Interner Datenschutzbeauftragter

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Zahlreiche Unternehmen trifft die gesetzliche Pflicht, einen Datenschutzbeauftragten (DSB) zu benennen. Im Zuge der Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG-neu) hat sich der Kreis der verpflichteten Unternehmen erweitert. Es besteht die Wahl zwischen einem internen und einem externen DSB. Auf den ersten Blick scheint einiges dafür zu sprechen, sich für den internen Datenschutzbeauftragten zu entscheiden. Ein interner DSB erweist sich allerdings aus verschiedenen Gründen nicht immer als optimale Wahl.
Interner Datenschutzbeauftragter
Die wichtigsten Erkenntnisse
  • Interner Datenschutzbeauftragter ist ein betrieblicher Angestellter, benannt von der Geschäftsführung.
  • Interner DSB benötigt berufliche Qualifikation und Fachwissen im Datenschutzrecht.
  • Vorteile: Kennt Unternehmensprozesse und hat oft gute Beziehungen zu Kollegen.
  • Nachteile: Hohe Weiterbildungskosten, Interessenkonflikte, erweiterter Kündigungsschutz.
  • Kündigungsschutz: Interner DSB kann nur aus wichtigem Grund gekündigt werden.

1. Was ist ein interner Datenschutzbeauftragter?

Ein interner Datenschutzbeauftragter ist ein Angestellter eines Unternehmens, der von der Geschäftsführung als verantwortliche Person für den betrieblichen Datenschutz benannt wurde. Hierfür muss der Mitarbeiter alle notwendigen Anforderungen an einen Datenschutzbeauftragten und diverse Pflichten erfüllen. Die nötige Fachkunde im Datenschutz muss er in der Regel erst erwerben, zum Beispiel im Rahmen von Fortbildungen.

Nach der Benennung zum internen Datenschutzbeauftragten

  • steht der Mitarbeiter unter erweitertem Kündigungsschutz und
  • hat das Recht auf weitere Ansprüche (z. B. eine eigene Ausstattung oder Fortbildungen); dem Unternehmen entstehen weitere Kosten (z. B. für Ausstattung und Fortbildung des Mitarbeiters)
  • darf der Mitarbeiter in Bezug auf seine Tätigkeit als Datenschutzbeauftragter im Unternehmen immer weisungsfrei handeln.

2. Wer kann interner DSB werden und wie wird er benannt?

Grundsätzlich kommt als interner Datenschutzbeauftragter mit Ausnahme von leitenden Mitarbeitern und der Geschäftsführung jeder Mitarbeiter in Betracht, der folgende Punkte erfüllt:

  • er besitzt die notwendige berufliche Qualifikation, insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
  • er verfügt über die Fähigkeit, die ein DSB benötigt, um die angedachten Aufgaben ordnungsgemäß erfüllen zu können.

Ausnahme: Ein Mitarbeiter darf nicht für die Stelle des internen DSB im Unternehmen in Betracht gezogen werden, wenn ein Interessenskonflikt zwischen der „normalen“ Tätigkeit des Mitarbeiters und der potenziellen Stellung als DSB vorliegt. Dies ist beispielsweise der Fall, wenn der Mitarbeiter mit der Festlegung von Zwecken und Mitteln der Verarbeitung von personenbezogenen Daten befasst ist (sich also zum Beispiel in der Personalabteilung den ganzen Tag ausschließlich um die Daten von Bewerbern kümmert).

Im Hinblick auf die fachliche Kompetenz ist jedoch zu berücksichtigen, dass ein interner DSB im Unternehmen in der Praxis den Großteil seiner Kenntnisse erst nach der Benennung erlangt und sich in der Regel zunächst zeitintensiven und aufwendigen Weiterbildungsmaßnahmen unterziehen muss, um die korrekte Einhaltung aller DSGVO-Vorgaben gewährleisten zu können.

