Ein Manager, der darüber nachdenkt einen internen oder externen Datenschutzbeauftragten einzustellen.

Datenschutzbeauftragter: Extern oder intern? Ein Fallbeispiel

Das Inkrafttreten der DSGVO im Mai 2018 sorgte für breite mediale Aufmerksamkeit – und viel Verunsicherung bei Unternehmen aller Branchen. Neue bzw. überarbeitete Regeln zum Umgang mit personenbezogenen Daten von Kunden, Webseitenbesuchern und Mitarbeitern bedeuteten auch: neue Aufgaben. Datenschutzbeauftragte mussten nun her. Auch das Unternehmen in diesem Fallbeispiel, das ich später als externer Datenschutzbeauftragter beriet, wusste das.

Eine knappe Weiterbildung zur Datenschutzbeauftragten sollte ausreichen

Die Frage, ob es ein externer oder interner Datenschutzbeauftragter sein soll, war schnell beantwortet. Das Autohaus entschloss sich, eine bereits eingestellte Mitarbeiterin zur internen Datenschutzbeauftragten weiterzubilden. Besagte Mitarbeiterin absolvierte dazu eine fünftägige TÜV-Ausbildung und begann anschließend mit der Umsetzung der neuen Datenschutzmaßnahmen. Sobald das Thema Datenschutz nach 2018 an medialer Aufmerksamkeit verlor, wurde es auch im Autohaus einige Stufen tiefer einsortiert und verlor sich im Alltagsgeschäft. Eine umfassendere Weiterbildung der internen Datenschutzbeauftragten stand nicht mehr im Fokus. Für die nächsten zwei Jahre lief dennoch alles gut – bis ein Werkstattkunde kam, der das Autohaus auf eine Nervenprobe stellte.

Aus einer einfachen Datenauskunfts-Anfrage wurde fast ein Bußgeld

Der Kunde stellte eine Datenschutzanfrage nach Artikel 15 DSGVO, der besagt:

„Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, […]
  4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling […] und […] aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Außerdem widersprach er gemäß Artikel 21 DSGVO einer weiteren Verarbeitung seiner Daten.

Gut gemeint ist noch lange nicht gut gemacht

Die interne Datenschutzbeauftragte des Autohauses reagierte zwar darauf – jedoch nicht so, wie es richtig gewesen wäre. Der Kunde ging daraufhin den harten Weg und reichte Beschwerde beim Landesdatenschutzbeauftragten ein. Dieser forderte eine Anhörung, setzte dem Autohaus Fristen und wies auf das Bußgeld hin, welches bei Nichteinhalten der Forderungen droht. Bei schweren Datenschutz-Verstößen kann dieses Bußgeld Höhen von bis zu 20 Millionen Euro erreichen.

Die interne Datenschutzbeauftragte sah sich der Situation nun immer weniger gewachsen. Das Anschreiben des Landesdatenschutzbeauftragten beantwortete sie eher ungünstig und verschlimmerte die Situation damit nur. Mittlerweile stand die Aufsichtsbehörde auf dem Plan. Das Autohaus beschloss, mich als externen Datenschutzbeauftragten zu konsultieren, um sozusagen das bereits lichterloh brennende Haus noch zu löschen. Ich verfasste daraufhin einen klärenden Brief an die Aufsichtsbehörde und sandte dem ehemaligen Kunden sauber aufgeführt die angeforderten Informationen nach Artikel 15 DSGVO zu. Die Situation konnte somit schnell zur Zufriedenheit aller geklärt werden – ohne Bußgeld für den Verantwortlichen.

Externer oder interner Datenschutzbeauftragter? Sehen Sie dieses Fallbeispiel als Entscheidungshilfe

Das riesige Chaos hätte das Autohaus leicht vermeiden können, wenn es mehr in die Ausbildung seiner internen Datenschutzbeauftragten investiert oder gleich einen externen Datenschutzbeauftragten berufen hätte. Datenschutz ist ein komplexes Thema, das ständig Änderungen durch neue Urteile erfährt. Ein externer oder interner Datenschutzbeauftragter muss darauf ein Auge behalten und sich entsprechend weiterbilden.

Doch wer zum internen Datenschutzbeauftragten berufen wird, hat nebenbei noch andere Aufgaben des Tagesgeschäfts zu erledigen. Folglich bleibt wenig Zeit für Weiterbildung und der Fokus kann nicht allein auf den Datenschutz gelegt werden. Solange keine großen Probleme auftreten, mag das ausreichen. Doch wie im Fallbeispiel zu sehen, kann das bei Belastungsproben schnell zu Fehlern führen. Die kosten – und zwar Sie als Unternehmer. Denn wer sich fragt, ob es ein externer oder interner Datenschutzbeauftragter sein soll, muss wissen: Bei einem internen Datenschutzbeauftragten haftet der Arbeitgeber. Entsprechend fallen Datenpannen und Bußgelder auf ihn zurück.

Ein weiterer Faktor kommt hinzu: Internen Datenschutzbeauftragten fehlt oftmals die Erfahrung im Umgang mit Behörden. Auch das zeigte sich im Fallbeispiel: Die interne Beauftragte verschlimmerte die Situation durch die mangelhafte Antwort an den Landesdatenschutzbeauftragten nur. Für einen externen Datenschutzbeauftragten, der tagtäglich in den verschiedensten Branchen Kontakt mit Behörden hat, ist das Alltag. Entsprechend kann er Fehler von vornherein ausschließen bzw. die Lage schnell retten, wenn es doch einmal zu einer Panne kommt.

Mein Fazit lautet: Überlegen Sie bei der Entscheidung zwischen externem oder internem Datenschutzbeauftragten lieber zwei Mal!

Auf den ersten Blick mag es die wirtschaftlich klügere Wahl sein, eine bereits angestellte Person mit dem Datenschutz zu beauftragen. Schließlich kennt die sich schon im Unternehmen aus und es entfallen die Kosten für einen weiteren „Mitarbeiter“. Von diesem Gedankengang möchte ich Ihnen abraten, wenn Sie sich zwischen einem externen und internen Datenschutzbeauftragten entscheiden müssen. Sowohl aus finanzieller als auch als datenschutzrechtlicher Sicht hebt sich der externe Partner deutlich vom weitergebildeten Mitarbeiter ab. Ich empfehle Ihnen für mehr Informationen noch folgende meiner Beiträge:

DSGVO, externer Datenschutzbeauftragter, interner Datenschutzbeauftragter

Comments (2)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

© Copyright - Barth Datenschutz GmbH - 0711 / 40070720 - info@barth-datenschutz.de