die - qual - der - wahl - interner - oder - externer - betrieblicher - datenschutzbeauftragter

Nach der DSGVO brauchen in Zukunft mehr Unternehmen als bisher einen Datenschutzbeauftragten, der intern oder extern bestellt werden kann. Es gibt eine Reihe von Kriterien, die helfen, zu entscheiden, was im individuellen Fall besser ist.

Artikel 37 DSGVO beschäftigt sich mit der Notwendigkeit, einen betrieblichen Datenschutzbeauftragten zu ernennen. Ohne hier auf die Details einzugehen, bleibt doch festzustellen, dass in Zukunft weit mehr Unternehmen als bisher einen solchen Beauftragten benötigen. Bisher bestimmten vor allem die Mitarbeiterzahl eines Unternehmens und die Zahl der Mitarbeiter, die mit personenbezogenen Daten umgehen, ob ein Unternehmen einen Datenschutzbeauftragten brauchte. Nun ist auch relevant, ob die umfangreiche, regelmäßige und systematische Überwachung betroffener Personen oder die umfangreiche Verarbeitung besonders sensibler personenbezogener Daten zum Geschäftsmodell gehört. Die Unternehmensgröße spielt dabei keine Rolle. Diese Neuordnung erweitert den Kreis der betroffenen Firmen stark.

Allerdings ist die Pflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen, längst nicht nur ein lästiges, aber unvermeidliches Übel. Sie kann sich sehr vorteilhaft auswirken: Ein funktionierender Datenschutz wird immer stärker zum Wettbewerbsfaktor. Kunden entwickeln inzwischen ein ausgeprägtes Datenschutzbewusstsein. Deshalb spricht ein qualifizierter betrieblicher Datenschutzbeauftragter dafür, dass das ein Unternehmen seine Datenschutzpflichten gebührend ernst nimmt und sich bemüht, die Rechte betroffener Personen zu wahren.

Konsumenten reagieren sensibel auf übertriebenes Datensammeln

Dass die Einhaltung dieser Rechte erheblichen Aufwand verursachen könnte, sobald am 25. Mai 2018 endgültig die DSGVO gilt, belegt eine Studie von Pegasystems. Erfragte wurde europaweit die Neigung von Verbrauchern, sich bei Unternehmen hinsichtlich der über sie gespeicherten Daten zu informieren. Außerdem erfragte Pegasystems, wie Konsumenten die Speicherung bestimmter Datentypen durch Unternehmen und Organisationen bewerten.

Ergebnis: Sobald die DSGVO gilt, wollen laut dieser Untersuchung 80 Prozent der 7000 befragten Verbraucher wahrscheinlich oder sehr wahrscheinlich eine Auskunft hinsichtlich der über sie gespeicherten Daten einholen (26 Prozent sehr wahrscheinlich und 54 Prozent wahrscheinlich). 93 Prozent gaben an, die Löschung ihrer Daten verlangen zu wollen, wenn sie dabei feststellen, dass ein Unternehmen auf eine Weise mit den Daten umgeht, die ihnen nicht gefällt.

Laut DSGVO gehört es zur Tätigkeit des betrieblichen Datenschutzbeauftragten, die Einhaltung aller datenschutzrechtlichen Vorschriften im Unternehmen zu überwachen, Management und Mitarbeiter zu Datenschutzthemen zu beraten und zu schulen, mit den Datenschutz-Aufsichtsbehörden zu kooperieren und Datenschutzkonzepte zu entwickeln. Zudem ist er oder sie direkter Ansprechpartner für die datenschutzrechtlichen Aufsichtsbehörden – eine Fülle sehr heterogener Tätigkeitsbereiche also. Sie erfordern nicht nur breites Know-how, sondern auch Durchsetzungs- Kommunikations- und Konfliktfähigkeit, gerade wenn es gilt, bestehende Missstände offenzulegen und ihre Beseitigung zu veranlassen.

Was Datenschutzbeauftragte können müssen

Unternehmen und Organisationen können wählen, ob sie einen externen oder einen internen betrieblichen Datenschutzbeauftragten beauftragen. Wer immer die Rolle ausfüllt, muss die entsprechenden Qualifikationen verfügen und diese nachweisen können. Wie genau die aussehen, ergibt sich nicht aus der DSGVO und es gibt auch kein entsprechendes definiertes Berufsbild.