Die Benennung des internen Datenschutzbeauftragten sollte aus Beweisgründen in Schriftform erfolgen. Zudem sind die Kontaktdaten des DSB sowohl der Aufsichtsbehörde mitzuteilen als auch zu veröffentlichen. Dies ist nötig, da der DSB sowohl der Behörde als auch betroffenen Personen als Ansprechpartner dient.

3. Vor- und Nachteile eines internen DSB

Vorteile

Da der interne Datenschutzbeauftragte ein Mitarbeiter des Unternehmens ist, kennt er die betrieblichen Zusammenhänge und Abläufe aus eigener Anschauung und im Detail. Die Unternehmensprozesse, in denen personenbezogene Daten verarbeitet werden, sind ihm bereits bekannt. Er kann sich so ohne große Einarbeitung in das unternehmensinterne Umfeld um die Einhaltung der DSGVO-Vorgaben kümmern.

Auch ist es von Vorteil, wenn bereits eine gute Beziehung zu den anderen Mitarbeitern besteht. Letzteres spielt eine wichtige Rolle bei der Vermittlung von datenschutzrechtlichen Vorschriften.

Nachteile

Wie bereits erwähnt, müssen interne Datenschutzbeauftragte häufig erst in puncto Datenschutz aus- bzw. permanent weitergebildet werden. Das verursacht hohe Kosten und geht auch zulasten der regulären Arbeitszeit des Mitarbeiters. Regelmäßig wird das Unternehmen für den DSB intern entsprechende Fachliteratur vorhalten müssen, was ebenfalls mit Kosten verbunden ist.

Nicht nur die enge Bindung, sondern auch der erweiterte Kündigungsschutz können für viele Unternehmen zur Herausforderung werden.

Auch der interne DSB selbst kann gewisse Interessenkonflikte zu spüren bekommen, wenn etwa von einzelnen Mitarbeitern oder ganzen Abteilungen entsprechende datenschutzrechtliche Empfehlungen sowie Anweisungen nicht befolgt werden und er dies der Geschäftsleitung melden muss.

Trotz aller Bemühungen des Gesetzgebers, eine Benachteiligung des internen Datenschutzbeauftragten zu verhindern, kann es auch im Verhältnis zu Führungskräften und Managern im Unternehmen Schwierigkeiten geben, wenn datenschutzrechtliche Maßnahmen anstehen und umgesetzt werden müssen.

Ein interner DSB haftet mit der sogenannten beschränkten Arbeitnehmerhaftung. Das bedeutet, dass der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang haftet. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus. Im Gegensatz dazu haftet ein externer DSB für seine Beratung auch bei leichter Fahrlässigkeit je nach Vereinbarung. Dies bedeutet eine klare Risikominimierung für das Unternehmen.

Insgesamt verursacht ein interner DSB häufig höhere Kosten als externe Datenschutzexperten, die von vornherein das entsprechende Fachwissen mitbringen und für ihre eigene Weiterbildung verantwortlich sind.

4. Besonderer Kündigungsschutz von internen Datenschutzbeauftragten

Nicht nur die zahlreichen Aufgaben und Pflichten, sondern vor allem auch der spezielle Kündigungsschutz, den interne Datenschutzbeauftragte genießen, war schon bisher häufig ein Argument für die Beauftragung eines externen Experten anstelle eines internen. Zwar ist ein besonderer Kündigungsschutz in der DSGVO nicht vorgesehen, dafür trifft aber das neue Bundesdatenschutzgesetz mindestens für die Bundesrepublik Deutschland entsprechende Regelungen. Unternehmen sollten bei ihrer Entscheidung für einen externen oder internen Datenschutzbeauftragten den Kündigungsschutz für Mitarbeiter-Datenschutzbeauftragte unbedingt berücksichtigen.

Gesetzliche Regelungen zum Kündigungsschutz eines internen DSB

Spätestens mit der 2. Novelle zum alten Bundesdatenschutzgesetz wurde 2009 der spezielle Kündigungsschutz für interne Datenschutzbeauftragte in § 4 f Abs. 3 Satz 5 BDSG-alt festgelegt. Der Arbeitgeber ist nur zur Entlassung des internen betrieblichen Datenschutzbeauftragten berechtigt, wenn er einen wichtigen Grund vorweisen kann, der arbeitsrechtlich zu einer fristlosen Kündigung berechtigt.

