Datenschutzbeauftragter: Sind interne oder externe Mitarbeiter besser geeignet?

„Viele Führungskräfte benennen kurzerhand einen Mitarbeiter, der Datenschutzbeauftragter im Unternehmen wird, diese Aufgabe aber meist zusätzlich zum eigentlichen Workload erledigen muss. Nicht selten fühlen sich viele daher überfordert, weil damit eine große Verantwortung auf ihnen lastet“, erläutert Haye Hösel, Geschäftsführer und Gründer der Hubit Datenschutz GmbH.

Datenschutzbeauftragter: Intern, aber mit Bedacht

Allerdings gilt es für Führungskräfte zunächst anhand des Art. 37 des DSGVO festzustellen, ob sie überhaupt einen Datenschutzbeauftragten benennen müssen. Dies ist nach einer Änderung aus dem Jahr 2019 nämlich erst der Fall, wenn mindestens zwanzig Personen ständigen Umgang mit personenbezogenen Daten im Unternehmen haben. Eine Ausnahme besteht lediglich, wenn das Unternehmen ständigen Umgang mit besonders sensiblen Daten, etwa über die Gesundheit von Betroffenen, hat oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet.

Hier gilt es in jedem Fall einen Datenschutzbeauftragten zu bestellen. Als wesentlicher Vorteil eines internen Datenschutzbeauftragten stellt sich seine genaue Kenntnis über das eigene Unternehmen heraus. Prozesse und Abläufe sind ebenso bekannt wie die richtigen Ansprechpartner der Firma. Außerdem ist er in den meisten Fällen direkt vor Ort verfügbar, falls dies erforderlich sein sollte.

Allerdings gibt es einige Nachteile, die gegen das Einsetzen eines internen Mitarbeiters sprechen. So kann beispielsweise die Akzeptanz der Kollegen geringer ausfallen, als dies bei einem externen Dienstleister der Fall wäre, da sie erwarten, dass der vertraute Mitarbeiter vielleicht eher ein Auge zudrückt – es droht ein Interessenkonflikt. Auch seine gute Kenntnis der internen Prozesse birgt die Gefahr, dass er bei möglichen Verstößen betriebsblind ist. Außerdem wirkt auch auf Kunden und Geschäftspartner der externe Datenschutzbeauftragte häufig seriöser.

Warum regelmäßige Fortbildung wichtig ist

Während bei sehr großen Unternehmen ein Mitarbeiter allein für den Datenschutz zuständig ist, bekommen in kleineren Firmen Angestellte diese Aufgabe oftmals zusätzlich zu ihrem eigentlichen Beruf aufgetragen. Außerdem erfordert die Einarbeitung als Datenschutzbeauftragter mehr als eine einmalige Schulung, sodass hier auch noch regelmäßige zusätzliche Kosten für Unterbringung und Verpflegung zustande kommen können.

„Da sich die Gesetzeslage immer wieder ändert, gehören regelmäßige Fortbildungen für einen Datenschutzbeauftragten dazu, sodass für das Unternehmen hier auch immer wieder neue Kosten entstehen“, so Hösel. Außerdem unterliegt ein Datenschutzbeauftragter einem Kündigungsschutz, wie er beispielsweise auch für Mitglieder des Betriebsrates gilt.

Datenschutzbeauftragter: Aufgaben delegieren für mehr Sicherheit

Externe Datenschutzbeauftragte nehmen häufig eine neutralere Position sowohl innerhalb des Unternehmens als auch nach außen hin ein. Jedoch kann es vorkommen, dass die Einarbeitung in betriebliche Strukturen aufwendiger ist und eine längere Zeit in Anspruch nimmt. Demgegenüber verfügt der externe Dienstleister über zertifiziertes Fachwissen, das er regelmäßig auf den aktuellen Stand bringt. Da sein Honorar vertraglich festgelegt und die Kostenstruktur transparent sein sollten, kommt es nicht zu zusätzlichen Ausgaben oder ungeplanten Kosten durch Aus- und Fortbildung oder Erwerb von Literatur wie bei einem internen Mitarbeiter.

Ein weiterer Vorteil bei einem externen Anbieter liegt in der Haftungsübernahme. Während ein Mitarbeiter für Fehlentscheidungen nicht haftbar gemacht werden kann, sofern er nicht vorsätzlich handelt, haftet ein externer Datenschutzbeauftragter im Rahmen der vereinbarten Summe. Das bedeutet mehr Sicherheit für das Unternehmen. „Wenn sich ein Unternehmen dennoch für einen internen Datenschutzbeauftragten entscheidet, ist es wichtig, dass dieser auch den Anforderungen genügt, da sonst die Datenschutzbehörde diesen Mangel ahnden kann“, rät Hösel abschließend.

Die Hubit Datenschutz GmbH berät Unternehmen bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Gegründet wurde der Anbieter von dem zertifizierten Datenschutzbeauftragten Haye Hösel. Er arbeitet auch als externer Fachberater für den TÜV Süd im Bereich Datenschutz. Das mittlerweile zwölfköpfige Team setzt sich aus zertifizierten Datenschutzbeauftragten, Juristen sowie IT-Experten zusammen und hat sich auf die Erarbeitung von individuellen Datenschutzkonzepten spezialisiert. (sg)

Lesen Sie auch: Chief Data Officer: Neue Studie zeigt Prioritäten für eine erfolgreiche Datenstrategie