Unabdingbar sind tiefgehende Kenntnisse im Datenschutzrecht, die ständig aktualisiert werden müssen, weil sich Rechtslage, Technik und auch betriebliche Gegebenheiten ständig ändern. Dazu kommt das nötige technische Know-how, um rechtliche Vorgaben in entsprechenden IT-Infrastrukturen zu verstehen und so die Beratungs- und Überwachungsfunktion ausfüllen zu können. Neben der Branche des beauftragenden Unternehmens, die der betriebliche Datenschutzbeauftragte natürlich genau kennen sollte, kann sich auch Wissen über andere Branchen als sinnvoll erweisen.

Datenschutzbeauftragte haben in aller Regel entsprechende Zertifizierungen absolviert, wobei dies aber nicht vorgeschrieben ist. Entsprechende Lehrgänge und Prüfungen bietet etwa der TÜV an. Ansonsten empfiehlt sich bei der Auswahl eines Datenschutzbeauftragten ein Blick auf seinen Werdegang, der Qualifikation auf den nötigen Themengebieten ausweisen sollte. Das heißt, dass Juristen neben ihrem Rechtswissen auch IT-Know-how besitzen sollten. Technisch fokussierte Datenschutzbeauftragte sollten sich am besten neben einer Zertifizierung auch praktische Erfahrungen im Datenschutz und Datenschutzrecht erworben haben.

Der interne Datenschutzbeauftragte

Interne Datenschutzbeauftragte sind Mitarbeiter der betreffenden Organisation. Das hat den Vorteil, dass sie diese Organisation in der Regel sehr gut kennen werden – mit ihren datenschutzrechtlichen Stärken und Schwächen. Sie müssen sich also nicht erst in die internen Strukturen einarbeiten. Zudem dürften sie in der Regel das Vertrauen von Mitarbeitern und Geschäftsleitung genießen und auch wissen, wen sie für was ansprechen müssen.

Rechtlich unterliegen interne Datenschutzbeauftragte gemäß §5 BDSG-neu einem Sonderkündigungsschutz, der etwa vergleichbar ist mit dem von Betriebsratsmitgliedern. Sie können von ihrer Aufgabe gemäß §626 BGB nur aus wichtigem Grund abberufen werden, das Gleiche gilt für die Kündigung ihres Arbeitsverhältnisses. Nach der Abberufung gilt der Kündigungsschutz noch ein weiteres Jahr. Insofern bindet sich ein Unternehmen sehr stark an seinen internen Datenschutzbeauftragten.

Auch die Kosten und Nebenkosten für Fort- und Weiterbildungen sowie die Kosten für die Beschaffung teils kostspieliger Fachliteratur muss das Unternehmen tragen. Zudem unterliegen interne betriebliche Datenschutzbeauftragte in Ausübung ihrer Funktion nicht der Weisungsbefugnis der Geschäftsleitung, was deren Kontrollmöglichkeiten herabsetzt.

Dazu kommt, dass interne Datenschutzbeauftragte, diese Aufgabe häufig neben anderen übernehmen und damit nicht mehr voll für ihre eigentliche Tätigkeit zur Verfügung stehen. Durchschnittlich wenden interne Datenschutzbeauftragte 15 bis 20 Prozent ihrer Zeit für Datenschutz-bezogene Aufgaben auf. Gibt es, beispielsweise wegen massenweiser Auskunftsanfragen, im Datenschutzbereich viel zu tun, kann es aber auch mehr werden.  Das kann so weit gehen, dass, etwa bei Audits, Datenschutzzwischenfällen oder massenweisen Auskunftsanfragen die übrigen Aufgaben des internen Datenschutzbeauftragten vollkommen brach liegen.

Für Zeiten, in denen sich der interne Datenschutzbeauftragte im Urlaub befindet oder bei längerer Erkrankung muss das Unternehmen schlimmstenfalls einen Ersatz in der Hinterhand haben, denn die Pflichten, die ein Unternehmen gemäß DSGVO hat, sind teils mit sehr kurzen Fristen bewehrt. Im Grunde ist er im normalen Geschäftsbetrieb unabkömmlich.

