Datenschutzbeauftragter gesucht?

Ihr externer Datenschutzbeauftragter für KMU in Berlin und Brandenburg

Ab wann wird ein Datenschutzbeauftragter gebraucht?

Braucht mein Unternehmen einen Datenschutzbeauftragten? 
Vorneweg möchte ich noch mit einem kleinen aber verbreitetem Missverständnis aufräumen. Egal ob mit oder ohne DSB, alle müssen sich an das Gesetz halten. Also die Aufgaben aus der DSGVO sind für alle einzuhalten. 

Für die Frage, ob ein Datenschutzbeauftragter benannt werden muss, sind im wesentlichem drei Fragen zu klären:
a) Wieviele Mitarbeiter gehen regelmäßig mit personenbezogenen Daten um?
b) Welche Arten von Daten werden verarbeitet?
c) Zu welchen Zweckle

Mehr als 19 Beschäftigte

Arbeiten regelmäßig mehr als 19 Beschäftigte mit personenbezogenen Daten? Wenn ja, nutzen die Beschäftigten dabei „automatisierte Systeme“?
(Also Computer?)

Dann ist nach § 38 BDSG die Pflicht zur Benennung gegeben.
Dabei sollte die Datenverarbeitung den Kern der Tätigkeit ausmachen.

Ein Handwerksbetrieb mit 4 Beschäftigten in der Verwaltung und 16 Handwerkern auf der Baustelle fällt also nicht darunter. Auch wenn die Handwerker evtl. jeden Tag eine Zettel mit dem Namen des Bauherren erhalten.

Systematische (Video) Überwachung

In der Pflicht, einen Datenschutzbeauftragten zu benennen steht auch, wer in seiner Kerntätigkeit die betroffene Personen oder öffentliche Räume überwacht.


Beispiele hierfür sind nicht nur Detekteien, oder Bewachungsunternehmen.

Auch bewachten Parkhäuser können dazu zählen. Oder personalisiertes Tracking zu Werbezwecken oder E-Mail-Marketing mit Tracking. können hierunter fallen.

Besondere Risiken 

Pflicht zur Datenschutzfolgenabschätzung

Wenn eine Verarbeitung  mit höheren Risiken für die betroffenen Person verbunde ist, muss eine Datenschutzfolgenabschätzung (DSFA) durchgeführt werden. 

Die Aufsichtsbehörden der Lönder haben hierzu mittlerweile Positiv- und Negativlisten herausgegeben. Darin kann einfach nachgeschlagen werden, ob die eigenen Verarbeitung eine DSFA erfordert. 

Wenn einer oder mehre der folgende Punkte gegeben sind, sollten Sie sich zumindest beraten lassen.

– Daten besonders schutzbedürftiger Personen (Kinder, Patienten, Pflegebedürftige)
– Systematische oder umfangreiche Überwachung
– Sensible, vertrauliche (sehr persönliche) Daten
– Datenverarbeitung in großem Umfang und/oder innovative
– Nutzung neuer technologischer oder organisatorischer Lösungen (Big Data)
– Bewertungen der Leistungsfähigkeit oder des Verhaltens und Abgleichen oder Zusammenführen von Datensätzen (Scoring/Profiling)
– Automatisierte Entscheidungsfindung mit Rechtswirkung bzw. anderen relevanten Folgen.

Regelmäßiger Umgang mit besonderen Daten

Verarbeiten Sie für sich selbst oder im Auftrag besonders sensible Daten? (Ethnische Herkunft, Gesundheit, politische oder religiöse Ansichten, sexuelle Orientierung, Straftaten bzw. strafrechtlich relevante Tatbestände).
Ein Teil dieser Daten (Gesundheit, Religion, Gewerkschaft) findet sich in jeder Personalverwaltung – dann wäre quasi jedes Unternehmen mit mehr als einem Mitarbeiter benennungspflichtig.
Es geht auch hier darum, ob diese Verarbeitung den Kern Ihrer Geschäftstätigkeit ausmacht. Aber auch ein IT-Dienstleister, der z.B. für eine paar Arztpraxen, Pflegedienste etc. tätig wird, sollte einen Datenschützer benennen.

