Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass Unternehmen künftig unter bestimmten Voraussetzungen einen Datenschutzbeauftragten bestellen müssen. Da stellt sich trotzdem noch die Frage: intern oder extern? Wir schauen uns die jeweiligen Vor- sowie Nachteile nachfolgend einmal genau an.
Wann Ihr Unternehmen einen Datenschutzbeauftragten braucht
Wie so oft im Bereich der Gesetze, sind die entsprechenden Texte manchmal nicht so ganz schlüssig. Ungenaue Formulierungen erschweren das allgemeine Verständnis enorm. Wir wälzten Paragraphen für Sie und listen Ihnen anschaulich auf, unter welchen Voraussetzungen Ihr Betrieb einen Datenschutzbeauftragten aufweisen muss.
- mindestens 10 Personen in Ihrem Geschäftsbetrieb sind verantwortlich für die Verarbeitung personenbezogener Daten, automatisiertes Verfahren
- im Falle einer nicht-automatisierten Verarbeitung sind es mindestens 20 Personen
- Art, Umfang oder Zweck der Verarbeitung weisen eine systematische Überwachung betroffener Personen auf
- eine Behörde oder sonstige öffentliche Stelle – ausgenommen Gerichte – verarbeitet für Sie diese Daten
Verarbeitung personenbezogener Daten besonderer Kategorien
Mit den oben genannten Bedingungen hört es aber leider noch nicht auf. Artikel 9 der DSGVO gibt zusätzlich einen Datenschutzbeauftragten vor, sofern die Verarbeitung personenbezogener Daten in eine besondere Kategorie fällt.
- rassische und/oder ethnische Herkunft einer Person
- politische Meinungen
- religiöse Überzeugung
- eventuell bestehende Gewerkschaftszugehörigkeit
- genetische sowie biometrische Daten einer Person
- Gesundheitsdaten
Vorsicht ist geboten! Denn im Grunde dürfen Sie solche Daten überhaupt nicht verarbeiten – Artikel 9 DSGVO untersagt dies. Allerdings gibt der entsprechende Artikel auch direkt Ausnahmen mit. Und die triftigste Ausnahme besagt, dass die Verarbeitung erfolgen darf, sofern sie von Fachpersonal erfolgt. Hier kommt also der Datenschutzbeauftragte ins Spiel.
Intern oder extern?
Wenn Sie darüber nachdenken, einen Datenschutzbeauftragten zu bestellen, stellt sich vermutlich die Frage, ob Sie dafür einen Ihrer Mitarbeiter auswählen oder aber aushäusig nach einem Spezialisten suchen. Beide Ausrichtungen haben ihre eigenen Vor- und Nachteile.
Interner Datenschutzbeauftragter
Der wichtigste Vorteil eines internen Datenschutzbeauftragten besteht darin, dass der Mitarbeiter Ihr Unternehmen bereits kennt. Genauso kennt er bestenfalls alle Geschäftsprozesse, die Kommunikationskanäle, die Geschäftsführung und eben das Kollegium. Dieser Umstand erleichtert in der Regel die Kommunikation und beschleunigt datenschutzrechtliche Fragestellungen.
Ebendieser Vorteil birgt jedoch zeitgleich einen Nachteil. Der interne Datenschutzbeauftragte ist im Grunde nicht wirklich neutral. In der Praxis zeigt sich häufig, dass bestellte Mitarbeiter voreingenommen sind.
Ein weiterer potenzieller Nachteil bei der internen Variante ist der besondere Kündigungsschutz, den der auserwählte Mitarbeiter geniesst. Sogar dann, wenn er seine Arbeit nicht zu voller Zufriedenheit erfüllt, enthält dieser Kündigungsschutz eine sogenannte Nachbeschäftigungsfrist von einem Jahr.
Externer Datenschutzbeauftragter
Wählen Sie hingegen die externe Variante, gibt es weder besonderen Kündigungsschutz noch eine eventuell fehlende Objektivität zu betrauern. Der Nachteil des externen Datenschutzbeauftragten liegt dann quasi darin, dass er Ihr Unternehmen erst einmal kennenlernen muss, ehe er effektiv ans Werk gehen kann. Das kostet unter Umständen wertvolle Zeit.
Die Aspekte des Kennenlernens und Zeitfaktors bringen jedoch gleich einen anderen Vorteil mit sich: ein Datenschutzbeauftragter, der beispielsweise vorher in diversen anderen Betrieben tätig war, weist einen grossen Erfahrungsschatz auf. Es handelt sich im Normalfall also um einen Spezialisten auf dem Gebiet des Datenschutzes. Und ebendiese Erfahrung bringt er dann in Ihr Unternehmen ein, was letzten Endes Ihr Gewinn ist.
Fachkunde und Zuverlässigkeit nicht vergessen!
Übrigens darf nicht Jeder sich einfach so “Datenschutzbeauftragter” nennen. Das fügt der Liste von Nachteilen der internen Variante einen weiteren hinzu. Gemäss DSGVO muss der auserwählte interne oder externe Mitarbeiter sowohl die nötige Fachkunde als auch Zuverlässigkeit aufweisen, die dieser Beruf mit sich bringt.
- sowohl technische als auch juristische Kenntnisse im Zusammenhang mit der Datenverarbeitung
- der Datenschutzbeauftragte muss alle mit der Datenverarbeitung betrauten Mitarbeiter sensibilisieren und schulen, was zusätzlich gewisse Kenntnisse in Pädagogik/Lehrwissenschaft in Bezug auf Erwachsenenbildung erfordert
- als zuverlässig im Sinne des Gesetzes gilt übrigens, “wer aufgrund persönlicher Eigenschaften und Verhaltens geeignet ist, seine Aufgaben ordnungsgemäss zu erfüllen”. Hier gelten insbesondere die Eignung hinsichtlich Verschwiegenheit sowie Fähigkeit zur Objektivität. Interne Datenschutzbeauftragte beherbergen oftmals einen gewissen Interessenskonflikt.