Sobald du dich entscheidest einen Datenschutzbeauftragten zu bestellen, wird die Frage aufkommen, ob du einen externen oder einen internen Datenschutzbeauftragten bestellen sollst. Wir empfehlen ganz klar einen externen Datenschutzbeauftragten zu bestellen. Und hier sind die zehn Gründe, warum das so ist:

1. Kein Kündigungsschutz

Die Zusammenarbeit mit einem externen Datenschutzbeauftragten kannst du unproblematisch beenden. Verträge sind nach einer Anfangsphase oft monatlich kündbar. Und auch wenn eine längere Kündigungsfrist besteht, sind die pauschalen Kosten eines externen Datenschutzbeauftragten meistens so niedrig, dass diese kaum ins Gewicht fallen. Unsere Leistung beginnt bereits bei 100,00 im Monat zzgl. USt.

Demgegenüber genießt dein Mitarbeiter als Datenschutzbeauftragter Kündigungsschutz (§ 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG). Dieser Schutz gilt sogar bis ein Jahr nach seiner Abbestellung. Also, auch wenn du deinen Mitarbeiter wieder abbestellst, hat dieser noch ein Jahr Kündigungsschutz. In diesem Fall erhält er auch sein Gehalt; das ist in der Regel höher als 100 EUR.

2. Keine Schulungskosten

Die initiale Schulung, welche meist 3–5 Werktage dauert, kostet nach meiner Erfahrung je nach Anbieter zwischen 2.000 – 4.000 EUR. Für dieses Geld kannst du bei einer günstigen Pauschale einen externen Datenschutzbeauftragten schon fast 2 Jahre bestellen.

3. Abrufbares Fachwissen

Datenschutz ist kein Rocket Science und erst gar kein Hexenwerk. Datenschutz ist aber auch nichts, was man sich in einer Woche anlesen kann. Wenn dein Mitarbeiter keine Erfahrung aus dem Datenschutz mitbringt, wird es eine ganze Weile dauern, bis er das entsprechende Fachwissen hat. Die Schulung ist da wirklich nur der erste Schritt. Ein externer Datenschutzbeauftragter bringt in der Regel schon viel Fachwissen mit oder ist in einem größeren Team mit entsprechendem Fachwissen organisiert. Und auch wenn der externe Datenschutzbeauftragte noch nicht allzu lange im Geschäft ist, macht er vermutlich nichts anderes als Datenschutz und wird dadurch schnell ein enormes Fachwissen aufbauen. Dein Mitarbeiter wird – sofern er Datenschutz nur neben seiner Arbeit macht – lange brauchen, bis er ein wirklich belastbares Fachwissen hat.

4. Praktische Erfahrung

Das theoretische Fachwissen ist das eine, die praktische Erfahrung das andere. Dein Mitarbeiter kennt und sieht nur dein Unternehmen. Seine Erfahrung sammelt er auch nur hier. Ein externer Datenschutzbeauftragter vertritt in der Regel eine Vielzahl von Unternehmen. Die Erfahrung, die er bei einem Unternehmen sammelt, kann er auf andere ausrollen. Klar kann sich dein Mitarbeiter auch an neue Themen herantasten. Bei vielen Sachen geht das. Aber wenn die Aufsichtsbehörde vor der Tür steht oder jemand eine Auskunftsanfrage schickt, sollte man auf den Punkt wissen, was zu tun ist.

5. Nicht Fisch, nicht Fleisch

Gerade bei kleineren Unternehmen ist eine Datenschutzbeauftragte meist nicht mit voll mit dem Thema ausgelastet. Die Datenschutzbeauftragte übernimmt dann auch noch andere Aufgaben. Diese Aufgaben sind größtenteils wichtiger als das Thema Datenschutz, das ist einfach so. Der Datenschutzbeauftragten wird dann nicht genügend Freiraum für das Thema Datenschutz eingeräumt. Darunter leidet das Thema selbstverständlich. Offiziell ist dann zwar ein Datenschutzbeauftragter bestellt. Wenn es hart auf hart kommt, kann das aber nach hinten losgehen. Wenn die Prozesse und dein Datenschutzmanagementsystem nicht gepflegt werden, kannst du das bei einer behördlichen Prüfung nicht ohne Weiteres aufholen.