Markt- und Meinungsforschung

Verarbeiten Sie geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung, oder zum Zweck der Markt- oder Meinungsforschung personenbezogene Daten?

Profiling

Führen Sie eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen durch, die sich auf automatisierte Verarbeitung (einschließlich Profiling) gründet und die ihrerseits als Grundlage für Entscheidungen dient, die natürliche Personen in erheblicher (rechtswirksamer) Weise berühren?

Aufgaben des Datenschutzbeauftragten

Die gesetzliche geforderten Aufgaben des Datenschutzbeauftragten wie unten zu sehen ist recht überschaubar. Unter den Kollgen gibt es einige, die sich darauf zurück ziehen und aus meiner Sicht Ihre Mandanten mit der eigentlichen Arbeit, die DSGVO umzusetzen, ganz schön alleine lassen. Es lohnt sich daher nicht nur auf den Preis zu schauen, sondern eben auch eine Blick darauf zu werfen, was man für sein Geld bekommt. Wie immer im Leben – eben.

Überwachung und Kontrolle

Zu überwachen, ob die DSGVO und Datenschutzgesetze der  Mitgliedstaaten eingehalten werden ist die wesentliche Aufgabe. Die Datenschutzkonformität wird in der Regel im Rahmen von Audits festgestellt.

Beratung zur Einhaltung der Vorschriften 

Die  Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten nennt die DSGVO ebenfalls zu den Aufgaben. In der Regel ergibt sich dies aus dem Soll-Ist Vergleich eines Audits. 

Mitwirkung an der Datenschutzfolgenabschätzung 

Die Datenschutzfolgenabschätzung ist eine strukturierte Risikonalayse, bei der Mögliche Risiken der betroffenen Personen ermittelt und behandelt  werden. 

Schulung und Sensibilisierung 

Die Pflicht zur Schulung ergibt sich aus Art. 39.1.b DSGVO. 

Leider sind die häufigsten Ursachen für Datenschutzverstöße sehr einfache Fehler von Beschäftigten des Datenverarbeiters. 

Ich biete Schulungen auch ohne Benennung an. 

Ansprechpartern für Betroffene und Aufsichtsbehörden 

Der Datenschutzbeauftragte ist gesetzlicher Ansprechparter für die Betroffenen. 
Dies macht insbesondere für die Beschäftigten des Verarbeiters Sinn, soweit diese sich an den DSB wenden möchten. 

Internen oder externen
Datenschutzbeauftragten benennen?

Wie immer lautet die richtige Antwort: Es kommt darauf an. Ein Beratertag eines externen DSB ist in der Regel weitaus teurer als der Tagessatz für einen internen Mitarbeiter. Allerdings braucht ein qualifizierter und erfahrener externer DSB für ein kleines Unternehmen auch nur ein paar Tage im Jahr.  Ab 250 Beschäftigten (so die Faustformel) lonht es sich bereits, einen internen DSB zu beschäftigten, da hier fast jeden Tag genug zu tun ist, bleibt der dann auch im Stoff. 

Vor- und Nachteile abwägen

Ein egal ob intern oder extern agiert ein Datenschutzbeauftragter weisungsfrei.  Als externer ist man per se unabhängiger in seiner Arbeit, und einen externen wird man auch leichter wieder los. Der interne ist quasi unkündbar.

Der interne muss sich laufend fortbilden, um die Sachkunde nachweisen zu können. Das heißt er braucht entsprechnede Freistellungen, um sich fortzubilden und die Aufgaben bewältigen zu können.  

Der externe bringt die Sachkunde in der Regel mit, er sich laufend ausschließlich mit Datenschutzthemen befasst. Und ist in der Regel schneller mit einem Thema fertig.  

Interessenkonflikte 

Bei der Benennung fallen einige Rollen von vornherein aus.

Es ist sicher zu stellen, dass keine Interessenkonflikte auftreten. Das heißt also, dass der Datenschutzbeauftragte sich nicht selbst kontrollieren darf. 


