11 Gründe gegen einen internen Datenschutzbeauftragten

Ist ein interner oder ein externer DSB die richtige Wahl? Wir nennen Ihnen 11 Gründe, die gegen einen internen Datenschutzbeauftragten sprechen.

✓ TÜV-geprüft und zertifiziert

persönliche Beratung

persönliche Umsetzung

Wer einen Datenschutzbeauftragten (DSB) ernennen muss oder will, steht zunächst vor einer wichtigen Frage: Soll ich einen Mitarbeiter zum internen Datenschutzbeauftragten ernennen? Oder ist ein externer Datenschutzbeauftragter die richtige Wahl?

Die Entscheidung liegt ganz bei Ihnen. Vielleicht tendieren Sie direkt zu einem internen DSB. Ein Mitarbeiter als DSB verursacht scheinbar keine zusätzlichen Kosten und ist schon mit allen Prozessen im Unternehmen vertraut. Da scheint es nahezuliegen, einen Mitarbeiter zum internen Datenschutzbeauftragten Ihres Unternehmens zu machen.

Dennoch sollten Sie sich für die Einstellung eines externen Datenschutzbeauftragten entscheiden. Wir zeigen Ihnen, welche Gründe gegen einen internen Datenschutzbeauftragten sprechen.

1.   Die Ausbildung zum internen Datenschutzbeauftragten ist kosten- und zeitintensiv


Ein Datenschutzbeauftragter braucht ein umfangreiches Wissen rund um die komplexen Regelungen der DSGVO. Dieses Wissen eignet niemand sich von heute auf morgen an. Die Ausbildung zum Datenschutzbeauftragten nimmt viel Zeit in Anspruch. Zeit, in der der Mitarbeiter an anderer Stelle fehlt. Auch die Kosten für die Ausbildung dürfen Arbeitgeber nicht vergessen.

2.   Die Kosten für einen internen Datenschutzbeauftragten sind nicht planbar


Neben der Ausbildung zum Datenschutzbeauftragten benötigt ihr interner DSB für seine Arbeit Hilfsmittel, deren Kosten Sie als Arbeitgeber tragen müssen. Dazu gehören notwendige Tools und Software. Planen lassen sich die anfallenden Kosten für den internen Datenschutzbeauftragten nicht. Ein externer Datenschutzbeauftragter kümmert sich selbst um seine Weiterbildungen und Tools. Sie bekommen von Anfang ein Angebot vorgelegt und haben im Laufe der Zusammenarbeit vorab vereinbarte monatliche Kosten, die Sie in das Budget des Unternehmens fest mit einplanen können.

3.   Ein interner Datenschutzbeauftragter muss sich laufend weiterbilden


Mit der Ausbildung zum Datenschutzbeauftragten ist es nicht getan. Die Welt des Datenschutzes ist von ständigen Änderungen durch neue Gesetze und Urteile geprägt. Ihr Mitarbeiter muss sich also nicht nur ständig in Sachen Datenschutz auf dem Laufenden halten, sondern auch an Weiterbildungen teilnehmen. Auch die Weiterbildungen kosten Zeit und Geld. Gegebenenfalls muss ein Kollege in dieser Zeit einspringen, Überstunden machen und dafür entsprechend kompensiert werden. Die Annahme, dass Sie sich mit einem Mitarbeiter als Datenschutzbeauftragten Kosten sparen können, ist also ein Trugschluss.

4.   Einem internen Datenschutzbeauftragten fehlt die Praxiserfahrung


Datenschutz ist weit mehr als nur theoretisches Wissen rund um die DSGVO und andere Gesetzestexte. Ein externer Datenschutzbeauftragter bringt die nötige Erfahrung mit, um Situationen schnell und präzise analysieren zu können. Er kennt bewährte Maßnahmen, kann passende Maßnahmen aus ähnlichen Projekten ableiten und durch seine Erfahrung Probleme frühzeitig erkennen. Einem internen Datenschutzbeauftragten fehlt diese Erfahrung. Er kann sich nur auf das theoretische Wissen aus der Ausbildung und Weiterbildungen berufen und kennt nur die Situation innerhalb des Unternehmens. Der interne Datenschutzbeauftragte kann keine hilfreichen Vergleiche anstellen oder aus einem Fundus an wertvollem Praxiswissen schöpfen, wie es ein externer DSB kann. Im Falle einer Datenschutzpanne weiß der externe DSB aufgrund seiner Berufserfahrung sofort, was zu tun ist und übernimmt routiniert die Kommunikation mit der Aufsichtsbehörde. Ein interner Datenschutzbeauftragter, der zum ersten Mal mit einer solchen Situation konfrontiert wird, könnte davon überfordert sein.

