BLOG
Checkliste DSB
15. September 2021
10 Fragen an Ihren zukünftigen Datenschutzbeauftragten - Die Checkliste für das Zwiegespräch mit Ihrem DSB
Externer-Datenschutzbeauftragter-wünsch-dir-was
Mit der Anwendbarkeit der europäischen Datenschutz-Grundverordnung (EU-DSGVO; 25. Mai 2018) hat sich die Akzeptanz des betrieblichen Datenschutzbeauftragten grundlegend geändert – ein Nischen-Thema war plötzlich Mainstream.
Die damit verbundene Nachfrage nach qualifizierten Experten hat den Markt der Datenschutzdienstleister auf den Kopf gestellt; unzählige Angebote für die Übernahme der Position des externen Datenschutzbeauftragten haben den Markt geflutet.
Vielfach wurden Rechtsanwälte mit der Umsetzung beauftragt; andere Unternehmen haben Ihren IT-Dienstleister die Aufgabe anvertraut. Von individueller Beratung bis do it yourself-Vorlagenpakete – inhaltlich, methodisch (und auch preislich) bietet der Markt derzeit alles.
Aber auf welche Punkte sollten Sie achten, wenn Sie Angebote vergleichen, um den für Ihr Unternehmen passenden Datenschutzbeauftragten zu finden?
Die Checkliste als Download
Laden Sie hier die 10 Fragen an Ihren Datenschutzbeauftragten als PDF-Dokument herunter.
1. Qualifikation, Kompetenz und praktische Erfahrungen des DSB
Datenschutzrechtliche Qualifikation: Klingt logisch, wird jedoch oft vernachlässigt. Dies sollte jedoch nicht so sein. Denn die Rechtmäßigkeit von Datenerhebung, Verarbeitung und Speicherung legt den Grundstein für die DSGVO-konforme Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 a) DSGVO).
Um dies in vollem Umfang zu gewährleisten, darf der Datenschutzbeauftragte nicht nur einen Flickenteppich an juristischem Know-How vorweisen. Er muss die Rechtsordnung wie seine Westentasche kennen: Denn dies ist eine Grundvoraussetzung für einen professionellen Datenschutzbeauftragten.
Der Grund: Unterschiedliche Unternehmensmodelle und -strukturen führen zu unterschiedlichen rechtlichen Anforderungen. So ist Marketing nicht von Wettbewerbsrecht und der Abschluss von Datenschutzverträgen nicht von zivilrechtlichen Fragen wie der Kündigung eines Vertrages zu trennen.
Welche Qualifikationen haben Sie und wie erfahren sind Sie in der praktischen Anwendung und Auslegung der DSGVO?
2. Informationssicherheit und IT-Sicherheit (ISMS) = Technisch Organisatorische Maßnahmen (TOM)
Personenbezogene Daten werden zunehmend digital verarbeitet. Um Datenschutz gewährleisten zu können, muss der DSB also über den juristischen Tellerrand hinausschauen können: Technik und IT-Security dürfen in Ihrem Datenschutzkonzept (DSMS) nicht fehlen; Vorgaben der DSGVO ist es, technische und organisatorische Maßnahmen zum Schutz der Persönlichkeitsrechte des Einzelnen im Unternehmen zu gewährleisten.
Wie gut sind Ihre IT-Kenntnisse in Bezug auf Datenschutz und Datensicherheit?
3. DSGVO oder GDPR?
Datenschutz goes international: durch die fortschreitende Digitalisierung scheinen Entfernungen kürzer - Viele Unternehmen sind nun länderübergreifend tätig und wollen die Datenschutzkonformität in jedem Land gewährleisten.
Ihr Datenschutzbeauftragter sollte in der Lage sein, die Datenschutzerklärung oder auch den Auftragsverarbeitungsvertrag Ihrer Webseite an die Sprache Ihrer Unternehmensstandorte anzupassen: ob deutsch, englisch, dänisch oder russisch.
Kann der Datenschutzbeauftragte Datenschutzdokumente mehrsprachig erstellen?
4. Datenschutz und angrenzende Rechtsgebiete
Wie der Name schon sagt: der Datenschutzbeauftragte ist für den Datenschutz und das zugehörige Datenschutzrecht zuständig. Dabei ist der Datenschutz jedoch nur eines von vielen rechtlichen Themengebieten, die in einem Unternehmen abgedeckt werden müssen.
Das Problem: der Datenschutzbeauftragte muss sich innerhalb der Grenzen des Datenschutzrechts bewegen und darf keine Beratung in anderen Gebieten geben.
