Steht ein Unternehmen vor der Aufgabe, einen Datenschutzbeauftragten zu benennen, wird es sich so einigen Fragen stellen müssen. Eine wird sein: Soll ein interner also betrieblicher oder besser ein externer Datenschutzbeauftragter benannt werden? Der Artikel gibt einen Überblick über die Position und Rolle des internen Datenschutzbeauftragten.
Der Inhalt im Überblick
Was ist ein interner Datenschutzbeauftragter?
Wie die Bezeichnung bereits vermuten lässt, gibt es neben internen Datenschutzbeauftragten (DSB) auch externe DSB. Wie die Bezeichnung nahe legt, handelt es sich bei dem internen DSB um einen oder (selten) mehrere Beschäftigte eines Unternehmens, also unternehmensinterne Personen, welche sich gezielt mit dem Datenschutz im jeweiligen Unternehmen beschäftigen. Diese müssen von der Geschäftsführung als solche benannt werden.
Externe Datenschutzbeauftragte dagegen sind Personen, die nicht im jeweiligen Unternehmen beschäftigt sind. Stattdessen agieren sie auf der Grundlage eines Dienstleistungsvertrages, Art. 37 Absatz 6 DSGVO.
Betriebliche Datenschutzbeauftragte sind ein zentrales Element der unternehmerischen Selbstkontrolle. Aus Sicht des Gesetzgebers war dies zur Einführung des BDSG 1977 dies praktikabler als eine umfassende Fremdkontrolle durch Behörden. Lange Zeit war die Bestellung eines Beauftragten für Datenschutz zunächst nur in Deutschland Praxis, ist aber durch die Datenschutz-Grundverordnung (DSGVO) europaweit eingeführt worden (Art. 37 Absatz 6 DSGVO).
Die Aufgaben des Datenschutzbeauftragten finden sich im Wesentlichen in Art. 39 DSGVO. Danach unterrichtet und berät er z. B. hinsichtlich der Pflichten aus der DSGVO und überwacht auch deren Einhaltung im Unternehmen. Ihm obliegen auch die Sensibilisierung und Schulung der Mitarbeiter. Mehr Informationen finden Sie in unserem Artikel zu den Aufgaben eines Datenschutzbeauftragten nach DSGVO.
Ab wann braucht man einen internen Datenschutzbeauftragten?
Zur Beantwortung dieser Frage hilft ein Blick ins Gesetz: Art. 37 Absatz 1 DSGVO nennt drei Fallgruppen, in denen ein DSB zu benennen ist:
- Verarbeitung von einer Behörde oder öffentlichen Stelle
- Kerntätigkeit ist eine umfangreiche regelmäßige und systematische Überwachung von Personen
- Kerntätigkeit ist eine umfangreiche Verarbeitung besonderer Kategorien von Daten nach Art. 9 oder Art. 10 DSGVO
Zudem gibt auch das deutsche Bundesdatenschutzgesetz (BDSG) Fallgruppen vor, u.a.:
- mindestens 20 Personen sind ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
- Verarbeitungen, die einer Datenschutz-Folgenabschätzung nach 35 DSGVO unterliegen
Ausführliche Informationen hierzu finden Sie in unserem Artikel zur Benennungspflicht.
Benennung: Wer kann interner Datenschutzbeauftragten werden
Aus Art. 38 DSGVO ergibt sich u.a., dass der DSB zuverlässig sein muss und bei der Erfüllung seiner Aufgaben weisungsfrei handelt. Vor allem aber darf es bei seiner Tätigkeit im Unternehmen und der Rolle als Datenschutzbeauftragter nicht zu einem Interessenkonflikt kommen. Daher fallen von vorherein bereits bestimmte Personengruppen für die Position des DSB raus, wie z.B.
- Geschäftsführung und Vorstand
- IT-Manager
- Vertriebsleiter oder Leiter der Personalverwaltung
Näheres hierzu können Sie im Artikel Wer eignet sich als betrieblicher Datenschutzbeauftragter? nachlesen. Dass die Bestellung eines DSB trotz bestehenden Interessenkonflikts teuer werden kann, zeigt ein Beispiel aus Berlin (Bußgeld in Höhe von 525.000 EUR).
