Datenschutzbeauftragter

10 Fragen an Ihren zukünftigen Datenschutzbeauftragten – die Checkliste für das Zwiegespräch mit Ihrem DSB

Mit der Anwendbarkeit der europäischen Datenschutz-Grundverordnung (EU-DSGVO; 25. Mai 2018) hat sich die Akzeptanz des betrieblichen Datenschutzbeauftragten grundlegend geändert – ein Nischen-Thema war plötzlich Mainstream.

Die damit verbundene Nachfrage nach qualifizierten Experten hat den Markt der Datenschutzdienstleister auf den Kopf gestellt; unzählige Angebote für die Übernahme der Position des externen Datenschutzbeauftragten haben den Markt geflutet.

Vielfach wurden Rechtsanwälte mit der Umsetzung beauftragt; andere Unternehmen haben Ihren IT-Dienstleister die Aufgabe anvertraut. Von individueller Beratung bis do it yourself-Vorlagenpakete – inhaltlich, methodisch (und auch preislich) bietet der Markt derzeit alles.

Aber auf welche Punkte sollten Sie achten, wenn Sie Angebote vergleichen, um den für Ihr Unternehmen passenden Datenschutzbeauftragten zu finden?

Prolog: Pflicht zur Bestellung eines Datenschutzbeauftragten - die Details in Kurzform

Bis Ende 2019 war die Grundregel wie folgt: Wenn 10 Personen im Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt waren, musste ein (interner oder externer) DSB bestellt werden.

Doch diese Faustregel ist nicht mehr aktuell. Nach der Verabschiedung des zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG) am 26. November 2019 wurde eine Änderung des § 38 I S. 1 BDSG beschlossen.

Datenschutzbeauftragter. Eine anspruchsvolle und umfassende Aufgabe

Benennungspflicht eines Datenschutzbeauftragten

So liegt die Pflicht zur Bestellung nun bei mindestens 20 Personen, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Wenn Sie sich jetzt denken, Sie wären aus dem Schneider, da Sie unter dieser Personenzahl bleiben: aufgepasst!

Denn ganz so einfach ist es nicht:

Unabhängig von der Anzahl der Beschäftigten kann sich die Pflicht zur Bestellung eines DSB sowohl aus der Norm des § 38 I BDSG, als auch aus Art. 37 I DSGVO ergeben.

So geht aus § 38 I S. 2 BDSG eine Benennungspflicht hervor, wenn

  • der Verantwortliche oder der Auftraggeber Verarbeitungen vornimmt, die einer Datenschutz-Folgeabschätzung gem. Art. 35 DSGVO unterliegen. In der Positivliste der deutschen Aufsichtsbehörden finden Sie heraus, ob dies der Fall ist.
  • personenbezogene Daten geschäftsmäßig verarbeitet werden und dies zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung geschieht.

Oder gem. Art. 37 I DSGVO, wenn

  • Die Kernaktivität Ihres Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche durch Art, Umfang oder des Zweckes eine regelmäßige und systematische Überwachung der betroffenen Personen erforderlich macht.
  • Die Kerntätigkeit Ihres Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO oder Art. 10 DSGVO besteht. Die Definition einer „umfangreichen Verarbeitung“ orientiert sich dabei unter anderem an der Anzahl der betroffenen Personen sowie dem Umfang der Datenerhebung.

Möchte Ihr Unternehmen unabhängig dieser Regelungen freiwillig einen Datenschutzbeauftragten bestellen, ist dies natürlich ebenfalls möglich.

Plus: Die Befreiung von der Bestellpflicht (eines int. / ext. DSB) bedeutet nicht, dass Sie vom rechtmäßigen Umgang mit persoenenbezogenen Daten (Interessenten / Kunden, Mitarbeiter, Lieferanten) befreit sind.

1) Juristisches Know-How

Juristische Qualifikation: Klingt logisch, wird jedoch oft vernachlässigt. Dies sollte jedoch nicht so sein. Denn die Rechtmäßigkeit von Datenerhebung, Verarbeitung und Speicherung legt den Grundstein für die DSGVO-konforme Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 a) DSGVO).

Um dies in vollem Umfang zu gewährleisten, darf der Datenschutzbeauftragte nicht nur einen Flickenteppich an juristischem Know-How vorweisen. Er muss die Rechtsordnung wie seine Westentasche kennen: denn dies ist eine Grundvoraussetzung für einen professionellen Datenschutzbeauftragten.

