Arbeitsplatz

Interner Datenschutzbeauftragter

Was zeichnet einen internen Datenschutzbeauftragten aus und was ist seine Rolle im Unternehmen?

  • Über 2.000 Kunden in Deutschland und Europa
  • Team von 80+ Fachexperten
  • DEKRA- und TÜV-zertifiziertes Expertenteam

Externer Datenschutzbeauftragter

Zahlreiche Unternehmen trifft die gesetzliche Pflicht, einen Datenschutzbeauftragten (DSB) zu benennen. Im Zuge der Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG-neu) hat sich der Kreis der verpflichteten Unternehmen erweitert. Es besteht die Wahl zwischen einem internen und einem externen DSB. Auf den ersten Blick scheint einiges dafür zu sprechen, sich für den internen Datenschutzbeauftragten zu entscheiden. Ein interner DSB erweist sich allerdings aus verschiedenen Gründen nicht immer als optimale Wahl.


1. Was ist ein interner Datenschutzbeauftragter?

Ein interner Datenschutzbeauftragter ist ein Angestellter eines Unternehmens, der von der Geschäftsführung als verantwortliche Person für den betrieblichen Datenschutz benannt wurde. Hierfür muss der Mitarbeiter alle notwendigen Anforderungen an einen Datenschutzbeauftragten und diverse Pflichten erfüllen. Die nötige Fachkunde im Datenschutz muss er in der Regel erst erwerben, zum Beispiel im Rahmen von Fortbildungen.

Nach der Benennung zum internen Datenschutzbeauftragten

  • steht der Mitarbeiter unter erweitertem Kündigungsschutz und

  • hat das Recht auf weitere Ansprüche (z. B. eine eigene Ausstattung oder Fortbildungen); dem Unternehmen entstehen weitere Kosten (z. B. für Ausstattung und Fortbildung des Mitarbeiters)

  • darf der Mitarbeiter in Bezug auf seine Tätigkeit als Datenschutzbeauftragter im Unternehmen immer weisungsfrei handeln.

2. Wer kann interner DSB werden und wie wird er benannt?

Grundsätzlich kommt als interner Datenschutzbeauftragter mit Ausnahme von leitenden Mitarbeitern und der Geschäftsführung jeder Mitarbeiter in Betracht, der folgende Punkte erfüllt:

  • er besitzt die notwendige berufliche Qualifikation, insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis

  • er verfügt über die Fähigkeit, die ein DSB benötigt, um die angedachten Aufgaben ordnungsgemäß erfüllen zu können.

Ausnahme: Ein Mitarbeiter darf nicht für die Stelle des internen DSB im Unternehmen in Betracht gezogen werden, wenn ein Interessenskonflikt zwischen der „normalen“ Tätigkeit des Mitarbeiters und der potenziellen Stellung als DSB vorliegt. Dies ist beispielsweise der Fall, wenn der Mitarbeiter mit der Festlegung von Zwecken und Mitteln der Verarbeitung von personenbezogenen Daten befasst ist (sich also zum Beispiel in der Personalabteilung den ganzen Tag ausschließlich um die Daten von Bewerbern kümmert).

Im Hinblick auf die fachliche Kompetenz ist jedoch zu berücksichtigen, dass ein interner DSB im Unternehmen in der Praxis den Großteil seiner Kenntnisse erst nach der Benennung erlangt und sich in der Regel zunächst zeitintensiven und aufwendigen Weiterbildungsmaßnahmen unterziehen muss, um die korrekte Einhaltung aller DSGVO-Vorgaben gewährleisten zu können.

Die Benennung des internen Datenschutzbeauftragten sollte aus Beweisgründen in Schriftform erfolgen. Zudem sind die Kontaktdaten des DSB sowohl der Aufsichtsbehörde mitzuteilen als auch zu veröffentlichen. Dies ist nötig, da der DSB sowohl der Behörde als auch betroffenen Personen als Ansprechpartner dient.