5.   Es ist schwierig, eine Balance zwischen Aufgaben für den Datenschutz und für das Kerngeschäft zu finden


Im Datenschutz gibt es immer etwas zu tun. Ein Datenschutzbeauftragter muss sich stets über die Entwicklungen im Datenschutz auf dem Laufenden halten, das Datenschutzmanagementsystem prüfen und optimieren, Richtlinien zur Datenverarbeitung für die Mitarbeiter erarbeiten und verbessern…all das neben den eigentlichen Aufgaben, für die der Mitarbeiter im Unternehmen verantwortlich ist. Beide Aufgabenbereiche gleichzeitig zu bedienen, ohne dass die Qualität darunter leidet, ist schwer möglich. Fallen dringliche Aufgaben im Datenschutz an, fehlt der Mitarbeiter mit seiner Kompetenz an anderer Stelle. Fokussiert er sich voll und ganz auf seine Position im Unternehmen, kann er als Datenschutzbeauftragter nicht die volle Leistung erbringen und einen DSGVO-konformen Datenschutz gewährleisten. Ein interner Datenschutzbeauftragter muss also Aufgaben in einem Umfang erfüllen, die besser auf zwei Menschen verteilt werden sollten.

6.   Es müssen entstehende Lücken geschlossen werden


Klar ist: Kein Mitarbeiter kann in seiner regulären Position und in seiner Rolle als interner Datenschutzbeauftragter die volle Leistung erbringen. Während Weiterbildungen oder wenn dringliche Aufgaben im Datenschutz anfallen, müssen Kollegen für die fehlenden Kapazitäten des internen DSB aufkommen. Womöglich müssen Teams restrukturiert werden, um die entstehende Lücke zu schließen.

7.   Es gibt keine Urlaubsvertretung


Startet Ihr interner DSB in den wohlverdienten Urlaub, fehlt er nicht nur in seiner Rolle als Mitarbeiter, sondern eben auch als Datenschutzbeauftragter. Seine Rolle kann keine Urlaubsvertretung übernehmen und so gibt es in der Urlaubszeit Ihres DSB niemanden, der für den Datenschutz zuständig ist. Dann können Sie nur hoffen, dass es in dieser Zeit zu keinen Vorfällen kommt oder Sie müssen notfalls Ihren internen DSB aus dem Urlaub holen. Ein externer DSB kümmert sich selbst darum, dass Sie auch in seiner Abwesenheit einen kompetenten Ansprechpartner an Ihrer Seite haben.

8.   Dem internen DSB fehlt die neutrale Perspektive


Um einen DSGVO-konformen Datenschutz zu gewährleisten, müssen manchmal neue Prozesse etabliert und bestehende Vorgehensweisen in Frage gestellt werden. Einem Mitarbeiter fehlt jedoch der neutrale Blick auf die Prozesse im Unternehmen, die dafür nötig sind. Sinnvolle Maßnahmen werden womöglich nicht umgesetzt und Vorgehensweisen so belassen, weil es eben „immer schon“ so gemacht wurde. Das erhöht das Risiko, dass im Unternehmen weiterhin Vorgehensweisen kultiviert werden, die nicht DSGVO-konform sind. Notwendige Änderungen gelingen nur mit einem völlig neutralen Blick, den ein externer Datenschutzbeauftragter auf das Unternehmen hat.

9.   Der interne Datenschutzbeauftragte haftet nur beschränkt


Eine Datenschutzpanne ist schnell passiert, vor allem dann, wenn der interne Datenschutzbeauftragte all seine Aufgaben nicht mehr unter einen Hut bringt. Kommt es zu einer Datenschutzpanne, haften Sie als Arbeitgeber. Das bedeutet, selbst bei einem Verschulden durch den internen Datenschutzbeauftragten muss der Arbeitgeber Bußgelder zahlen. Ein externer Datenschutzbeauftragter haftet dagegen uneingeschränkt und muss für den durch eine Datenschutzpanne entstandenen Schaden aufkommen.