Sollten Sie also neben der Datenschutzberatung auch eine gewerbliche rechtliche Beratung benötigen, müssen Sie einen gesetzlichen Rechtsanwalt bestellen.
Wie finde ich heraus, ob die benötigte Beratung über das Rechtsgebiet des Datenschutzbeauftragten hinausgeht?
Dazu sollte geklärt werden, welche Gebiete der Datenschutzbeauftragte abdeckt:
Regelungen um die Ziele des Datenschutzes zu erfüllen sind festzulegen. Etwa Datenschutzleitlinie, Datenschutzhandbuch, Richtlinie zur IT-Nutzung.
Nach dem zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG) besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten erst, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden.
Früher lag dieser Wert bei 9 bis 10 Beschäftigten.
Bei kleineren Unternehmen mit weniger als 20 Beschäftigten gibt es Abweichungen: Denn wenn die Tätigkeit des Unternehmens einer der Kategorien des § 38 Abs. 1 S. 2 BDSG oder des Art. 37 Abs. 1 DSGVO zugeordnet werden kann, wird ebenfalls ein Datenschutzbeauftragter benötigt.
Datenschutzverletzungen gem. Art. 33 und 34 DSGVO sind nach max. 72 Stunden der Behörde zu melden. Ohne standardisierten Prozess bzw. eine Richtlinie für Datenschutznotfälle ist diese Frist kaum einzuhalten.
Die DSGVO verlangt bei der Datenverarbeitung geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO).
Der Umgang mit Anträgen betroffener Personen nach Art. 15 bis 21 DSGVO ist festzulegen.
Die Informationspflichten der Art. 13 und 14 DSGVO sind von jeder verantwortlichen Stelle zu erfüllen.
Es genügt eine Tabelle in der aufgelistet ist, welche Daten wann, wie und zu welchem Zweck erhoben und verarbeitet werden.
Sofern die Dienstleister eines Unternehmens im Auftrag und auf Weisung Daten verarbeiten, ist ein Auftragsverarbeitungsvertrag Art. 28 DSGVO zu schließen. Das Gleiche gilt, wenn Sie selbst Daten für ein anderes Unternehmen verarbeiten.
Mitarbeiter sind regelmäßig hinsichtlich des Datenschutzes zu schulen.
Beim Umgang mit besonders sensiblen Daten kann die Notwendigkeit bestehen, eine sog. Datenschutzfolgenabschätzung gem. Art. 35 DSGVO durchzuführen.
Benötigt mein Unternehmen neben einem Datenschutzbeauftragten weitere rechtliche Betreuung?
5. Persönliche Betreuung: Datenschutzberatung und Datenschutzkonzept
Beim Thema Datenschutz gibt es kein einheitliches Muster. Denn unterschiedliche Unternehmensstrukturen erfordern unterschiedliche Herangehensweisen: Ihr Datenschutzbeauftragter sollte sich also differenziert mit Ihrem konkreten Anliegen befassen und eine individuelle Lösung erarbeiten.
Denn mit generalisierten und vorformulierten Antworten schaden Sie sich eher, als dass es Sie voranbringt.
Dabei sollten Sie darauf achten, dass Sie einen Ansprechpartner haben, der Sie durch den Prozess begleitet. Auch wenn dieser einmal anderweitig beschäftigt ist oder krankheitsbedingt ausfällt, sollte Ihnen direkt eine Vertretung bereitgestellt werden. Denn nur so kann Ihr Datenschutzkonzept kontinuierlich ausgearbeitet werden.
Wann können wir telefonieren, um mein Anliegen zu besprechen?
6. Erfahrung und Bandbreite: Was muss ein DSB können?
Nach der Einführung der Datenschutz-Grundverordnung hat sich ein Meer an Datenschutzbeauftragten aufgetan: dort noch einen Überblick zu bewahren und nicht zwischen Angeboten zu ertrinken, fällt nicht leicht.
Auf welche Aspekte sollte geachtet werden, um eine Aussage über die Erfahrung und Qualifikation eines Datenschutzbeauftragten zu treffen?
Die vielleicht wichtigste Frage lautet jedoch:
Welche Aufgaben hat der Datenschutzbeauftragte genau?
Und wie kann er meinem Unternehmen unter die Arme greifen?
Das Ziel der Arbeit eines Datenschutzbeauftragten lautet: die Einhaltung der Datenschutzgesetze.
