Der Datenschutzbeauftragte im Unternehmen wird gerne als “Gegenspieler” der Fachabteilungen angesehen und wird daher oft nicht oder zu spät in Entscheidungen eingebunden. Dies ist oft dem geschuldet, dass er nur in seiner kontrollierenden und überwachenden Funktion wahrgenommen wird. Dabei tritt er auch als Dienstleister im Unternehmen auf und ist daher auch mit dieser Funktion zu sehen.
Der Datenschutzbeauftragte eines Unternehmens erfüllt viele Aufgaben, welche in der DSGVO klar geregelt sind. Die gesetzlichen Vorgaben, wann ein Datenschutzbeauftragter benannt werden muss, werden im nachfolgenden Text als bekannt vorausgesetzt. Diese lassen sich im Art. 37 DSGVO in Verbindung mit § 38 BDSG-neu nachlesen. Für die meisten Unternehmen ist dabei § 38 BDSG-neu relevanter.
Aufgaben des Datenschutzbeauftragten
Art. 39 DSGVO regelt klar die Aufgaben des Datenschutzbeauftragten, wobei diese nur ein Mindestmaß festlegen und in Einzelfällen erweitert oder um gänzlich andere Tätigkeiten ergänzt werden kann. Dabei darf es zu keinem Interessenkonflikt im Sinne des Art. 38 (6) DSGVO kommen.
Der Datenschutzbeauftragte erfüllt zumindest folgende Aufgaben:
-
- “Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten” im Hinblick auf die geltenden Datenschutzgesetze
- “Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten”. Dies gilt auch für die Datenschutzstrategie des Verantwortlichen und der Auftragsverarbeiter.
- Zuweisung der Zuständigkeiten
- Sensibilisierung, Schulung der Mitarbeiter und diesbezügliche Überprüfungen
- “Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 [DSGVO]“
- “Zusammenarbeit mit der Aufsichtsbehörde”
- “Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 [DSGVO] und gegebenenfalls Beratung zu allen sonstigen Fragen.”
(vgl. Art. 39 (1) DSGVO)
Daraus ergeben sich vielfältige Tätigkeitsbereiche, welche sich auch in der Stellung des Datenschutzbeauftragten widerspiegeln.
Stellung des Datenschutzbeauftragten
Der Datenschutzbeauftragte hat im Unternehmen eine besondere Stellung. So fordert die DSGVO, dass der Verantwortliche rechtzeitig den Beauftragten in Prozesse einbindet und ihn bei der Erfüllung seiner Aufgaben unterstützt. Das heißt, dass die notwendigen Ressourcen diesem bereitgestellt werden müssen. Ebenso unterliegt der Datenschutzbeauftragte im Rahmen seiner Tätigkeit einer Weisungsfreiheit und ist nicht an Weisungen, auch nicht vom Verantwortlichen, gebunden. Er berichtet unmittelbar an die höchste Managementebene. Zusätzlich ist die Anlaufstelle für Betroffene, die Fragen oder Anliegen zu ihren Rechten haben. Grundsätzlich gilt, dass der Datenschutzbeauftragte nicht wegen der Erfüllung seiner Aufgaben benachteiligt oder abberufen werden darf. (vgl. Art. 38 DSGVO)
Dienstleister für das Unternehmen
Doch wie folgt daraus die Dienstleistungsfunktion des Datenschutzbeauftragten für die Mitarbeiter und Führungskräfte? Dies folgt aus der Beratungstätigkeit, welche dieser erbringt. Denn laut DSGVO berät dieser nicht nur den Verantwortlichen, sondern auch die Beschäftigten bei Fragen zum Datenschutz. Das bedeutet, dass er nicht als Vorgesetzter zu sehen ist, sondern als zentrale Anlaufstelle für alle Mitarbeiter, welche Fragen oder Anliegen im Bereich Datenschutz haben. Er tritt also nicht als strikter Kontrolleur und “Gegenspieler” der Beschäftigten auf, sondern er soll unterstützen und helfen, dass die datenschutzrechtlichen Ziele erreicht werden. Die Umsetzung dieser muss jedoch dabei durch die Beschäftigten erfolgen. Der Datenschutzbeauftragte hat somit eine doppelte Aufgabe: Während er auf der einen Seite eine kontrollierende Aufgabe hat, ist er zeitgleich ein Dienstleister im Unternehmen und steht jedem bei Bedarf als Berater zur Verfügung.
Nachdem nun betrachtet wurde, welche Aufgaben und Stellung der Datenschutzbeauftragte hat und wie dieser als Dienstleister im Unternehmen wirkt, wird nun der Unterschied zwischen internen und externen Beauftragten eingegangen.
Extern oder Intern – ein kurzer Vergleich
Der nachfolgende Vergleich stellt nur einen kleinen Ausschnitt aus den unterschiedlichen Entscheidungsfaktoren dar, welche im Hinblick auf die Entscheidung zwischen einem externen und internen Datenschutzbeauftragten betrachtet werden sollten.
Interner Datenschutzbeauftragter
Bei der Benennung eines internen Datenschutzbeauftragten sind mehrere Punkte zu beachten, welche für den Verantwortlichen gewisse Nachteile darstellen, jedoch auch einige Vorteile bietet.
So ist der interne DSB (Datenschutzbeauftragte) in das Unternehmen integriert und in die tägliche Kommunikation mit eingebunden. Dadurch, dass kein zusätzlicher Mitarbeiter eingestellt werden muss, sondern die Tätigkeiten (soweit es möglich ist) zusätzlich zu den regulären Aufgaben erfüllt werden, können Kosten eingespart werden. Nachteilig ist jedoch, dass der interne DSB einen Kündigungsschutz innehat und selten innerhalb eines Unternehmen geeignete Kandidaten gefunden werden können. Die Aufwände und die Auslastung sind zusätzlich bei einem internen DSB schwer abschätzbar und es kann dadurch zu Schwierigkeiten kommen.
Externer Datenschutzbeauftragter
Der externe DSB hingegen erbringt seine Arbeit im Zuge eines Dienstleistungsvertrages. Der externe Datenschutzbeauftragte unterliegt keinem Kündigungsschutz und kann unter Berücksichtigung des Vertrages gewechselt werden. Ebenso ist in der Praxis festzustellen, dass dieser von Betriebsräten besser angenommen wird und leichter an Informationen kommt, da er im Unternehmen als unabhängiger Dritter außerhalb von Konkurrenzverhältnissen wahrgenommen wird. Auch die Qualifikation und die Aktualität des Fachwissens sind bei diesem meist höher. Nachteilig ist dabei jedoch, dass Zusatzkosten entstehen und er als externe Kraft explizit eingebunden werden muss. Ebenso fehlt z. T. die Fachkenntnis, welche in der speziellen Branche des Unternehmens notwendig ist.
Fazit
Wie zu sehen ist, bietet der externe Datenschutzbeauftragte für Unternehmen viele verschiedene Vorteile und wird daher oft im Vergleich zum internen Datenschutzbeauftragten bevorzugt. Die Auswahl, welches Modell von einem Unternehmen gewählt wird, sollte wohlüberlegt getroffen werden. Dies ist besonders beim internen Modell der Fall, da dadurch eine längerfristige Bindung entsteht.
Gerne bieten wir Ihnen unsere Fachkompetenz als externer Datenschutzbeauftragter an und beraten Sie zu den unterschiedlichen Möglichkeiten.
Disclaimer: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge übernehmen wir keine Gewähr. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.
