Externen Datenschutzbeauftragten finden [inkl. kostenloser Checkliste]

In diesem Beitrag

• Warum brauchen Unternehmen einen Datenschutzbeauftragten? 
• Datenschutzbeauftragter: Ab wie vielen Mitarbeitern ist einer erforderlich?
• Welche Vorteile hat es, das Thema als Entscheider ernst zu nehmen?
• Interner vs. externer Datenschutzbeauftragter: Was ist sinnvoller?
• Externe Datenschutzbeauftragte – welche Arten von Anbietern gibt es?
• Wie finde ich einen externen Datenschutzbeauftragten?
• Fazit: Vergleichen lohnt sich.

Warum brauchen Unternehmen einen Datenschutzbeauftragten? 

Unternehmen sind gemäß DSGVO dazu verpflichtet, den Datenschutz im Umgang mit personenbezogenen Daten zu gewährleisten und deren Verarbeitung zu dokumentieren. Ein Datenschutzbeauftragter (DSB) überwacht die Einhaltung dieser Vorschriften. Unternehmen können entweder einen internen Mitarbeiter oder einen externen Dienstleister mit dieser Aufgabe betrauen.

Datenschutzbeauftragter: Ab wie vielen Mitarbeitern ist einer erforderlich?

Die Bestellung eines Datenschutzbeauftragten ist Pflicht für alle Unternehmen mit mindestens 20 Mitarbeitern, die im Tagesgeschäft mit der Verarbeitung personenbezogener Daten betraut sind. In manchen Fällen trifft das auch auf kleinere Unternehmen zu, die kommerziell mit Gesundheitsdaten arbeiten (z. B. Gesundheits-Startups) oder für die die häufige Herstellung von Personenprofilen (z.B. Kreditrisiko) zum Kerngeschäft gehört.

Welche Vorteile hat es, Datenschutz als Entscheider ernst zu nehmen? 

Einen kompetenten Datenschutzbeauftragten zu bestellen, ist nicht nur laut DSGVO Pflicht, sondern birgt für den Entscheider auch wesentliche Vorteile:

1. Sicherheit: Das Unternehmen hat einen Kümmerer, der die Datenschutz-Konformität in allen Bereichen aufbaut. Dieser vermeidet Verstöße, die nicht nur empfindliche Geldbußen nach sich ziehen, sondern auch für das Image eines Unternehmens katastrophal sein könnten. Er ist Projektleiter und Terminjäger für die Umsetzung des Datenschutzes in der Organisation.
2. Transparenz: Der Datenschutzbeauftragte dokumentiert die Datenverarbeitung und die entsprechenden Schutzmaßnahmen im Unternehmen in einem Verarbeitungsverzeichnis. Auf diese Dokumentation hat auch der Verantwortliche stets Zugriff. So kann das Unternehmen schnell und einfach nachweisen, wie es mit personenbezogenen Daten umgeht.
3. Haftungsminderung: Geschäftsführer, die das Thema Datenschutz ernst nehmen und sich von einem erfahrenen Datenschutzbeauftragten beraten lassen, minimieren das Risiko von Bußgeldern.

Interner vs. externer Datenschutzbeauftragter: Was ist sinnvoller?

Unternehmen können auch einen internen Mitarbeiter zum Datenschutzbeauftragten ernennen. Viele erhoffen sich dadurch eine Kostenersparnis. Wirft man jedoch einen Blick auf den Aufwand und die damit verbundenen Kosten, wird schnell klar, dass ein externer Datenschutzbeauftragter die günstigere Variante ist.