Dabei werden dem Datenschutzbeauftragten per Gesetz (Art. 39 Abs. 1 DSGVO) bestimmte Aufgaben zugewiesen:
- Der DSB hat die Aufgabe Verantwortliche, Auftragsverarbeiter oder solche Mitarbeiter, die mit der Datenverarbeitung betraut sind, über ihre Pflichten nach der DSGVO sowie sonstigen rechtlichen Vorschriften (der EU/ der Mitgliedsstaaten) zu unterrichten und zu beraten
- Darüber hinaus überwacht er die Einhaltung der rechtlichen Vorgaben von DSGVO, anderer unionsrechtlicher Datenschutzrichtlinien bzw. Richtlinien der Mitgliedsstaaten und überprüft die Strategien des Verantwortlichen oder des Auftragsverarbeiters bezüglich des Schutzes personenbezogener Daten. Dies schließt die Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung der Mitarbeiter mit ein.
- Auf Anfrage berät er im bezug auf die Datenschutz-Folgenabschätzung und überwacht dessen Durchführung
- Zusammenarbeit mit der Aufsichtsbehörde; der DSB dient als Anlaufstelle für Aufsichtsbehörden, falls Fragen bezüglich der Verarbeitung von Daten aufkommen. Dies schließt die vorherige Konsultation gem. Art. 36 DSGVO und Beratung zu sonstigen Fragen mit ein.
Die per Gesetz definierten Aufgaben sind jedoch nicht abschließend. Denn der Datenschutzbeauftragte übernimmt weitere Positionen, die über die gesetzlich normierten Aufgaben hinausgehen:
Beginnt die Berufserfahrung des Datenschutzbeauftragten "pünktlich" zur DSGVO?
Übersicht unserer Einzelleistungen
Wir haben die passende Lösung für Ihr Anliegen.
7. Budgetplanung: Was kostet ein Datenschutzbeauftragter
Der Ansatz: „Lassen Sie uns mal machen - wir schicken Ihnen am Ende eine Rechnung“ ist bei weitem nicht der beste Weg.
Achten Sie darauf, dass keine unspezifischen Versprechungen mit schwammigen Produktbezeichnungen gemacht werden. Auch sollten Sie hellhörig werden, wenn von einer einfachen „Erledigung des Datenschutzes“ geredet wird. Denn die Umsetzung eines rechtkonformen Datenschutzkonzepts ist facettenreich und kann nicht so leicht zusammengefasst werden. Plus: die letztendlichen Kosten sind unberechenbar.
Wenden Sie sich also besser an einen Anbieter, der Schritt für Schritt benennt, welche Aspekte Ihnen noch zum rechtskonformen Datenschutz fehlen und welche Leistungen erbracht werden müssen, um diesen zu erreichen. Denn nur so können die Kosten übersichtlich und kalkulierbar berechnet werden.
Manche Datenschutzbeauftragten bieten neben Einzelleistungen auch Pauschalen an, mit denen Sie mehrere Leistungen zu einem Festpreis abdecken können.
Zum Vergleich: die Kosten für einen internen Datenschutzbeauftragten in Vollzeitbeschäftigung belaufen sich round about auf:
- Jahreskosten (im ersten Jahr): 39.500 EUR
- Jahreskosten (in den Folgejahren): 38.000 EUR
- Monatskosten (im ersten Jahr): 3.291,67 EUR
- Monatskosten (in den Folgejahren:) 3.166,67 EUR
Was kostet es mein Unternehmen, DSGVO-konform zu werden?
