Ihr Unternehmen hat zwei Möglichkeiten bei der Benennung eines Datenschutzbeauftragten (DSB): Sie entscheiden sich für eine firmeninterne Person oder einen externen Dienstleister. Hierbei sind verschiedene Faktoren zu berücksichtigen.

 

Der interne Datenschutzbeauftragte

Auf den ersten Blick erscheint die Benennung eines internen Datenschutzbeauftragten verlockend. Ganz so einfach ist dies natürlich nicht. Damit die Aufsichtsbehörde die Benennung akzeptiert (und kein Bußgeld verhängt), müssen einige Voraussetzungen erfüllt werden:

  • Der interne Datenschutzbeauftragte darf keine Verantwortung hinsichtlich personenbezogener Daten tragen. Daher fallen die Geschäftsführung (mitsamt Lebenspartner), EDV-Leiter, Vertriebsleiter und Personalleiter schon einmal weg.
  • Die zu benennende Person braucht von Anfang an die erforderliche Fachkunde. Es wird nicht akzeptiert, wenn die Fachkunde erst im Laufe der Jahre erworben wird. Die Schulungen kosten mehrere tausend Euro. Hinzu kommt die Ausstattung mit Büro, PC, Fachliteratur, Spezialsoftware etc.
  • Die Person braucht das Vertrauen der Geschäftsführung (immerhin werden auch sensible Betriebsinterna berührt), als auch das Vertrauen der Mitarbeiter (sonst wird sich niemand mit Sachfragen an sie wenden), als auch das Vertrauen des Betriebsrats (der andernfalls ein Veto einlegen kann).
  • Der erhöhte Kündigungsschutz darf für das Unternehmen kein Problem darstellen.

Und es besteht natürlich das Problem, dass diese zum Datenschutzbeauftragten ernannte Person über keine Erfahrung verfügt. Daraus folgt, dass sie wichtige Dinge vergessen könnte und unwichtige Dinge aufbläht. Das führt natürlich zu Frust auf allen Ebenen.

Die konkret messbaren Fortschritte lassen naturbedingt auf sich warten. Der Datenschutz nimmt keine Fahrt auf. Und bevor er so richtig ins Leben kommt, ist er schon friedlich entschlafen.

Die Außenwirkung eines internen Datenschutzbeauftragten ist "begrenzt". Sofern das Unternehmen über anspruchsvolle Auftraggeber verfügt (die ihrerseits professionelle Datenschutzbeauftragte verpflichtet haben), so werden hohe Anforderungen an Ihren internen Datenschutzbeauftragten gestellt. Sehr schnell werden die externen Profis die Fachkunde und Erfahrung ihres Mitarbeiters einschätzen können. Bei ungnädigen Auftraggebern könnte Ihr Unternehmen ein Problem bekommen; Ihre Konkurrenz ist möglicherweise bereits besser aufgestellt.

In der Fachzeitschrift Datenschutz-PRAXIS 06/2011 wurde schon damals festgestellt, dass in einem Industriebetrieb mit 30 Mitarbeitern ein interner Datenschutzbeauftragter zu 30 % seiner Arbeitszeit mit dem Datenschutz ausgelastet ist. Die einmaligen Kosten liegen bei ca. 10.000 Euro und die laufenden jährlichen Kosten bei ca. 28.000 Euro. Seit dem Inkraftreten der EU-DSGVO am 25.05.2018 dürfte der Arbeitsaufwand eher angestiegen sein.

Und was passiert, nachdem Ihr interner Datenschutzbeauftragter sich die notwendige Fachkunde und Sicherheit erarbeitet hat und nun das Unternehmen verlässt? Sie fangen wieder von vorne an.


Der externe Datenschutzbeauftragte

Ganz anders sieht es beim externen Datenschutzbeauftragten aus. Er betreut in der Regel schon mehrere Unternehmen, verfügt über einen genauen Plan, welche Schritte in welcher Reihenfolge notwendig sind. Die Prioritäten sind für das Unternehmen klar erkennbar.

