Interne vs. externe Datenschutzbeauftrage: Diese Ressourcen müssen Sie für 2023 einplanen

Wofür benötigen Sie wie viele Ressourcen? Wo sind die Aufwände höher und was funktioniert effizienter – die Umsetzung Ihres Datenschutzes mit internen oder externen Datenschutzbeauftragten?

Für Ihre Budget- und Strategieplanung 2023 ist es wichtig zu wissen, welche Ressourcen Sie einkalkulieren müssen. Aber wie immer im Datenschutz ist diese Frage nicht so leicht zu beantworten: Es kommt darauf an. Auf Ihre individuelle Organisation, welche Kategorien und Mengen personenbezogener Daten Sie verarbeiten, Ihre Datenschutzrisiken, auf Ihre Branche und Ihre organisationsspezifischen Anforderungen.

Um dennoch eine Vorstellung für Ihre Jahresplanung zu bekommen, haben wir Ihnen die Faktoren, die jeweils bei der Benennung von internen und externen Datenschutzbeauftragten auf Sie zukommen, zusammengefasst. 

Der größte Faktor bei der Neu-Benennung von Mitarbeitenden zu internen Datenschutzbeauftragten ist die Umverteilung der vorhandenen Ressourcen. Interne Datenschutzbeauftragte haben weniger Zeit für ihre ursprüngliche Tätigkeit. Je nachdem, wie viel Zeit sie für die Umsetzung des Datenschutzes aufwenden (dürfen/müssen) und je nach Tätigkeit sind dies zusätzliche Aufwände, die Sie mit einkalkulieren müssen. Unter Umständen müssen Sie sogar zusätzliches Personal einstellen, um diesen Ausfall auszugleichen. Ggf. kommt durch die Aufgabenerweiterung auch noch eine Gehaltserhöhung für die bestellte Person hinzu.

Außerdem müssen Sie bedenken, dass nur bestimmte Mitarbeitende interne Datenschutzbeauftragte werden können. Denn es darf nicht zu einem Interessenkonflikt zwischen der ursprünglichen Tätigkeit und der Tätigkeit als Datenschutzbeauftragte kommen. Ein solcher Interessenkonflikt liegt etwa dann vor, wenn die Person über die „Zwecke und Mittel“ der Verarbeitungen bestimmen darf. Damit fallen z. B. Beschäftigte in leitenden Positionen heraus. Unter Umständen ist die Entscheidung für interne Datenschutzbeauftragte abhängig von der Zustimmung der Personalvertretung.

Hinzu kommt, dass interne Datenschutzbeauftragte nicht ohne weiteres zu kündigen sind, auch wenn Datenschutz nur einen Teil der Tätigkeit darstellt. Die Personalkosten fallen also auf lange Sicht an – auch, wenn die Person nicht mehr benötigt wird oder beispielsweise keine zufriedenstellende Arbeitsleistung bringt. Daher sollten Sie sich genau überlegen, ob und welche Mitarbeitende Sie als Datenschutzbeauftragte benennen möchten.

Je nach Kenntnisstand der angehenden internen Datenschutzbeauftragten kommen Aus- und Weiterbildungskosten auf Sie zu. Denn Datenschutzbeauftragte müssen über das nötige Fachwissen verfügen, um ihre Tätigkeit ausüben zu können – und das bereits bevor sie zu Datenschutzbeauftragten ernannt werden. Ist eine vollständige Fortbildung notwendig, können sich die Kosten schnell auf mehrere tausend Euro erstrecken.

Zudem fallen konstant Weiterbildungskosten an. Interne Datenschutzbeauftragte sind nicht nur dazu verpflichtet, ihre Fachkunde zu erhalten und upzudaten (Art. 37 Absatz 5 DSGVO), sie haben sogar ein Recht darauf. Denn neben der gesetzlichen Verpflichtung zur Weiterbildung sind auch Verantwortliche dazu verpflichtet, ihre Datenschutzbeauftragten in der Ausübung ihrer Tätigkeit zu unterstützen (Art. 38 Abs. 2 DSGVO). Dazu gehören im Übrigen nicht nur Weiterbildungen, sondern auch (teils kostspielige) Fachliteratur, Räume oder Geräte und Mittel.

Vor allem, wenn Sie sensible Daten wie Gesundheitsdaten oder eine große Menge personenbezogener Daten von Privatpersonen verarbeiten, sind besondere Fachkenntnisse erforderlich. Denn das Risiko für Betroffene ist deutlich höher als beispielsweise im B2B-Geschäft. Das bedingt einen umfangreicheren Datenschutz und Sie benötigen eine:n Datenschutzbeauftragte:n mit entsprechender Fachkunde und Erfahrung. Diese Person selbst auszubilden ist enorm kostenintensiv und bindet viele Ressourcen. 

