Durch die Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 umgesetzt werden muss, ist Datenschutz ein ganzes Stück bedeutsamer geworden. Für Unternehmen, die bestimmte Kriterien erfüllen, gehört dazu auch die Benennung eines externen Datenschutzbeauftragten (DSB).
Dieser bringt Ihnen in der Regel auch dann Vorteile, wenn Sie gesetzlich nicht zur Benennung verpflichtet sind.
Doch wie finden Sie überhaupt den passenden Datenschutzbeauftragten? Welche Kriterien weisen auf die nötige Kompetenz hin? Dies und mehr klären wir im Folgenden.
Das Wichtigste in Kürze
- Erfüllen Sie eines von drei Kriterien, sind Sie zur Benennung eines Datenschutzbeauftragten verpflichtet. Auch, wenn das nicht auf Sie zutrifft, verschafft Ihnen die Gewährleistung eines lückenlosen Datenschutzes Wettbewerbsvorteile.
- Für die meisten Unternehmen lohnt es sich, einen externen Datenschutzbeauftragten zu benennen. Denn in der Regel ist dieser nicht nur günstiger, sondern auch besser qualifiziert als ein intern ausgebildeter Mitarbeiter.
- Bei der Wahl des richtigen Partners sollten Sie vor allem auf Kriterien achten, die Kompetenz signalisieren. Dazu gehören die passende Ausbildung, Erfahrung, Referenzen und die Mitgliedschaft in Datenschutzverbänden. Auch interdisziplinäre Teams, ständige Ansprechbarkeit und solide Kommunikationsfähigkeiten zeichnen den optimalen Partner in Datenschutzangelegenheiten aus.
- Häufig übersehen, aber essenziell für die effiziente Arbeit und ununterbrochenen Überblick sind automatisierte Tools, die den Datenschutzbeauftragten unterstützen. Ein wirklich guter DSB bringt diese mit und passt sie an die Kundenanforderungen an. Auf diese Weise lassen sich Prozesse deutlich vereinfachen und korrekt formatierte Dokumentationen in einem Bruchteil der Zeit erstellen.
In diesem Beitrag
- Wann müssen Sie einen Datenschutzbeauftragten benennen?
- Nicht nur lästige Pflicht: Welche Vorteile bietet Ihnen ein Datenschutzbeauftragter?
- Einen externen Datenschutzbeauftragten finden: Wie erkennen Sie kompetente Dienstleister?
- Wer kann externer Datenschutzbeauftragter werden?
- Externer Datenschutzbeauftragter und IT-Dienstleister in einem: Wieso sollte der DSB ein eigenes Software-Tool mitbringen?
- Fazit
Wann müssen Sie einen Datenschutzbeauftragten benennen?
Artikel 37 der Datenschutz-Grundverordnung (DSGVO) sowie Paragraph 38 des Bundesdatenschutzgesetztes legen fest, unter welchen Umständen Sie zwingend einen Datenschutzbeauftragten benennen müssen. Grob zusammengefasst ist das ist der Fall, wenn Ihr Unternehmen mindestens 20 Personen beschäftigt, die sich mit der automatisierten Verarbeitung personenbezogener Daten befassen, das Unternehmen als Kerntätigkeit mit personenbezogenen Daten arbeitet oder besonders sensible personenbezogene Daten verarbeitet.
Detaillierte Informationen hierzu finden Sie in unserem Beitrag zur Benennung eines Datenschutzbeauftragten.
Bußgelder Wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind, kann das teure Konsequenzen haben: Hier drohen Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Aber auch wenn Sie nicht zur Benennung verpflichtet sind, schützt Sie das nicht vor Bußgeldern – ganz im Gegenteil. Denn leisten Sie sich mangels fachkundiger Beratung einen gravierenden Datenschutzverstoß, werden Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes fällig. |
Nicht nur lästige Pflicht: Welche Vorteile bietet Ihnen ein Datenschutzbeauftragter?
Nicht nur bei Datenpannen zahlt sich ein Datenschutzbeauftragter aus – er verschafft Ihnen auch Vorteile, bevor der Ernstfall eingetreten ist:
- Die Allgemeinheit wird in Bezug auf Datenschutz immer sensibler. Unternehmen, die verantwortungsvoll und rechtssicher mit den Daten Ihrer Kunden umgehen, setzen sich daher positiv von Wettbewerbern ab.
- Nicht nur bei der Kundengewinnung, sondern auch im Recruiting kann der Fokus auf Datenschutz das entscheidende Alleinstellungsmerkmal sein, das zukünftige Mitarbeiter von Ihnen als Arbeitgeber überzeugt.
- Bei öffentlichen Ausschreibungen von Aufträgen ist Datenschutz häufig explizit ein Auswahlkriterium. Zusätzlich werden Ihnen hier für besonders guten Datenschutz teils sogar Extrapunkte angerechnet.
Einen externen Datenschutzbeauftragten finden: Wie erkennen Sie kompetente Dienstleister?