DSB SMALL
175€ /Monat
Das Einsteiger-Paket für kleine & mittlere Unternehmen, B2B
DSB MEDIUM
275€ /Monat
Perfekt für E-Commerce, Logistik, IT & B2C Unternehmen
DSB ON DEMAND
auf Anfrage
Perfekt für Unternehmen mit komplexen Anforderungen & B2C
| Feature | DSB SMALL | DSB MEDIUM | DSB ON DEMAND |
|---|---|---|---|
| Persönlicher Datenschutzbeauftragter DSB | |||
| Bereitstellung eines externen DSB | |||
| Nennung des DSB auf Website | |||
| Anmeldung des DSB bei Aufsichtsbehörde | |||
| Vorstellung des DSB in der Firma / Organisation | |||
| Ansprechpartner für Behörde, Kunden, Mitarbeiter | |||
| Kurzkommunikation bei akuten Fragen | 2x Monat | 4x Monat | All-in |
| Bestandsaufnahme / Audit | |||
| Bestandsaufnahme zum Status des Datenschutzes | via Fragebogen | via Interview (remote) | remote und/oder vor Ort |
| Statusbericht und Handlungsempfehlung | |||
| Ergebnisbesprechung des Statusberichts | |||
| Erstellung eines Umsetzungsplans / Roadmap | |||
| Datenschutzmanagementsystem (DSMS) | |||
| Hosting und Updates des Datenschutzhandbuches | |||
| Einführung in das DSMS | Remote Meeting | Remote Meeting | Webkonferenz mit DS-Team remote / vor Ort |
| Aktualisierung der Vorlagen, Checklisten etc. | |||
| Pflege des Datenschutzhandbuches | |||
| Aktive Weiterentwicklung (PDCA Zyklus) | |||
| Privacy Hub: Website / Onlinepräsenz | |||
| Privacy Hub Paket | |||
| DSGVO Website Check | |||
| Erstellung Datenschutzerklärung (DSE) | |||
| Erstellung Social Media DSE | |||
| Erstellung DSE für Apps | |||
| Hosting & Update-Service für DSE, inkl. Abmahnschutz | |||
| Consent-Management-Platform / CMP (Überprüfung & Report) | |||
| CMP Check Ergebnisbesprechung | |||
| CMP Tool Lizenz | |||
| DSGVO-Compliance Monitoring ges. Onlinepräsenz | |||
| Informationspflichten Artikel 13/14 | |||
| Remote-Meeting zur Einführung in die Aufnahme aller relevanten Verfahren im Unternehmen | |||
| Auflistung und Dokumentation aller relevanten Verfahren | |||
| Bereitstellen einer HTML- und Word-Vorlage | |||
| Hosting der Datenschutzinformationen & Bereitstellung eines Links zur Einbindung | |||
| Monitoring & Aktualität gemäß DSGVO, BDSG-neu | |||
| Aktive Weiterentwicklung (PDCA Zyklus) | |||
| Mitarbeiterschulung | |||
| Allgemeine Einführung zur DSGVO (E-Learning) | max. 25 Personen | max. 75 Personen | All-in |
| Firmenspezifische Einführung zur DSGVO mit individueller Terminwahl (E-Learning) | auf Anfrage | auf Anfrage | All-in |
| Dokumentation und Nachweis erfolgter Schulungsteilnahme | |||
| IT-Sicherheit (Awareness) Schulung | |||
| Beschäftigtendatenschutz | |||
| Vorlage zum Onboarding neuer Mitarbeiter | |||
| Verzeichnis Verarbeitungstätigkeiten (VVT) | |||
| Bereitstellen einer Prozessliste, inkl. Aktualisierung | |||
| Bereitstellen einer VVT-Vorlage mit Musterblatt | |||
| Anleitung zur Erstellung und Pflege der Prozessliste | Remote Meeting mit DSK | Remote Meeting mit DSK | Webkonferenz mit DS-Team remote / vor Ort |
| Erstellen von VVT gemäß Prozessliste | Remote Meeting mit DSK | Alle initial; fortlaufend 10 VVT / Jahr | nach Bedarf |
| Auftragsverarbeitungsvertrag | |||
| Bereitstellen einer zwecks Identifikation aller Dienstleister (inkl. Aktualisierung) | |||
| Anleitung zur Einführung, Erstellung und Pflege von AVV | Remote Meeting mit DSK | Remote Meeting mit DSK | Webkonferenz mit DS-Team remote / vor Ort |
| Bereitstellen einer AVV-Dokumentations-Vorlage mit Musterblatt | |||
| Pflege der AVV- und Dienstleister-Liste | |||
| Prüfen von übermittelten AVV | 5 AVV / Jahr | 10 AVV / Jahr | nach Bedarf |
| Erstellen von AVV | |||
| Technisch-organisatorische Maßnahmen (TOM) | |||
| Bereitstellung von Vorlagen für Konzepte, Dokumentation, Richtlinen | |||
| Allgemeine Einführung in die Pflege und Individualisierung der Inhalte | Remote Meeting mit DSK | Remote Meeting mit DSK | |
| Firmenspezifische Einführung in die Individualisierung und Pflege der Inhalte | |||
| Vorlage für verschiedene Mitarbeiterrichtlinien und IT-Konzepten | |||
