Die Notwendigkeit zur Benennung eines Datenschutzbeauftragten ergibt sich bekanntlich aus den gesetzlichen Vorgaben wie der DSGVO (PDF) und dem BDSG. Ich habe erst kürzlich darüber in meinem Artikel „Warum und wann brauche ich einen Datenschutzbeauftragten?“ berichtet. Demnach ist ein Großteil der Unternehmen dazu verpflichtet.
Nun besteht für Unternehmen die Wahl zwischen der Benennung eines internen oder eines externen Datenschutzbeauftragten. Ein interner Datenschutzbeauftragter bedeutet, dass in Ihrem Unternehmen eine neue Stelle geschaffen werden muss. Sie können dazu extra einen neuen Mitarbeiter anstellen. Sie können jedoch auch einen bereits angestellten Mitarbeiter benennen. Ganz gleich jedoch, was Sie tun, sie binden auf jeden Fall Ressourcen und somit Kosten.
Ich möchte mich im Folgenden daher mit den Gründen beschäftigen, die für einen externen Datenschutzbeauftragten sprechen. Die Benennung eines externen Beraters im Datenschutz bietet einige Vorteile für Unternehmen.
Fähigkeiten eines Datenschutzbeauftragten
Laut Art. 37 Abs. 5 darf ein Datenschutzbeauftragter lediglich auf „Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt“ werden. Dieser muss grundsätzlich Fähigkeiten „auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ aufweisen. Diese befähigen ihn, die in Art. 39 DSGVO genannten Aufgaben zu erfüllen.
Der Datenschutzbeauftragte sollte daher eine nachweisliche Fachkunde besitzen. Es ist zwar nicht genau beschrieben, wie diese Fachkunde nachgewiesen werden muss. Dennoch sieht es vor der Datenschutzbehörde immer gut aus, wenn dieser Zertifikate oder Abschlüsse vorweisen kann. Die Zertifikate können beim TÜV oder anderen auch privaten Bildungsträgern sowie Zertifizierungsstellen erworben werden. Dieselben lassen sich die Seminare sowie die Abschlussprüfung teuer bezahlen. Doch bei der externen Benennung liegen die Kosten demnach bei dem Dienstleister für Datenschutz.
Der Datenschutzbeauftragte muss demnach sowohl juristische Kenntnisse als auch technische IT-Kenntnisse besitzen. Des Weiteren sollte er auch insbesondere bei der Umsetzung bzw. beim Vorschlagen von technisch und organisatorischen Maßnahmen (die sog. TOMs) auch etwas von Betriebswirtschaft verstehen. Schließlich sollten die TOMs auch die Kosten rechtfertigen.
Vermeidung von Interessenskonflikten
Einer der wichtigsten Gründe für die Benennung eines externen Datenschutzbeauftragten ist die Vermeidung von Interessenskonflikten. Der Datenschutzbeauftragte muss grundsätzlich unabhängig sein. Wie bereits früher beschrieben, obliegt ihm die Überwachung der Einhaltung von Datenschutzbestimmungen, DSGVO und BDSG im Unternehmen. Dies kann zu Interessenskonflikten führen. So ist immer dann ein Konflikt gegeben, wenn der Datenschutzbeauftragte seine eigene Arbeit überprüfen müsste. Dies ist z.B. bei dem IT-Leiter der Fall, dessen Arbeit der Datenschutzbeauftragte überprüfen müsste. Da er hier in einen Interessenskonflikt käme, wäre eine Benennung ungern von der Datenschutzbehörde gesehen. Mit internen Datenschutzbeauftragten in Unternehmen ist ein Interessenskonflikt häufig vorprogrammiert.
Es besteht kein Kündigungsschutz
Ein interner Datenschutzbeauftragter genießt einen umfangreichen Kündigungsschutz. Dieser geht auch über seine Abbestellung hinaus. Demnach kann er selbst nachdem der interne Datenschutzbeauftragte abbestellt wurde, ohne weiteres nicht gekündigt werden. Für ihn gilt ein Sonderkündigungsschutz.
Das ist bei dem externen Datenschutzbeauftragten anders. Er genießt kein Kündigungsschutz. Auch der Dienstleistungsvertrag kann ohne Probleme natürlich fristgemäß gekündigt werden. Der Dienstleistungsvertrag mit einem externen Datenschutzbeauftragten kann problemlos auch bei Erweiterung Kündigungsfristen enthalten.
Haftung und Zuverlässigkeit
Im Gegensatz zum internen, muss der externe Datenschutzbeauftragte für seine Beratungsleistung haften. Ich will den internen Datenschutzbeauftragten deshalb nicht unterstellen, dass sie grundsätzlich weniger zuverlässig sind. Jedoch ist es etwas anderes, wenn ich selber dafür haften muss, was ich meinen Kunden rate. Sollte ich also bewusst wider dem Datenschutzgesetz gehandelt bzw. beraten haben, muss ich dafür haften. Üblicherweise haben deshalb auch externe Dienstleister eine Vermögenshaftpflicht, die im Notfall einspringt. Solange ich allerdings Vertrauen in mein Wissen habe, brauche ich mir dazu keine Gedanken machen.
Der Kostenfaktor ist überschaubar
Ich möchte noch einmal explizit auf die Kosten eingehen. Natürlich kostet auch ein externer Datenschutzbeauftragter Geld. Doch sind diese Kosten meist überschaubar und vor allem transparent. Ein interner Datenschutzbeauftragter ist zeitlich frei und weisungsungebunden. Damit wird eine Kostenkontrolle der internen Stelle schwierig. Der Einsatz eines internen Datenschutzbeauftragten bindet letztlich Ressourcen, also Arbeitszeit, Arbeitsutensilien und letztlich auch die Weiterbildungskosten.
Weiterbildungen sind verpflichtend. Der Datenschutzbeauftragte muss prinzipiell immer auf dem Stand der Technik sein und sich daher stetig fortbilden. Dadurch entstehen Seminar- und Reisekosten, die der externe Dienstleister tragen muss – vorausgesetzt Sie haben einen externen Datenschutzbeauftragten benannt ;-). Schließlich will der Dienstleister auch wettbewerbsfähig bleiben.
Zudem sind die Kosten durch die vertragliche Regelung über einen Dienstleistungsvertrag transparent und für den Unternehmer nachvollziehbar.
Damit erweist sich der externe Datenschutzbeauftragte als eine durchaus preiswertere Alternative.
Branchen- und unternehmensübergreifendes Know-How
Ich möchte meinen Beitrag nicht schließen ohne auch hervorzuheben, dass ein externer Dienstleister Erfahrungen aus verschiedenen Branchen und Unternehmen mitbringt. Die Tätigkeiten in den verschiedensten Bereichen, ermöglichen ihm einen breitgefächerten Blick auf die Prozesse. Dadurch besitzt er Interdisziplinäres Wissen. Dadurch wird er letztlich auch zu einem guten und für das Unternehmen wichtigen Berater.
Sie suchen einen Datenschutzbeauftragten und meine Argumente haben Sie überzeugt? Oder wollen Sie sich noch weiter informieren? Dann gerne lade ich Sie ein mich zu kontaktieren. Füllen Sie einfach das Kontaktformular aus und vereinbaren mit mir ein kostenloses und unverbindliches erstes Beratungsgespräch.