Sign In

Welcome, Login to your account.

Datenschutz, KMU & Freiberufler | So, 18.03.2018 16:36

EU-DSGVO: Interner oder externer Datenschutzbeauftragter?

Von: Thomas Fromm

Diese Frage stellt sich jetzt für kleine und mittlere Unternehmen. Bis zum 25. Mai 2018 sollte dieser nämlich benannt und der Aufsichtsbehörde gemeldet werden. Ausgenommen davon sind Unternehmen, die weniger als zehn Mitarbeiter beschäftigen. Einen geeigneten Datenschutzbeauftragten im Unternehmen zu finden, dürfte insbesondere bei kleineren Unternehmen oft keine einfache Aufgabe werden, sind doch verschiedene Kriterien zu beachten.


Zum einen ist das die Qualifikation. Organisatorische und betriebswirtschaftliche Kenntnisse sind erforderlich, damit der Datenschutzbeauftragte Verarbeitungsprozesse nachvollziehen kann. Außerdem ist es fast schon zwingend, dass gut IT-Kenntnisse vorhanden sind. Automatisierte Datenverarbeitungsprozesse sind IT-gestützt, womit die IT-Sicherheit eine herausragende Rolle spielt. Personenbezogene Daten sind vor unberechtigtem Zugriff zu schützen. Außerdem muss mit so genannten technischen-organisatorischen Maßnahmen die Integrität, Verfügbarkeit und Überprüfbarkeit von Daten sichergestellt werden. Selbstverständlich sollte ein Datenschutzbeauftragter auch mit den gesetzlichen Vorgaben vertraut sein, d.h. die neue EU-Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) kennen und daraus die richtigen Maßnahmen ableiten können. Das entsprechende Fachwissen lässt sich sicherlich durch entsprechende Schulungen und Seminare erwerben, wofür das Unternehmen auch die Möglichkeiten zur Verfügung stellen muss, doch sollten nicht nur organisatorisch-betriebswirtschaftliche Grundkenntnisse vorhanden sein. Die Möglichkeit besteht, dass ein benannter Datenschutzbeauftragter von der Aufsichtsbehörde abgelehnt wird oder das Fachwissen geprüft wird. Zertifikate oder Schulungsnachweise zum Thema Datenschutz sind zu empfehlen, um die Qualifikation nachzuweisen. Demzufolge sollte das Unternehmen in (dauerhafte) Qualifikationsmaßnahmen investieren. Es ist geradezu dazu verpflichtet es dem Datenschutzbeauftragten zu ermöglichen Fachwissen zu erwerben und zu erhalten.

Zum anderen muss ein Datenschutzbeauftragter auch die benötigten Ressourcen zur Verfügung gestellt bekommen, die es ihm ermöglichen die Aufgaben pflichtgemäß zu erfüllen. Dies sind vor allem die zeitlichen Ressourcen. Gerade kleine und mittlere Unternehmen werden es sich nicht unbedingt leisten wollen einen qualifizierten Mitarbeiter teilweise oder vollständig aus einer produktiven Beschäftigung herauszunehmen. Deshalb verwundert es nicht, dass derzeit viele Mittelständler auf der Suche nach Datenschutzbeauftragten in Vollzeit sind. Notwendig ist es, dass ein Datenschutzbeauftragter Zugang zu allen erforderlichen Ressourcen im Unternehmen erhält. Diese sind insbesondere personenbezogene Verarbeitungsvorgänge. Die Stellung des Datenschutzbeauftragten ist hervorgehoben. Er hat unmittelbar an die oberste Unternehmensleitung zu berichten. Diese besondere Stellung wird im neuen Bundesdatenschutz dadurch untermauert, dass eine interner Datenschutzbeauftragter nur außerordentlich gekündigt werden kann und auch nach seiner Tätigkeit noch ein ganzes Jahr diesen Schutz genießt. Somit entspricht sein Kündigungsschutz dem eines Betriebsrates. Auch dies ist bei der Erwägung intern oder extern zu beachten.

Was in die Beurteilung miteinfließen muss, ist auch ein möglicher Interessenskonflikt. Einerseits soll ein Datenschutzbeauftragter die Interessen des Unternehmens vertreten, andererseits wird er aber auch persönliche Interessen verfolgen. Letztere liegen darin, dass er persönlich haftbar gemacht werden kann, so er seine Aufgaben als Datenschutzbeauftragter nicht pflichtgemäß erfüllt. Beispielsweise muss er gemäß der Datenschutzverordnung Verstöße der Aufsichtsbehörde melden.

Aufgrund der Qualifikationsanforderungen und auch der benötigen Ressourcen wäre es naheliegend eine Person in der Geschäftsleitung zu benennen. Hierbei wird aber ein Interessenskonflikt vermutet, so dass dies von den Aufsichtsbehörden abgelehnt wird. Genauso verhält es sich bei Beschäftigten mit Leitungsfunktionen, z.B. im Bereich IT, Recht oder Personal.

Infolgedessen gibt es viele Aspekte, die für einen externen Datenschutzbeauftragten sprechen. Hier kann auf externes Wissen zurückgegriffen werden. Die ausreichende Qualifikation dürfte sichergestellt sein. Auch kann ein externer Datenschutzbeauftragter unabhängiger agieren als dies wohl für einen externen möglich ist. Oftmals ist der externe Blick von Vorteil um Schwachstellen aufzudecken. Jedoch muss sichergestellt sein, dass ein externer Datenschutzbeauftragter zeitnah, d.h. spätestens in 24 Stunden erreichbar ist und auch die erforderlichen Ressourcen, auch in Beratungsfragen, zur Verfügung stehen. Deshalb sollte die Auswahl eines Datenschutzbeauftragten sehr gewissenhaft erfolgen, vor allem muss die Qualifikation geprüft werden.

Ein interner Datenschutzbeauftragter bietet sich bei größeren Organisationen an oder wenn abzusehen ist, dass die Aufgaben für eine Vollzeitstelle ausreichen. Aufgrund der immer größeren Gefahren, die ein Unternehmen bedrohen können – Stichwort IT-Sicherheit – kann dies durchaus sinnvoll sein. Eine unabhängige Stelle, welche für Datenschutz und -sicherheit zuständig ist und sowohl mit der Unternehmensleitung als auch mit den einzelnen Abteilungen zusammenarbeitet, mag doch einen erheblichen Mehrwert bieten.

Mit einem Berater zum Thema Datenschutz kann dies Problematik intern oder extern erörtert werden und die richtige Entscheidung getroffen werden.