Hat das Unternehmen für sich die Frage geklärt, ob es einen Datenschutzbeauftragten formell benennen muss, schließt sich direkt die nächste Fragestellung an: soll einem Mitarbeiter die Aufgabe übertragen werden oder lieber einem Externen. Beide Varianten sind gesetzlich zulässig.
Dementsprechend sollen im Folgenden die Vor- und Nachteile interner und externer Lösungen gegenübergestellt werden.
| Kriterium | Interner Beauftragter | Externer Beauftragter |
| Allgemeine Qualifikation | Fundierte Kenntnisse aus den Bereichen Recht, Betriebswirtschaft und IT | |
| Berufliche Qualifikation | i.d.R. durch Zertifizierungen noch zu erwerben (Kosten ca. 2.000,00 EUR) | bringt Zertifizierung mit |
| Fachwissen Datenschutzrecht | Arbeitgeber trägt Kosten für Aneignung und Erhalt (Seminare bei ca. 1.000,00 EUR pro Thema) | hat selbst für Aneignung und Erhalt des Fachwissens zu sorgen |
| Fachwissen Datenschutzpraxis | nur durch berufliche Erfahrung anzueignen | sollte mehrjährig vorhanden sein |
| Kenntnis betrieblicher Abläufe und Systeme | sollte vorhanden sein | muss angeeignet werden |
| Vermeidung Interessenkonflikte | kein Mitglied der Geschäftsleitung sowie der IT | keine Interessenkonflikte gegeben |
| Kosten | im Gehalt (zumindest anteilig) enthalten | monatliche Kosten ca. zwischen 150,00 EUR und 450,00 EUR |
| Kündigung | besonderer Kündigungsschutz | kein Kündigungsschutz (vertragliche Regelung) |
Wege in der Praxis?
Bislang gehen wir davon aus, dass Datenschutzbeauftragte ihren Job verstehen und beherrschen. Bedauerlicherweise ist dem weder bei internen Beauftragten noch bei externen Lösungen immer der Fall. Da wird bei internen Lösungen aus vermeintlichen Kostengründen entweder der angestellten Ehefrau des Geschäftsführers, der Bürokraft oder dem gerade ausgelernten Azubi das Hütchen des Datenschutzbeauftragten aufgesetzt. Das dieses Vorgehen einer (noch nicht mal genaueren) Prüfung kaum standhält, dürfte leicht nachvollziehbar sein.
Leider ist es bei externen Beauftragten auch nicht immer besser. Viele Pseudo-Experten tummeln sich auf dem Markt, zu denen man selbst bei bester Recherche keinerlei Hinweise auf Mitgliedschaften in Berufsverbänden, Veröffentlichungen oder gar eine eigene Internetpräsenz findet (vgl. auch https://cmi-compliance.de/hasardeure-im-datenschutz/).
Und welche Lösung sollte nun gewählt werden?
Den Königsweg gibt es hierbei leider nicht. Beide Varianten haben ihre Vor- und Nachteile. Vergleicht man Kosten, Know-how und Kündigungsmöglichkeiten, so schlägt das Pendel in Richtung des externen Beauftragten. Legt man höheres Gewicht auf Kenntnis der innerbetrieblichen Abläufe, so ist der interne Beauftragte klar im Vorteil.
Berücksichtigt man ergänzend die oftmals dünne Personaldecke in Kleinbetrieben und Mittelstand, erscheint die externe Lösung naheliegender. Der externe Datenschutzbeauftragte kostet zwar Geld, hat dafür aber eigenständig für den Erhalt seines Fachwissens zu sorgen und muss dieses auch nachweisen können. Des Weiteren kann der externe Dienstleister haftungsseitig anders betrachtet werden und ist nicht den Kündigungsschutzvorschriften unterworfen.