Interne oder externe Bestellung des Datenschutzbeauftragten?

Veröffentlicht am 12.01.2015 von Nina Kill M. Sc.

Bevor die Frage geklärt wird, externer oder interner Datenschutzbeauftragter, sollte erläutert werden, ab wann man überhaupt einen Beauftragten für Datenschutz bestellen muss.

Der Paragraph 4f Absatz 1 des Bundesdatenschutzgesetzes (BDSG) definiert, wer zur Bestellung eines Datenschutzbeauftragten verpflichtet ist:
„Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen. […]“.
Zusammenfassend lässt sich sagen, dass ein Unternehmen – in dem 10 oder mehr Personen mit der automatisierten oder mehr als 20 Personen auf andere Weise mit der Verarbeitung, Erhebung oder Nutzung von personenbezogenen Daten beschäftigt sind – zur Bestellung eines Datenschutzbeauftragten verpflichtet sind.

Aber wer darf überhaupt Beauftragter für Datenschutz werden? Auch hierfür definiert das Bundesdatenschutzgesetz in Paragraph 4f Absatz 2 die Voraussetzungen:
„Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.“

Im Leitbild des BvD (Berufsverband der Datenschutzbeauftragten Deutschlands e.V.) werden Voraussetzungen zur Ausübung als Datenschutzbeauftragter genauer erörtert. Es wird vorausgesetzt, dass derjenige eine berufliche Ausbildung abgeschlossen, Kenntnisse in der IT/Telekommunikation, den Gesetzen und Gerichtsurteilen im Bereich Datenschutz und der betriebliche Organisation hat, also fähig ist, selbstständig ein Unternehmen führen zu können, und mindestens eine 2-jährige Berufserfahrung vorweisen kann. Abschließend muss noch eine Ausbildung zum Datenschutzbeauftragten bestanden werden. Summa summarum lässt sich sagen, dass ein Beauftragter für Datenschutz Erfahrungen in der Informatik, in der aktuellen Gesetzgebungen, in BWL sowie Praxiserfahrungen vorweisen muss.

Weiterhin erörtert der BvD, dass ein Beauftragter für Datenschutz frei von Interessenkonflikten sein soll.
Die Vorteile von internen Datenschutzbeauftragten sind recht überschaubar: sie kennen die internen Prozesse, das Unternehmen und die Mitarbeiter. Aber diese Vorteile können auch zu einem Interessenskonflikt werden, wenn z.B. Datenschutzmaßnahmen eine mögliche Projektzielsetzung verhindern. Mögliche Interessenskonflikte sind auch der Grund, warum diese Tätigkeit nicht durch die Geschäftsführung oder andere Führungskräfte, insbesondere aus den Bereichen IT und Personal wahrgenommen werden dürfen.
Die Nachteile sind meist viel gravierender für das Unternehmen als die Vorteile. Für Datenschutzvergehen kann es empfindliche Ordnungsgelder von bis zu 300.000 € geben, meist entstehen diese aufgrund von Unwissenheit und dem nicht-vorhandenen fachlichen Wissen. Bei Vorsatz besteht sogar die Möglichkeit, durch Verurteilung eine bis zu zwei Jährige Haftstrafe verbüßen zu müssen. Die Fehler von internen Beauftragten für Datenschutz müssen vom Unternehmen selbst getragen werden. Abgesehen davon haftet die Geschäftsführung immer persönlich für Verstöße im Datenschutz.
Weiterhin reicht es auch nicht aus, einen Mitarbeiter für ein Wochenende auf eine Schulung zu schicken und ihn dann zum Datenschutzbeauftragten zu ernennen. Denn das nötige, recht komplexe Wissen, über das ein Datenschutzbeauftragter verfügen muss, lassen sich nicht in kurzer Zeit vermitteln. Nötig sind vielmehr kontinuierliche Schulungen und darauf aufbauende Weiterbildungsmaßnahmen.

Die Berufung eines externen Datenschutzbeauftragten hingegen bietet deutliche Vorteile. Externe besitzen das nötige Know-how aus vielen vorherigen Datenschutz-Projekten und sind allein durch ihre Berufswahl immer auf dem neusten Stand der Technik und von Gesetzen. Außerdem verfügen sie meist über eine spezialisierte Betriebs- und Vermögensschadenshaftpflichtversicherung, die ihr Unternehmen sowie den Datenschutzbeauftragten vor möglichen Schadensersatzforderungen schützt.
Eine genaue Auflistung der Vor- und Nachteil findet sich unten in der Tabelle wieder.
Als Fazit lässt sich festhalten, dass externe Beauftragte für Datenschutz mehr Know-how besitzen, während sie gleichzeitig ein geringes Risiko für das Unternehmen darstellen. Außerdem haben Sie bei einem externen Datenschutzbeauftragten eine bessere Kostenübersicht als bei einem Internen.