1. Zeit und Kosten: Ernennt ein Geschäftsführer einen internen Mitarbeiter zum DSB, muss er in seine Aus- und Fortbildung investieren. Außerdem wird der Mitarbeiter seine bisherige Tätigkeit nicht im vollen Umfang ausüben können, denn die Aufgaben eines Datenschutzbeauftragten lassen sich nicht nebenbei erledigen. Hier ist mit mindestens zwei Tagen die Woche zu rechnen, je nach Komplexität auch mit mehr.
2. Qualifikationen und Kompetenzen: Die gesetzlich geforderten Aktivitäten muss der Datenschutzbeauftragte wie ein Projekt führen und planen. Dazu braucht er die Unterstützung der Rechts- und IT-Abteilung. Ohne die nötige Erfahrung und Glaubwürdigkeit stößt ein interner Mitarbeiter schnell an seine Grenzen.
3. Haftung: Bei Verstößen wird ein interner Datenschutzbeauftragter nur im Rahmen der allgemeinen Arbeitnehmerhaftung belangt, was praktisch nicht ins Gewicht fällt. Mit der Beauftragung eines externen Datenschutzpartners wird die Haftungsbasis verbreitert, denn der Externe muss für seine Arbeit einstehen. Ein interner Datenschutzbeauftragter haftet praktisch nicht.
4. Kontinuität und Verfügbarkeit: Unternehmen sollten sich auch überlegen, wer für den internen Datenschutzbeauftragten einspringt, wenn er mal krank wird oder im Urlaub ist. Oder was zu tun ist, wenn er das Unternehmen verlässt. Die Einarbeitung eines Nachfolgers kostet Zeit und Geld. Ein interner Datenschutzbeauftragter genießt einen vergleichbaren Kündigungsschutz wie ein Betriebsrat. Ein externer ist hingegen sofort einsetzbar und bei Bedarf auch leichter zu ersetzen.
5. Örtlichkeit: Einige Kunden haben gern alles vor Ort im Blick. Ein interner Mitarbeiter, der mit allen Prozessen vertraut ist, könnte da die Lösung sein. Was aber viele nicht wissen: Interne sowie externe Datenschutzbeauftragte dürfen nicht selbst Hand bei der Datenverarbeitung anlegen. Für die Umsetzung sind die Fachabteilungen und die Specials, die Rechts- und IT-Abteilung zuständig. DSBs sind objektive Prüfer: Örtliche Unabhängigkeit ist da eher ein Plus.

Externe Datenschutzbeauftragte – welche Arten von Anbietern gibt es?

Anbieter ist nicht gleich Anbieter: Zum einen wären da die Einzelkämpfer bzw. die kleineren Datenschutzfirmen, die ihre Beratung meist zum Stundensatz anbieten. Der Vorteil: Einzelne Leistungen fallen zum Teil sehr günstig aus. Der Nachteil: Für das nötige Schutzniveau kommen meistens weitere Kosten hinzu, die sich nur schwer im Voraus berechnen und einschätzen lassen. Der Kunde kann also schwer kalkulieren. Außerdem fehlt die notwendige Breite des Knowhows von juristischen Fragen bis zur IT.

Eine wesentlich transparentere Variante bieten größere Datenschutzfirmen, deren Gesamtpakete zu monatlichen Festpreisen ggf. auch zusätzliche Beratungsstunden für die relevanten Abteilungen des Unternehmens umfassen. Auch hier ist für den Kunden ein persönlicher Ansprechpartner gegeben – der aber eine ganz andere Unterstützung aus Experten aus Juristen und IT-Spezialisten im Rücken hat.

Sie haben weitere Fragen zum externen Datenschutzbeauftragten? Hier haben wir für Sie alles zusammengefasst, was es über einen externen Datenschutzbeauftragten zu erfahren gibt. 

Wie finde ich einen externen Datenschutzbeauftragten? 

Wer einen externen Datenschutzbeauftragten sucht, findet über Online-Suchmaschinen nach Eingabe des entsprechenden Suchbegriffs zahlreiche Angebote. Gelistet werden regelmäßig mehr als eine halbe Million Einträge. Entscheidender ist daher die Frage: „Wie finde ich den richtigen externen Datenschutzbeauftragten?“

Helfen können dabei die anerkannten Berufsverbände der Datenschützer in Deutschland. Diese nehmen in Ihre Mitgliederlisten nur externe Datenschützer auf, welche die nötige Fachkunde und Erfahrung nachweisen können. Die zwei wichtigsten Verbände sind der Bundesverband der Datenschutzbeauftragten Deutschlands e.V. (BvD) und die Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Der Haken: Viele führende Anbieter und externe Datenschutzbeauftragte sind in keinem der beiden Verbände aktiv und werden von diesen daher nicht gelistet.

Unternehmen auf der Suche nach einem externen Datenschutzbeauftragten sollten sich daher besser an fachlichen Kriterien orientieren. Die beiden wichtigsten Kriterien sind zum einen die Qualifikationen eines externen Datenschutzbeauftragten und zum anderen seine spezifische Branchenerfahrung. Zu den Qualifikationen: Eine Einzelperson kann das Spektrum an erforderlichen Qualifikationen kaum abbilden. Deshalb sind Datenschutzfirmen die bessere Wahl. Diese beschäftigen ganze Teams mit Experten für Datenschutzrecht, IT, die Umsetzung technischer Maßnahmen und Projektmanagement. 