Das neue Bundesdatenschutzgesetz greift den speziellen Kündigungsschutz auf, indem es über § 38 Abs. 2 BDSG-neu auf § 6 Abs. 4 BDSG-neu verweist. Auch danach ist eine Kündigung des internen Datenschutzbeauftragten nur aus wichtigem Grund möglich. Nicht ganz geklärt ist zurzeit, wie diese Regelung im neuen Bundesdatenschutzgesetz im Verhältnis zur EU-Datenschutzgrundverordnung steht. Die DSGVO statuiert zwar keinen besonderen Kündigungsschutz für den betrieblichen Datenschutzbeauftragten, legt aber in Art. 38 Abs. 3 Satz 2 fest, dass der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden darf.

Datenschutzrechtsexperten sind sich noch nicht ganz einig, ob der deutsche Gesetzgeber tatsächlich explizit einen besonderen DSB-Kündigungsschutz festlegen darf, den die DSGVO offensichtlich so nicht vorsieht. Auf der anderen Seite vertreten manche Kenner der Materie auch die Auffassung, dass die entsprechende Regelung in Art. 38 DSGVO einen speziellen Kündigungsschutz beinhalten könnte, so dass die Regelung im neuen Bundesdatenschutzgesetz an sich nicht notwendig sei.

Wie auch immer das Zusammenspiel der verschiedenen Vorschriften letztendlich zu interpretieren ist – wahrscheinlich hat der Europäische Gerichtshof in einigen Jahren das letzte Wort. Zunächst einmal bleibt für die Unternehmen alles beim Alten: Der interne betriebliche Datenschutzbeauftragte darf nur aus wichtigem Grund gekündigt werden. Die Thematik interner Datenschutzbeauftragter und Kündigungsschutz bleibt also auch in 2019 und den kommenden Jahren von höchster Aktualität.

5. Kündigungsschutz des internen Datenschutzbeauftragten in der Praxis

Bestellt ein Unternehmen einen internen Datenschutzbeauftragten, besteht immer die Besonderheit, dass die Parteien arbeitsvertraglich aneinander gebunden sind. Das kann nicht nur zu Interessenkonflikten führen, sondern auch zur Folge haben, dass durch die Bestellung zum Datenschutzbeauftragten die Bindung zwischen Arbeitgeber und dem betreffenden Arbeitnehmer rechtlich stark gefestigt wird. Vergleichen kann man die Stellung des internen Datenschutzbeauftragten mit der eines Betriebsratsmitgliedes. Der Gesetzgeber hatte entsprechende Interessenkonflikte im Auge, als er sich für diesen besonderen Kündigungsschutz des internen Datenschutzbeauftragten entschieden hat. Allerdings ist damit die Gestaltungsfreiheit des Arbeitgebers bei der Entlassung interner Datenschutzbeauftragter mit Kündigungsschutz stark eingeschränkt. Entstehen Spannungen zwischen den Vertragsparteien aus dem Arbeitsverhältnis oder ist der Arbeitgeber mit der Leistung des entsprechenden Mitarbeiters nicht zufrieden, kann er sich nicht ohne Weiteres von seinem Mitarbeiter trennen.

Diese Situation kann sich sowohl sehr nachteilig auf die gesamte betriebliche Atmosphäre auswirken als auch die Tätigkeit des internen Datenschutzbeauftragten negativ beeinflussen. Betrieblicher Datenschutz lebt vor allem davon, dass alle Beteiligten an der Umsetzung mitwirken und dass der Datenschutzbeauftragte entsprechend auf die Geschäftsführung einwirken kann. Ist das Verhältnis zur Betriebsleitung gestört, ist eine erfolgreiche Arbeit und die Erfüllung der Aufgaben des Datenschutzbeauftragten kaum denkbar.

