Vor- und Nachteile des internen oder externen Datenschutzbeauftragten
Der 25. März 2018 brachte vielseitige Veränderungen. Dazu gehört der neu geregelte Europäische Datenschutz. Seinen Kern bildet die Datenschutzgrundverordnung, die durch das Bundesdatenschutzgesetz verfeinert wird. Jeder Mitgliedstaat kann sowohl die Verordnung als auch das betreffende Datenschutzgesetz im nationalen Bereich an seine Bedürfnisse anpassen. Während die staatlichen Datenschutzbehörden die Einhaltung auf Bundes- und Landesebene überwachen, müssen die meisten Unternehmen auf betrieblicher Basis einen Datenschutzbeauftragten bestellen. Dabei haben die Betriebe die Wahl zwischen einer in- und externen Lösung, die vor allem in Klein- und Mittelbetrieben überlegt abgewogen und geplant werden muss.
Soll es ein interner oder lieber ein externer Datenschutzexperte sein?
Zwar kennen interne Beauftragte das Unternehmen, seine Mitarbeiter und die Problemstellungen, doch können sich aus diesen Tatsachen Probleme ergeben, die wiederum einen externen Datenschutzexperten notwendig machen. Dazu gehört beispielsweise die Betriebsblindheit des Kandidaten. Nach vielen Jahren und innerbetrieblichen Kontakten sieht er nicht alle möglichen Lösungsansätze, die sich positiv für das Unternehmen auswirken können. Auch wenn er während seiner Amtszeit einen besonderen Kündigungsschutz genießt, so denkt er doch schon heute über seine spätere Zukunft im Unternehmen nach. Diese beruflichen Perspektiven sind nicht selten vom Wohlwollen der Verantwortlichen abhängig. Wurde der interne Datenbeauftragte benannt, kann er sich auf das besondere Kündigungsschutzrecht berufen. Auch nach seiner Abberufung kann ihn das Unternehmen erst nach zwei Jahren kündigen.
Hier liegen die Vorteile, die das externe Datenschutz-Unternehmen bietet. Stellt der Auftraggeber fest, dass sich die Bedingungen geändert haben und er keinen Berater mehr benötigt, kann er den Vertrag im Rahmen der vereinbarten Kündigungsfristen auflösen. Externer Datenschutz bedeutet auch, dass die Experten die Abläufe innerhalb des Unternehmens unter objektiven Gesichtspunkten betrachten und keine Rücksicht auf persönliche Befindlichkeiten von Mitarbeitern nehmen. Dabei verbinden sie ihre branchenspezifischen und unternehmensübergreifenden Erfahrungen mit den gesetzlichen Vorgaben. Als selbständige Dienstleister obliegt ihnen auch die obligatorische Haftung für die von ihnen verursachten Schäden, die das Unternehmen beispielsweise in Form von Bußgeldern erleidet.
Die externen Datenschutzbeauftragten und Datenschutzberater des Netzwerks Datenschutz Nordost verfügen neben ihrer Qualifikation über eine umfassende Berufserfahrung, die sie vor Ort und von ihren Standorten im Bereich Rostock, Güstrow und Neubrandenburg aus effektiv und zeitnah einsetzen können. Die IT-Experten, Datenschutzexperten und Juristen setzen die gesetzlichen Vorschriften im Interesse des Kunden direkt um.
Welche Risiken sind mit der internen Lösung verbunden?
Konzerne und große Unternehmen richten Stabsstellen ein, die sich mit umfangreichen finanziellen Ressourcen den Herausforderungen des Datenschutzes annehmen.
Kleine und mittlere Unternehmen müssen mit einer begrenzten Belegschaft und einem übersichtlichen Budget auskommen. Die ausgewählten Mitarbeiter werden nach ihren Schulungen mit dem internen Datenschutz konfrontiert, den sie in das vorhandene System integrieren sollen. Obwohl die meisten freigestellt werden, kümmern sich viele zusätzlich um ihre sekundären Aufgabenbereiche. Während der Fortbildungen erlangen sie jedoch nur ein begrenztes theoretisches Wissen, das Raum für signifikante Fehler lässt. Diese führen zu Verstößen gegen das Datenschutzgesetz und werden mit Bußgeldern bedroht und belegt. Das Problem verdeutlicht ein Beispiel.
Beispiel: Interner Datenschutzbeauftragter
Die Computer X GmbH beschäftigt fünfzig Mitarbeiter, von denen 21 in der Datenverarbeitung arbeiten. Das Unternehmen muss aufgrund seiner Struktur einen Beauftragten für Datenschutz ernennen. Die Wahl der Geschäftsleitung fällt auf Elke A, die als stellvertretende Leiterin der EDV schon eine anspruchsvolle Stelle bekleidet. Ihr Geschäftsführer schickt sie zu einer Schulung. Sie erhält viele Informationen, die sie im Rahmen ihrer neuen Funktion im Unternehmen umsetzt. Leider unterlaufen ihr einige gravierende Fehler, die sie aufgrund ihrer geringen Erfahrung auf diesem neuen Gebiet nicht erkennen kann. Als diese Verstöße der Aufsichtsbehörde bekannt werden, verhängt das Amt eine fünfstellige Geldbuße. Auch wenn sie nach § 41 des neuen BDSG nicht für das Bußgeld haftet, ist der Vorgang sowohl für das Unternehmen als auch für Elke A. unangenehm und teuer. Daran ändern weder das besondere Kündigungsschutzrecht als auch das Zeugnisverweigerungsrecht nichts.