Welche Ressourcen Sie bei externen Datenschutzbeauftragten benötigen, ist hingegen deutlich transparenter und kalkulierbarer. Hier sind vertraglich alle Leistungen und Kosten festgelegt. Dabei gibt es meist drei unterschiedliche Modelle. Sie können beispielsweise ein Pauschalpaket mit einem monatlichen Beitrag buchen, bei dem alles inbegriffen ist. Alternativ gibt es Kontingentmodelle. Auch hier haben Sie einen monatlichen Satz, allerdings für ein gewisses Zeitkontigent, das Ihnen zur Verfügung steht. Leistungen, die darüber hinausgehen, werden in der Regel nach Aufwand abgegolten. Alternativ gibt es das Aufwandsmodell, bei dem Sie lediglich eine Grundgebühr pro Monat für die Benennung zahlen. Jeder Aufwand wird dann nach einem Stundensatz abgerechnet.

Wie viel dies genau ist, hängt maßgeblich von der Organisation, den dort verarbeiteten personenbezogenen Daten und dem aktuellen Stand im Datenschutz bzw. gewünschten Leistungen ab. Es lässt sich also keine pauschale Aussage treffen.

Im Gegensatz zu internen Datenschutzbeauftragten fallen bei externen Benennungen keine Kosten für Aus- und Weiterbildung an. Wenn Sie sich für eine externe Benennung entscheiden, können Sie davon ausgehen, dass die/der Datenschutzbeauftragte die notwendige Fachkunde vorweist und sofort mit der Umsetzung anfangen kann.

Bei externen Datenschutzbeauftragten müssen Sie ggf. mit einer längeren Einführungszeit rechnen, da Externen die Organisation und die spezifischen Prozesse unbekannt sind. Interne Datenschutzbeauftragte kennen bereits (einen Teil der Prozesse) sowie die jeweiligen Ansprechpersonen. Allerdings kann es hier auch zu Betriebsblindheit kommen. Ein Blick von außen kann helfen, Prozesse zu hinterfragen und zu optimieren.

Externe Datenschutzbeauftragte bieten zudem eine gewisse Ausfallsicherheit – zumindest, wenn sie nicht gerade Soloselbstständige sind. Fallen interne Datenschutzbeauftragte aufgrund von Krankheit oder Urlaub aus, müssen Vertretungen einspringen. Diese haben nicht immer die nötige Fachkunde oder Kenntnisse von Prozessen. Externe Datenschutzbeauftragte hingegen stehen Ihnen dauerhaft und vor allem auch bei akuten Situationen jederzeit zur Verfügung.

Hinzu kommt, dass die Umsetzung des Datenschutzes zu einem großen Teil aus Dokumentation besteht. Externe Datenschutzbeauftragte können in der Regel auf ein umfangreiches Portfolio an Mustern zurückgreifen. Dadurch verringert sich die benötigte Erstellungszeit auf einen Bruchteil. Hier ist die Erstellung am Ende oft weniger aufwendig als eine interne Erstellung oder Anpassung von Mustern, die nicht auf das Risiko abgestimmt sind.

Allerdings benötigen externe Datenschutzbeauftragte Ansprechpersonen – sogenannte Datenschutzkoordinationen – innerhalb der Organisation. Denn die Aufgabe von externen Beauftragten ist vor allem die Beratung und Prüfung. Die Umsetzung des Datenschutzes muss dann intern koordiniert werden. Datenschutzkoordinationen benötigen dabei deutlich weniger Ressourcen als interne Datenschutzbeauftragten, sie werden aber zwingend benötigt und sollten in die Kalkulation miteinbezogen werden. 

Für die Planung Ihrer Datenschutzstrategie können Sie nun die anfallenden Ressourcen sowohl für interne als auch für externe Datenschutzbeauftragte durchrechnen und vergleichen – individuell bezogen auf Ihre Organisation und Ihre Anforderungen. Auf Basis dessen können Sie eine informierte Entscheidung treffen und das für Sie effizientere Modell wählen.

Unsere Empfehlung zur verlässlichen Planung der benötigten Ressourcen: Erstellen Sie – je nach Reifegrad des Datenschutzmanagements und dessen Umsetzung – einen Projektplan zur Einführung oder einen Prüfplan (Auditprogramm) auf Basis eines Datenschutzkonzepts mit abgegrenzten Arbeitspaketen. So können Sie den internen und externen Aufwand sicherer abschätzen.

Bedenken Sie zudem: Was zählt, sind nicht nur die monatlichen Aufwände, sondern die Datenschutzschutzleistungen, die Sie dafür erhalten. Ein professionell umgesetzter Datenschutz reduziert das Risiko von Bußgeldern und Schadensersatzforderungen für Ihre Organisation.