Der Datenschutzbeauftragte
Ein Datenschutzbeauftragter ist für viele Unternehmen verpflichtend. Dies ergibt sich aus Art. 37 DSGVO in Verbindung mit § 38 BDSG. Die Benennung eines Datenschutzbeauftragten ist insbesondere dann verpflichtend, wenn in Ihrem Unternehmen mehr als 20 Mitarbeiter beschäftigt sind.
Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht zudem, wenn die Kerntätigkeit Ihres Unternehmens in der umfangreichen Verarbeitung von besonders geschützten Daten besteht. Solche besonders geschützte Daten sind z.B. solche, aus denen die ethnische Herkunft, politische oder religiöse Meinung oder sexuelle Orientierung einer Person hervorgeht (Art. 9 DSGVO). Ebenfalls relevant, sind Daten über strafrechtliche Verurteilungen und Straftaten. (Art. 10 DSGVO). Ob die von Ihnen erhobenen Daten unter diese Kategorien fallen, ist im Einzelfall zu prüfen.
Weiterhin ist ein Datenschutzbeauftragter verpflichtend, wenn die Kerntätigkeit Ihres Unternehmens in Datenverarbeitungsvorgängen besteht, welche eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
Ob auch Ihr Unternehmen einen Datenschutzbeauftragen benötigt, können Sie über unseren Datenschutzbeauftragter Check überprüfen.
Extern oder Intern?
Das Gesetz sieht verschiedene Möglichkeiten vor, dieser Pflicht gerecht zu werden. Grundsätzlich ist es möglich, einen internen oder einen externen Datenschutzbeauftragten zu beauftragen. Dies legt Artikel 38 Absatz 6 DSGVO fest. Der Datenschutzbeauftragte kann also auch ein Beschäftigter in Ihrem Unternehmen sein. Wichtig ist jedoch, dass die Auswahl auf Grundlage der beruflichen Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts erfolgt.
Ein Vorteil des internen Datenschutzbeauftragten ist zweifellos die Vertrautheit mit den Betriebsabläufen Ihres Unternehmens. Allerdings müssten Sie somit auch einen Ihrer Mitarbeiter zumindest teilweise von den üblichen Aufgaben freistellen. Andernfalls, würde die übliche Tätigkeit Ihres Mitarbeiters im Fokus bleiben und die Tätigkeit als Datenschutzbeauftragter nur nachrangig sein. Eine Freistellung kostet jedoch natürlich ebenfalls personelle Kapazitäten. Beide Varianten stellen keinen zufriedenstellenden Zustand dar. Geschäftsführer, IT- oder der Personalleiter können in der Regel nicht als Datenschutzbeauftragte benannt werden. Vorteilhaft ist ein externer Datenschutzbeauftragter, der sich voll und ganz auf diese Tätigkeit konzentrieren kann, und keine weiteren Aufgaben im Unternehmen hat.
Um sich gegenüber von Kunden und in der Öffentlichkeit in seriöser Art und Weise darzustellen, kann es von Vorteil sein, eine neutrale und unabhängige Instanz – also einen externen Datenschutzbeauftragten zu beauftragen. Bei einem externen Datenschutzbeauftragten bestehen naturgemäß keinerlei Interessenkonflikte mit der eigenen wirtschaftlichen Betätigung des Unternehmens. Neben der Außenwirkung, wäre ein solcher Interessenkonflikt auch rechtlich problematisch, insbesondere wenn der Datenschutzbeauftragte sich praktisch „selbst kontrolliert“. Dies ist in Art. 38 Absatz 6 DSGVO näher geregelt.
Natürlich muss der Datenschutzbeauftragte auch für seine Stellung qualifiziert sein. Dies gilt sowohl für den internen als auch den externen Datenschutzbeauftragten. Während ein interner Mitarbeiter jedoch ggf. noch Schulungen sowie fortlaufende Weiterbildungen durchlaufen muss, bringt ein externer Datenschutzbeauftragte die Kompetenzen bereits mit.
Ein weiterer zu betrachtender Aspekt ist das Haftungsrisiko. Wenn Sie einen internen Mitarbeiter mit der Aufgabe des Datenschutzes betrauen, so haftet dieser grundsätzlich nicht persönlich für Fehlverhalten. Letztendendes ist es also möglich, dass Ihr Unternehmen selbst haftet. Durch die Beauftragung eines externen Datenschutzbeauftragten kann dies vermieden bzw. minimiert werden.
Da der interne Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf, steht Ihm ein weitreichender Kündigungsschutz zu. Dies soll die Einflussnahme des Unternehmens auf den Datenschutzbeauftragten verhindern. Gerade für kleinere oder mittlere Unternehmen können die in diesem Fall geltenden strengen Voraussetzungen des § 626 BGB zum Problem werden. Bei einem externen Datenschutzbeauftragten besteht lediglich ein dienstvertragliches Verhältnis, und kein Anstellungsverhältnis wie beim internen Datenschutzbeauftragten. Daraus ergibt sich die Möglichkeit, Kündigungsfristen innerhalb des Dienstvertrages individuell zu vereinbaren. Somit unterliegt der externe Datenschutzbeauftragte nicht den strengen Kündigungsschutzvorschriften.