| Erstellen und Anpassen von firmenspezifischen Mitarbeiter-Richtlinien und IT-Konzepten | |||
| Löschkonzept | |||
| Bereitstellung einer Vorlage zur Erstellung eines Löschkonzepts | |||
| Einführung zur Individualisierung und Pflege der Inhalte | Remote Meeting mit DSK | Remote Meeting mit DSK | Webkonferenz mit DS-Team remote / vor Ort |
| Erstellung eines firmenspezifischen Löschkonzepts | |||
| Betroffenenrechte | |||
| Bereitstellung eines Leitfadens | |||
| Ext. DSB ist Empfänger der Anfragen von internen und externen Betroffenen | |||
| Kommunikation & Korrespondenz mit Betroffenen und Aufsichtsbehörde | |||
| Datenschutzvorfall | |||
| Bereitstellung eines Leitfadens | |||
| Ext. DSB ist Empfänger der Anfragen von internen und externen Betroffenen | |||
| Kommunikation & Korrespondenz mit Betroffenen und Aufsichtsbehörde | |||
| Datenschutzfolgeabschätzung | |||
| Durchführung DSFA | auf Anfrage buchbar | 1 pro Jahr | nach Bedarf |
| Projektmanagement | |||
| Controlling | |||
| Statusgespräche / Calls | auf Anfrage | ||
| Regelmäßige Überprüfung / Validierung der getroffenen Maßnahmen | |||
| Persönlicher Ansprechpartner für Rückfragen | |||
| DSGVO News | |||
| Newsletter zu relevanten Datenschutzthemen | |||
| Vertragslaufzeit | |||
| Monate | 24 | 24 | 24 |
| Kosten | |||
| einmalige Setup-Kosten zu Beginn | 1375€ | 2750€ | nach Aufwand |
| pro Monat | 175€ | 275€ | nach Absprache |
8. Individuelle Lösung: Datenschutzaudit und Datenschutzfolgeabschätzung
Generalisierte Lösungen und standardisierte Fragebögen – schlecht!
Individuelle Prüfung und vollständige Analysen und Bewertungen – toll!
Mehr muss eigentlich nicht gesagt werden: denn standardisierte Fragebögen helfen nicht, das Datenschutzlevel in Ihrem Unternehmen z.B. in einem Datenschutzaudit oder einer Datenschutz-Folgenabschätzung zu analysieren.
Individuelle Lösungen oder Besonderheiten können nicht einbezogen werden; so ist der Grundstein Ihres Datenschutzkonzeptes lückenhaft. Das Ergebnis: ein unvollständiges Konzept, in dem ggf. wichtige Aspekte übersehen wurden.
Ein Datenschutzbeauftragter sollte stattdessen in der Lage sein, individuelle Prüfungen durchzuführen und die Rechtslage sowie die technische Ausstattung zu analysieren und zu bewerten. Dies beinhaltet unter anderem: differenzierte und situationsabhängige Fragestellungen und die Einbeziehung bereits vorhandener Dokumente. Das Resultat: ein auf Ihr Unternehmen abgestimmter und individueller Bericht.
Gehen Sie auf die individuellen Anforderungen und Voraussetzungen meines Unternehmens ein?
9. Vertraulichkeit: Datensicherheit
Der ärztlichen Schweigepflicht ähnlich: der Datenschutzbeauftragte muss die gesetzliche Verschwiegenheit wahren. Von der ersten Kontaktaufnahme an müssen alle Informationen vertraulich behandelt werden.
So sollten ausschließlich der Datenschutzbeauftragte und dessen Vertreter mit Informationen betraut sein. Die Daten müssen also vertraulich behandelt werden und nicht an Dritte weitergegeben werden.
Werden meine Daten vertraulich behandelt?
10. Haftung bei Datenschutzverstößen
Die Wahl eines Datenschutzbeauftragten sollte mit Vorsicht erfolgen: denn falsche Beratung kann böse enden.
Denn Unternehmen haften selbst für Datenpannen und Datenschutzverstöße. Ein Rückgriff auf den Datenschutzbeauftragten ist nur unter speziellen Voraussetzungen möglich.
Bleibt es jedoch am Unternehmen hängen, kann dies ganz schön ins Geld gehen.
-
Wie können wir Ihnen helfen?
Wir helfen Ihnen bei Fragen zu unseren Produkten oder zum Thema Datenschutz gerne weiter:
Fazit
Nehmen Sie die Bestellung eines Datenschutzbeauftragten nicht auf die leichte Schulter
Der Datenschutz in Ihrem Unternehmen sollte gewissenhaft behandelt werden. Denn spätestens bei einer Datenpanne oder einem Datenschutzverstoß ist das Geschrei groß: Handeln Sie nicht erst, wenn es zu spät ist!
Diese 10 Tipps sollen Ihnen dabei helfen, im Datenschutzbeauftragter-WirrWarr einen Überblick zu behalten und den für Sie passenden Anbieter zu finden.