Letztlich kann sich auch die Vertrautheit des internen Datenschutzbeauftragten mit Betrieb und Mitarbeitern negativ auswirken. Wer das eigene Umfeld wie seine Westentasche kennt, wird leicht betriebsblind. Gerade bei langjährigen Mitarbeitern dürfte häufig der Blick über den Tellerrand fehlen. Sie können die Realität im eigenen Umfeld nur schwer an der in anderen Unternehmen messen. Nicht immer akzeptieren es Mitarbeiter und Vorgesetzte zudem, wenn ein Kollege ihnen plötzlich in seiner Funktion als Datenschutzbeauftragter belehrend oder kritisierend gegenübertritt und verlangt, dass bisherige Prozesse und Praxen wegen des Datenschutzes geändert werden. Auch die Aufteilung der Zeit eines Mitarbeiters zwischen seinen Datenschutz- und seinen sonstigen Pflichten kann durchaus für Unmut in Teams sorgen, die im Zweifel die fachliche Arbeit des Datenschutzbeauftragten mit übernehmen müssen.

Schließlich ist noch auf das Haftungsrisiko hinzuweisen: Für interne betriebliche Datenschutzbeauftragte gilt die übliche eingeschränkte Arbeitnehmerhaftung. Darüber hinaus haftet die Geschäftsleitung, bei entsprechenden Rechtsformen, etwa der GmbH grundsätzlich unbegrenzt und auch mit dem Privatvermögen. Übrigens: Besitzt ein interner Datenschutzbeauftragter nicht die nötigen Qualifikationen, gilt er als rechtlich nicht vorhanden mit der Folge, dass das Unternehmen dann wegen des Fehlens eines eigentlich notwendigen Datenschutzbeauftragten belangt werden kann.

Der externe Datenschutzbeauftragte

Externe Datenschutzbeauftragte werden dagegen im Rahmen eines Vertrags, der Kosten und Kündigungsfristen verbindlich regelt, als Dienstleister aktiv. Das hält die Kosten von vorn herein in klar definierten Grenzen. Sie müssen die nötigen Zertifizierungen aufweisen und auf eigene Kosten dafür sorgen, dass ihr Wissen aktuell ist und bleibt. Für ihre Dienste haften sie wie alle Berater – wer also entsprechend den Vorgaben des externen Datenschutzbeauftragten handelt, ist haftungsrechtlich  abgesichert, falls trotzdem Vorgaben der DSGVO nicht erfüllt werden oder andere Probleme auftreten.

Die meisten externen Datenschutzbeauftragten dürften ein juristisches Studium mit entsprechenden technischen Weiterbildungen durchlaufen haben. Dabei muss es nicht immer das zweite Staatsexamen sein – es reicht auch das erste Staatsexamen, ein Master- oder Bachelorabschluss . Damit sind solche Kräfte imstande, ein Unternehmen auch im rechtlichen Konfliktfall qualifiziert zu vertreten. Es gibt aber auch externe Datenschutzbeauftragte, die ein technisches Studium oder eine qualifizierte IT-technische Ausbildung mit ergänzendem juristischen Kenntniserwerb durchlaufen haben. Sie empfehlen sich besonders dort, wo technische Fragen im Mittelpunkt stehen. Oft sind bei Beratungsunternehmen, die für ihre Kunden extern die Aufgabe des Datenschutzbeauftragten übernehmen, Mitarbeiter mit beiden Qualifikationsformen beschäftigt, so dass Kunden die Qualifikation auswählen können, die am besten für sie passt.

Die Frage des personellen Ersatzes betrifft das Unternehmen nicht mehr: Erkranken externe Datenschutzbeauftragte oder fallen aus anderen Gründen aus, müssen sie selbst respektive ihr Arbeitgeber für einen fachlich qualifizierten Ersatz sorgen. Der wird in der Regel unter den Mitarbeitern des Beratungsunternehmens ohne Weiteres zu finden sein, so dass die Position im Kundenunternehmen nie vakant ist.

