Brauche ich für mein Unternehmen überhaupt einen Datenschutzbeauftragten?
Sie haben die Datenschutzverordnung studiert und erleichtert festgestellt, dass Sie aufgrund der formellen Gegebenheiten für Ihr Unternehmen keinen Datenschutzbeauftragten bestellen müssen, weil Sie z.B. weniger als 20 Beschäftigte in der Datenverarbeitung haben. Das ist vordergründig ein Anlass, sich erleichtert zurückzulehnen. Die Kosten haben Sie schon einmal gespart.
Können Sie sich wirklich entspannt zurücklehnen?
Nicht wirklich, denn auch ohne Datenschutzbeauftragten müssen Sie alle Regelungen in den Verordnungen umsetzen. Das sind nicht wenige. Und das betrifft in voller Ausprägung fast alle Unternehmen, kleine wie große. Schon wenn Sie Mitarbeiter beschäftigen, Kundendaten verarbeiten oder eine externe Dienstleistung für die Steuer- und Lohnbuchbuchhaltung in Anspruch nehmen, sind Sie im Sinne der Datenschutzverordnung (DSGVO) zur Umsetzung verpflichtet und verantwortlich.
Der interne Datenschutzbeauftragte
Die meisten Unternehmen stellen bald fest, dass es alles andere als einfach ist, einen geeigneten Datenschutzbeauftragten in den eigenen Reihen zu finden.
Das beginnt bei der Auswahl eines Mitarbeiters oder einer Mitarbeiterin. Denn diese/r muss nicht nur über eine entsprechende Qualifikation verfügen sondern diese auch langfristig erhalten. Daraus ergibt sich ein erheblicher Qualifikations- und Weiterbildungsaufwand, der nicht zu unterschätzen ist und der zeitlich und finanziell im Budget abgesichert werden muss.
Noch schwerer wiegt jedoch die gesetzliche Forderung nach Neutralität, Objektivität und Unvoreingenommenheit. Kann es möglicherweise zu Interessenskonflikten kommen?
Mitglieder der Geschäftsführung und auch deren nahen Angehörige scheiden daher per se bereits aus. Ebenso der oder die IT-Verantwortliche.
Zwischenfazit: Den geeigneten Mitarbeiter oder die geeignete Mitarbeiterin zu finden ist alles andere als einfach.
Weiter muss man beachten, dass eine einmalige Qualifikation zum Datenschutzbeauftragten bei weitem nicht ausreicht, die Stelle wirklich auszufüllen. Es ist wie beim Führerschein: Das wirklich gute Fahren erlernt man erst in der Praxis. Im Klartext sol das heißen, dass nach einer mehrwöchigen Ausbildungsphase eine mitunter monatelange Einarbeitungs- und Konsolidierungsphase mit zusätzlichen Weiterbildungen und Selbststudien zu folgen hat, die einen Großteil der regulären Arbeitszeit ausfüllt. In all diesen Monaten steht der oder die Angestellte für die ursprünglichen Aufgaben nicht uneingeschränkt zur Verfügung.
Dann muss eine Geschäftsleitung auch noch wissen, wie es um den Kündigungsschutz eines internen Datenschutzbeauftragten bestellt ist: Eine Kündigung ist selbst nach der Abberufung des internen Datenschutzbeauftragten innerhalb eines Jahres unzulässig, sofern es sich nicht um eine fristlose Kündigung aus wichtigem Grund handelt.
Sehr viel unproblematischer, sicherer und um bis ein zehnfaches preiswerter ist die Bestellung eines externen Datenschutzbeauftragten, den das Gesetz auch ausdrücklich vorsieht. Er verfügt nicht nur über größere Erfahrung, Weitsicht und Handlungssicherheit, er ist unvoreingenommen und steht in keinem Interessenkonflikt. Er hilft auch dabei, das erhebliche Bußgeld-Risiko zu minimieren: Wenn er falsch berät, muss er für den Schaden haften.