Grundsätzlich kann ein betrieblicher Datenschutzbeauftragter (DSB) sowohl intern in Person eines Mitarbeiters, als auch extern in Person eines Dienstleisters, bestellt werden.
Wann benötige ich einen Datenschutzbeauftragten?
Ein Unternehmen benötigt einen Datenschutzbeauftragten, sobald es mind. 20 Personen beschäftigt, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten befassen. Hierunter fällt z.B. die Personalverwaltung, die Kundenbetreuung oder die Finanzbuchhaltung. Auch Selbstständige, Praktikanten oder Arbeitnehmer einer Arbeitnehmerüberlassung können bei der Berechnung der Personenanzahl einem Unternehmen zugerechnet werden.
Verarbeitet Ihr Unternehmen besondere Arten von personenbezogenen Daten (z. B. über politische Überzeugungen, die Gesundheit oder das Sexualleben) oder liegt Ihre Kerntätigkeit in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten, so gilt die Pflicht zu Benennung eines DSB unabhängig von der Mitarbeiteranzahl. Ob Sie einen internen oder externen DSB bestellen, bleibt dabei Ihnen überlassen.
Interner Datenschutzbeauftragter
Als interner Datenschutzbeauftragter kommt insbesondere eine Mitarbeiterin oder ein Mitarbeiter aus Ihrem Unternehmen in Betracht. Nichtsdestotrotz ist nicht jeder Mitarbeiter für die Funktion als DSB gleichermaßen berufen. Die Geschäftsführung ist ebenso ausgeschlossen wie alle Mitarbeiter, bei denen ein Interessenskonflikt zwischen ihrer beruflichen Tätigkeit und dem Amt des Datenschutzbeauftragten bestehen könnte. Da der DSB für die Einhaltung des Datenschutzes innerhalb des Unternehmens verantwortlich ist, kommt diesem eine vollständige unabhängige Rolle zu. Aus diesem Grund sind unter anderem der IT-Leiter oder auch der Marketing-Leiter für die Funktion als DSB als ungeeignet anzusehen.
Die Bestellung als DSB ist nur dann möglich, wenn dieser über ausreichende Fachkenntnisse im Datenschutzrecht verfügt und der verantwortungsvollen Tätigkeit gewachsen ist.
Externer Datenschutzbeauftragter
Bei einem externen Datenschutzbeauftragten handelt es sich um einen zertifizierten Datenschutzexperten, der nicht Ihrem Unternehmen angehört, sondern als Dienstleister für Sie arbeitet. Ein externer Datenschutzbeauftragter besitzt aufgrund seiner einschlägigen Ausbildung ein hohes Fachwissen im Datenschutzrecht. Als unabhängiger Fachexperte ist er in der Lage, die Aufgaben eines Datenschutzbeauftragten vollumfänglich zu erfüllen.
Volljurist / Rechtsanwalt oder zertifizierter Datenschutzbeauftragter?
Des Weiteren sollte zwischen Datenschutzbeauftragten, ob intern oder extern, und einem Rechtsanwalt unterschieden werden. Denn ein Datenschutzbeauftragter kann das Unternehmen nur in bestimmten Bereichen vertreten, während ein Rechtsanwalt aufgrund seiner Zulassung unbeschränkt beraten kann. Dies kann beispielsweise bei Datenschutzverletzungen von großer Wichtigkeit sein. Denn dann ist Schnelligkeit gefordert! So muss der Verantwortliche gemäß Art. 33 DSGVO innerhalb von 72 Stunden, nachdem die Verletzung personenbezogener Daten bekannt wurde, dies bei der zuständigen Aufsichtsbehörde melden. Kommt es darüber hinaus zu einem hohen Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen, so sind diese gemäß Art. 34 DSGVO zu benachrichtigen. Allein aufgrund dieser Melde- und Informationspflichten sind tiefergehende Kenntnisse der DSGVO erforderlich. Ein Anwalt kann im Notfall das Unternehmen vollumfänglich beraten und mit den Behörden in Kontakt treten. In Fällen der Datenschutzverletzung kann dies zudem eine hohe Geldbuße durch die Aufsichtsbehörden nach sich ziehen. Hier kann ein Rechtsanwalt für Datenschutz einschreiten. Mit den entsprechenden Kenntnissen und der nötigen Erfahrung kann er im Optimalfall eine solche Geldbuße sogar ganz abwenden.
Überdies sind maßgebend für die Auswahl die unternehmensspezifischen Strukturen und Bedürfnisse. Sind bspw. mehrere Unternehmen im Wege einer rechtlich komplexen Konstruktion miteinander verbunden, so wird ein Volljurist als DSB in der Lage sein, einen Überblick über die gesellschaftsrechtliche Komplexität zu behalten. Dagegen wird ein mittelständisches Unternehmen, bei dem es im Hinblick auf den Datenschutz speziell um technische Konzepte geht, unter Umständen eher von einem IT-Experten als DSB profitieren können.