6. Personalkosten

Selbstverständlich kostet auch ein interner Datenschutzbeauftragter Geld. Nehmen wir an, du hast eine Mitarbeiterin aus der IT-Abteilung, die das deutsche Durchschnittsgehalt von 4105 EUR brutto im Monat verdient. Bei Lohnsteuerklasse 1 kostest dich diese Mitarbeiterin ungefähr 4.942,42 € im Monat. Wenn du ihr jetzt nur 10 % der Arbeitszeit für das Thema einräumst, sind das bereits knapp 490 EUR im Monat. Die „eigentliche“ Arbeit deiner Mitarbeiterin, die dafür liegenbleibt, ist damit noch nicht eingerechnet. Und dabei sind 10 % eigentlich die Untergrenze. Manche Kollegen gehen von wenigstens 20 % für die Tätigkeit als interner Datenschutzbeauftragter aus. Das sind dann schon knapp 1.000 EUR im Monat.

7. Interessenkonflikte

Der Datenschutzbeauftragte ist eine neutrale Kontrollinstanz innerhalb des Unternehmens. Datenschutzverstöße dürfen nicht unter den Teppich gekehrt werden, um das Unternehmen oder einzelne Kollegen zu schützen. Ein externer Datenschutzbeauftragter kann hier leichter als neutrale Person auftreten als dein Mitarbeiter. Zwar hat dein Mitarbeiter als Datenschutzbeauftragter Kündigungsschutz. Aber der hilft auch nicht, wenn auf der Weihnachtsfeier niemand mehr mit ihm sprechen will. Hier ist die Gefahr groß, dass man um des sozialen Friedens willen mal ein Auge zudrückt.

8. Beschränkte Haftung des internen Datenschutzbeauftragten

Auch wenn das niemand will: Fehler passieren. Fehler passieren sowohl dem internen Datenschutzbeauftragten als auch dem externen Datenschutzbeauftragten. Das kann man nie ganz vermeiden. Als Verantwortlicher stehst du damit insbesondere bei Schadensersatzansprüchen erst mal an vorderster Front. Entsteht der Schaden durch einen Fehler beim Datenschutzbeauftragten, kannst du diesen ggf. in Regress nehmen. Der interne Datenschutzbeauftragter haftet dabei aber nur nach den Maßstäben der Arbeitnehmerhaftung. Eine volle Haftung kommt dann nur bei Vorsatz oder grober Fahrlässigkeit in Betracht. Ein externer Datenschutzbeauftragter haftet voll.

9. Organisationsverschulden

Im Gegensatz zum Schadensersatz dürfte es für eine Aufsichtsbehörde schwierig werden, deinem Unternehmen ein Bußgeld aufzuerlegen, wenn der Fehler nicht von dir, sondern vom Datenschutzbeauftragten gemacht wurde. Bei einem externen Datenschutzbeauftragten mit entsprechender Qualifikation und Erfahrung wird man kaum dazu kommen, dir ein Bußgeld aufzubrummen, wenn der Datenschutzbeauftragte dich falsch beraten hat. Das kann bei einem internen Datenschutzbeauftragten vielleicht anders aussehen. Wenn die Datenschutzbehörde überzeugt ist, dass dein interner Datenschutzbeauftragter vielleicht nicht die nötige Erfahrung hat oder das Fachwissen nicht ausreicht, kann man dir ggf. ein Organisationsverschulden zur Last legen und daraus einen entsprechenden Verstoß konstruieren. Im schlimmsten Falls haftest du dann als Geschäftsführer sogar persönlich. Zwar nicht wegen der Auswahl des Datenschutzbeauftragten, aber wegen eines Organisationsverschuldens hatte das OLG Dresden eine solche Haftung schon bejaht (OLG Dresden, Urteil vom 30.11.2021 – 4 U 1158/21)

10. Magie der externen Expertise

Eine externe Expertin wird anders wahrgenommen als der Kollege, mit dem man schon die 10. Weihnachtsfeier hinter sich hat. Ende der Geschichte.

Fazit

Dem Gesetz ist es egal, ob du einen externen oder internen Datenschutzbeauftragten beauftragst. Ich denke aber, dass die zehn Gründe für sich sprechen. Gerade wenn dein Unternehmen noch nicht die Größe hat, einen internen Datenschutzbeauftragten vollständig auszulasten, solltest du dir überlegen einen externen Datenschutzbeauftragten zu bestellen.

Unabhängig davon ist es natürlich sinnvoll auch im Unternehmen jemanden zu haben, der sich mit dem Datenschutz zumindest ein wenig auskennt oder zumindest fester Ansprechpartner deines externen Datenschutzbeauftragten ist.