Datenschutzbeauftragter - Juristisches Know-How

Ein professioneller Datenschutzbeauftragter besitzt juristische Qualifikationen

Der Grund: Unterschiedliche Unternehmensmodelle und -strukturen führen zu unterschiedlichen rechtlichen Anforderungen. So ist Marketing nicht von Wettbewerbsrecht und der Abschluss von Datenschutzverträgen nicht von zivilrechtlichen Fragen wie der Kündigung eines Vertrages zu trennen.

Wie gut sind Sie mit den datenschutzrechtlichen Normen vertraut?

Frage #1

2) Informationssicherheit und IT-Sicherheit (ISMS) = technisch organisatorische Maßnahmen (TOM)

Personenbezogene Daten werden zunehmend digital verarbeitet. Um Datenschutz gewährleisten zu können, muss der DSB also über den juristischen Tellerrand hinausschauen können: Technik und IT-Security dürfen in Ihrem Datenschutzkonzept (DSMS) nicht fehlen; Vorgaben der DSGVO ist es, technische und organisatorische Maßnahmen zum Schutz der Persönlichkeitsrechte des Einzelnen im Unternehmen zu gewährleisten.

Technisch organisatorische Maßnahmen

Technisch-organisatorische Maßnahmen

Datenschutz durch Datensicherheit: Wie gut sind Ihre IT-Kenntnisse?

Frage #2

3) Sprachliche Kompetenz: Datenschutzerklärung, AVV und VVT

Datenschutz goes international: durch die fortschreitende Digitalisierung scheinen Entfernungen kürzer - Viele Unternehmen sind nun länderübergreifend tätig und wollen die Datenschutzkonformität in jedem Land gewährleisten.

Ihr Datenschutzbeauftragter sollte in der Lage sein, die Datenschutzerklärung oder auch den Auftragsverarbeitungsvertrag Ihrer Webseite an die Sprache Ihrer Unternehmensstandorte anzupassen: ob deutsch, englisch, dänisch oder russisch.

Kann der Datenschutzbeauftragte meine Unternehmensstandorte abdecken?

Frage #3

4) Datenschutzbeauftragter = Rechtsanwalt?

Wie der Name schon sagt: der Datenschutzbeauftragte ist für den Datenschutz und das zugehörige Datenschutzrecht zuständig. Dabei ist der Datenschutz jedoch nur eines von vielen rechtlichen Themengebieten, die in einem Unternehmen abgedeckt werden müssen.

Das Problem: der Datenschutzbeauftragte muss sich innerhalb der Grenzen des Datenschutzrechts bewegen und darf keine Beratung in anderen Gebieten geben.

Sollten Sie also neben der Datenschutzberatung auch eine gewerbliche rechtliche Beratung benötigen, müssen Sie einen gesetzlichen Rechtsanwalt bestellen.

Wie finde ich heraus, ob die benötigte Beratung über das Rechtsgebiet des Datenschutzbeauftragten hinausgeht?

Dazu sollte geklärt werden, welche Gebiete der Datenschutzbeauftragte abdeckt:

Benötigt mein Unternehmen neben einem Datenschutzbeauftragten weitere rechtliche Betreuung?

Frage #4

5) Persönliche Betreuung: Datenschutzberatung und Datenschutzkonzept

Beim Thema Datenschutz gibt es kein einheitliches Muster. Denn unterschiedliche Unternehmensstrukturen erfordern unterschiedliche Herangehensweisen: Ihr Datenschutzbeauftragter sollte sich also differenziert mit Ihrem konkreten Anliegen befassen und eine individuelle Lösung erarbeiten.

Denn mit generalisierten und vorformulierten Antworten schaden Sie sich eher, als dass es Sie voranbringt.

Dabei sollten Sie darauf achten, dass Sie einen Ansprechpartner haben, der Sie durch den Prozess begleitet. Auch wenn dieser einmal anderweitig beschäftigt ist oder krankheitsbedingt ausfällt, sollte Ihnen direkt eine Vertretung bereitgestellt werden. Denn nur so kann Ihr Datenschutzkonzept kontinuierlich ausgearbeitet werden.

Wann können wir telefonieren, um mein Anliegen zu besprechen?

Frage #5

6) Experience: Was muss ein DSB können?

Nach der Einführung der Datenschutz-Grundverordnung hat sich ein Meer an Datenschutzbeauftragten aufgetan: dort noch einen Überblick zu bewahren und nicht zwischen Angeboten zu ertrinken, fällt nicht leicht.

Auf welche Aspekte sollte geachtet werden, um eine Aussage über die Erfahrung und Qualifikation eines Datenschutzbeauftragten zu treffen?

