Interner oder externer Datenschutzbeauftragter für Start-ups
Spätestens seit November 2018 ist das Thema Datenschutz noch mehr in den Fokus von Unternehmen gerückt. Damals trat die Datenschutz-Grundverordnung (DSGVO) in Kraft. Kein Unternehmen kommt an diesem auf EU-Ebene abgestimmten Gesetz vorbei. Viele Gründer haben mit dem Aufbau ihres Unternehmens das erste Mal bewusst Berührung mit datenschutzrechtlichen Themen.
Jedes Start-up muss sich von Anfang an mit der Thematik Datenschutz auseinandersetzen. Nicht nur mit Blick auf die bei datenschutzrechtlichen Verstößen aufgerufenen Geldbußen in der DSGVO. Datenschutz ist zu einem harten Wettbewerbsfaktor geworden. Immer mehr Menschen sind sich der Bedeutung ihrer eigenen Personendaten bewusst. Sie erwarten von Unternehmen einen rechtskonformen und angemessenen Umgang damit.
Was ist ein Datenschutzbeauftragter?
Jedes Unternehmen ist mit dem Thema Datenschutz konfrontiert. Wenn es vielleicht bei einer Neugründung anfänglich nicht um Kundendaten gehen wird, spielen von Beginn an die Mitarbeiterdaten als Personendaten eine Rolle. Die datenschutzrechtlich konforme Gestaltung von Mitarbeiterverhältnissen und später den Beziehungen zu betriebsfremden Dritten erfordert grundlegende Kenntnisse der DSGVO in Theorie sowie Praxis. Zwar ist die Bestellung eines Datenschutzbeauftragten erst bei Unternehmen mit mehr als 20 Mitarbeitern allgemeine Pflicht. Jedoch benötigen auch kleinere Unternehmen und besonders Gründer aufgrund bestimmter Umstände einen eigenen Datenschutzbeauftragten als wichtigen Ansprechpartner.
Mit einem kompetenten internen Datenschutzbeauftragten oder externen Experten gelingt der Einstieg in die komplexe Welt des Datenschutzes.
Welche Aufgaben hat ein Datenschutzbeauftragter?
Datenschutzbeauftragte wirken auf die Einhaltung von datenschutzrechtlichen Vorschriften im Unternehmen hin. Sie sind außerdem Ansprechpartner für Behörden in datenschutzrechtlichen Fragen.
Es gehört zu ihrem Aufgabenfeld, bestimmte datenschutzrechtliche Prozesse im Unternehmen zu überwachen und Mitarbeiter im Datenschutzrecht zu schulen. Sie sind für das Management Ansprechpartner zum Datenschutz und zur Implementierung datenschutzrechtlicher Prozesse. Hier arbeiteten sie auch eng mit den IT-Abteilungen der Unternehmen zusammen.
Unterschiede zwischen einem internen und externen Datenschutzbeauftragten
Unternehmen haben zwei Möglichkeiten, einen Datenschutzbeauftragten für das Unternehmen zu ernennen.
Sie können in einem Angestelltenverhältnis einen internen Datenschutzbeauftragten bestimmen. Dieser muss über die nötigen Qualifikationen und Kompetenzen verfügen. In vielen Fällen verfügt die gewählte Person zu Beginn nicht über alle Kenntnisse und das erforderliche Wissen. Sie muss sich das Know-how dann auf Kosten des Unternehmens erst aneignen. Außerdem muss das Unternehmen für ihre ständige Weiterbildung sorgen.
Der interne Experte gewinnt über seine Stellung als Datenschutzbeauftragter des Unternehmens eine besondere arbeitsrechtliche Position. Diese ist fast vergleichbar mit einem Betriebsratsmitglied. Es gilt ein besonderer Kündigungsschutz, bei dem der angestellte Datenschutzbeauftragte nur unter engen Voraussetzungen gekündigt werden kann.
Problematisch kann das Verhältnis des internen Datenschutzbeauftragten zu den anderen Mitarbeitern im Unternehmen werden. Die Akzeptanz des Kollegen oder der Kollegin als Datenschutzbeauftragter ist nicht immer und unter allen Umständen gegeben. Die Erfahrung zeigt, dass externe Dienstleister als Datenschutzbeauftragte von der Belegschaft ernster genommen werden. Das ist insbesondere bei Schulungen ein wichtiger Aspekt.
Der externe Datenschutzbeauftragte wird auf Basis eines freien Dienstleistungsvertrages für das Unternehmen tätig. Dieses kann nach den jeweiligen vertraglichen Bestimmungen jederzeit wieder aufgelöst werden. Im Vergleich mit dem internen Datenschutzbeauftragten ist der externe Beauftragte von Anfang an für seine Aufgabe qualifiziert und sichert eigenverantwortlich die Aktualität seiner Kenntnisse. Kosten für Aus- und Weiterbildung entstehen im Unternehmen nicht. Als Externer ist der Experte sofort mit Vertragsschluss für das Unternehmen einsatzbereit.
