Externer Datenschutzbeauftragter versus ausgebildeter Mitarbeiter: Wie gestalten sich Vor- und Nachteile?

Unternehmen mit 20 oder mehr Mitarbeitern, die sich permanent mit personenbezogenen Daten befassen, benötigen einen Datenschutzbeauftragten. Da stellt sich die Frage, ob die Benennung eines externen die bessere Wahl ist, oder ein eigener Mitarbeiter zum Datenschutzbeauftragten fortgebildet wird.

Unternehmen, in denen mehr als 20 Mitarbeiter regelmäßig mit der Erfassung, der Bearbeitung und der Archivierung von personenbezogenen Daten beschäftigt sind, müssen laut DSGVO und BDSG einen Datenschutzbeauftragten benennen und diesen beispielsweise auf Ihrer Webseite kontaktierbar darstellen. Wenn Verfahren betrieben werden, die einer Datenschutz-Folgenabschätzung unterliegen oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung verarbeitet werden, muss unabhängig von der Zahl der damit befassten Beschäftigten ein Datenschutzbeauftragter benannt werden. Dabei lässt die DSGVO den betroffenen Unternehmen die Wahl, ob sie einen externen Datenschutzbeauftragten vertraglich an sich binden oder einen Mitarbeiter aus den eigenen Reihen zum Datenschutzbeauftragten machen. In beiden Fällen entstehen Aufwand und Kosten, die natürlich von vielen Faktoren abhängen. Hier ein kurzer Überblick hinsichtlich der beiden Optionen.

Zu Beginn der DSGVO waren viele Unternehmen grenzenlos überfordert mit der Umsetzung all dessen, was die DSGVO von ihnen forderte. Ein wichtiger Punkt war von Beginn an die Frage des Datenschutzbeauftragten, sofern einer nötig war. „Extern“ oder „intern“ lauteten die beiden Optionen, und viele Unternehmen entschlossen sich für die erste Variante. Denn es scheint auf den ersten Blick vernünftig, ein Spezialthema auszulagern, statt eigene Kapazitäten zu schaffen. Denn in vielen Unternehmen war der Managementebene nicht bewusst, dass Datenschutz kein Thema ist wie eine Brandschutzverordnung, sondern dass es dabei auch um die Grundausrichtung und die Werte des Unternehmens geht. So wurden reihenweise Verträge mit externen Datenschutzbeauftragten geschlossen, obwohl in den meisten Unternehmen noch gar nicht feststand, welches Pensum vom künftigen Datenschutzexperten überhaupt zu bewältigen sein würde.

Bewusstsein für Datenschutz ist entwickelt

Inzwischen ist Datenschutz in den meisten Unternehmen ein echtes Unternehmens-Thema. Nicht erst, seit es Bußgeldbescheide quer durch alle Branchen hagelt, sind sich Firmeninhaber und ihre Führungsriegen darüber bewusst, was für das Unternehmen auf dem Spiel steht, wenn beim Datenschutz geschlampt wird. Ganz zu schweigen vom Bewusstsein bei Kunden und Konsumenten: Auch die sind längst äußerst sensibel, was den Umgang mit Ihren personenbezogenen Daten angeht, und fällen Ihre Kauf- oder Order-Entscheidungen immer mehr auch nach den Kriterien des Datenschutzes. Nach dem Motto: Vertrauen ist ebenso wichtig wie ein günstiger Preis.

Welcher Aufwand ist für die externe Lösung zu erwarten?

Selbstverständlich ist die Frage nicht pauschal zu beantworten, denn der Aufwand hängt maßgeblich von der Unternehmensgröße, der Branche und der Organisationsstruktur des Unternehmens ab. Ein B2C-Unternehmen mit einer Fülle an zu verarbeitenden Kundendaten muss natürlich mehr Aufwand betreiben als ein Maschinenbau-Unternehmen, das mit seinen Spezialmaschinen eine Hand voll Großkunden beliefert. Näherungsweise ist davon auszugehen, dass ein externer Datenschutzbeauftragter zunächst bei der „Einarbeitung“ Kosten verursacht und natürlich Mitarbeiter bindet, die ihm in der Anfangsphase zuarbeiten. Experten gehen von 1.500 bis 10.000 Euro für die Einarbeitungsphase aus. Sind alle datenschutzrelevanten Vorkehrungen im Unternehmen getroffen, wird der externe Datenschutzbeauftragte regelmäßige Audits durchführen oder er wird hinzugenommen, wenn ein datenschutzrelevantes Problem auftaucht. Dafür sind je nach Unternehmensgröße monatlich 250 bis 4.000 Euro einzuplanen.

Wieviel Aufwand und Kosten verursacht ein interner Datenschutzbeauftragter?

Auch hier ist eine pauschale Angabe äußert schwierig (siehe Begründung oben). Eine Umfrage unter Unternehmen verschiedener Größen hat ergeben, dass für die Erstausbildung eines Datenschutzbeauftragten ganz grob 5.000 Euro zu kalkulieren sind. Hinzu kommen die Kosten für die Abwesenheit des Mitarbeiters für die Schulungen, die er absolvieren muss. Zusätzlich muss der Mitarbeiter, der dann für den Datenschutz im Unternehmen verantwortlich ist, an regelmäßigen Fortbildungen teilnehmen und sich so ständig neu zertifizieren.

In vielen Beispielrechnungen wird angeführt, dass die Benennung zum Datenschutzbeauftragten ja eine zusätzliche Funktion darstellt, die der Mitarbeiter zu seiner regulären Tätigkeit übernimmt. Dem ist allerdings in den meisten Unternehmen nicht so. Denn das Thema Datenschutz berührt zahlreiche Unternehmensteile. Realistisch sollte bei der internen Lösung davon ausgegangen werden, dass die Aufgaben des internen Datenschutzbeauftragten mindestens 30 Prozent seiner regulären Arbeitszeit umfassen – wofür natürlich langfristig ein Ausgleich geschaffen werden muss, beispielsweise eine zusätzliche Teilzeitkraft.

Datenschutz sollte langfristig zu einem Unternehmenswert werden

Sicher spricht in der aktuellen Betrachtung vieles für eine externe Lösung. Allerdings etabliert sich Datenschutz inzwischen in vielen Bereichen als echtes Qualitätskriterium eines Unternehmens, vergleichbar mit dem Thema Nachhaltigkeit. Durch die gestiegene Aufmerksamkeit, die dem Datenschutz bei der Bevölkerung zukommt, tun Unternehmen gut daran, diese neue „Disziplin“ zu einer Unternehmensmaxime zu machen, die bewusst kommuniziert wird. Dafür ist ein Datenschutzbeauftragter in den eigenen Reihen eine wertvolle Basis.

Fazit: Extern oder intern? Pauschal lässt sich die Frage natürlich nicht beantworten. Für den externen Datenschutzbeauftragten spricht, dass dieser oder die Organisation, die ihn entsendet, zu 100 Prozent für dessen Qualifizierung geradesteht. Die interne Lösung hat zum Vorteil, dass das Thema Datenschutz über einen eigenen Mitarbeiter zum echten Teil der Firmenphilosophie wird, was sich langfristig als positiver Unternehmenswert auszahlen könnte.