  • Die Berufserfahrung in Themengebieten wie Datenschutz und Informationssicherheit kann Aufschluss darüber geben, ob der jeweilige Anbieter vertieft mit der Materie bekannt ist, oder nur ein oberflächliches Wissen an den Tag legt.
  • Spezialisierung: Hat sich der Anbieter auf eine bestimmte Branche oder Unternehmensgröße spezialisiert? Wenn ja – passt dies zu meinem Unternehmen? Wenn nicht, sollten Sie auf einen anderen Anbieter zurückgreifen.
  • Bestehender Kundenstamm: Informieren Sie sich über den Kundenstamm des jeweiligen Datenschutzbeauftragten. Sind die Kunden aus unterschiedlichen Branchen und Unternehmensgrößen kann davon ausgegangen werden, dass auch Ihr Unternehmen differenziert beraten werden kann.

Die vielleicht wichtigste Frage lautet jedoch:

Welche Aufgaben hat der Datenschutzbeauftragte genau?

Und wie kann er meinem Unternehmen unter die Arme greifen?

Das Ziel der Arbeit eines Datenschutzbeauftragten lautet: die Einhaltung der Datenschutzgesetze.

Dabei werden dem Datenschutzbeauftragten per Gesetz (Art. 39 Abs. 1 DSGVO) bestimmte Aufgaben zugewiesen:

  • Der DSB hat die Aufgabe Verantwortliche, Auftragsverarbeiter oder solche Mitarbeiter, die mit der Datenverarbeitung betraut sind, über ihre Pflichten nach der DSGVO sowie sonstigen rechtlichen Vorschriften (der EU/ der Mitgliedsstaaten) zu unterrichten und zu beraten
  • Darüber hinaus überwacht er die Einhaltung der rechtlichen Vorgaben von DSGVO, anderer unionsrechtlicher Datenschutzrichtlinien bzw. Richtlinien der Mitgliedsstaaten und überprüft die Strategien des Verantwortlichen oder des Auftragsverarbeiters bezüglich des Schutzes personenbezogener Daten. Dies schließt die Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung der Mitarbeiter mit ein.
  • Auf Anfrage berät er im bezug auf die Datenschutz-Folgenabschätzung und überwacht dessen Durchführung
  • Zusammenarbeit mit der Aufsichtsbehörde; der DSB dient als Anlaufstelle für Aufsichtsbehörden, falls Fragen bezüglich der Verarbeitung von Daten aufkommen. Dies schließt die vorherige Konsultation gem. Art. 36 DSGVO und Beratung zu sonstigen Fragen mit ein.

Die per Gesetz definierten Aufgaben sind jedoch nicht abschließend. Denn der Datenschutzbeauftragte übernimmt weitere Positionen, die über die gesetzlich normierten Aufgaben hinausgehen:

  • So unterstützt der Datenschutzbeauftragte bei Dokumentationspflichten (darunter auch die Erstellung und Pflege von VVT)
  • Erstellt Datenschutzerklärungen sowie Datenschutzhinweise und hilft bei der Einholung rechtskonformer Einwilligungen: Cookie Banner und Consent Management
  • Unterstützt bei Betroffenenrechten: von der Bewerbung bis zur Kündigung
  • Erstellt ein individuelles Datenschutzkonzept: Konzepte, Policies und Richtlinien für Ihr Unternehmen
  • Ergreift geeignete Schutzmaßnahmen für Verarbeitungstätigkeiten mit risikobasiertem Ansatz
  • Im Falle von Datenschutzvorfällen: Beurteilung von Melde- und Benachrichtigungspflichten
  • Einhaltung von Datenschutzgrundsätzen: „privacy by design“ und „privacy by default“
  • Schulungen, Webinare und Workshops zur Sensibilisierung der Mitarbeiter
  • Erstellung von Auftragsverarbeitungsverträgen oder Kontrolle und Aktualisierung bereits bestehender Verträge
  • Kontrolle zur Einhaltung technisch organisatorischer Maßnahmen mit dem Ziel: Datenschutz und Datensicherheit.
  • Datenschutz-Compliance: von Erstgespräch bis Orientierung und Bestandsaufnahme. Der DSB hilft bei der Einhaltung der Datenschutzrichtlinien
  • der DSB dient als neutrale Anlaufstelle für Mitarbeiter bei datenschutzrechtlichen Fragen
  • Bescheinigung der Datenschutzkonformität gegenüber Dritten

Beginnt die Berufserfahrung des Datenschutzbeauftragten "pünktlich" zur DSGVO?

Frage #6

7) Kostentransparenz: Was kostet ein Datenschutzbeauftragter?

Der Ansatz: „Lassen Sie uns mal machen - wir schicken Ihnen am Ende eine Rechnung“ ist bei weitem nicht der beste Weg.