Als unvereinbar werden in der Regel folgende Funktionen gesehen: 

Geschäftsführung 
Leiter der IT
Leiter Personal 

Was kostet ein Datenschutzbeauftragter in Berlin

Nach einem kurzen Hype mit unverschämten Mondpreisen von mehrenen Hundert Euro die Stunde hat sich der Markt wieder beruhigt. In der Regel gehen die Angebote bei ca. 150 Euro pro Monat los. Auf Freelancermap liegt der durchschnittliche Stundensatz für einen „guten“ Datenschutzbeauftragten (z.B. mit 27001 Lead Auditor Zertifizierung o.ä. bzw. einem juristischem Hintergrund) bei 98€ (Stand 12/2018). 

Das Problem ist eher, dass die angebotenen Inklusivleistungen sehr intransaprent sind. Mittlerweile gibt es immer mehr Abo-Modelle mit mehr oder weniger passenden Leistungspaketen.  

Es gibt aber auch Angebote, die bei 20 Euro im Monat liegen. Ob man dafür viel mehr erwarten kann, als einen Namen, den man der Aufsichtsbehörde gegenüber angeben kann, mag ich hier nicht bewerten. Und jeder Anruf kostet dann auch schon wieder extra. 

Prüffragen für die Wahl eines DSB

Achten Sie bei der Wahl des DSB auf die Qualifikation.

Die Ausbildung zum DSB ist kaum geschützt. Im Prinzip kann sich Datenschutzbeauftragter nennen, wer 3 Tage Lehrgang hinter sich bringt. 

Ein DSB muss für den Job aber ein solides technisches Verständnis mitbringen, sich mit der Rechtslage auskennen und sollte in der Lage sein, Prozsses in Unternehmen schnell zu erfassen. 

Fragen Sie  nach der Qualifiaktion und was unternommen wird, um die Qualifikation zu erhalten. 

Schauen Sie genau hin, was sie für Ihr Geld bekommen 

Für 20 oder 50 Euro im Monat bekommen sie in der Regel nur einen Namen, den sie der Behörde melden können.

Mit etwas Glück bekommen Sie auch noch einen Berg an zusammengegoogelten Vorlagen und Mustern. 

Solche Preisbrechermodelle können kaum echte Unterstützung bei der Umsetzung des Gesetzes bieten. Ich halte das für unseriöse Anbieter und würde mich nicht wurndern, wenn dies von den Aufsichtsbehörden als Scheinbestellung gewertet wird.    

Schauen Sie genau hin, welche Module angeboten werden.  

Zunehmend werden Abo-Modelle mit Bausätzen angeboten. Dann bekommen Sie Kontingenten.

Beispielsweise 5 Verarbeitungen, 5 Auftragsverarbeitungsverträge und 3 Betroffenenanfragen. 

Fragen Sie  nach, was passiert, wenn Sie das Kontingent ausgereizt haben. Oder Warum Sie für ungenutzte Kontingente zahlen sollen.

Was genau wird im 2. Jahr der Benennung mit dem Kontingent gemacht? 

Was kostet zusätzlich? 

Berufshaftpflicht

Fragen Sie nach, ob eine Haftpflichtversicherung vorliegt und in welcher Höhe die Schäden abgedeckt sind. 

Wie viele DSB arbeiten für die Firma

Im Zuge des DSGVO-Hypes haben einige Kollegen die Auftragsbücher gut gefüllt.

Nun Sind dort hunderte Mandate, die dann von 1,5 Mitarbeitern betreut werden.

Sagen wir mal so… alles über 50 Mandate / DSB ist unseriös.  

Fragen Sie nach und lassen Sie sich die Zertifikate der Mitarbeiter vorlegen, als Nachweis, dass dort wirklich genug Personal angestellt ist. 

Welche Methode wird verwendet. 

Die wenigsten von den neueren Kollegen arbeiten nach etablierten Standards. 

Das SDM, die VdS oder ISO-Normen sind da allenfalls vom Namen bekannt. 

In besten Fall arbeiten die mit einem Tool – z.B. Intervalid. Und wenn da alles eingetragen ist, denken die, dass sie einen guten Job gemacht haben. 

Oft genug arbeiten die mit ergoogleten Checklisten der IHK oder von Kollegen.