3. Vor- und Nachteile eines internen DSB

Vorteile

  • Da der interne Datenschutzbeauftragte ein Mitarbeiter des Unternehmens ist, kennt er die betrieblichen Zusammenhänge und Abläufe aus eigener Anschauung und im Detail. Die Unternehmensprozesse, in denen personenbezogene Daten verarbeitet werden, sind ihm bereits bekannt. Er kann sich so ohne große Einarbeitung in das unternehmensinterne Umfeld um die Einhaltung der DSGVO-Vorgaben kümmern.

  • Auch ist es von Vorteil, wenn bereits eine gute Beziehung zu den anderen Mitarbeitern besteht. Letzteres spielt eine wichtige Rolle bei der Vermittlung von datenschutzrechtlichen Vorschriften.

Nachteile

  • Wie bereits erwähnt, müssen interne Datenschutzbeauftragte häufig erst in puncto Datenschutz aus- bzw. permanent weitergebildet werden. Das verursacht hohe Kosten und geht auch zulasten der regulären Arbeitszeit des Mitarbeiters. Regelmäßig wird das Unternehmen für den DSB intern entsprechende Fachliteratur vorhalten müssen, was ebenfalls mit Kosten verbunden ist.

  • Nicht nur die enge Bindung, sondern auch der erweiterte Kündigungsschutz können für viele Unternehmen zur Herausforderung werden.

  • Auch der interne DSB selbst kann gewisse Interessenkonflikte zu spüren bekommen, wenn etwa von einzelnen Mitarbeitern oder ganzen Abteilungen entsprechende datenschutzrechtliche Empfehlungen sowie Anweisungen nicht befolgt werden und er dies der Geschäftsleitung melden muss.

  • Trotz aller Bemühungen des Gesetzgebers, eine Benachteiligung des internen Datenschutzbeauftragten zu verhindern, kann es auch im Verhältnis zu Führungskräften und Managern im Unternehmen Schwierigkeiten geben, wenn datenschutzrechtliche Maßnahmen anstehen und umgesetzt werden müssen.

  • Ein interner DSB haftet mit der sogenannten beschränkten Arbeitnehmerhaftung. Das bedeutet, dass der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang haftet. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus. Im Gegensatz dazu haftet ein externer DSB für seine Beratung auch bei leichter Fahrlässigkeit je nach Vereinbarung. Dies bedeutet eine klare Risikominimierung für das Unternehmen.

Insgesamt verursacht ein interner DSB häufig höhere Kosten als externe Datenschutzexperten, die von vornherein das entsprechende Fachwissen mitbringen und für ihre eigene Weiterbildung verantwortlich sind.

4. Besonderer Kündigungsschutz von internen Datenschutzbeauftragten

Nicht nur die zahlreichen Aufgaben und Pflichten, sondern vor allem auch der spezielle Kündigungsschutz, den interne Datenschutzbeauftragte genießen, war schon bisher häufig ein Argument für die Beauftragung eines externen Experten anstelle eines internen. Zwar ist ein besonderer Kündigungsschutz in der DSGVO nicht vorgesehen, dafür trifft aber das neue Bundesdatenschutzgesetz mindestens für die Bundesrepublik Deutschland entsprechende Regelungen. Unternehmen sollten bei ihrer Entscheidung für einen externen oder internen Datenschutzbeauftragten den Kündigungsschutz für Mitarbeiter-Datenschutzbeauftragte unbedingt berücksichtigen.

Gesetzliche Regelungen zum Kündigungsschutz eines internen DSB

Spätestens mit der 2. Novelle zum alten Bundesdatenschutzgesetz wurde 2009 der spezielle Kündigungsschutz für interne Datenschutzbeauftragte in § 4 f Abs. 3 Satz 5 BDSG-alt festgelegt. Der Arbeitgeber ist nur zur Entlassung des internen betrieblichen Datenschutzbeauftragten berechtigt, wenn er einen wichtigen Grund vorweisen kann, der arbeitsrechtlich zu einer fristlosen Kündigung berechtigt.