Achten Sie darauf, dass keine unspezifischen Versprechungen mit schwammigen Produktbezeichnungen gemacht werden. Auch sollten Sie hellhörig werden, wenn von einer einfachen „Erledigung des Datenschutzes“ geredet wird. Denn die Umsetzung eines rechtkonformen Datenschutzkonzepts ist facettenreich und kann nicht so leicht zusammengefasst werden. Plus: die letztendlichen Kosten sind unberechenbar.

Wenden Sie sich also besser an einen Anbieter, der Schritt für Schritt benennt, welche Aspekte Ihnen noch zum rechtskonformen Datenschutz fehlen und welche Leistungen erbracht werden müssen, um diesen zu erreichen. Denn nur so können die Kosten übersichtlich und kalkulierbar berechnet werden.

Manche Datenschutzbeauftragten bieten neben Einzelleistungen auch Pauschalen an, mit denen Sie mehrere Leistungen zu einem Festpreis abdecken können.

Zum Vergleich: die Kosten für einen internen Datenschutzbeauftragten in Vollzeitbeschäftigung belaufen sich round about auf:

  • Jahreskosten (im ersten Jahr): 39.500 EUR
  • Jahreskosten (in den Folgejahren): 38.000 EUR
  • Monatskosten (im ersten Jahr): 3.291,67 EUR
  • Monatskosten (in den Folgejahren:) 3.166,67 EUR

Was kostet es mein Unternehmen, DSGVO-konform zu werden?

Frage #7

DSB-on-demand

Support interner DSB
  • Unterstützung des internen Datenschutzbeauftragten (bzw. Datenschutzkoordinators) in allen Aspekten des betrieblichen Datenschutzes

all-in

Flatrate
  • Stellung des externen Datenschutzbeauftragten durch Cortina Consult
  • Umsetzung der gesetzlichen Vorgaben / DSGVO
  • Definierte Leistungen zu fixen Konditionen (Pauschalpreis)

DSB +

Pluspaket
  • Stellung des externen Datenschutzbeauftragten durch Cortina Consult
  • Für Konzern, Holding, komplexere Anforderungen

8) Individuelle Lösung: Datenschutzaudit und Datenschutz-Folgenabschätzung

Generalisierte Lösungen und standardisierte Fragebögen – schlecht!
Individuelle Prüfung und vollständige Analysen und Bewertungen – toll!

Mehr muss eigentlich nicht gesagt werden: denn standardisierte Fragebögen helfen nicht, das Datenschutzlevel in Ihrem Unternehmen z.B. in einem Datenschutzaudit oder einer Datenschutz-Folgenabschätzung zu analysieren.

Individuelle Lösungen oder Besonderheiten können nicht einbezogen werden; so ist der Grundstein Ihres Datenschutzkonzeptes lückenhaft. Das Ergebnis: ein unvollständiges Konzept, in dem ggf. wichtige Aspekte übersehen wurden.

Ein Datenschutzbeauftragter sollte stattdessen in der Lage sein, individuelle Prüfungen durchzuführen und die Rechtslage sowie die technische Ausstattung zu analysieren und zu bewerten. Dies beinhaltet unter anderem: differenzierte und situationsabhängige Fragestellungen und die Einbeziehung bereits vorhandener Dokumente. Das Resultat: ein auf Ihr Unternehmen abgestimmter und individueller Bericht.

Datenschutzbeauftragter für Unternehmen

Gehen Sie auf die individuellen Anforderungen und Voraussetzungen meines Unternehmens ein?

Frage #8

9) Vertraulichkeit: Datensicherheit

Der ärztlichen Schweigepflicht ähnlich: der Datenschutzbeauftragte muss die gesetzliche Verschwiegenheit wahren. Von der ersten Kontaktaufnahme an müssen alle Informationen vertraulich behandelt werden.

So sollten ausschließlich der Datenschutzbeauftragte und dessen Vertreter mit Informationen betraut sein. Die Daten müssen also vertraulich behandelt werden und nicht an Dritte weitergegeben werden.

Werden meine Daten vertraulich behandelt?

Frage #9

10) Haftung bei Datenschutzverstößen

Die Wahl eines Datenschutzbeauftragten sollte mit Vorsicht erfolgen: denn falsche Beratung kann böse enden.

Denn Unternehmen haften selbst für Datenpannen und Datenschutzverstöße. Ein Rückgriff auf den Datenschutzbeauftragten ist nur unter speziellen Voraussetzungen möglich.

Bleibt es jedoch am Unternehmen hängen, kann dies ganz schön ins Geld gehen.

Habe ich die richtige Wahl bei der Bennenung meines Datenschutzbeauftragten getroffen?