Für die meisten Unternehmen lohnt es sich finanziell, einen externen Partner als Datenschutzbeauftragten zu benennen, statt intern einen Mitarbeiter gezielt auszubilden. Machen Sie sich nun online auf die Suche nach einem externen Datenschutzbeauftragten, werden Sie auf eine Vielzahl der unterschiedlichsten Angebote stoßen. Die folgenden Kriterien helfen Ihnen, aus allen Wettbewerbern auf dem Markt den kompetentesten auszuwählen:
Was zeichnet einen guten Datenschutzbeauftragten aus?
|
- Ausbildung: Um die nötige Expertise und Beratungsqualität zu gewährleisten, sollten externe Datenschutzberater entsprechend qualifiziert sein. Das belegen beispielsweise Zertifikate des TÜV, der DEKRA oder der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD).
- Branchenerfahrung: Die notwendigen Datenschutzmaßnahmen hängen von der jeweiligen Organisation ab. Eine Softwarefirma hat etwa andere Vorgaben als ein Fertigungsunternehmen oder eine Klinik. Daher ist es sinnvoll, einen erfahrenen Anbieter zu beauftragen, der Sie zu den passenden Maßnahmen für Ihre Branche beraten kann.
- Transparente Preise: Lassen Sie sich von vermeintlichen Schnäppchen nicht täuschen. Prüfen Sie unbedingt beim jeweiligen Angebot, welche Leistung der Anbieter Ihnen dafür wirklich bieten kann – denn hier gibt es erhebliche Unterschiede. Besonders zu empfehlen sind Pakete mit monatlichen Fixpreisen, die sich in Preis und Leistung nach den individuellen Datenschutzanforderungen des Unternehmens richten und leicht budgetierbar sind.
- Verfügbarkeit: Der Einsatz eines Datenschutzbeauftragten vor Ort ist nicht zwingend notwendig. Vor allem in diesen Zeiten hebt sich hervor, wer dank Digitalisierung seinen Service im vollen Umfang auch online anbieten kann. Dennoch ist es unerlässlich, grundsätzlich einen persönlichen Ansprechpartner zu haben, an den Sie sich jederzeit wenden können – ob per Videokonferenz oder im persönlichen Gespräch.
- Team: Auf die Verfügbarkeit zahlt außerdem ein, dass sich nicht ein einzelner Berater, sondern ein ganzes Team um Ihre Datenschutzbelange kümmert. Schließlich ist jeder Datenschutzbeauftragte auch einmal krank oder im Urlaub. Stehen Ihnen allerdings mehrere Berater zur Verfügung, garantiert das eine lückenlose Betreuung.
- Interdisziplinarität: Ein datenschutzkonformes Projekt setzt vier Kompetenzen voraus: juristische Expertise, Datenschutzexpertise, technische Fachkenntnisse für die IT-Gestaltung sowie Erfahrung im Projektmanagement für die Umsetzung nach Zeitplan. Eine Datenschutzfirma mit Experten in all diesen Bereichen ist daher die beste Wahl.
„Wenn ein Datenschutzbeauftragter alles selbst weiß, die ganze Bandbreite zwischen Datenschutzverträgen mit dem Ausland und der Gestaltung eines Cookie-Banners bewerten kann, dann müsste er eigentlich Einstein sein – aber das sind wir alle nicht.“
- Referenzen: Was gut ist, spricht sich herum. Online finden Sie entsprechend häufig ausführliche Rezensionen zu den unterschiedlichen Anbietern. Nützlich ist auch das persönliche Gespräch mit Kunden. Seriöse Datenschutzbeauftragte werden Ihnen auf Anfrage Referenzen nennen können.
- Kommunikationsfähigkeit: Ein guter Datenschutzbeauftragter kann nicht nur mit Daten umgehen, sondern auch mit Menschen. Schließlich ist es seine originäre Aufgabe, alle Abteilungen in Sachen Datensicherheit zu beraten. Nur so haben die Verantwortlichen die Sicherheit, dass alle Abteilungen genau wissen, wie sie ihren Beitrag zum Datenschutz des Unternehmens leisten. Vor allem in kompakten Onlineschulungen kann das entsprechende Wissen verständlich und nachvollziehbar vermittelt werden.
- Partnerschaft mit Datenschutz-Verbänden: Ist ein externer Datenschutzbeauftragter Mitglied in einem der großen deutschen Datenschutzverbände (z. B. dem Berufsverband der Datenschutzbeauftragten Deutschlands e.V.), signalisiert das Seriosität, ernstzunehmendes Interesse am Thema und Engagement in der Branche.
Wer zum Thema, wie ein Datenschutzbeauftragter zum kompetenten Partner wird, finden Sie in diesem Artikel.
Wer kann externer Datenschutzbeauftragter werden?
Den Beruf des externen Datenschutzbeauftragten kann jeder erwachsene und geschäftsfähige Mensch ausüben, sofern er über die nötige Fachkunde und Erfahrung verfügt und dies nachweisen kann. Dennoch gibt es Einschränkungen. Die wichtigste ist ein möglicher Interessenkonflikt. Dabei unterschiedet der Gesetzgeber nicht nach internem oder externem Datenschutzbeauftragten.
