Datenschutzbeauftragter gesucht?

Ihr externer Datenschutzbeauftragter

Ab wann wird ein Datenschutzbeauftragter gebraucht?

Braucht mein Unternehmen einen Datenschutzbeauftragten? 
Vorneweg möchte ich noch mit einem kleinen aber verbreitetem Missverständnis aufräumen. Egal ob mit oder ohne DSB, alle müssen sich an das Gesetz halten. Also die Aufgaben aus der DSGVO sind für alle einzuhalten. 

Für die Frage, ob ein Datenschutzbeauftragter benannt werden muss, sind im wesentlichem drei Fragen zu klären:
a) Wieviele Mitarbeiter gehen regelmäßig mit personenbezogenen Daten um?
b) Welche Arten von Daten werden verarbeitet?
c) Zu welchen Zweckle

Mehr als 9 Beschäftigte

Arbeiten regelmäßig mehr als 9 Beschäftigte mit personenbezogenen Daten? Wenn ja, nutzen die Beschäftigten dabei „automatisierte Systeme“?
(Also Computer?)

Dann ist nach § 37 BDSG die Pflicht zur Benennung gegeben.
Dabei sollte die Datenverarbeitung den Kern der Tätigkeit ausmachen.

Ein Handwerksbetrieb mit 3 Beschäftigten in der Verwaltung und 7 Handwerkern auf der Baustelle fällt also nicht darunter. Auch wenn die Handwerker jeden Tag eine Zettel mit dem Namen des Bauherren erhalten.

Systematische (Video) Überwachung

In der Pflicht, einen Datenschutzbeauftragten zu benennen steht auch, wer in seiner Kerntätigkeit die betroffene Personen oder öffentliche Räume überwacht.


Beispiele hierfür sind nicht nur Detekteien, oder Bewachungsunternehmen. Auch personalisiertes Tracking zu Werbezwecken oder verfolgende E-Mail-Marketing können hierunter fallen.

Besondere Risiken 

Pflicht zur Datenschutzfolgenabschätzung

Wenn eine Verarbeitung  mit höheren Risiken für die betroffenen Person verbunde ist, muss eine Datenschutzfolgenabschätzung (DSFA) durchgeführt werden. 

Die Aufsichtsbehörden der Lönder haben hierzu mittlerweile Positiv- und Negativlisten herausgegeben. Darin kann einfach nachgeschlagen werden, ob die eigenen Verarbeitung eine DSFA erfordert. 

Wenn einer oder mehre der folgende Punkte gegeben sind, sollten Sie sich zumindest beraten lassen.

– Daten besonders schutzbedürftiger Personen (Kinder, Patienten, Pflegebedürftige)
– Systematische oder umfangreiche Überwachung
– Sensible, vertrauliche (sehr persönliche) Daten
– Datenverarbeitung in großem Umfang und/oder innovative
– Nutzung neuer technologischer oder organisatorischer Lösungen (Big Data)
– Bewertungen der Leistungsfähigkeit oder des Verhaltens und Abgleichen oder Zusammenführen von Datensätzen (Scoring/Profiling)
– Automatisierte Entscheidungsfindung mit Rechtswirkung bzw. anderen relevanten Folgen.

Regelmäßiger Umgang mit besonderen Daten

Verarbeiten Sie für sich selbst oder im Auftrag besonders sensible Daten? (Ethnische Herkunft, Gesundheit, politische oder religiöse Ansichten, sexuelle Orientierung, Straftaten bzw. strafrechtlich relevante Tatbestände).
Ein Teil dieser Daten (Gesundheit, Religion, Gewerkschaft) findet sich in jeder Personalverwaltung – dann wäre quasi jedes Unternehmen mit mehr als einem Mitarbeiter benennungspflichtig.
Es geht auch hier darum, ob diese Verarbeitung den Kern Ihrer Geschäftstätigkeit ausmacht. Aber auch ein IT-Dienstleister, der z.B. für eine paar Arztpraxen, Pflegedienste etc. tätig wird, sollte einen Datenschützer benennen.

Markt- und Meinungsforschung

Verarbeiten Sie geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung, oder zum Zweck der Markt- oder Meinungsforschung personenbezogene Daten?

Profiling

Führen Sie eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen durch, die sich auf automatisierte Verarbeitung (einschließlich Profiling) gründet und die ihrerseits als Grundlage für Entscheidungen dient, die natürliche Personen in erheblicher (rechtswirksamer) Weise berühren?

Welche Aufgaben hat der Datenschutzbeauftrage

Die gesetzliche geforderten Aufgaben des Datenschutzbeauftragten wie unten zu sehen ist recht überschaubar. Unter den Kollgen gibt es einige, die sich darauf zurück ziehen und aus meiner Sicht Ihre Mandanten mit der eigentlichen Arbeit, die DSGVO umzusetzen, ganz schön alleine lassen. Es lohnt sich daher nicht nur auf den Preis zu schauen, sondern eben auch eine Blick darauf zu werfen, was man für sein Geld bekommt. Wie immer im Leben – eben.  

