Interner oder externer Datenschutzbeauftragter?

Ein Unternehmen hat zwei Möglichkeiten bei der Berufung des Datenschutzbeauftragten (DSB): Es kann eine firmeninterne Person oder einen externen Dienstleister beauftragen. Diese Entscheidung ist nicht so leicht zu treffen, denn es gilt verschiedenste Faktoren zu berücksichtigen.

Der interne Datenschutzbeauftragte

Auf den ersten Blick ist die Bestellung eines internen Datenschutzbeauftragten verlockend: Irgendeine halbwegs intelligente Person wird ernannt; möglicherweise hat sie sogar noch etwas freie Zeit-Ressourcen. Nach einer ein- oder zweitägigen Schulung ist die Fachkunde erwoben. Innerhalb einer Woche sind wichtigsten Schritte (pro forma) erreicht. Fertig!

Ganz so einfach ist es aber natürlich nicht. Damit die Aufsichtsbehörde die Bestellung akzeptiert (und kein Bußgeld verhängt), müssen einige Voraussetzungen erfüllt werden:

• Der interne Datenschutzbeauftragte darf keine Verantwortung hinsichtlich personenbezogener Daten tragen. Daher fallen die Geschäftsführung (mitsamt Lebenspartner), EDV-Leiter, Vertriebsleiter und Personalleiter schon einmal weg.
• Die zu bestellenden Person braucht von Anfang an (!) die erforderliche Fachkunde in den juristischen und technischen Bereichen. Es wird nicht akzeptiert, wenn die Fachkunde erst im Laufe der Jahre erworben wird. Die Schulungen kosten mehrere tausende Euro. Hinzu kommt die Ausstattung mit Büro, PC, Fachliteratur, Spezialsoftware, usw.
• Die fragliche Person braucht das Vertrauen der Geschäftsführung (immerhin werden auch sensible Betriebsinternas berührt), als auch das Vertrauen der Mitarbeiter (sonst wird sich niemand mit Sachfragen an sie wenden), als auch das Vertrauen des Betriebsrates (der andernfalls ein Veto einlegen kann).
• Der erhöhte Kündigungsschutz darf für das Unternehmen kein Problem darstellen.

Und es besteht natürlich das Problem, dass dieser zum Datenschutzbeauftragten ernannte Mitarbeiter über keinerlei Erfahrung verfügt. Daraus folgt, dass er wichtige Dinge vergessen könnte und unwichtige Dinge aufbläht. Das führt natürlich zu Frust an allen Fronten.

Die konkret messbaren Fortschritte lassen naturbedingt auf sich warten. Der Datenschutz nimmt irgendwie keine Fahrt auf. Und bevor er so richtig ins Leben kommt, ist er schon friedlich entschlafen.

Die Außenwirkung eines internen Datenschutzbeauftragten ist "begrenzt". Sofern das Unternehmen über anspruchsvolle Auftraggeber verfügt (die ihrerseits professionelle Datenschutzbeauftragte verpflichtet haben), so werden hohe Anforderungen an Ihren internen Datenschutzbeauftragten gestellt. Sehr schnell werden die externen Profis die Fachkunde und Erfahrung ihres Mitarbeiters einschätzen können. Bei ungnädigen Auftraggebern könnte Ihr Unternehmen ein Problem bekommen; Ihre Konkurrenz ist möglicherweise bereits besser aufgestellt.

In der Fachzeitschrift Datenschutz-PRAXIS 06/2011 wurde festgestellt, dass in einem Industriebetrieb mit 30 Mitarbeitern ein interner Datenschutzbeauftragter zu 30% seiner Arbeitszeit mit dem Datenschutz ausgelastet ist. Die einmaligen Kosten liegen bei ca. 10.00 Euro und die laufenden jährlichen Kosten bei ca. 28.000 Euro. (Über die Höhe dieser Zahl haben wir selbst gestaunt.)

Ein interner Datenschutzbeauftragter macht aus unserer Sicht nur dann Sinn, wenn dies mindestens in HALBZEIT (also 4 Stunden täglich) betrieben werden kann. Nach 6-12 Monaten - wenn sich alles eingespielt hat - kann die Stundenzahl reduziert werden. Da eine solch kompetente Person nicht unter 2.500 € entlohnt wird, kostet dieser (suboptimial realisierte) Datenschutz also mindestens 1.250 € monatlich. Da sind wir wesentlich günstiger!

Und jetzt zum Schluss kommt die Pointe: Nachdem Ihr interner Datenschutzbeauftragter sich innerhalb von 3-5 Jahren die notwendige Fachkunde und Sicherheit erarbeitet hat: Was macht er dann? Er wechselt den Arbeitsplatz oder geht in die Elternzeit. Was machen Sie dann? Sie fangen wieder von vorne an... oder bestellen endlich einen Profi.