Generell gilt: Wer die Interessen eines Unternehmens in verantwortlicher Position vertritt, kann in diesem Unternehmen nicht parallel auch für den Schutz der personenbezogenen Daten verantwortlich sein. Die Geschäftsführer, Inhaber, Personalleiter, Prokuristen und IT-Leiter eines Unternehmens kommen als Datenschutzbeauftragter für den eigenen Betrieb daher keinesfalls infrage. Gut zu wissen: Auch Anwälte und Kanzleien, die ein Unternehmen in Rechtsfragen beraten und vertreten, dürfen für dieses Unternehmen nicht zugleich als externe Datenschutzbeauftragte tätig werden.
Zugleich sind Anwälte und Kanzleien als Organe der Rechtspflege die einzigen, die ohne weiteren Fachkundenachweis die Rolle des externen Datenschutzbeauftragten ausfüllen dürfen. Nichtjuristen oder Juristen ohne zweites Staatsexamen müssen dagegen geeignete Nachweise über Ihre Fachkunde und ihre Erfahrung in der Datenschutzpraxis beibringen, wenn sie als externe Datenschutzbeauftragte für ein Unternehmen tätig werden möchten.
Externer Datenschutzbeauftragter und IT-Dienstleister in einem: Wieso sollte der DSB ein eigenes Software-Tool mitbringen?
Ein entscheidendes Qualitätskriterium wollen wir gesondert hervorheben, da es häufig außer Acht gelassen wird. Ein externer Datenschutzbeauftragter sollte grundsätzlich ein Tool mitbringen, das vorkonfigurierte Handlungsempfehlungen, Rückmeldungen und Dokumentation ermöglicht. Wichtig dabei: Dieses Tool sollte automatisiert Fortschritt, Wirkung und Kontrolle der Arbeit zum Datenschutz darstellen. Denn nur so kann zu jedem Zeitpunkt lückenlose Auskunftsfähigkeit gewährleistet werden.
„Neben der Pflege des Verarbeitungsverzeichnisses muss der DSB alle technischen und organisatorischen Maßnahmen (Stand der IT) im Hinblick auf den Datenschutz festhalten, ebenso wie den Stand der gesetzlich geforderten Schulungen, der Datenschutzerklärungen und der Auftragsverarbeitungsverträge. Kontrolle und Auskunftsfähigkeit über den Status quo sind daher das A und O und machen ca. 50 Prozent des Erfolgs eines externen DSB aus.“
Was das konkret bedeutet, verdeutlicht ein Beispiel:
Gehen wir von einer Holding und 19 Tochtergesellschaften (also insgesamt 20 Firmen) in verschiedenen Ländern aus. Dann haben wir mindestens 6 Prozesse, die für den Audit relevant sind – nämlich den Kernprozess und die Sekundärprozesse (Personal, Finanzen, Einkauf, IT, Vertrieb). Daraus ergeben sich 6 x 20 = 120 Prozesse weltweit in circa 4 Schritten. Also muss der Datenschutzbeauftragte, nur um den Audit richtig durchzuführen, fast 500 Prozessschritte aufrufen. Hier verliert ein einzelner DSB völlig die Übersicht. Mit einem automatisierten Tool dagegen kann jederzeit mit wenigen Klicks Auskunft gegeben werden, wie der Stand in welchem Prozess ist und welche Schritte bereits unternommen wurden.
„Wir haben Kunden mit 24 Tochtergesellschaften weltweit und können mithilfe von Tools jeden Tag zeigen, wo die einzelnen Firmen stehen. Wurde zum Beispiel in Mexiko der Audit abgeschlossen, erscheint bei uns im System automatisch und in Echtzeit eine entsprechende Rückmeldung.“
Ein weiterer Vorteil eines solchen Tools: Die Datenschutzdokumentation wird automatisch korrekt formatiert erstellt und muss in Folge nur noch angepasst werden. Das erspart Ihnen die händische Erstellung eines rund 200 Seiten langen Dokuments.
Fazit
Überlassen Sie die Auswahl Ihres Datenschutzbeauftragten nicht dem Zufall – dafür ist diese Position zu wichtig. Glücklicherweise gibt es handfeste Kriterien, die Ihnen bei der Entscheidung helfen: Erfahrung, Kompetenzen und das Preis-Leistungs-Verhältnis gehören genauso dazu wie die Unterstützung durch ein automatisiertes Software-Tool, das Qualität und Effizienz der Arbeit gewährleistet. Nicht zuletzt aber muss sich ein guter Anbieter an zufriedenen Kunden messen lassen – zögern Sie daher nicht, nach Referenzen zu fragen.
Sie haben Fragen zur Einhaltung der DSGVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:
Sie sind auf der Suche nach einem externen Datenschutzbeauftragten?
Geprüfter & zertifizierter DSGVO-Experte
Branchenspezifische Datenschutzexpertise
Persönliche und individuelle Beratung
Erfahren Sie mehr zu unserem Leistungsumfang und Kosten
Unverbindliches Beratungsgespräch buchen