Grundsätzlich kann ein Datenschutzbeauftragter (DSB) sowohl intern in Person eines Mitarbeiters, als auch extern in Person eines Dienstleisters, bestellt werden. Ausschlaggebendes Kriterium sollte stets die notwendige Sachkunde und Zuverlässigkeit sein, die ein Datenschutzbeauftragter zur ordnungsgemäßen Erfüllung der angedachten Aufgaben benötigt.
Ob es ratsam ist, als Unternehmen einen internen oder externen DSB zu bestellen, muss man individuell betrachten und hängt von einigen Faktoren ab. Es muss sichergestellt werden, dass der interne DSB die nötige Fachkunde besitzt und regelmäßige Weiterbildung in diesem Bereich erhält. Dies bedeutet, dass das Unternehmen zusätzlich zum regulären Gehalt des Mitarbeiters auch die diversen Kosten für Aus- und Fortbildung sowie Erwerb von Literatur zu tragen hat. Ein externer DSB hat den Vorteil der transparenten Kostenstruktur, da vertraglich alle Leistungen und Kosten festgelegt werden. Darüber hinaus muss ein Unternehmen bei einem internen DSB auch die Arbeitszeit des Mitarbeiters opfern und muss dem DSB Einblicke in so ziemlich alle Unternehmensbereiche ermöglichen. Das lässt viele Unternehmer den externen DSB wählen, der einfach unkomplizierter und in den meisten Fällen auch preiswerter ist.
Man darf dabei auch nicht vergessen, dass der betriebliche (interne) DSB einen deutlich erweiterten Kündigungsschutz, vergleichbar mit der Stellung des Betriebsrats, genießt. Zwar findet sich in der DS-GVO an keiner Stelle ein Wort zum Thema Kündigungsschutz des Datenschutzbeauftragten, dennoch unterliegt der DSB durch die Regelung in § 38 Abs. 2 i.V.m. § 6 Abs. 4 S. 2 des BDSG-neu zumindest in Deutschland einem umfassenden Kündigungsschutz.
Aber ob intern oder extern, für beide gilt, dass eine Abberufung des DSB nur aus wichtigen Grund gemäß § 38 Abs. 2 i.V.m. § 6 Abs. 4 S. 1 BDSG-neu zulässig ist. Dadurch soll die im Gesetz geforderte weisungsfreie und unabhängige Beratung gewährleistet werden.
Nicht ganz unwichtig ist auch die unbequeme Stellung, welche man einem Mitarbeiter eventuell durch die Bestellung zum DSB zumutet. Auch die zeitnahe Umsetzung der nötigen datenschutzrechtlichen Maßnahmen ist bei einem internen DSB oft gefährdet, da die Akzeptanz eines internen DSB im Unternehmen oft gering ist und die Mitarbeiter auf Anfragen nur langsam oder gar nicht reagieren. Der externe DSB hingegen nimmt im Unternehmen eine neutrale Position, sowohl nach Außen als auch innerhalb des Unternehmens, ein.
Letztendlich muss die Entscheidung, ob ein intern oder ein externer DSB bestellt werden soll, jedes Unternehmen für sich selbst abwägen.