bereits informiert ist, wie Aufsichtsbehörden bestimmte Problemstellungen beurteilen und somit können Probleme von vornherein umgangen werden.
Fazit
Obwohl es durchaus Sinn machen kann einen internen Datenschutzbeauftragten zu benennen, überwiegen meiner Meinung nach die Vorteile für einen externen Datenschutzbeauftragten. Das Unternehmen hat hier einen fachkundigen DSB und die Kosten sind im Voraus bereits planbar.
Der Leser wird sich jetzt sicherlich denken, dass der Autor dieser Zeilen ja tatsächlich nichts anderes schreiben kann, da er selbst diese Dienstleistung anbietet. Aber die genannten Kriterien überzeugen inzwischen viele Unternehmen und ich nehme gern Hinweise zu von mir übersehenen Punkten an, welche auch die Vorteile des internen DSB betonen.