Achtung: Bisweilen ist höchstrichterlich noch nicht abschließend entschieden worden, ob die Aufgaben als Datenschutzbeauftragter als Rechtsdienstleistung zu qualifizieren ist und demnach lediglich Juristen und Rechtsanwälten vorbehalten bleibt. Zwar habe der Anwaltsgerichtshof NRW (AGH NRW) in dessen Entscheidung mit Urteil vom 12.03.2021 (Az. 9/19) dargelegt, dass die Tätigkeit als Datenschutzbeauftragter als Rechtsdienstleistung anzusehen ist, diese jedoch für Nichtjuristen im Rahmen des Art. 39 DSGVO erlaubt sei. In diesem Kontext ist ferner auf die Rechtsprechung des Bundesfinanzhofs (BFH, Urteil v. 05.06.2003 – IV R 34/01) hinzuweisen. Dieser stellte dabei fest, dass ein externer Datenschutzbeauftragter „über umfangreiche juristische Kenntnisse zum Datenschutz verfügen (muss), was nicht nur vertiefte Kenntnisse der Regelungen des Bundes- und der jeweiligen Landesvorschriften voraussetzt, sondern auch Kenntnisse bezüglich der datenschutzrelevanten Spezialregelungen im Zivil-, Straf-, Steuer-, Sozial-, Arbeits- und Verwaltungsrecht“.
Kostenfreies Kennenlern-Angebot
Wir bieten Ihnen daher ein unverbindliches und kostenfreies Kennenlern-Gespräch an, in dem wir Sie über allgemeine Prozesse und Arbeitsabläufe informieren, sowie Ihre Investition in unsere Arbeit besprechen. Vereinbaren Sie für Ihr Anliegen einfach einen Termin, der dank unserer technischen Ausstattung auch telefonisch oder online durchgeführt werden kann. Sie erreichen uns per Mail an info@steinbock-partner.de oder telefonisch unter 0931 22222.
Was sind die Unterschiede zwischen einem internen und einem externen Datenschutzbeauftragten?
Nachfolgend möchten wir Ihnen einen Überblick über die wesentlichen Unterschiede zwischen einen internen und externen Datenschutzbeauftragten geben:
Interner DSB | Externer DSB (Anwalt) | |
Kosten | zusätzlich zum regulären Gehalt sind Kosten für Aus- und Fortbildung sowie Erwerb von Fachliteratur vom Unternehmen zu tragen | transparente Kostenstruktur durch vertraglich festgelegte Preise |
Kompetenz | zeitintensive und aufwendige Weiterbildungsmaßnahmen zur Erlangung der Fachkunde oft nur Fachwissen auf einem Gebiet (z.B. Datenschutz) | aktuelle, bereits vorhandene und sofort abrufbare Fachkunde (regelmäßige Fortbildungen) interdisziplinäre Kompetenzen: Datenschutzrecht, IT-Sicherheit, weitere Gesetze wie BDSG, UWG, TTDSG, betriebswirtschaftliche Kenntnisse, Prozessberatung und Erfahrung in Begleitung von Veränderungsprozessen |
Praxiserfahrung | begrenzte Praxiserfahrung im eigenen Unternehmen | Fachkunde, große Praxiserfahrung durch Beratung vieler Unternehmen |
Einarbeitung | Betriebsabläufe sind oft bekannt, Einarbeitung in Prozesse anderer Abteilungen ggf. nötig und Risiko für Betriebsblindheit | Einarbeitung in Betriebsabläufe nötig, aber nimmt objektive und neutrale Perspektive ein kein Risiko für Betriebsblindheit |
Arbeitsaufwand | häufig nur geringe zeitliche Verfügbarkeit für Tätigkeit als DSB, durch Unerfahrenheit ggf. größerer Einarbeitungsbedarf und höherer Arbeitsaufwand | effizienter Zeiteinsatz und nur dann, wenn er gebraucht wird |
Haftung | Haftung im Rahmen der beschränkten Arbeitnehmerhaftung | eigene Berufshaftlichtversicherung und demnach keine Anwendung der Grundsätze der beschränkten Arbeitnehmerhaftung. Risikominimierung für das Unternehmen |
Stellung im Unternehmen | Akzeptanz im Unternehmen eher geringer, da Mitarbeiter auf Anfragen oft nur langsam oder gar nicht reagiert Rücksichtnahme auf Kollegen und Vorgesetzte Isolierung des Mitarbeiters aufgrund der Konfrontierung mit einer unbekannten Themenvielfalt im Datenschutz | unabhängig und weisungsfrei, keine Hemmungen Probleme anzusprechen (sowohl innerhalb des Unternehmens, als auch nach außen) unabhängige Stellung des externer DSB wird anders wahrgenommen, dadurch kürzere Antwortzeiten professionelle und überzeugende Außendarstellung |
Kündigungsschutz | interner Datenschutzbeauftragter genießt besonderen Kündigungsschutz – vergleichbar mit einem Betriebsrat | Die Beauftragung des externen Datenschutzbeauftragten kann fristgerecht beendigt werden (Kündigung) |
zeitliche Verfügbarkeit | oftmals eingeschränkt durch andere Aufgaben oder reguläre Arbeitszeiten | immer verfügbar, kurze Antwortzeiten |