Die Mitarbeiter erkennen die Verbesserungen sofort und verstehen, worauf der Datenschutz abzielt. Sie werden bestmöglich eingebunden und wissen, dass sie sich mit ihren Fragen jederzeit an einen Experten wenden können.

Die Kompetenz steht ganz außer Frage. Sein Rat wird gefragt und bei den Entscheidungen berücksichtigt. Wenn es gut läuft, so gelingt es dem externen Datenschutzbeauftragten ein gutes und sachliches Verhältnis sowohl zur Geschäftsführung, zum Management, als auch zu den Beschäftigten aufzubauen. So kann er optimal zwischen den Interessen vermitteln.

Der externe Datenschutzbeauftragte ist nicht der "Prophet im eigenen Land". Wenn er etwas zu bemängeln hat, dann wird es von den Mitarbeitern nicht als Kritik angesehen, sondern als objektiver Handlungsbedarf. Es gibt keine großen Diskussionen, es gibt nur Herausforderungen und Lösungen.

In der Außenwirkung können Sie sich auf ihren externen Datenschutzbeauftragten verlassen.

Und wenn einmal eine Fehleinschätzung passiert: Für seine Beratungen trägt der externe Datenschutzbeauftragte die Verantwortung. Er hat eine spezielle Berufshaftpflicht abgeschlossen.

Die Laufzeit des Vertrags ist geregelt, sodaß eine hohe Planungssicherheit vorliegt. Dies gilt auch für die Kosten. Falls der externe Datenschutzbeauftragte - wie wir - eine feste monatliche Rate veranschlagt, dann können Sie dieses Thema ad acta legen.

Stellt es ein Problem dar, dass der externe Datenschutzbeauftragte Ihre Unternehmensstrukturen nicht von Anfang an kennt? Hat ein interner Mitarbeiter einen viel besseren Überblick? Auf den ersten Blick vielleicht. Die Erfahrung zeigt jedoch, dass dies für den Umgang mit personenbezogenen Daten nicht gilt. Was weiß der Personaler schon über den Umgang mit Vertriebsdaten? Was hat der EDV-Fachmann mit der Führung einer Personalakte zu tun? Nichts. Sie wissen es nicht und in der Regel wollen sie es auch nicht wissen.


Fazit

Das Fazit fällt ganz klar zu Gunsten des externen Datenschutzbeauftragten aus:

  • Datenschutz ist eine wirklich komplizierte Angelegenheit. Wir kämpfen uns durch Gesetzestexte, Kommentar-Texte und Fachzeitschriften. Und wir lernen jeden Tag etwas dazu. Wir staunen - zusammen mit unseren Fachkollegen - über die Unwägbarkeiten des europäischen und deutschen Rechts. Wie soll ein interner Datenschutzbeauftragter damit neben seinem Tagesgeschäft zurechtkommen?
  • Wir haben Formulare, Checklisten und Erklärungstexte erarbeitet. Wir wissen genau, welche Unterlagen wann zum Tragen kommen (und wie sie auf den Kunden angepasst werden müssen). Das kann man beim besten Willen nicht von einem internen Datenschutzbeauftragten erwarten.
  • Wir wissen, wie hilflos die internen Datenschutzbeauftragten sind. Wir sehen es, wenn wir mit ihnen zusammenarbeiten. Wir hören die verzweifelten Grundsatzfragen und die (nachvollziehbaren) Fehleinschätzungen. Das funktioniert einfach nicht. Und es verstößt vielfach gegen geltende Gesetze, denn es wird von Anfang an die volle Fachkunde gefordert.


Wenn Sie den Datenschutz wirksam in Ihrem Unternehmen installieren wollen, und wenn dies zügig, kompetent und kostengünstig geschehen soll, dann geht an einem externen Datenschutzbeauftragten kein Weg vorbei.


Quelle: SecureDataService - © Nicholas Vollmer