Beratung und Schulung

Unterrichtung und Beratung des Managements und der Beschäftigten, die personenbezogene Daten verarbeiten hinsichtlich ihrer Pflichten nach europäischem und deutschen Datenschutzrecht.  

Überwachung und Kontrolle 

Überwacht die Einhaltung der Datenschutz-Gesetze sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der Beschäftigten.

Mitwirkung an der Datenschutzfolgenabschätzung

Der gesetzliche Auftrag für den Datenschutzbeauftragen ergibt sich aus Art. 39 DSGVO; demnach übernimmt der Datenschutzbeauftragte die Beratung des Verantwortlichen und der Beschäftigten hinsichtlich der gesetzlichen Pflichten

Anlaufstelle für Betroffene und Aufsichtsbehörden

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation.

Was kostet ein Datenschutzbeauftragter in Berlin

In der Hochphase des DSGVO-Hypes haben einige Kollegen fette Stundensätze von mehreren hundert Euro mitgenommen. Das war eine Möglichkeit, mit dem Ansturm umzugehen. Ich habe meine Akquise gestoppt; aus Verantwortungsbewusstsein gegenüber meinen bestehenden Mandanten. 

Die Goldgräberstimmung hat auch viele Umsteiger in den Markt gespült, die jetzt die Preise wieder sinken lassen. Leider sind auch ein paar weniger seriöse dabei, die ihre Ausbildung in 3 Tagen beim TÜV absolviert haben. Auf Freelancermap liegt der durchschnittliche Stundensatz für einen „guten“ Datenschutzbeauftragten (z.B. mit 27001 Lead Auditor Zertifizierung o.ä. bzw. einem juristischem Hintergrund) bei 98€ (Stand 12/2018).

Es gibt aber auch Angebote, die bei 20 Euro im Monat liegen.  Ob man dafür viel mehr erwarten kann, als einen Namen, den man der Aufsichtsbehörde gegenüber angeben kann, mag ich hier nicht bewerten. 

Schauen Sie genau hin, was sie für Ihr Geld bekommen 

Für 20 oder 50 Euro im Monat bekommen sie in der Regel einen Namen, den sie der Behörde melden können.
Über einen Berg an Vorlagen und Mustern (die es mittlerweile auch im Netz) gibt hinaus, gibt es für solche Sätze kaum echte Unterstützung bei der Umsetzung des Gesetzes.  

Im besten Fall erhalten Sie Kontingente von 2-3 Verarbeitungen, die erfasst werden und 3 Auftragsverarbeitungsverträgen die überprüft werden. Damit werden sie auf Jahre nicht fertig und wenn sie mehr benötigen,  kostet das extra. 

Mehr zu meinen Preisen
Achten Sie bei der Wahl des DSB auf die Qualifikation.

 Ein DSB muss ein solides technisches Verständnis mitbringen, sich mit der Rechtslage auskennen und sollte in der Lage sein, Prozsses in Unternehmen schnell zu erfassen. 

Es hilft auch, wenn sich die Menschen schon länger mit Datenschutzthemen beschäftigten. Ich selsbt bin zwar auch erst seit September 2017 als externer DSB tätig, habe aber an der Hochschule  5 Jahre in einem Kooperationsprojekt eine Stadtverwaltung beraten. 

Mehr zu meiner Qualifikation

Internen oder externen
Datenschutzbeauftragten benennen?

Wie immer lautet die richtige Antwort: Es kommt darauf an. Ein Beratertag eines externen DSB ist in der Regel weitaus teurer als der Tagessatz für einen internen Mitarbeiter. Allerdings braucht ein qualifizierter und erfahrener externer DSB für ein kleines Unternehmen auch nur ein paar Tage im Jahr.  Ab 250 Beschäftigten (so die Faustformel) lonht es sich bereits, einen internen DSB zu beschäftigten, da hier fast jeden Tag genug zu tun ist, bleibt der dann auch im Stoff. 

Vor- und Nachteile abwägen

Ein egal ob intern oder extern agiert ein Datenschutzbeauftragter weisungsfrei.  Als externer ist man per se unabhängiger in seiner Arbeit, und einen externen wird man auch leichter wieder los. Der interne ist quasi unkündbar.

Der interne muss sich laufend fortbilden, um die Sachkunde nachweisen zu können. Das heißt er braucht entsprechnede Freistellungen, um sich fortzubilden und die Aufgaben bewältigen zu können.  

Der externe bringt die Sachkunde in der Regel mit, er sich laufend ausschließlich mit Datenschutzthemen befasst. Und ist in der Regel schneller mit einem Thema fertig.  

Interessenkonflikte 

Bei der Benennung fallen einige Rollen von vornherein aus.

Es ist sicher zu stellen, dass keine Interessenkonflikte auftreten. Das heißt also, dass der Datenschutzbeauftragte sich nicht selbst kontrollieren darf. 


Als unvereinbar werden in der Regel folgende Funktionen gesehen: 

Geschäftsführung 
Leiter der IT
Leiter Personal