Datenschutzbeauftragter gesucht?

Ihr externer Datenschutzbeauftragter

Wer braucht einen Datenschutz-beauftragten?

Ein häufiges Missverständnis möchte ich an dieser Stelle ausräumen: Egal ob mit oder ohne DSB, alle müssen sich an das Gesetz halten.

Wenn Sie Fragen zu der Bestellpflicht haben, sprechen Sie mich gerne an. 

Mehr als 9 Mitarbeiter

Arbeiten regelmäßig mehr als 9 Beschäftigte mit personenbezogenen Daten? Wenn ja, nutzen die Beschäftigten dabei „automatisierte Systeme“ (also Computer?)
Dann ist nach § 37 BDSG die Pflicht zur Benennung gegeben.

Dabei sollte die Datenverarbeitung den Kern der Tätigkeit ausmachen. Ein größerer Handwerksbetrieb mit 3 Beschäftigten in der Verwaltung und 7 Handwerkern auf der Baustelle fällt nicht darunter. Auch wenn die Handwerker jeden Tag eine Zettel mit dem Namen des Bauherren erhalten. 

Systematische Überwachung

In der Pflicht, einen Datenschutzbeauftragten zu benennen steht auch, wer in seiner Kerntätigkeit die betroffene Personen oder öffentliche Räume überwacht. 

Beispiele hierfür sind nicht nur Detekteien, oder Bewachungsunternehmen. Auch zielgruppenorientierten Online-Vermarktern oder verfolgende E-Mail-Maßnahmen können hierunter fallen. 

Pflicht zur Datenschutzfolgenabschätzung

Wenn eine Verarbeitung eine DSFA erfordert, besteht die Pflicht zur Benennung. Es gibt mittlerweile Positiv- und Negativlisten der Aufsichtsbehörden; wann eine Datenschutz-Folgeabschätzung durchzuführen ist. Wenn einer oder mehre der folgende Punkte gegeben sind, sollten Sie sich zumindest beraten lassen. 

– Daten besonders schutzbedürftiger Personen (Kinder, Patienten)
– Systematische oder umfangreiche Überwachung 
– Sensible, vertrauliche (sehr persönliche) Daten
– Datenverarbeitung in großem Umfang und/oder innovative
– Nutzung neuer technologischer oder organisatorischer Lösungen (Big Data)
– Bewertungen der Leistungsfähigkeit oder des Verhaltens und  Abgleichen oder Zusammenführen von Datensätzen (Scoring/Profiling)
– Automatisierte Entscheidungsfindung mit Rechtswirkung bzw. anderen relevanten Folgen. 

Regelmäßiger Umgang mit besonderen Daten 

Verarbeiten Sie für sich selbst oder im Auftrag besonders sensible Daten? (Ethnische Herkunft, Gesundheit, politische oder religiöse Ansichten, sexuelle Orientierung, Straftaten bzw. strafrechtlich relevante Tatbestände).

Ein Teil dieser Daten (Gesundheit, Religion, Gewerkschaft) findet sich in jeder Personalverwaltung – dann wäre quasi jedes Unternehmen mit mehr als einem Mitarbeiter benennungspflichtig.

Es geht auch hier darum, ob diese Verarbeitung den Kern Ihrer Geschäftstätigkeit ausmacht. Aber auch ein IT-Dienstleister, der z.B. für eine paar Arztpraxen, Pflegedienste etc. tätig wird, sollte einen Datenschützer benennen.

Markt und Meinungsforschung 

Verarbeiten Sie geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung, oder zum Zweck der Markt- oder Meinungsforschung personenbezogene Daten?

Profiling 

ühren Sie eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen durch, die sich auf automatisierte Verarbeitung (einschließlich Profiling) gründet und die ihrerseits als Grundlage für Entscheidungen dient, die natürliche Personen in erheblicher (rechtswirksamer) Weise berühren?

Welche Aufgaben hat der Datenschutzbeauftrage

Die gesetzliche geforderten Aufgaben des Datenschutzbeauftragten wie unten zu sehen ist recht überschaubar. Unter den Kollgen gibt es einige, die sich darauf zurück ziehen und aus meiner Sicht Ihre Mandanten mit der eigentlichen Arbeit, die DSGVO umzusetzen, ganz schön alleine lassen. Es lohnt sich daher nicht nur auf den Preis zu schauen, sondern eben auch eine Blick darauf zu werfen, was man für sein Geld bekommt. Wie immer im Leben – eben.  

Beratung und Schulung

Unterrichtung und Beratung des Managements und der Beschäftigten, die personenbezogene Daten verarbeiten hinsichtlich ihrer Pflichten nach europäischem und deutschen Datenschutzrecht.  