Wer als Unternehmer einen innerbetrieblichen Datenschutzbeauftragten bestellt, muss sich darüber im Klaren sein, dass er an diesen auf unabsehbare Zeit gebunden ist. Beispielsweise entschied bereits im Jahr 2011 das Bundesarbeitsgericht einen Fall, in dem ein Unternehmen nach dem Zusammenschluss mit anderen Unternehmen zu einem Konzern die bisher durch einen internen Datenschutzbeauftragten ausgeübte Tätigkeit konzernweit durch einen externen Datenschutzbeauftragten bearbeiten lassen wollte. Die Kündigung des bisherigen internen Datenschutzbeauftragten war unwirksam (Urteil Bundesarbeitsgericht vom 23.03.2011 unter dem Aktenzeichen 10 AZR 562/09). Als interner Datenschutzbeauftragter hätte nur ein wichtiger Grund die Berechtigung für eine wirksame Kündigung des Mitarbeiters gegeben. Dieser wurde nicht vorgetragen.

Wenn Sie als Unternehmen aktuell vor der Entscheidung für einen internen oder externen Datenschutzbeauftragten stehen, sollten Sie sich für das Thema des speziellen Kündigungsschutzes für interne DSB interessieren. Die Bestellung eines externen Datenschutzbeauftragten hat demgegenüber für Unternehmen viele Vorteile: Der externe Datenschutzbeauftragte wird für Sie auf Basis eines Dienstleistungsvertrages tätig, den sie entsprechend den dort getroffenen Regelungen auch kurzfristig kündigen können Lassen Sie sich von uns zu den Vorteilen eines externen Datenschutzbeauftragten beraten. Vielfach ist die externe Lösung auch die kostengünstigere und fachlich von Anfang an überzeugendere Lösung.

6. Wir beantworten Ihre Fragen zum Thema interner Datenschutzbeauftragter

Was sind die Vorteile eines internen Datenschutzbeauftragten?

Der interne DSB ist ein Mitarbeiter des eigenen Unternehmens. Er kennt daher die betrieblichen Zusammenhänge und Abläufe meist im Detail. So sollten ihm auch die Unternehmensprozesse, in denen personenbezogene Daten verarbeitet werden, bekannt sein. Zudem ist es vorteilhaft, wenn er bereits eine gute Beziehung zu seinen Kollegen hat. So kann der interne DSB den Datenschutz im Unternehmen einfach etablieren.

Wann braucht man einen internen Datenschutzbeauftragten?

Ein Unternehmen benötigt einen DSB, sobald dort mind. 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein Unternehmen braucht aber auch unabhängig von der MA-Zahl einen DSB, wenn es besondere Arten von personenbezogenen Daten (z. B. über ethische Überzeugungen oder das Sexualleben) verarbeitet. Auch, wenn die Kerntätigkeit eines Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt, muss ein DSB unabhängig von der Mitarbeiteranzahl benannt werden. Ob Unternehmen dann aber einen internen oder lieber einen externen DSB bestellen, bleibt dabei ihnen überlassen.

Welche Aufgaben hat der interne Datenschutzbeauftragte?

Ein interner DSB hat die gleichen Aufgaben wie ein externer DSB. Dabei hängen die Aufgaben eines DSBs allerdings von unterschiedlichen Faktoren ab. Als Grundregel gilt: Je größer das Unternehmen und / oder je komplexer die Datenverarbeitung, desto umfangreicher sind die Aufgaben und Tätigkeitsbereiche eines Datenschutzbeauftragten. Diese Aufgaben werden in Art. 38 DSGVO und Art. 39 DSGVO definiert. Neben der Etablierung des Datenschutzes im Unternehmen sind vor allem folgende drei Hauptaufgaben wichtig:

  • Beratung und Überwachung im Rahmen der Datenschutz-Folgenabschätzung
  • Überwachung der Einhaltung von datenschutzrechtlichen Vorgaben
  • Unterrichtung und Beratung des Unternehmens

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!