Der Datenschutzbeauftragte (DSB) soll auf die Einhaltung und Umsetzung des Datenschutzes im Unternehmen hinwirken.

interner oder externer DSB

Interner oder externer Datenschutzbeauftragter?

Wird ein Datenschutzbeauftragter nötig oder wollen Sie sicher sein was den Datenschutz angeht, so stellt sich irgendwann auch die Frage, ob es ein interner oder externer Datenschutzbeauftragter sein soll. In diesem Beitrag zeigen wir kurz den Unterschied und die Vor- sowie Nachteile eines interner bzw. externen DSB. 

Interner oder externer Datenschutzbeauftragter? Wo liegt der Unterschied?

Der Unterschied liegt vor allem darin, dass der interne Datenschutzbeauftragte ein Mitarbeiter, oder eine Mitarbeiterin des Unternehmens ist. Der externe Datenschutzbeauftragte dagegen ist selbst Unternehmer bzw. Selbständig. Er wird beauftragt und dann zum externen Datenschutzbeafutragten benannt. Damit geht es auch schon zu den Vor- und Nachteilen eines internen oder externen Datenschutzbeauftragten.

Welche Vor- und Nachteile hat der interne Datenschutzbeauftragte?

Vorteile eines internen Datenschutzbeauftragten

Die Vorteile eines internen Datenschutzbeauftragten liegen vor allem darin, dass er Ihr Unternehmen kennt. Er ist hier „zu Hause“, und in die Kommunikation sowie Verflechtungen des Unternehmens bestens eingebunden. Er kennt die Strukturen und Mitarbeiter genauer als ein externer DSB. Oft als Vorteil genannt, werden auch die Kosten. Es muss theoretisch kein neuer Mitarbeiter eingestellt werden. Doch ist zu beachten, dass der interne Datenschutzbeauftragte, nun neue Aufgaben hat und der Arbeitsaufwand ist nicht zu unterschätzen. 

Nachteile eines internen Datenschutzbeauftragten

Damit kommen wir direkt zu den Nachteilen eines internen Datenschutzbeauftragten. Die Kosten und auch die Aufgaben können schnell unüberschaubar werden. Die Aufgaben eines Datenschutzbeauftragten sind vielfältig und womöglich kann der interne Datenschutzbeauftragte, seiner bisherigen Tätigkeit nicht mehr wie bisher nachgehen. Am Ende muss doch noch ein neuer Mitarbeiter eingestellt werden. Probleme bereiten wird meist die Suche nach einem geeigneten Mitarbeiter. Damit ein Mitarbeiter Datenschutzbeauftragter sein kann, gilt es Voraussetzungen nach Art. 37 V DSGVO zu erfüllen. Da kann es schon schwierig werden, einen Mitarbeiter mit dem nötigen Fachwissen und der geeigneten beruflichen Qualifikation zu finden. Oft sind dann Schulungen und Weiterbildungen nötig. Das Wissen muss dann auch stets auf dem aktuellen Stand gehalten werden, um den Anforderungen aus dem Datenschutz gerecht zu werden. Als letzten Nachteil kann man den Kündigungsschutz des internen Datenschutzbeauftragten sehen. Hier sind einige Besonderheiten zu beachten. 

Wo liegen die Vor- und Nachteile des externen Datenschutzbeauftragten?

Vorteile eines externen Datenschutzbeauftragten

Was ein Nachteil des internen Datenschutzbeauftragten ist, ist ein Vorteil des externen Datenschutzbeauftragten. Der externe Datenschutzbeauftragte ist qualifiziert, und hält sich auf dem laufenden über die rechtlichen Entwicklungen im Datenschutz. Dazu weiss der externe DSB, wie der Datenschutz im Unternehmen am Besten umzusetzen ist. Durch seine Qualifikation kann der DSB auf Anfragen von Mitarbeitern und Betroffenen schnell reagieren. Er hat bereits nötige Vorlagen und kennt die üblichen Fragen zum Thema Datenschutz. Meistens ist es auch so, dass ein externer Datenschutzbeauftragter vom Betriebsrat eher akzeptiert wird, als ein interner DSB. Zu guter Letzt weiß der externe DSB, wie und wo man im Unternehmen anfängt. Er kennt das Vorgehen und sieht schnell die Schwachstellen im Unternehmen. 

Nachteileteile eines externen Datenschutzbeauftragten

Natürlich gibt es auch bei der Benennung eines externen DSB Nachteile. Einer der größten Nachteile ist die Einbindung des Datenschutzbeauftragten. Er ist oft außen vor, oder wird zu spät in die internen Prozesse eingebunden. Diesem Nachteil können Sie aber zuvor kommen, indem Sie den DSB in alle nötigen Prozesse einbinden. Dadurch dass der Datenschutzbeauftragte kein angestellter Mitarbeiter ist, kann es dazu kommen, das die Mitarbeiter eine gewisse Scheu haben, bei Fragen auf den externen DSB zuzugehen. Ermutigen Sie Ihre Mitarbeiter dazu, und sprechen sich für das Nutzen und Abrufen des Wissens des DSB aus. Ein weiterer Nachteil kann im Fehlen von Kenntnissen zur Branche in der Ihr Unternehmens tätig ist liegen. 

Fazit 

Am Ende haben beide Arten eines Datenschutzbeauftragten ihre Vor- und Nachteile. Es spricht nichts gegen einen gut qualifizierten internen Datenschutzbeauftragten. Genauso wenig dagegen, wenn kein entsprechender Mitarbeiter im Unternehmen ist, einen externen Datenschutzbeauftragten zu beauftragen.

