Auswahl Datenschutzbeauftragte

Vertrauen zwischen Datenschutzbeauftragte und Leitung ist der wichtigste Qualitätsanspruch. Datenschutzbeauftragte müssen hierfür ordnungsgemäß und frühzeitig alle bestehenden und Fragen und Prozesse zum Schutz der personenbezogenen Datenverarbeitung eingebunden werden (Art. 38 Abs. 1 DSGVO). Datenschutzbeauftragte sollten Kritik gegenüber der Leitung oder einem Projektteam vorbringen dürfen und dass bei harten Entscheidungen gegen einzelne Projekte alle anderen die Entscheidung verstehen und mittragen.

Ermutigen Sie Ihre Mitarbeiter bei Fragen rund um den Datenschutz und der Datensicherheit Datenschutzbeauftragte anzusprechen und das Wissens zu nutzen.

Datenschutzbeauftragte müssen entsprechende Fachkunde und Zuverlässigkeit verfügen und sich regelmäßig weiterbilden.

Interne Datenschutzbeauftragte

Interne Datenschutzbeauftragte kennen die Organisationsstruktur und die Beschäftigten. Sie sind hier „zu Hause“, in die Kommunikation sowie Verflechtungen des Unternehmens bestens eingebunden und haben Kenntnisse zur Branche. Sofern Datenschutzbeauftragte noch mit anderen Aufgaben/Funktionen betraut sind, die mit der Aufgabe des Datenschutzes inkompatibel sind, kann keine zuverlässige Funktionserfüllung erwartet werden und die Benennung zum Datenschutzbeauftragten kann damit in der Regel unwirksam sein.

Datenschutzbeauftragten muss für die Tätigkeiten ausreichend Zeit zur Verfügung stehen. Um dies sicherzustellen, sollte eine entsprechende Ergänzung des bisherigen Anstellungsvertrages erfolgen, in dem Datenschutzbeauftragte im nötigen Umfang von der bisherigen Tätigkeit freigestellt wird.

Denn Aufgaben von Datenschutzbeauftragten sind vielfältig und können schnell unüberschaubar werden und womöglich können interne Datenschutzbeauftragte ihre bisherigen Tätigkeiten nicht mehr wie bisher nachgehen. Am Ende muss doch noch eine Person eingestellt werden.

Nach einer Abberufung besteht noch mindestens ein Jahr ein Kündigungsschutz nach in § 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG.

Oft als Vorteil bei internen Datenschutzbeauftragten genannt, werden auch die Kosten, denn die sind ja „eh da“ und somit theoretisch keine neue Person eingestellt werden. Doch ist zu beachten, dass interne Datenschutzbeauftragte, nun neue Aufgaben haben und der Arbeitsaufwand nicht zu unterschätzen ist. Bestehende Aufgaben müssen dann andere Beschäftigte mit übernehmen. Die Kosten werden verschoben und laufen ggf. in Form von Mehrarbeit auf.

Externe Datenschutzbeauftragte

Die mitunter hohen Anforderungen an Fachwissen aufgrund des vielfältigen Aufgabenspektrums finden sich intern keine geeignete Person. Darum lagern viele Organisationen die Stabsstelle Datenschutz aus und beauftragen mit der Aufgabe eine (natürliche) Person außerhalb der Organisation — also ein externe/r Datenschutzbeauftragte/r.

Organisationen sparen sich fortwährende Kosten für Einarbeitung, Qualifizierungsmaßnahmen und Weiterbildung bei intern Beschäftigten. Sie ersparen sich unternehmensinterne Interessenkonflikte in Bezug auf Hierarchie- und Kompetenzstreitigkeiten. Ihre wichtige Personalressourcen interner Beschäftigter kann sich auf seine Kerntätigkeit konzentrieren.  Organisationen umgehen den besonderen Kündigungsschutz für interne Datenschutzbeauftragte.

Externe Datenschutzbeauftragte sind qualifiziert, halten sich über die rechtlichen Entwicklungen im Datenschutz auf dem Laufenden. Externen Datenschutzbeauftragte, die gleich mehrere Unternehmen betreuen und daraus vielfältige Erfahrungen sammeln verfügen über viel Know-How das interne Datenschutzbeauftragte nicht in kurzer Zeit entwickeln können.

Externe Datenschutzbeauftragte wissen wie der Datenschutz in einer Organisation am besten umzusetzen ist und können auf Anfragen von Beschäftigten und Betroffenen schnell reagieren.

Externe Datenschutzbeauftragte werden von einer Mitarbeitervertretung eher akzeptiert wird, als interne Datenschutzbeauftragte.

Nicht geeignete Datenschutzbeauftragte

Nicht zum Datenschutzbeauftragten benannt werden dürfen Personen, die nicht entsprechende Fachkunde und Zuverlässigkeit verfügen, in Ihrer Funktion (Inhaber, Geschäftsführer, Vorstand, etc.) oder innerhalb der Organisation einen Interessenskonflikt geraten können (z. B. Leitung IT, Personal, Marketing, etc.) oder Personen mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten. Wegen Interessenkonflikten sind auch Lebenspartner oder enge Verwandte zu vermeiden.

Vorsicht: Wenn die Datenschutz-Aufsichtsbehörde mitbekommen sollte, dass Datenschutzbeauftragte nur pro forma benannt wurden und über keine ausreichende zeitliche Kapazität verfügt, um die Funktion und den Aufgaben gerecht werden zu können, kann sogar einer Geldbuße gegen Ihre Organisation verhängt werden.