Die Rolle des Datenschutzbeauftragten ist eine wichtige Beratungs- und Kontrollinstanz für Verantwortliche, damit sie innerhalb ihrer Organisation den Datenschutz sicherstellen können. Dabei gibt es in aller Regel die Möglichkeit, zwischen einem internen und externen Beauftragten zu entscheiden. Beide Optionen haben ihre Vor- und Nachteile. Grund genug, dass wir in diesem Blogpost darauf eingehen wollen. Doch zuerst:
Welche Organisationen müssen einen Datenschutzbeauftragten benennen?
Gemäß Artikel 37 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) müssen Verantwortliche und Auftragsverarbeiter auf jeden Fall einen Datenschutzbeauftragten benennen, wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Es geht also vorwiegend um die Tätigkeiten, die ein Verantwortlicher oder Auftragsverarbeiter durchführt. Zusätzlich macht das Bundesdatenschutzgesetz (BDSG) in § 38 Abs. 1 Satz 1 durch sog. Öffnungsklauseln von einer Regelung Gebrauch, wonach Unternehmen ab 20 Mitarbeitenden zur Benennung verpflichtet werden, wenn sie sich „ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“. Nehmen sie Tätigkeiten vor, die eine Datenschutzfolgeabschätzung bedürfen, ist diese Grenze jedoch unerheblich. Aktuell steht die Grenze von 20 Mitarbeitenden im Rahmen der „Wachstumsinitiative“ der Regierung zur Debatte. Unter diesem Artikel ist dazu ein externer Beitrag verlinkt.
Interner Datenschutzbeauftragter
Vorteile:
- Kenntnis der internen Abläufe: Ein interner Datenschutzbeauftragter kennt die Organisationsstrukturen und -prozesse bereits, was die Einarbeitungszeit verkürzt und die Effizienz steigert.
- Kosteneffizienz: Es müssen keine zusätzlichen Mitarbeiter eingestellt werden, und die Kosten für externe Dienstleistungen entfallen.
- Schnelle Verfügbarkeit: Da der interne Datenschutzbeauftragte vor Ort ist, kann er schnell auf Datenschutzfragen und -probleme reagieren.
Nachteile:
- Interessenskonflikte: Interne Datenschutzbeauftragte können in Konfliktsituationen geraten, wenn Datenschutzmaßnahmen den Geschäftsinteressen entgegenstehen.
- Begrenztes Fachwissen und Zeit: Oft fehlt es an umfassender Erfahrung und regelmäßiger Weiterbildung, was die Effektivität beeinträchtigen kann. Zusätzlich wird das Mandat oft nur als Nebentätigkeit ausgeführt, wonach erst recht Zeit für eine intensive Weiterbildung fehlt.
- Haftung: Als Arbeitnehmer haftet in der Regel der Arbeitgeber selbst für leichte Fahrlässigkeit des internen Datenschutzbeauftragten.
Externer Datenschutzbeauftragter
Vorteile:
- Fachliche Expertise: Externe Datenschutzbeauftragte bringen spezialisierte Kenntnisse und umfangreiche Erfahrung mit, die sofort genutzt werden können.
- Objektivität: Sie sind unabhängig und können unvoreingenommen agieren, was die Einhaltung der Datenschutzvorschriften erleichtert.
- Flexibilität: Die Vertragsgestaltung ist flexibel und kann an die Bedürfnisse der Organisation angepasst werden. Zudem sind die Kosten transparent und planbar.
Nachteile:
- Einarbeitungszeit: Externe Datenschutzbeauftragte benötigen Zeit, um die spezifischen Prozesse und Kulturen der Organisation zu verstehen.
- Weniger Einbindung: Ihre externe Position kann dazu führen, dass sie nicht in alle Entscheidungsprozesse eingebunden sind, was zu Verzögerungen führen kann.
- Höhere direkte Kosten: Die initialen Kosten für externe Dienstleistungen können höher sein als die eines internen Datenschutzbeauftragten.
Fazit
Die Entscheidung zwischen einem internen und einem externen Datenschutzbeauftragten hängt von den spezifischen Bedürfnissen und Bedingungen der Organisation ab. Beide Optionen haben ihre Vor- und Nachteile, die sorgfältig abgewogen werden sollten. Ein interner Datenschutzbeauftragter bietet tiefes Wissen über interne Abläufe, während ein externer Datenschutzbeauftragter durch seine Fachkenntnisse und Unabhängigkeit besticht. Organisationen sollten daher die für sie passende Lösung wählen, um die Einhaltung der Datenschutzvorschriften bestmöglich zu gewährleisten.
Letzter Blogbeitrag: Freiwilligkeit der Einwilligung im Datenschutz: Arztpraxen – Rewion IT-Beratung & Services
Unser Beratungsportfolio: Datenschutz Beratung – Rewion IT-Beratung & Services
Wachstumsinitiative: Bundesfinanzministerium – Pressekonferenz zum Bundeshaushalt 2025 und zur Wachstumsinitiative