Auch die Perspektive externer betrieblicher Datenschutzbeauftragter ist eine andere: Weil sie in der Regel viel Erfahrung haben, sehen sie die internen betrieblichen Vorgänge mit einem geschärften, neutralen Blick. Sie können in ihrer Position leichter Schwachstellen aufzeigen oder Änderungsmaßnahmen vorschlagen. Interessenkonflikte treten nicht auf, und andere Aufgabenfelder, die interne Datenschutzbeauftragte meistens haben, bleiben nicht liegen. Zu den Kernaufgaben des externen Datenschutzbeauftragten gehört es auch, datenschutzrelevante Dokumente stets auf dem aktuellen Stand zu halten, so dass sie beispielsweise bei Rechtsstreitigkeiten oder Anfragen der Aufsichtsbehörden sofort wie verlangt vorliegen.

Und schließlich: Sind Unternehmen mit dem externen Datenschutzbeauftragten unzufrieden, können sie den Dienstleistungsvertrag ohne Weiteres kündigen und einen passenderen Dienstleister suchen. Kurz: Der externe Datenschutzbeauftragte dürfte gerade für Mittelständler mit ihren begrenzten Personalressourcen meist die bessere, weil kostengünstigere und sicherere Lösung sein.

Kriterien für die Auswahl externer Datenschutzberater

Wer ein passendes Beratungshaus sucht, das die Rolle des externen betrieblichen Datenschutzbeauftragten übernehmen soll, profitiert von einer möglichst breiten Qualifikation des in Frage kommenden Partners beziehungsweise seiner Mitarbeiter. Dazu sollte nicht nur einschlägiges Fachwissen in Recht und Informationstechnik gehören. Zusätzlich sollten die Berater auch spezifisches Branchen-Know-how mitbringen. Denn jede Branche hat ihre spezifischen Datenschutzherausforderungen, die im Datenschutzkonzept und seiner Umsetzung berücksichtigt werden müssen.  Neben der fachlichen Qualifikation ist die Umsetzungorientierung eines externen Beraters wichtig. Gerade mittelständische Kunden können mit abgehobenen Beratungskonzepten wenig anfangen. Sie suchen individuelle Lösungen die in flachen Hierarchien und mit kurzen Kommunikationswegen pragmatisch realisiert werden können. Sind diese Voraussetzungen gegeben, verwandelt sich der sichere Umgang mit personenbezogenen Daten von der lästigen Pflicht zum Wettbewerbsvorteil, weil er das Vertrauen der Kunden sichert.

Ein Beispiel dafür ist Memex Consulting. Das Beratungshaus bietet auf diverse mittelständische Branchen fokussiertes Expertenwissen und ist erfahren in der Umsetzung entsprechender Datenschutzkonzepte.

Externe und interne betriebliche Datenschutzbeauftragte im Vergleich

Die folgende Tabelle listet die unterschiedlichen Merkmale externer und interner betrieblicher Datenschutzbeauftragter auf und stellt sie gegenüber.