Zum Thema Erfahrung: Die erforderlichen Datenschutzmaßnahmen hängen von der jeweiligen Organisation ab. Die Organisation eines Unternehmens kann branchenspezifisch sehr unterschiedlich sein. Deshalb ist die Branchenerfahrung eines externen Datenschutzbeauftragten ein zentrales Auswahlkriterium. Hinzu kommen weitere Kriterien wie die Erreichbar- und Verfügbarkeit eines externen Datenschutzbeauftragten, vorhandene Tools für den Datenschutz sowie die Kosten und Transparenz des jeweiligen Preismodells. 

Bei der Suche nach dem passenden Datenschutzbeauftragten für Ihr Unternehmen gibt es einige Dinge zu beachten. Überprüfen Sie daher, ob der jeweilige Anbieter folgende Kriterien erfüllt:

1. Qualifikationen: Ein DSGVO-konformes Projekt setzt vier Kompetenzen voraus: juristische Expertise, Datenschutzexpertise, technische Fachkenntnisse für die IT-Gestaltung sowie Erfahrung im Projektmanagement für die Umsetzung nach Zeitplan. Eine Datenschutzfirma mit Experten in all diesen Bereichen ist daher die beste Wahl.
2. Branchenerfahrung: Die notwendigen Datenschutzmaßnahmen hängen von der jeweiligen Organisation ab. Eine Softwarefirma hat etwa andere Vorgaben als ein Fertigungsunternehmen oder eine Klinik. Daher ist es sinnvoll, einen erfahrenen Anbieter zu beauftragen, der Sie zu den passenden Maßnahmen für Ihre Branche beraten kann.
3. Kalkulierbare Preise: Lassen Sie sich von vermeintlichen Schnäppchen nicht täuschen. Prüfen Sie unbedingt beim jeweiligen Angebot, was darin enthalten ist. Besonders zu empfehlen sind monatliche Festpreise, die alle Grundleistungen abdecken und daher leicht budgetierbar sind.
4. Auskunftsfähigkeit: Neben der Pflege des Verarbeitungsverzeichnisses hält der DSB alle technischen und organisatorischen Maßnahmen (Stand der IT) im Hinblick auf den Datenschutz fest, ebenso wie den Stand der gesetzlich geforderten Schulungen, der Datenschutzerklärungen und der Auftragsverarbeitungsverträge. So kennt der Verantwortliche den Stand und die Schritte bis alles safe ist.
5. Tools zur Übersicht: Der Datenschutzbeauftragte muss der Geschäftsführung jederzeit einen Überblick verschaffen können, wo das Unternehmen in puncto DSGVO-Konformität steht. Dazu muss er die Werkzeuge bereitstellen, die automatisch über die Fortschritte in den Datenschutz-Aktivitäten informieren.
6. Sensibilisierung: Der Datenschutzbeauftragte muss die Mitarbeiter, die mit der Verarbeitung von Daten zu tun haben, in puncto Datenschutz sensibilisieren. Eine kompakte Onlineschulung mit Erfolgsnachweis hält den Aufwand niedrig und erfüllt die gesetzlichen Anforderungen.
7. Verfügbarkeit: Wie schon oben gesehen, ist der Einsatz eines Datenschutzbeauftragten vor Ort nicht notwendig. Vor allem in diesen Zeiten hebt sich hervor, wer dank Digitalisierung seinen Service im vollen Umfang anbieten kann. Für die persönliche Kontaktpflege kann dann gelegentlich das persönliche Gespräch gesucht werden – Videokonferenzen werden immer beliebter.
8. Gute Bewertungen: Was gut ist, spricht sich herum. Eine Möglichkeit ist, nach externen Datenschutzbeauftragten online zu suchen. Dort finden Sie ausführliche Rezensionen. Nützlich ist auch das persönliche Gespräch mit Kunden des Anbieters. Gute Anbieter werden Ihnen auf Anfrage Referenzen nennen können.

Tipp: DataGuard bietet Ihnen eine Checkliste mit wertvollen Hinweisen zum Finden des passenden externen Datenschutzbeauftragten an. Checkliste kostenlos downloaden

Fazit: Vergleichen lohnt sich

Überlassen Sie die Auswahl Ihres Datenschutzbeauftragten nicht dem Zufall – dafür ist die Funktion zu wichtig. Glücklicherweise gibt es handfeste Kriterien, die Ihnen bei der Entscheidung helfen: Erfahrung, Kompetenzen und das Preis-Leistungs-Verhältnis. Nicht zuletzt aber muss sich ein guter Anbieter an zufriedenen Kunden messen lassen.

Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Zurück zum Seitenanfang