Das neue Bundesdatenschutzgesetz greift den speziellen Kündigungsschutz auf, indem es über § 38 Abs. 2 BDSG-neu auf § 6 Abs. 4  BDSG-neu verweist. Auch danach ist eine Kündigung des internen Datenschutzbeauftragten nur aus wichtigem Grund möglich.
Nicht ganz geklärt ist zurzeit, wie diese Regelung im neuen Bundesdatenschutzgesetz im Verhältnis zur EU-Datenschutzgrundverordnung steht. Die DSGVO statuiert zwar keinen besonderen Kündigungsschutz für den betrieblichen Datenschutzbeauftragten, legt aber in Art. 38 Abs. 3 Satz 2 fest, dass der Datenschutzbeauftragte wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden darf.

Datenschutzrechtsexperten sind sich noch nicht ganz einig, ob der deutsche Gesetzgeber tatsächlich explizit einen besonderen DSB-Kündigungsschutz festlegen darf, den die DSGVO offensichtlich so nicht vorsieht. Auf der anderen Seite vertreten manche Kenner der Materie auch die Auffassung, dass die entsprechende Regelung in Art. 38 DSGVO einen speziellen Kündigungsschutz beinhalten könnte, so dass die Regelung im neuen Bundesdatenschutzgesetz an sich nicht notwendig sei.

Wie auch immer das Zusammenspiel der verschiedenen Vorschriften letztendlich zu interpretieren ist – wahrscheinlich hat der Europäische Gerichtshof in einigen Jahren das letzte Wort. Zunächst einmal bleibt für die Unternehmen alles beim Alten: Der interne betriebliche Datenschutzbeauftragte darf nur aus wichtigem Grund gekündigt werden. Die Thematik interner Datenschutzbeauftragter und Kündigungsschutz bleibt also auch in 2019 und den kommenden Jahren von höchster Aktualität.

5. Kündigungsschutz des internen Datenschutzbeauftragten in der Praxis

Bestellt ein Unternehmen einen internen Datenschutzbeauftragten, besteht immer die Besonderheit, dass die Parteien arbeitsvertraglich aneinander gebunden sind. Das kann nicht nur zu Interessenkonflikten führen, sondern auch zur Folge haben, dass durch die Bestellung zum Datenschutzbeauftragten die Bindung zwischen Arbeitgeber und dem betreffenden Arbeitnehmer rechtlich stark gefestigt wird. Vergleichen kann man die Stellung des internen Datenschutzbeauftragten mit der eines Betriebsratsmitgliedes. Der Gesetzgeber hatte entsprechende Interessenkonflikte im Auge, als er sich für diesen besonderen Kündigungsschutz des internen Datenschutzbeauftragten entschieden hat. Allerdings ist damit die Gestaltungsfreiheit des Arbeitgebers bei der Entlassung interner Datenschutzbeauftragter mit Kündigungsschutz stark eingeschränkt. Entstehen Spannungen zwischen den Vertragsparteien aus dem Arbeitsverhältnis oder ist der Arbeitgeber mit der Leistung des entsprechenden Mitarbeiters nicht zufrieden, kann er sich nicht ohne Weiteres von seinem Mitarbeiter trennen.

Diese Situation kann sich sowohl sehr nachteilig auf die gesamte betriebliche Atmosphäre auswirken als auch die Tätigkeit des internen Datenschutzbeauftragten negativ beeinflussen. Betrieblicher Datenschutz lebt vor allem davon, dass alle Beteiligten an der Umsetzung mitwirken und dass der Datenschutzbeauftragte entsprechend auf die Geschäftsführung einwirken kann. Ist das Verhältnis zur Betriebsleitung gestört, ist eine erfolgreiche Arbeit und die Erfüllung der Aufgaben des Datenschutzbeauftragten kaum denkbar.