Überwachung und Kontrolle 

Überwacht die Einhaltung der Datenschutz-Gesetze sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der Beschäftigten.

Mitwirkung an der Datenschutzfolgenabschätzung

Der gesetzliche Auftrag für den Datenschutzbeauftragen ergibt sich aus Art. 39 DSGVO; demnach übernimmt der Datenschutzbeauftragte die Beratung des Verantwortlichen und der Beschäftigten hinsichtlich der gesetzlichen Pflichten

Anlaufstelle für Betroffene und Aufsichtsbehörden

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation.

Was kostet ein Datenschutzbeauftragter in Berlin

In der Hochphase des DSGVO-Hypes haben einige Kollegen fette Stundensätze von mehreren hundert Euro mitgenommen. Das war eine Möglichkeit, mit dem Ansturm umzugehen. Ich habe meine Akquise gestoppt; aus Verantwortungsbewusstsein gegenüber meinen bestehenden Mandanten. 

Die Goldgräberstimmung hat auch viele Umsteiger in den Markt gespült, die jetzt die Preise wieder sinken lassen. Leider sind auch ein paar weniger seriöse dabei, die ihre Ausbildung in 3 Tagen beim TÜV absolviert haben. Auf Freelancermap liegt der durchschnittliche Stundensatz für einen „guten“ Datenschutzbeauftragten (z.B. mit 27001 Lead Auditor Zertifizierung o.ä. bzw. einem juristischem Hintergrund) bei 98€ (Stand 12/2018).

Es gibt aber auch Angebote, die bei 20 Euro im Monat liegen.  Ob man dafür viel mehr erwarten kann, als einen Namen, den man der Aufsichtsbehörde gegenüber angeben kann, mag ich hier nicht bewerten. 

Schauen Sie genau hin, was sie für Ihr Geld bekommen 

Für 20 oder 50 Euro im Monat bekommen sie in der Regel einen Namen, den sie der Behörde melden können.
Über einen Berg an Vorlagen und Mustern (die es mittlerweile auch im Netz) gibt hinaus, gibt es für solche Sätze kaum echte Unterstützung bei der Umsetzung des Gesetzes.  

Im besten Fall erhalten Sie Kontingente von 2-3 Verarbeitungen, die erfasst werden und 3 Auftragsverarbeitungsverträgen die überprüft werden. Damit werden sie auf Jahre nicht fertig und wenn sie mehr benötigen,  kostet das extra. 

Mehr zu meinen Preisen
Achten Sie bei der Wahl des DSB auf die Qualifikation.

 Ein DSB muss ein solides technisches Verständnis mitbringen, sich mit der Rechtslage auskennen und sollte in der Lage sein, Prozsses in Unternehmen schnell zu erfassen. 

Es hilft auch, wenn sich die Menschen schon länger mit Datenschutzthemen beschäftigten. Ich selsbt bin zwar auch erst seit September 2017 als externer DSB tätig, habe aber an der Hochschule  5 Jahre in einem Kooperationsprojekt eine Stadtverwaltung beraten. 

Mehr zu meiner Qualifikation

Internen oder externen Datenschutzbeauftragten benennen?

Wie immer lautet die richtige Antwort: Es kommt darauf an. Ein Beratertag eines externen DSB ist in der Regel weitaus teurer als der Tagessatz für einen internen Mitarbeiter. Allerdings braucht ein qualifizierter und erfahrener externer DSB für ein kleines Unternehmen auch nur ein paar Tage im Jahr.  Ab 250 Beschäftigten (so die Faustformel) lonht es sich bereits, einen internen DSB zu beschäftigten, da hier fast jeden Tag genug zu tun ist, bleibt der dann auch im Stoff. 

Vor- und Nachteile abwägen

Ein egal ob intern oder extern agiert ein Datenschutzbeauftragter weisungsfrei.  Als externer ist man per se unabhängiger in seiner Arbeit, und einen externen wird man auch leichter wieder los. Der interne ist quasi unkündbar.

Der interne muss sich laufend fortbilden, um die Sachkunde nachweisen zu können. Das heißt er braucht entsprechnede Freistellungen, um sich fortzubilden und die Aufgaben bewältigen zu können.  

Der externe bringt die Sachkunde in der Regel mit, er sich laufend ausschließlich mit Datenschutzthemen befasst. Und ist in der Regel schneller mit einem Thema fertig.  

Interessenkonflikte 

Bei der Benennung fallen einige Rollen von vornherein aus.

Es ist sicher zu stellen, dass keine Interessenkonflikte auftreten. Das heißt also, dass der Datenschutzbeauftragte sich nicht selbst kontrollieren darf. 


Als unvereinbar werden in der Regel folgende Funktionen gesehen: 

Geschäftsführung 
Leiter der IT
Leiter Personal