Interner Datenschutzbeauftragter ≠ Für Datenschutz verantwortlich
Wichtig ist, dass die Bestellung eines internen DSB, nichts an der Verantwortung des Unternehmens für die Datenverarbeitung ändert. D.h. auch, wenn ein interner DSB bestellt ist, bleibt die natürliche oder juristische Person, die über Zwecke und Mittel der Datenverarbeitung entscheidet, Verantwortlicher. Dieser ist verpflichtet sicherzustellen, dass die Vorgaben der DSGVO eingehalten werden, vgl. Art 24 DSGVO und Art. 5 Abs. 2 DSGVO:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 [Grundsätze für die Verarbeitung personenbezogener Daten] verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Ist ein interner DSB benannt, so hat das Unternehmen gemäß Art. 38 Absatz 2 DSGVO diesen bei der Erfüllung seiner Aufgaben zu unterstützen (s.o.), indem es die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt.
Vorteile eines internen Datenschutzbeauftragten
Eindeutiger Vorteil eines internen Datenschutzbeauftragten ist wohl die Einbindung ins Unternehmen selbst. Dadurch ist er bereits in die tägliche Kommunikation im Unternehmen eingebunden und kann früher bzw. auch weniger formell über Vorhaben informiert werden als ein ggf. extern bestellter Datenschutzbeauftragter.
Nicht von der Hand zu weisen, ist wohl eine entsprechende Branchenkenntnis und damit verbunden auch die Kenntnis über die entsprechenden internen sowie externen Ansprechpartner des Unternehmens. Dadurch ist es einem internen DSB auch leichter möglich, auf die zuständigen Kollegen/Mitarbeiter zuzugehen.
Zudem kann man davon ausgehen, dass ein betrieblicher Datenschutzbeauftragter einen besseren Überblick und auch bessere Einblicke in interne Prozesse hat. Weiterhin kann er direkt überprüfen und darauf einwirken, dass der Datenschutz in der Unternehmenskultur auch „gelebt“ wird und nicht nur auf dem Papier besteht.
Nachteile eines internen Datenschutzbeauftragten
Doch auch diese Medaille hat zwei Seiten, denn so kann es auch nachteilig sein, zu nah am Unternehmen und den Mitarbeitern zu sein. Unter Umständen fehlt es an Abstand und der betriebliche Datenschutzbeauftragte könnte durch Sympathien zu Kollegen nicht neutral, unter Umständen sogar beeinflussbar sein.
Hier liegt Konfliktpotential, denn ein interner DSB kann in seiner Position nicht immer zum Wohle des Unternehmens oder auch seiner Kollegen handeln. So sind auch Meinungsverschiedenheiten mit der Geschäftsführung nicht auszuschließen.
Ein wichtiger und vermutlich oft unterschätzter Aspekt ist die zur Verfügung stehende Zeit. Oftmals wird die Rolle des internen Datenschutzbeauftragten meist in Teilzeit neben dem eigentlichen Job wahrgenommen, da eine Vollzeitstelle erst bei größeren Unternehmen sinnvoll ist. Belastungsspitzen können aufgrund mangelnder Zeit schlechter abgefangen werden. Auch wird es einem internen DSB wohl schwerer fallen, bei neuen Entwicklungen auf dem aktuellen Stand zu bleiben. In der Folge wird ein betrieblicher DSB in Teilzeit weniger Fachkenntnis besitzen als ein externer Datenschutzbeauftragter.
Ein weiterer Nachteil ist, dass ein einzelner interner DSB sich nur schwer mit weiteren Datenschutzbeauftragten über Probleme oder aktuelle Entwicklungen fachlich austauschen können wird.
Aus Sicht des Unternehmens sollte zudem berücksichtigt werden, dass ein einmal benannter interner DSB nach § 6 Absatz 4 Satz 2 BDSG einen besonderen Kündigungsschutz genießt, welcher auch für dessen Stellvertreter gilt.
Den Königsweg gibt es wohl nicht
Muss oder will ein Unternehmen einen DSB benennen, wird es sich auch mit den Vor- und Nachteilen interner und externer DSB auseinandersetzen müssen. Einige der aufgezählten Nachteile eines internen DSB lassen sich auch ausgleichen, z.B. durch die Befristung der Tätigkeitsdauer oder auch das zeitweise Hinzuzuziehen externer Berater etwa bei besonders umfangreichen Projekten, schwierigen Fragen oder Belastungsspitzen. Am Ende bleibt es eine individuelle Unternehmensentscheidung, die sicherlich auch von dessen Größe und den Verarbeitungstätigkeiten abhängig ist. Gleichwohl, wofür ein Unternehmen sich entscheidet, es selbst, bzw. die Geschäftsführung, bleibt für die Einhaltung der DSGVO verantwortlich und wird dabei von seinem Datenschutzbeauftragten unterstützt und beraten.