Wer als Unternehmer einen innerbetrieblichen Datenschutzbeauftragten bestellt, muss sich darüber im Klaren sein, dass er an diesen auf unabsehbare Zeit gebunden ist. Beispielsweise entschied bereits im Jahr 2011 das Bundesarbeitsgericht einen Fall, in dem ein Unternehmen nach dem Zusammenschluss mit anderen Unternehmen zu einem Konzern die bisher durch einen internen Datenschutzbeauftragten ausgeübte Tätigkeit konzernweit durch einen externen Datenschutzbeauftragten bearbeiten lassen wollte. Die Kündigung des bisherigen internen Datenschutzbeauftragten war unwirksam (Urteil Bundesarbeitsgericht vom 23.03.2011 unter dem Aktenzeichen 10 AZR 562/09). Als interner Datenschutzbeauftragter hätte nur ein wichtiger Grund die Berechtigung für eine wirksame Kündigung des Mitarbeiters gegeben. Dieser wurde nicht vorgetragen.

Wenn Sie als Unternehmen aktuell vor der Entscheidung für einen internen oder externen Datenschutzbeauftragten stehen, sollten Sie sich für das Thema des speziellen Kündigungsschutzes für interne DSB interessieren. Die Bestellung eines externen Datenschutzbeauftragten hat demgegenüber für Unternehmen viele Vorteile: Der externe Datenschutzbeauftragte wird für Sie auf Basis eines Dienstleistungsvertrages tätig, den sie entsprechend den dort getroffenen Regelungen auch kurzfristig kündigen können Lassen Sie sich von uns zu den Vorteilen eines externen Datenschutzbeauftragten beraten. Vielfach ist die externe Lösung auch die kostengünstigere und fachlich von Anfang an überzeugendere Lösung.


6. Wir beantworten Ihre Fragen zum Thema interner Datenschutzbeauftragter

Der interne DSB ist ein Mitarbeiter des eigenen Unternehmens. Er kennt daher die betrieblichen Zusammenhänge und Abläufe meist im Detail. So sollten ihm auch die Unternehmensprozesse, in denen personenbezogene Daten verarbeitet werden, bekannt sein.
Zudem ist es vorteilhaft, wenn er bereits eine gute Beziehung zu seinen Kollegen hat. So kann der interne DSB den Datenschutz im Unternehmen einfach etablieren.

Ein Unternehmen benötigt einen DSB, sobald dort mind. 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Ein Unternehmen braucht aber auch unabhängig von der MA-Zahl einen DSB, wenn es besondere Arten von personenbezogenen Daten (z. B. über ethische Überzeugungen oder das Sexualleben) verarbeitet. Auch, wenn die Kerntätigkeit eines Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt, muss ein DSB unabhängig von der Mitarbeiteranzahl benannt werden. Ob Unternehmen dann aber einen internen oder lieber einen externen DSB bestellen, bleibt dabei ihnen überlassen.

Ein interner DSB hat die gleichen Aufgaben wie ein externer DSB. Dabei hängen die Aufgaben eines DSBs allerdings von unterschiedlichen Faktoren ab. Als Grundregel gilt: Je größer das Unternehmen und / oder je komplexer die Datenverarbeitung, desto umfangreicher sind die Aufgaben und Tätigkeitsbereiche eines Datenschutzbeauftragten. Diese Aufgaben werden in Art. 38 DSGVO und Art. 39 DSGVO definiert. Neben der Etablierung des Datenschutzes im Unternehmen sind vor allem folgende drei Hauptaufgaben wichtig:

  • Beratung und Überwachung im Rahmen der Datenschutz-Folgenabschätzung

  • Überwachung der Einhaltung von datenschutzrechtlichen Vorgaben

  • Unterrichtung und Beratung des Unternehmens

Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema "Interner Datenschutzbeauftragter"

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr