Grundsätzlich kann ein interner oder ein externer Datenschutzbeauftragter bestellt werden.
In beiden Fällen muss die Bestellung gemäß §§ 4f und 4g BDSG schriftlich also durch Unterschrift des Datenschutzbeauftragten sowie des ihn bestellenden Unternehmens erfolgen.
Ein betrieblicher Datenschutzbeauftragter kann sowohl intern in Person eines bereits angestellten Mitarbeiters als auch extern in Form eines Dienstleisters bestellt werden. Ausschlaggebendes Kriterium sollte dabei an erster Stelle die notwendige Sachkunde und Zuverlässigkeit sein, die ein Datenschutzbeauftragter benötigt, um die notwendigen Aufgaben im Unternehmen ordnungsgemäß erfüllen zu können.
Hinsichtlich der Kompetenz muss sich ein interner Datenschutzbeauftragter zunächst zeitintensiven und aufwendigen Weiterbildungsmaßnahmen zur Erlangung der notwendigen Fachkunde unterziehen, während ein externer Datenschutzbeauftragter bereits von Beginn der vertraglichen Kooperation zertifizierte und sofort bereitstehende Fachkunde vorweisen kann. Im Gegensatz dazu hat jedoch der interne Datenschutzbeauftragte Vorteile bei der Einarbeitung, da ihm die internen Betriebsabläufe bereits bekannt sind, während sich ein externer Datenschutzbeauftragter zunächst in die betrieblichen Prozesse einarbeiten muss.
Bei der Bestellung eines betrieblichen Datenschutzbeauftragten ist auch stets die Haftung bei Datenschutzverstößen zu bedenken. Wenn es zu folgenschweren Fehlern auf Basis der Beratung des betrieblichen Datenschutzbeauftragen kommt, wie beispielsweise Datenmissbrauch von Kundendaten, haftet ein interner Datenschutzbeauftragter mit der beschränkten Arbeitnehmerhaftung, was wiederum eine vollumfängliche Haftung des Geschäftsführers des Betriebs zur Folge hat. Im Gegensatz dazu haftet ein externer Datenschutzbeauftragter für seine Beratung, was eine Risikominimierung für das Unternehmen und den Unternehmer selbst zur Folge hat.
Was ist ein externer Datenschutzbeauftragter in einem Unternehmen?
Ein externer Datenschutzbeauftragter ist ein zertifizierter Datenschutzexperte, der einem Unternehmen als Dienstleister zur Verfügung steht.
Die Grundlage seiner Tätigkeit ist dabei ein kostentransparenter Dienstleistungsvertrag, dessen Laufzeit variabel festgelegt wird und der auch beendet werden kann.
Der externe Datenschutzbeauftragte wird also im Rahmen eines Dienstleistungsverhältnisses für das Unternehmen tätig. Dabei ist der externe Dienstleister ein zertifizierter und hoch qualifizierter Experte im Datenschutz. Sein Wissen im Datenschutzrecht ist zudem immer auf dem neuesten Stand und sichert dadurch eine hohe Beratungskompetenz. Zur Ausübung seiner Tätigkeit muss der externe Datenschutzbeauftragte neben dem Datenschutzrecht auch mit weiteren Gesetzen wie dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) sowie benachbarten Bereichen des IT-Rechts vertraut sein. Ein externer Datenschutzbeauftragter arbeitet praxisorientiert, effizient und ist für das Unternehmen jederzeit verfügbar.
Ein externer Datenschutzbeauftragter lässt sich anhand verschiedener Faktoren von einem internen Datenschutzbeauftragten differenzieren:
- Anfallende Kosten für das Unternehmen: Während bei einem internen Datenschutzbeauftragten zusätzlich zum regulären Gehalt Kosten für Aus- und Fortbildung sowie Erwerb von Literatur vom Unternehmen zu investieren sind, hat ein Unternehmen bei einem externen Datenschutzbeauftragten den Vorteil der transparenten Kostenstruktur, da vertraglich alle Kosten vorab definiert werden.
- Kompetenz: Während ein interner Datenschutzbeauftragter zunächst zeitintensive und aufwendige Weiterbildungsmaßnahmen zur Erlangung der Fachkunde vornehmen muss, kann ein externer Datenschutzbeauftragter bereits von Vertragsstart an zertifizierte und sofort abrufbare Fachkunde nachweisen.
- Haftung: Ein interner Datenschutzbeauftragter haftet mit der sogenannten beschränkten Arbeitnehmerhaftung, was eine vollumfängliche Haftung des Geschäftsführers zur Folge hat. Im Gegensatz dazu haftet ein externer Datenschutzbeauftragter für seine Beratung, was zu einer Risikominimierung für das Unternehmen führt.
- Kündigung: Ein interner Datenschutzbeauftragter unterliegt besonderem Kündigungsschutz, der mit der Stellung des Betriebsrats gleichzustellen ist. Die Beauftragung eines externen Datenschutzbeauftragten kann hingegen fristgerecht mit Kündigung des Vertrags beendet werden.