Grundsätzlich kann ein interner oder ein externer Datenschutzbeauftragter (DSB) bestellt werden.
In beiden Fällen muss gemäß Art. 37 DSGVO der DSB benannt und der Aufsichtsbehörde mitgeteilt werden. Sollte dies nicht rechtmäßig getätigt werden, kann ein Bußgeld bis zu 10.000.000€ oder 2% des Jahresumsatzes die Folge sein (Art. 83 Abs. 4 DSGVO).
Ein betrieblicher DSB kann sowohl intern in Person eines bereits angestellten Mitarbeiters als auch extern in Form eines Dienstleisters bestellt werden. Ausschlaggebende Kriterien sollten dabei an erster Stelle die notwendige berufliche Qualifikation, insbesondere das Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie die Fähigkeit sein, die ein DSB benötigt, um die notwendigen Aufgaben im Unternehmen ordnungsgemäß erfüllen zu können.
Hinsichtlich der Kompetenz muss sich ein interner DSB zunächst zeitintensiven und aufwendigen Weiterbildungsmaßnahmen zur Erlangung der notwendigen Fachkunde unterziehen, während ein externer DSB bereits von Beginn der vertraglichen Kooperation zertifizierte und sofort bereitstehende Expertise vorweisen kann. Im Gegensatz dazu hat jedoch der interne DSB Vorteile bei der Einarbeitung, da ihm die internen Betriebsabläufe bereits bekannt sind, während sich ein externer DSB zunächst mit den betrieblichen Prozessen vertraut machen muss.
Bei der Benennung eines betrieblichen DSB ist auch stets dessen Haftung zu bedenken. Wenn es zu folgenschweren Fehlern auf Basis seiner Beratung kommt, wie beispielsweise Datenmissbrauch von Kundendaten, haftet ein interner DSB mit der beschränkten Arbeitnehmerhaftung. Das bedeutet, dass der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang haftet. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus. Im Gegensatz dazu haftet ein externer DSB für seine Beratung auch bei leichter Fahrlässigkeit in voller Höhe. Dies führt zu einer Risikominimierung für das Unternehmen.