Warum ein externer Datenschutzbeauftragter für Start-ups?
Gründer müssen sich mit vielen, für sie ungewohnten regulatorischen Fragen auseinandersetzen. Datenschutz ist dabei ein relevantes Feld neben vielen anderen. Frisch gegründete Unternehmen haben anfänglich nur wenige Mitarbeiter. Von Ausnahmen abgesehen wird sich darunter niemand befinden, der bereits über die im Datenschutz erforderliche Expertise verfügt und sich als interner Datenschutzbeauftragter empfiehlt.
Die Aus- und Weiterbildung von internen Datenschutzbeauftragten nehmen wichtige zeitliche und finanzielle Ressourcen in Anspruch. Diese können besonders bei Neugründungen an anderer Stelle fehlen. Ein Unternehmen, das gerade erst gegründet worden ist, muss sich in noch stärkerem Maße als etablierte Unternehmen auf sein Kerngeschäft und dessen Entwicklung konzentrieren. Dennoch darf das Thema Datenschutz nicht vernachlässigt werden.
Hier kann ein externer Datenschutzbeauftragte eine Alternative sein. Er kann das Unternehmen vom ersten Tag an zuverlässig datenschutzrechtlich beraten und die richtigen Weichen im Datenschutz stellen. Der externe Dienstleister kann sich flexibel auf die jeweiligen individuellen Gegebenheiten des Unternehmens einstellen und seine Tätigkeit wird kosteneffizient entlohnt.
Tätig wird der externe Datenschutzbeauftragte vor allem
- mit Beratung und Schulung.
- bei der Kontrolle und Einrichtung wichtiger datenschutzrechtlicher Prozesse.
- in der Kommunikation mit Behörden.
Wie wählt man den passenden externen Datenschutzbeauftragten aus?
Verschiedene Aspekte machen den für das Unternehmen optimal geeigneten Datenschutzbeauftragten aus und sollten in die Auswahl einfließen:
- Qualifikation und Erfahrung als Datenschutzbeauftragter
- spezielle Branchenkenntnisse
- Kosten
- Vertragsmodalitäten
- "stimmige Chemie" zwischen Management und Dienstleister
Potenzielle Fallstricke und Hürden bei der Arbeit mit externen Datenschutzbeauftragten
Auch die Zusammenarbeit mit einem externen Dienstleister im Bereich Datenschutz verläuft nicht immer ohne Schwierigkeiten. Es ist von großer Bedeutung, dass die Aufgabenbereiche und Verantwortlichkeiten im Bereich Datenschutz präzise abgegrenzt werden. Kommt es zu Unklarheiten, etwa mit der IT-Abteilung des Unternehmens, können sich Lücken in der Datenschutzkonformität des Unternehmens auftun.
Neben der Abgrenzung der Verantwortlichkeit kann die Abstimmung von zeitlichen Kapazitäten mit einem externen Datenschutzbeauftragten herausfordernd sein. Ein externer Dienstleister wird nicht nur für ein Unternehmen tätig, sondern für mehrere parallel. Hier sollte schon im Vorfeld bei der Anbahnung des Vertragsverhältnisses deutlich sichergestellt werden, dass der externe Datenschutzbeauftragte dem Unternehmen im Ernstfall kurzfristig zur Verfügung stehen kann.
Ebenso sollten für kurzfristige Abstimmungen die Kommunikationswege untereinander geklärt sein. Wer wie wann mit wem kommuniziert, sollte nicht erst strukturiert werden, wenn ein dringendes datenschutzrechtliches Problem zu lösen ist und möglicherweise Dritte über eine Datenschutzpanne informiert werden müssen.
Interner oder externe DSB?
Die DSGVO und die Arbeit der Unternehmen mit ihr in der Praxis sind eine andauernde Aufgabenstellung. Permanent sind Änderungen und aktuelle Gerichtsurteile im Datenschutzrecht zu beachten. Damit steigt der Aufwand für die Aus- und Weiterbildung eines internen Datenschutzbeauftragten. Ein externer Datenschutzbeauftragte kann da eine gute Alternative sein.
Die Frage, ob ein interner oder ein externer Datenschutzbeauftragter die bessere Lösung ist, muss jedes Unternehmen für sich selbst entscheiden. Sicher ist jedoch: Kein Unternehmen kann es sich heute mehr leisten, das Thema Datenschutz außen vorzulassen.
Ein Beitrag von Stefan Matern
Bild: qimono auf Pixabay