10.   Ein interner Datenschutzbeauftragter riskiert Interessenkonflikte


Beim Datenschutz ist Neutralität gefragt. Datenschutzverstöße dürfen nicht unter den Teppich gekehrt werden, um das Unternehmen oder einzelne Kollegen zu schützen. Während ein externer DSB als neutrale Person auftritt, ist das für den internen Datenschutzbeauftragten als Mitarbeiter nicht so einfach. Schließlich möchte man weder den Lieblingskollegen bloßstellen, indem man einen Datenschutzverstoß meldet, noch dem Chef in den Rücken fallen. Der interne Datenschutzbeauftragte schwankt womöglich zwischen seinen Pflichten und seiner Loyalität zum Unternehmen und es drohen Interessenkonflikte. Das ist für niemanden eine schöne Situation, besonders für den internen DSB nicht.

11.   Ein interner Datenschutzbeauftragter profitiert vom Kündigungsschutz


Bei all den Schwierigkeiten leistet Ihr interner Datenschutzbeauftragter als solcher keine zufriedenstelle Arbeit und Sie möchten ihn durch einen externen DSB ersetzen? Das ist gar nicht so einfach, denn als Mitarbeiter genießt der interne DSB-Kündigungsschutz. Möchte er sich nicht freiwillig von seiner Position als Datenschutzbeauftragter verabschieden, sind Sie also weiterhin an ihn gebunden. Eine Kündigung ist nur bei schwerwiegenden Gründen wie Pflichtverletzung oder Geheimnisverrat möglich. Drum prüfe, wer sich ewig bindet! Entscheiden Sie sich direkt für einen externen Datenschutzbeauftragten, können Sie die Zusammenarbeit mit diesem problemlos beenden, sollte es nicht mehr passen.

Fazit: Alles spricht für einen externen Datenschutzbeauftragten


Sie merken: Was Sie vorher dazu verleitet hat, zu einem internen Datenschutzbeauftragten zu tendieren, erweist sich eigentlich als Nachteil. Kenntnisse von unternehmensinternen Prozessen können blind für notwendige Veränderungen machen und die Kosten für einen Mitarbeiter als DSB sind weder überschaubar noch planbar. Jedes dieser 11 Probleme, die bei der Ernennung eines internen DSB auftreten, gibt es mit einem externen Datenschutzbeauftragten nicht.

Mit der Immerce Consulting GmbH als Ihr externer Datenschutzbeauftragter treffen Sie die richtige Entscheidung. Wir bringen Praxiserfahrung, theoretisches Know-How und alle notwendigen Kapazitäten für den Datenschutz in Ihrem Unternehmen mit. Wir stehen Ihnen bei Fragen und Problemen jederzeit zur Seite und kümmern uns die Umsetzung der DSGVO in Ihrem Unternehmen, während Ihre Mitarbeiter all ihre Ressourcen für ihre eigentlichen Aufgaben einsetzen können. Mit uns wissen Sie von Anfang an, worauf Sie sich einlassen:

FAQ zum internen DSB


Wann ist ein Datenschutzbeauftragter zu bestellen?

Wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss ein Datenschutzbeauftragter ernannt werden.

Wer darf Datenschutzbeauftragter werden?

Es sollte niemand Datenschutzbeauftragter werden, bei dem Interessenkonflikte absehbar sind. Das gilt vor allem für die Geschäftsführung, den Vorstand oder IT-Leiter. Davon abgesehen kann theoretisch jede qualifizierte Person innerhalb oder außerhalb des Unternehmens zum Datenschutzbeauftragten ernannt werden.

Was sind die Voraussetzungen zum internen Datenschutzbeauftragten?

Ein interner Datenschutzbeauftragter sollte technische, rechtliche und betriebswirtschaftliche Kenntnisse mitbringen sowie fähig und gewillt sein, sich in diesem Bereich weiterzubilden. Er muss ein guten Überblick über die unternehmensinternen Prozesse der Datenverarbeitung haben.
Ein interner Datenschutzbeauftragte sollte eine zuverlässige und gewissenhafte Arbeitsweise haben. Er braucht Organisationstalent und sollte belastbar sein, um seine Aufgabe als DSB neben seiner hauptberuflichen Tätigkeit im Unternehmen wahrzunehmen.

Wie hoch ist der Zeitaufwand eines Interner Datenschutzbeauftragter?

Wie viel Zeit ein interner Datenschutzbeauftragter für den Datenschutz im Unternehmen aufwenden sollte, lässt sich nicht konkret sagen. Grundsätzlich sollte er zumindest 20 % seiner Arbeitszeit seiner Tätigkeit als Datenschutzbeauftragter widmen.