Extern oder intern? Beide Lösungen für den Datenschutzbeauftragten bieten Vor- und Nachteile

Beschäftigen Unternehmen 20 oder mehr Angestellte, die sich mit der Bearbeitung von Daten beschäftigen, sind diese verpflichtet, einen Datenschutzbeauftragten zu benennen. Sowohl die externe wir auch die interne Lösung sind gestattet, hier die prinzipiellen Unterschiede.

Ab einer Mitarbeiterzahl von 20 Angestellten, die regelmäßig personenbezogene Daten verarbeiten, muss ein Unternehmen laut DSGVO und BDSG einen Datenschutzbeauftragten benennen. Dieser muss unter anderem auf der Website des Unternehmens sichtbar und kontaktierbar sein. Wenn Verfahren betrieben werden, die einer Datenschutz-Folgenabschätzung unterliegen oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung verarbeitet werden, muss unabhängig von der Zahl der damit befassten Beschäftigten ein Datenschutzbeauftragter benannt werden. Dabei lässt die DSGVO den betroffenen Unternehmen die Wahl, ob sie einen externen Datenschutzbeauftragten vertraglich an sich binden oder einen Mitarbeiter aus den eigenen Reihen zum Datenschutzbeauftragten machen. Bei beiden Varianten fallen Kosten und etliche zusätzliche Arbeitsstunden an, diese hängen einerseits von der Größe des Unternehmens ab, andererseits von der Menge der verarbeiteten Daten.

Als die Datenschutzgrundverordnung in Kraft trat, zeigten sich viele betroffene Unternehmen schlecht vorbereite, und es kam beinahe überall zu Problemen bei der Umsetzung. Eines der Hauptprobleme war dabei, dass ein Datenschutzbeauftragter benannt werden musste. Dazu stellten die Verfasser der DSGVO sowohl die interne wie auch die externe Lösung zur Verfügung. Viele Unternehmen gaben der externen Lösung den Vorzug. Denn es scheint auf den ersten Blick vernünftig, ein Spezialthema auszulagern, statt eigene Kapazitäten zu schaffen. Denn in vielen Unternehmen war der Managementebene nicht bewusst, dass Datenschutz kein Thema ist wie eine Brandschutzverordnung, sondern dass es dabei auch um die Grundausrichtung und die Werte des Unternehmens geht. In der Folge schlossen zahlreiche Unternehmen langfristige Verträge mit externen Datenschutzbeauftragten, obwohl noch gar nicht abzuschätzen war, in welchem Umfang deren Dienste benötigt wurden.

Das generelle Datenschutzbewusstsein ist inzwischen etabliert

Längst hat sich der Datenschutz in vielen Betrieben als fester Bestandteil der Firmenpolitik etabliert. Zu diesem Bewusstsein haben natürlich auch die hohen Bußgelder führt, die von den Aufsichtsbehörden inzwischen quer durch alle Branchen verhängt werden. Ganz zu schweigen vom Bewusstsein bei Kunden und Konsumenten: Auch die sind längst äußerst sensibel, was den Umgang mit Ihren personenbezogenen Daten angeht und fällen Ihre Kauf- oder Order-Entscheidungen immer mehr auch nach den Kriterien des Datenschutzes. Denn eine weitere Folge der DSGVO ist ihre Wirkung auf Verbraucher, die sich immer mehr mit dem Thema beschäftigen und versuchen, ihre Rechte wahrzunehmen.

Ist „extern“ pauschal günstiger?

Hier ist eine pauschale Antwort selbstverständlich kaum zu geben. Der tatsächliche Aufwand hängt von Faktoren wie der Größe des Unternehmens, der Branche, und der Menge der zu verarbeitenden Daten ab. Ein B2C-Unternehmen mit einer Fülle an zu verarbeitenden Kundendaten muss natürlich mehr Aufwand betreiben als ein Maschinenbau-Unternehmen, das mit seinen Spezialmaschinen eine Hand voll Großkunden beliefert. Näherungsweise ist davon auszugehen, dass ein externer Datenschutzbeauftragter zunächst bei der „Einarbeitung“ Kosten verursacht und natürlich Mitarbeiter bindet, die ihm in der Anfangsphase zuarbeiten. Experten gehen von 1.500 bis 10.000 Euro für die Einarbeitungsphase aus. Erst wenn diese grundsätzlichen Maßnahmen im Betrieb getroffen sind, beginnt die Phase der monatlichen Unterstützung durch den Datenschutzbeauftragten. In der Regel werden Audits durch ihn durchgeführt, oder er wird bei konkreten Fragestellungen hinzugezogen. Dafür sind etwa 250 bis 4.000 Euro pro Monat zu budgetieren.

Im Vergleich: die interne Lösung

Ebenso schwierig fällt hier die pauschale Bezifferung. Die Ergebnisse einer Umfrage unter Unternehmen, die eine interne Lösung umgesetzt haben, haben ergeben, dass bereits die erste Ausbildung eines Datenschutzbeauftragten Kosten von circa 5.000 Euro verursacht. Hinzu kommen die Kosten für die Abwesenheit des Mitarbeiters während der Schulungen, die er absolvieren muss. Zusätzlich muss der Mitarbeiter, der dann für den Datenschutz im Unternehmen verantwortlich ist, an regelmäßigen Fortbildungen teilnehmen und sich so ständig neu zertifizieren. In vielen Beispielrechnungen wird angeführt, dass die Benennung zum Datenschutzbeauftragten ja eine zusätzliche Funktion darstellt, die der Mitarbeiter zu seiner regulären Tätigkeit übernimmt. Dem ist allerdings in den meisten Unternehmen nicht so. Denn das Thema Datenschutz berührt zahlreiche Unternehmensteile. Um nicht von übermäßigen Überstunden überrascht zu werden, sollte davon ausgegangen werden, dass die Tätigkeit des internen Datenschutzbeauftragten in der Regel mindestens 30 Prozent seiner regulären Arbeitszeit (bei Vollzeit) in Anspruch nimmt. Hier muss in den meisten Fällen ein personeller Ausgleich geschaffen werden.

Datenschutz ist mehr als eine Verordnung

In vielen Fällen scheint sicher die externe Lösung die bessere zu sein. Allerdings etabliert sich Datenschutz inzwischen in vielen Bereichen als echtes Qualitätskriterium eines Unternehmens, vergleichbar mit dem Thema Nachhaltigkeit. Durch die gestiegene Aufmerksamkeit, die dem Datenschutz bei der Bevölkerung zukommt, tun Unternehmen gut daran, diese neue „Disziplin“ zu einer Unternehmensmaxime zu machen, die bewusst kommuniziert wird. In diesem Zusammenhang ist ein Datenschutzbeauftragter, der aus dem Unternehmen kommt und eng mit der Führungsriege zusammenarbeitet, eine gute Investition in die Unternehmenszukunft.

Fazit: Interne oder externe Lösung? Für den externen Datenschutzbeauftragten spricht, dass dieser oder die Organisation, die ihn entsendet, zu 100 Prozent für dessen Qualifizierung geradesteht. Die interne Lösung hat zum Vorteil, dass das Thema Datenschutz über einen eigenen Mitarbeiter zum echten Teil der Firmenphilosophie wird, was sich langfristig als positiver Unternehmenswert auszahlen könnte. Wie auch die Entscheidung ausfällt: Datenschutz sollte in der Unternehmensführung angesiedelt sein, denn hier liegt auch die rein juristische Zuständigkeit.