 

So geht ein Datenschutzbeauftragter vor

Vorgehen als Datenschutzbeauftragter

Das strukturierte Vorgehen als Datenschutzbeauftragter (DSB) bietet allen Beteiligten Vorteile. Wir erarbeiten gemeinsam einen Plan zur Umsetzung des Datenschutzes im Unternehmen, denn jedes Unternehmen ist anders aufgebaut.

Das Ziel: wir schaffen für alle Beteiligten Orientierung im neuen Betätigungsfeld Datenschutz.

Der Datenschutzbeauftragte übernimmt eine Vielzahl von Aufgaben im Unternehmen und die Einhaltung des Datenschutzes hat eine hohe Priorität. Für die Einordnung der Wichtigkeit müssen Prozesse betrachtet und definiert werden. Der Datenschutzbeauftragte ist zentraler Ansprechpartner für Mitarbeiter, Geschäftsleitung, Kunden, Auftragnehmer und Datenschutzbehörden wenn es um Datenschutzthemen geht.
Dabei ist es unerheblich, ob der Datenschutzbeauftragte intern oder extern bestellt wurde – Aufgaben und Funktion ist die selbe.
Aus den gesetzlich geregelten Aufgaben des Datenschutzbeauftragten geht kein Arbeitsablauf hervor. Die Vorgaben von Datensicherheit und aus vorhandener Dokumentation ergeben jedoch ein klareres Bild des Arbeitsablaufs.

Ein mögliches Vorgehen des Datenschutzbeauftragten



1. ordnungsgemäße Bestellung des Datenschutzbeauftragten
Sie muss offiziell erfolgen und mit der Datenschutz-Grundverordnung ab Mai 2018 auch der zuständigen Landesdatenschutzbehörde gemeldet werden. In Bayern ist die BayLDA zuständig.
Sie sollten bereits jetzt in Ihrer Planung berücksichtigen, Ihrem Datenschutzbeauftragten ein Büro oder ein Besprechungszimmer für vertrauliche Gespräche zur Verfügung zu stellen. Zudem ein eigenes Postfach um die Datenschutz relevanten Themen klar von den geschäftlichen zu trennen. Das gilt digital aber auch analog.


2. offizielle Vorstellung des DSB im Unternehmen
Jeder Mitarbeiter soll von dem Datenschutzbeauftragten erfahren. Der DSB ist Ansprechpartner für Mitarbeiter, Kunden und Geschäftspartner.
Die Mitteilung erfolgt am besten über die Geschäftsleitung. Auch Hauszeitung, interner Newsletter oder das schwarze Brett können genutzt werden. Es folgt die Nennung auf der Webseite um auch für Personen außerhalb des Unternehmens ansprechbar zu sein.


3. Vorstellung des Datenschutzbeauftragten bei der IT, in der Personalabteilung, dem Betriebsrat oder Mitarbeitervertretung und dem IT-Sicherheitsbeauftragten.
Sinnvoll, denn mit diesen Stellen arbeitet der DSB zusammen.

Die Datenschutz IST Situation analysieren
4. Erfassung der IST-Situation
Der Datenschutzbeauftragte muss sich einen Überblick darüber verschaffen wo personenbezogene Datenverarbeitung stattfindet.
Um dieses Vorgehen des Datenschutzbeauftragten nicht immer wiederholen zu müssen, ist es sinnvoll den DSB bei zukünftigen Verfahren vorab zu informieren und wenn möglich gleich zu integrieren. Sind Vorabkontrollen bei der Verarbeitung besonderer personenbezogener Daten nötig, muss der Datenschutzbeauftragte involviert werden.

Dokumente als Nachweispflichten
5. Vorhandene Dokumentation
Für den Überblick erhält der Datenschutzbeauftragte von der IT ein Verfahrensverzeichnis. Dieses zeigt, wo personenbezogene Daten verarbeitet werden.
Dazu erhält er eine Auflistung der verwendeten Hard- und Software und eine Übersicht der Zugriffsberechtigungen. Sind diese Dokumentationen nicht vorhanden, müssen sie erstellt werden.

Schulung und Sensibilisierung von Mitarbeitern
6. Schulung von Mitarbeitern, Leitungsebene und Geschäftsleitung
Zu den Aufgaben des Datenschutzbeauftragten zählt auch die Schulung der Mitarbeiter. Alle Beteiligten sollen für den Umgang mit personenbezogenen Daten sensibilisiert werden. Hierzu sieht das Vorgehen als Datenschutzbeauftragter vor, ein Schulungskonzept zu erarbeiten. Inhalte und Zeiten müssen geplant werden.


7. Prüfung und Kontrolle der Datenverarbeitung
Der Datenschutzbeauftragte überprüft die Datenverarbeitung stichprobenweise auf Einhaltung.


8. Tätigkeitsbericht
Einmal jährlich legt der Datenschutzbeauftragte der Geschäftsleitung seinen Tätigkeitsbericht vor. Eine Präsentation des Berichts auf der Betriebsversammlung ist zum Bilanz ziehen auch denkbar. Im Tätigkeitsbericht des DSB sind die umgesetzten Verbesserungen genauso erwähnt wie die noch notwendigen Optimierungsmaßnahmen in Bezug auf den Datenschutz, bzw. die Verarbeitung personenbezogener Daten. Dieser Bericht zeigt gleichzeitig Fortschritt und Verbesserungsnotwendigkeiten auf.

Datenschutzmanagement System
9. Ziel Datenschutzkonzept
Das Unternehmen kann dann auch samt Angebot und/ oder Produkten zertifiziert werden. Eine Datenschutzzertifizierung schafft zusätzliches Vertrauen bei Kunden und Auftraggebern und wird als Marketing- und Vertriebsinstrument sicher gerne genutzt.