Der externe Datenschutzbeauftragte

Ganz anders sieht es beim externen Datenschutzbeauftragten aus. Er hat in der Regel schon mehrere Unternehmen "an den Start" gebracht. Somit verfügt er über einen genauen Plan, welche Schritte in welcher Reihenfolge notwendig sind. Die Prioritäten sind für das Unternehmen klar erkennbar.

Die Mitarbeiter erkennen die Verbesserungen sofort und verstehen, worauf der Datenschutz abzielt. Sie werden bestmöglich eingebunden und wissen, dass sie sich mit ihren Fragen jederzeit an einen Experten wenden können.

Die juristische und technische Kompetenz steht ganz außer Frage. Sein Rat wird gefragt und bei den Entscheidungen berücksichtigt. Wenn es gut läuft, so gelingt es dem externen Datenschutzbeauftragten, ein gutes und sachliches Verhältnis sowohl zur Geschäftsführung, als auch zum Management, als auch zu den Beschäftigten aufzubauen. So kann er optimal zwischen den (manchmal divergierenden) Interessen vermitteln.

Der externe Datenschutzbeauftragte ist nicht der "Prophet im eigenen Land". Wenn er etwas zu bemängeln hat, dann wird es von den Mitarbeitern nicht als Kritik angesehen, sondern als objektiver Handlungsbedarf. Es gibt keine großen Diskussionen, keine Zänkerei und keine Missgunst. Es gibt nur Herausforderungen und Lösungen.

In der Außenwirkung können Sie sich auf ihren externen Datenschutzbeauftragten verlassen. Er ist absolut verhandlungssicher. Ihre (potentiellen) Auftraggeber werden begeistert sein.

Und wenn einmal eine Fehleinschätzung passiert: Für seine Beratungen trägt der externe Datenschutzbeauftragte die alleinige Verantwortung. Er hat eine spezielle Berufshaftpflicht abgeschlossen, die den Schaden begleichen kann.

Die Laufzeit des Vertrages ist geregelt, sodaß eine hohe Planungssicherheit vorliegt. Dies gilt auch für die Kosten. Falls der externe Datenschutzbeauftragte - wie wir - eine feste monatliche Rate veranschlagt, dann können Sie dieses Thema ad acta legen.

Stellt es ein Problem dar, dass der externe Datenschutzbeauftragte Ihre Unternehmensstrukturen nicht von Anfang an kennt? Hat ein interner Mitarbeiter einen viel besseren Überblick? Auf den ersten Blick vielleicht... die Erfahrung zeigt aber, dass dies für den Umgang mit personenbezogenen Daten nicht gilt. Was weiß der Personal-ler schon über den Umgang mit Vertriebsdaten? Was hat der EDV-ler mit der Führung einer Personalakte zu tun? Nichts. Sie wissen es nicht und in der Regel wollen sie es auch nicht wissen.

Fazit

Das Fazit fällt ganz klar zu Gunsten des externen Datenschutzbeauftragten aus.

"Na klar", werden Sie als Leser sagen. Schließlich will SecureDataService ja die eigenen Dienstleistungen verkaufen...

"Ja, schon", werden wir antworten. Aber jetzt mal ganz offen und ehrlich:

• Datenschutz ist eine wirklich verflixt komplizierte Angelegenheit. Seit bald 10 Jahren kämpfen wir uns durch Gesetzestexte, Kommentar-Texte und Fachzeitschriften. Und wir lernen jeden Tag etwas dazu. Wir staunen - zusammen mit unseren Fachkollegen - über die Unwägbarkeiten des deutschen Rechts. Wie soll ein interner Datenschutzbeauftragter damit zurechtkommen?
• Im Laufe der vielen Jahre haben wir Formulare, Checklisten und Erklärungstexte erarbeitet. Wir wissen genau, welche Unterlagen wann zum Tragen kommen (und wie sie auf den Kunden angepasst werden müssen). Das kann man beim besten Willen nicht von einem internen Datenschutzbeauftragten erwarten.
• Wir WISSEN, wie hilflos die internen Datenschutzbeauftragten sind. Wir sehen es, wenn wir mit ihnen zusammenarbeiten. Wir hören die verzweifelten Grundsatzfragen und die (nachvollziehbaren) Fehleinschätzungen. Das funktioniert einfach nicht. Und es verstößt gegen das Bundesdatenschutzgesetz, denn es wird von Anfang an (!) die volle Fachkunde gefordert.

Kurzum: Wenn Sie den Datenschutz wirksam in Ihrem Unternehmen installieren wollen, und wenn dies zügig, kompetent und kostengünstig geschehen soll, dann geht an einem externen Datenschutzbeauftragten kein Weg vorbei.