Frage #10

externer dsb und datenschutzbeauftragter

Das i-Tüpfelchen: Interner oder externer DSB - ein Vergleich

Worauf sollte mein Unternehmen bei der Bestellung eines Datenschutzbeauftragten achten? Check!

Welche Qualifikationen muss der Datenschutzbeauftragte mit sich bringen? Check!

Welche Fragen sollten dem zukünftigen Datenschutzbeauftragten gestellt werden? Check!

Interner oder externer Datenschutzbeauftragter? Sind Sie sich nicht sicher?

Um Ihnen bei der Entscheidung unter die Arme zu greifen, haben wir Ihnen eine Gegenüberstellung von externem und internem Datenschutzbeauftragten bereitgestellt:

INTERNER DATENSCHUTZBEAUFTRAGTER

  • Der iDSB hat gute Kenntnisse über Abläufe und Prozesse im Unternehmen. Dies bringt jedoch  das Risiko der „Betriebsblindheit“ mit sich.
  • Falls zu wenig Berufserfahrung besteht, drohen  Anlaufschwierigkeiten. Um diese zu verhindern sind kostenintensive Schulungen und Ausbildungen notwendig.
  • Das Haftungsrisiko liegt beim Unternehmen. Falls der interne DSB nicht nachweislich mit Vorsatz gehandelt hat, kann er nicht für Fehlentscheidungen haftbar gemacht werden.
  • Die Priorität der Aufgaben des Datenschutzbeauftragten könnten in der Hierarchie hinter der Haupttätigkeit des Unternehmens stehen.
  • Gleichzeitige Kenntnis von Rechtslage und IT-Sicherheit ist selten vorhanden.
  • Die Kosten für Aus- und Fortbildung sind, einschließlich bei Erwerb von Literatur, vom Unternehmen zu tragen.
    Darüber hinaus gibt es ausgeprägten Kündigungsschutz beim internen Datenschutzbeauftragten mit einem Jahr Nachwirkung. Eine Abberufung ist nur langsam und unter großem Aufwand möglich.

EXTERNER DATENSCHUTZBEAUFTRAGTER

  • Der eDSB hat durch Unvoreingenommenheit und einen objektiven Blickwinkel kein Risiko der "Betriebsblindheit".
  • Erfahrung und erprobte Arbeitsmuster des externen DSB bringen eine hohe Effizienz. Dadurch kann ein schnelles Erreichen des erforderlichen Datenschutzniveaus vorgewiesen werden.
  • Der externe DSB haftet im Rahmen einer vereinbarten Summe für sein Handeln, wodurch die die Sicherheit im Unternehmen gesteigert wird.
  • eDSB: Umfangreiche Qualifikation und ausschließliche Befassung mit der Datenschutzthematik.
  • Der externe Datenschutzbeauftragte hat eine gesonderte Stellung bei den Mitarbeitern –  Antwortzeiten fallen oft kürzer aus und es besteht eine Vermittlungsfähigkeit zwischen dem Unternehmen und den Mitarbeitern.
  • Es bestehen keine weiteren Kosten für die Ausbildung des eDSB. Der externe Datenschutzbeauftragte trägt die Kosten für die Fortbildung selbst.
    Regulärer Kündigungsfristen über den Dienstvertrag können verhandelt werden.

Sie haben Fragen oder benötigen Unterstützung?

Dann sind Sie hier richtig!

Fazit:

Nehmen Sie die Bestellung eines Datenschutzbeauftragten nicht auf die leichte Schulter. Der Datenschutz in Ihrem Unternehmen sollte gewissenhaft behandelt werden. Denn spätestens bei einer Datenpanne oder einem Datenschutzverstoß ist das Geschrei groß: Handeln Sie nicht erst, wenn es zu spät ist!

Diese 10 Tipps sollen Ihnen dabei helfen, im Datenschutzbeauftragter-WirrWarr einen Überblick zu behalten und den für Sie passenden Anbieter zu finden.

Externer Datenschutzbeauftragter - Jörg Ter Beek

Rufen Sie uns gerne an!

Haben Sie Fragen zu den Tätigkeiten eines Datenschutzbeauftragten oder möchten Sie mehr über die Bestellung eines eDSB erfahren?

Rufen Sie uns gerne an!

+49 251 297 947 40

Jörg ter Beek; (TÜV) zertifizierter Datenschutzbeauftragter und ISMS-Auditor.

Cortina Consult durchsuchen

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Download

10 Fragen an Ihren zukünftigen Datenschutzbeauftragten - die Checkliste für das Zwiegespräch mit Ihrem DSB