Verwendetes Bildmaterial:
rawpixel, Geschäft Büro Vertrag, © pixabay.com

Thema Interner Datenschutzbeauftragter Externer Datenschutzbeauftragter
Grundsatzqualifikation Nicht festgelegt. Gefordert ist die erforderliche Fachkunde (Datenschutz allgemein, branchenspezifisch, unternehmensspezifisch). Nicht festgelegt, in der Praxis häufig Juristen mit Datenschutzschwerpunkt und technischer Weiterbildung oder Ingenieurberufe bzw. Informatiker mit datenschutzrechtlicher Zusatzqualifikation.
Weiterbildung Pflicht zur Weiterbildung (Stand der Technik, rechtliche Anforderungen) Pflicht zur Weiterbildung (Stand der Technik, rechtliche Anforderungen)
Vertragliche Bindung Umfassender Kündigungsschutz nach § 38 Abs. 2 BDSG-neu bei Pflicht zur Bestellung. Vertragsdauer
Laufende Kosten Gehalt, Weiterbildungen inklusive Nebenkosten, Fachliteratur, bei nebenberuflichen Datenschutzbeauftragten ggf. Ersatzkapazitäten für Haupttätigkeit Dienstleistungsvergütung laut Vertrag, Weisungsbefugnis der Geschäftsleitung vollumfänglich vorhanden, keine Weiterbildungs-/Literaturkosten, kein Kranken/Urlaubsgeld, keine Beeinträchtigung anderer interner Funktionen
Interessenkonflikte Betriebsblindheit, Konflikte zwischen Haupt- und Nebentätigkeit im Betrieb sowie wegen der hierarchisch herausgehobenen Rolle des Datenschutzbeauftragten Neutralität gegenüber Mitarbeitern, Geschäftsbereichen und Geschäftsführung, Blick von außen auf die betrieblichen Gegebenheiten
Kompetenz Datenschutzkompetenz muss „on the job“ erworben werden. Nicht ausreichend qualifizierte Datenschutzbeauftragte werden rechtlich wie fehlende Datenschutzbeauftragte gewertet. Datenschutzkompetenz ist durch weitreichende Erfahrungen und Ausbildung in mindestens einem der Bereiche Recht oder Technik bereits vorhanden und wird dank Konzentration auf das Thema in der Praxis ständig vertieft.
Haftung Arbeitnehmerhaftung, Geschäftsleitung haftet darüber hinaus bei entsprechenden Rechtsformen (GmbH, Personengesellschaft) mit dem gesamten Privatvermögen. Beraterhaftung für fehlerhafte oder mangelhafte Beratungsleistungen. Das Unternehmen ist von der Haftung für Datenschutzmängel insofern freigestellt. Etwas anderes kann nur gelten, wenn die Geschäftsleitung die Umsetzung angeratener Datenschutzmaßnahmen unterlässt.
Einarbeitung Gute Kenntnisse der innerbetrieblichen Abläufe, Managementprozesse und Ansprechpartner vorhanden, dafür müssen in der Regel juristisches und/oder technisches Datenschutz-Fachwissen in Fort- und Weiterbildungen erworben werden. In der Regel umfassende juristische und/oder technische Kenntnisse plus datenschutzspezifisches Zusatzwissen, dazu umfangreiches Erfahrungswissen aus der Beratung, das ständig anwächst.
Stellung im Unternehmen In der Regel füllt der interne betriebliche Datenschutzbeauftragte diese Aufgabe neben einer anderen operativen Aufgabe aus, was zu Konflikten führen kann. Herausgehobene Stellung wird von ehemals gleichgeordneten Kollegen und auch der Geschäftsführung nicht immer voll akzeptiert, Durchsetzung von Datenschutzmaßnahmen ist dadurch unter Umständen erschwert. Neutrale Stellung, Äquidistanz zu Mitarbeitern und Führungskräften, kein Eigeninteresse an innerbetrieblichen Abläufen oder Ergebnissen, Kritik der bestehenden Datenschutzpraxis mit dem Außenblick, bei Kritik und Änderungsvorschlägen muss der externe Datenschutzbeauftragte nicht auf entgegenstehende Interessen oder unternehmensinterne Machtverhältnisse Rücksicht nehmen.
Best Practises Best Practises, nur theoretisch oder aus der Literatur/Weiterbildung bekannt oder so weit im eigenen Unternehmen bereits umgesetzt. Während der Beratungstätigkeit wird bei der Arbeit mit Kunden laufend auf Best Practises zurückgegriffen, zur ständigen Weiterbildung gehört der Wissenserwerb über neue oder veränderte Best Practises.
Stellvertretung Unternehmen muss sich um Stellvertretung kümmern, falls der interne Datenschutzbeauftragte ausfällt. Der externe Datenschutzberater oder sein Unternehmen müssen sich um Stellvertretung kümmern, wenn der bestellte Datenschutzbeauftragte ausfällt.
Verfügbarkeit Während Urlaub, Krankheit und Weiterbildung eingeschränkt Ständige Verfügbarkeit ohne Unterbrechung, so lange das beauftragte Beratungshaus ausreichend qualifizierte Mitarbeiter hat
Kapazität Bei internen Datenschutzbeauftragten häufig zusätzliche Ausübung einer operativen Funktion, dadurch Doppelbelastung, die die Effizienz des Datenschutzes oder bei der Erfüllung der Fachaufgabe verringert. Externe Datenschutzbeauftragte widmen sich ausschließlich den Datenschutzbelangen ihrer Kunden und konzentrieren sich vollständig auf dieses Thema.
0 Kommentare

Hinterlassen Sie ein Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

© 2018 Der Datenschutzbeauftragte - Memex consulting GmBH

Log in with your credentials

Forgot your details?