Hätte der Auftraggeber statt Elke A. den externen Spezialisten der Datenschutz Nordost gewählt, so könnte er von Anfang an auf ein ausgewähltes Experten-Team zurückgreifen. An den Standorten in Schwerin, Neubrandenburg, Rostock und Güstrow finden die mit einander kooperierenden Unternehmen praxisrelevante Antworten, um mit ihren Kollegen vor Ort das Problem im Sinn ihres Auftraggebers zu lösen. Die Datenschutzbeauftragten verfügen über eine entsprechende Haftpflicht-Versicherung.
Welche Vorteile bringt ein externer Beauftragter für Datenschutz?
Die externen Datenschutzberater arbeiten im Team an umfangreichen Projekten mit. Sie sammeln Erfahrungen in den betrieblichen Abläufen und kreieren auf diesen Wegen branchenübergreifende Lösungen. Auf diese Informationen kann das beauftragende Unternehmen ab dem ersten Tag zurückgreifen und darauf vertrauen.
Sobald der von der Datenschutz Nordost entsandte Datenschutzexperte den zuständigen Aufsichtsbehörden gemeldet worden ist, kann er mit seiner Tätigkeit beginnen. Im nächsten Schritt wird er den Vorgesetzten, Mitarbeitern und Geschäftspartnern als direkter Ansprechpartner vorgestellt. Sie können sich an ihn wenden, wenn sie Fragen zum Thema externer Datenschutz haben oder sich in ihren persönlichen datenschutztechnischen Rechten verletzt fühlen. Zu seinem Aufgabenfeld gehört auch die Beantwortung der Datenschutzanfragen. So klärt er mit der zuständigen Datenschutzbehörde alle Fragen, die beispielsweise als rechtlich problematisch eingestuft werden. Sein Augenmerk ist dabei immer auf den Schutz seines Auftraggebers gerichtet.
Primär fungiert der Beauftragte in seinem Amt als Kontroll- und Koordinationsinstanz. Die von ihm vorgeschlagenen Lösungsansätze werden mit der Geschäftsleitung und den verantwortlichen Mitarbeitern diskutiert. Die letzte Entscheidung trifft immer die Geschäftsleitung.
Externe Datenschutzbeauftragte vom Netzwerk Datenschutz Nordost
Fast alle Unternehmen verfügen mittlerweile über eine eigene Website. Auf ihr ist jeweils eine DSGVO-konforme Datenschutzerklärung zu hinterlegen, die vom Beauftragten entweder geprüft oder selbst erstellt wird. Im Anschluss kontrolliert er alle wichtigen Geschäftspapiere auf ihre datenschutzrechtlichen Relevanzen, bevor sie von den Vertragspartnern unterzeichnet werden.
Ein weiterer wichtiger Aspekt besteht in der Schulung der internen Mitarbeiter, die er gleichzeitig über ihre persönlichen Datenschutzrecht und Pflichten aufgeklärt. Hierzu stehen neben persönlichen Terminen auch Video- oder Internetfortbildungen auf dem Programm, die vom Experten-Netzwerk der Datenschutz Nordost auf der Basis der aktuellen Rechtslage erstellt werden.
| interner Datenschutzberater | externer Datenschutzberater |
|---|---|
| Es herrscht beschränkte Arbeitnehmerhaftung sowie vollständige Haftung des Geschäftsführers | Vermindertes Haftungsrisiko für das Unternehmen |
| Abberufung nur in wichtigen Gründen (§ 626 BGB & § 4f Abs. 3 Satz 4), zusätzlich ein Jahr Kündigungsschutz nach Abberufung | Abberufung bzw. Kündigung der Bestellung jederzeit möglich |
| Mitbestimmungsrecht des Betriebsrats bei Einstellung bzw. Umsetzung des internen DSB (§ 99 BetrVG) | Kein Mitbestimmungsrecht des Betriebsrats bei externer Auftragsvergabe |
| Freistellung des internen Teilzeit-DSB je nach Unternehmensgröße und Anforderung gefordert. | Keine Bindung von Mitarbeitern und Ressourcen. |
| Teilzeit-DSB nutzen üblicherweise bis zu 25% ihrer Arbeitszeit für den Datenschutz. | Nutzung der zeitlichen Ressourcen zu 100% |
| Freistellung des Mitarbeiters für die Schulungsdauer zur Erlangung der Fachkunde | Zertifizierte und bereits vorhandene Fachkunde |
| Kosten für Literatur, Büro, Arbeitsausfälle und Weiterbildung | Preistransparenz durch vertraglich festgelegte Konditionen |
| zusätzliche Benennung von Stellvertretern notwendig | Stellvertretung durch mehrere Berater gesichert |
| Arbeitgeberkosten für Weiterbildung, Reisekosten und Verpflegung | Weiterbildungskosten im Pauschalbetrag enthalten |
| Fehlende Neutralität gegenüber der Unternehmensleitung | Neutrale Position gegenüber Kunden und Aufsichtsbehörden sowie gegenüber Mitarbeitern |
| Betriebsabläufe sind in der Regel bereits bekannt | Einarbeitung in Betriebsabläufe notwendig |
| Unternehmensweiter Erfahrungshorizont | Erweiterter Erfahrungshorizont durch mehrere Mandantschaften |
Moin,
ich bin seit über 20 Jahren in der Beratung, Erwachsenenbildung und dem Versandhandel tätig. Mit meinem Unternehmen Manufaktur für Entrepreneurship & E-Learning berate ich kleine und mittlere Unternehmen insbesondere aus dem Handwerk und dem Handel bei Fragen zum Datenschutz. Zudem betreue ich namenhafte Unternehmen des sozialen Sektors und öffentliche Stellen.
Lassen Sie uns mal reden.
Axel Lehmann, Güstrow
Tel.: 03843-22 91 33