Im Bundesdatenschutzgesetz BDSG ist genau geregelt, unter welchen Bedingungen ein Unternehmen (nicht-öffentliche Stelle) einen betrieblichen Datenschutzbeauftragten DSB zu bestellen hat. Die Aufgabe eines Datenschutzbeauftragten ist es, auf die Einhaltung des Datenschutzes im Unternehmen hinzuwirken. Die bzw. der Datenschutzbeauftrage im Unternehmen ist in ihrer bzw. seiner Fachkunde beratend tätig. Sind die Voraussetzungen einer notwendigen Bestellung in Ihrem Unternehmen gegeben, dann bestehen zwei Möglichkeiten:
- Sie wählen einen Ihrer Mitarbeiter aus und bestellen diesen zum internen Datenschutzbeauftragten.
- Sie suchen sich einen Dienstleister und bestellen diesen zum externen Datenschutzbeauftragten.
Interne oder externe Lösung?
Welche Entscheidung die Richtige ist, hängt von Ihrem Unternehmen ab. Denn beide Lösungen haben Vor- und Nachteile. Einen eigenen Mitarbeiter zum Datenschutzbeauftragten zu bestellen bedeutet, dass diese Person einen bestimmten Anteil der Arbeitszeit für diese Tätigkeit aufwenden muss. Es ist nicht unbedingt erforderlich, dass sie sich nur noch mit dem Datenschutz beschäftigt. In der Bestellung kann deshalb ein bestimmter Anteil der Arbeitszeit für diese Tätigkeit festgelegt werden. Durch dieses neue Aufgabenfeld kann aber wiederum an anderer Stelle Arbeit liegen bleiben bzw. müssen diese von anderen Mitarbeitern übernommen werden. Durch die gestellten Anforderungen hinsichtlich Eignung der Person für die Bestellung zum DSB, finden Sie aber vielleicht gar keinen geeignete Mitarbeiterin oder Mitarbeiter. Dass ein gewisser Personenkreis gar nicht bestellt werden darf, schränkt die Auswahl weiter ein. Geschäftsführer und IT-Leiter dürfen nicht zum Datenschutzbeauftragten bestellt werden. Auch bei weiteren Funktionsträgern im Unternehmen kann eine Bestellung problematisch werden. IT-Administratoren und Mitarbeiter der Personalabteilung können schnell in Konflikte mit ihren normalen Arbeitsaufgaben kommen. Deshalb kann eine Bestellung aus diesem Personenkreis zu Problemen führen.
Kosten entstehen in beiden Fällen
Der Datenschutzbeauftragte muss zudem einige fachliche und persönliche Fähigkeiten mitbringen (§4f BDSG). Jeder DSB muss gewisse Grundkenntnisse im Bereich der Informationstechnologie besitzen bzw. sich diese in erforderlichem Maß aneignen. Auch aus diesem Grund kann sich die Auswahl eines externen Datenschutzbeauftragten als praktikabler erweisen. Diese Person muss nicht erst zu entsprechenden Schulungen entsendet werden, was auch wieder mit Zeit und Kosten verbunden ist. Sonst kann es bei der Analyse und Bewertung von IT-Verfahren und den Technisch-organisatorischen Maßnahmen problematisch werden. Der interne Mitarbeiter verursacht durch die Bestellung zunächst keine zusätzlichen Kosten. Anders beim externen Datenschutzbeauftragten. Dieser wird sich kaum zu einer ehrenamtlichen Tätigkeit überreden lassen und eine angemessene Entlohnung fordern. Diese Kosten können mit der Zeit wiederum höher ausfallen, als sich einen eigenen Mitarbeiter auszubilden und kontinuierlich weiterbilden zu lassen.
Zeitaufwand nicht unterschätzen
Dafür kann der externe DSB eigentlich sofort mit der Arbeit beginnen. Dieser ist bei der Bewertung von Datenschutzmaßnahmen vielleicht auch weniger voreingenommen und somit unabhängiger. Allerdings kann ein externer DSB nachteilhaft sein, wenn diese Person stark ausgelastet ist und somit kaum Zeit für Anfragen findet. Selbst wenn dies vertraglich zugesichert ist. Wird nur eine kurze Einschätzung benötigt, kann ein interner Datenschützer eventuell schneller ein Ergebnis liefern. Auch die Kenntnis über neue Verfahren im Unternehmen können vom eigenen Mitarbeiter schneller recherchiert werden. Zu Beginn der Tätigkeit als Datenschützer wird sicherlich mehr Zeit aufgewendet werden müssen. Steht aber das Datenschutzmanagementsystem erst einmal und sind alle Maßnahmen durchgeführt, beschränkt sich der Aufwand vielleicht nur noch auf die turnusmäßige Prüfung der IT-Verfahren, der TOM und anfallenden Schulungsmaßnahmen. Bis dahin gibt es aber schon einiges zu tun.
Welcher Weg gewählt wird, liegt allein in der Entscheidung der Unternehmensleitung. Egal ob interner oder externer betrieblicher Datenschutzbeauftragter, die Geschäftsführung als Vertreter der verantwortlichen Stelle, bleibt letztendlich in der Haftung.