ENTLASTUNG IHRER ORGANISATION DURCH EINEN EXTERNEN DATENSCHUTZBEAUFTRAGTEN

Datenschutzexperten für Softwareunternehmen, soziale Einrichtungen und Organisationen, die Wert auf Datenschutz legen

Profitieren Sie durch einen externen Datenschutzbeauftragten, der Sie dabei unterstützt, Ihre individuellen Anforderungen im Datenschutz als Softwareunternehmen, soziale Einrichtung oder sonstige datenschutzaffine Organisation zu erfüllen. Die Datenschutz-Grundverordnung (DS-GVO) sowie die das davon abgeleitete Bundesdatenschutzgesetz (BDSG) verlangen von Unternehmen und Organisationen, dass sie Datenschutzbeauftragte unter bestimmten Voraussetzungen benennen müssen und ein Datenschutzmanagement etablieren müssen. Für kirchliche Organisationen gilt das sowohl für evangelische als auch katholische Stellen und ergibt sich aus dem Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. dem Gesetz über den Kirchlichen Datenschutz (KDG).

Was macht ein Datenschutzbeauftragter?

Ein Datenschutzbeauftragter wirkt mit seiner Expertise daraufhin, dass Organisationen die gesetzlichen Datenschutzvorgaben durch geeignete Maßnahmen sicherstellen. Das bedeutet, dass alle Beschäftigten einer Organisation bei ihre Tätigkeiten wissen müssen, wie sie mit personenbezogenen Daten korrekt umgehen. Aus der DS-GVO leiten sich die folgende Aufgaben für Datenschutzbeauftragte ab:

  1. Sie beraten die Geschäftsleitungen und die Mitarbeiterinnen und Mitarbeiter der Organisationen, für die sie benannt sind, in allen Fragen des Datenschutzes und der Datensicherheit.
  2. Sie achten auf die Einhaltung der Datenschutzvorgaben und sind für die Überwachung der internen Regelungen zum Umgang mit personenbezogenen Daten verantwortlich. Hierzu schulen sie die Beschäftigten und führen weitere Maßnahmen zur Sensibilisierung durch.
  3. Sie beraten auf Wunsch der Organisation bei der Datenschutz-Folgenabschätzung.
  4. Sie arbeiten mit den Aufsichtsbehörden zusammen, um sich von diesen beraten zu lassen oder deren Fragen zu beantworten.

Vorteile eines externen Datenschutzbeauftragten im Vergleich zu einem betrieblichen

Vorteile externer Datenschutzbeauftragter

Was sind die Vorteile eines externen
Datenschutzbeauftragten?

  1. Aufgrund seiner Fachkunde und seiner Expertise beschleunigt er die Erfüllung gesetzlicher Datenschutzanforderungen
  2. Seine Erfahrung aus vielen Projekten hilft praktikable Lösungen für Probleme zu finden.
  3. Er entlastet die Geschäftsleitung und die Organisation, da sich nun ein Datenschutzexperte um deren Fragestellungen kümmert. Dadurch kann sich die Organisation auf ihre Kerntätigkeit konzentrieren.
  4. Die verantwortlichen Personen der Organisation verlagern einen Teil ihrer persönlichen Haftung.
  5. Er wirkt daraufhin, dass die Organisation und die Beschäftigten sensible personenbezogene Daten sicher verarbeiten. Die Organisation profitiert von spezieller Branchenerfahrung, Best Practice Ansätzen und aktuellem Fachwissen von zertifizierten Experten.

Was sind die Vorteile eines internen
Datenschutzbeauftragten?

  1. Informationsvorteil – In größeren Organisationen fließen Informationen über Gremien und informelle Kanäle, in die der betriebliche Datenschutzbeauftragte häufig mehr involviert ist. So verfügt er in der Regel früher über Informationen.
  2. Internes Netzwerk – Sofern betriebliche Datenschutzbeauftragte mehrere Jahre in einer Organisation arbeiten, so sind sie häufig besser vernetzt, als externe, die ihre Aufgabe neu übernehmen. Betreut ein externer Datenschutzbeauftragter eine Organisation über viele Jahre, gleicht das diesen Vorteil für ihn aus.

FAQ rund um das Thema Datenschutzbeauftragter

FAQ externer Datenschutzbeauftragter

Ab wann brauchen Sie einen Datenschutzbeauftragten?

Sie benötigen einen Datenschutzbeauftragten in unterschiedlichen Fällen bzw. wenn bestimmte Kriterien erfüllt sind:

  • Die Kerntätigkeit des Unternehmens besteht in einer umfangreichen oder systematischen Überwachung von Personen. Dies gilt z.B. bei Detekteien, privaten Sicherheitsunternehmen oder bei sozialen Netzwerken.
  • Mindestens 20 Personen verarbeiten IT unterstützt regelmäßig personenbezogene Daten in einer Organisation (z.B. Namen, Adressen, Kontaktdaten von Kunden, Mitarbeitern oder Lieferanten).
  • Eine Datenschutz-Folgenabschätzung ist erforderlich.
  • Organisationen wie Auskunfteien oder Marketingunternehmen, die Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, müssen immer einen Datenschutzbeauftragten bestellen.

Was ist der Unterschied zwischen internen und externen Datenschutzbeauftragten?

Eine interne Datenschutzbeauftragte betreut häufig nur eine Organisation. Ein externer Datenschutzbeauftragter betreut hingegen mehrere Organisationen. Dadurch kennt die interne die eigene Organisation und deren Abläufe meist besser als ein externer.

Die Datenschutzberatung ist die Kernkompetenz eines externen Datenschutzbeauftragten, d.h. er praktiziert dieses Tätigkeit in Vollzeit. Betriebliche Datenschutzbeauftragte in Vollzeit verfügen über vergleichbare Ressourcen, um ihre Fachkompetenz zu verbessern. Wenn sie jedoch noch andere Aufgaben in ihrer Organisation übernehmen, dann können sie quantitativ nicht mit ihren externen Pendants mithalten.

Wenn externe Datenschutzbeauftragte Mitglied eines Team sind, so gewinnen sie durch den kontinuierlichen Austausch schnell an Erfahrung. Dies ist für betriebliche nur möglich, wenn sie interne Kollegen haben oder sich regelmäßig über ein Netzwerk austauschen.

Betriebliche Datenschutzbeauftragte haften nur mit ihrer beschränkten Arbeitnehmerhaftung, während externe schon bei leichter Fahrlässigkeit in voller Höhe haften.

Welche Qualifikation muss ein Datenschutzbeauftragter haben?

Ein externer Datenschutzbeauftragter muss über die berufliche Qualifikation und über notwendiges Datenschutzfachwissen verfügen. Dies bedeutet juristische, informationstechnische, branchen- oder organisationsspezifische Datenschutzanforderungen zu kennen. Zusätzlich müssen sie in der Lage sein, dass sie dem Ausmaß der Datenverarbeitung und dem Schutzbedarf der verarbeiteten Daten entsprechen. Je nachdem wie komplex die Datenverarbeitungen sind bzw. wie groß die Organisation ist, können die Anforderungen höher oder niedriger sein.

Da es keine staatlichen Vorgaben für die Ausbildung von Datenschutzbeauftragten gibt, eignen sich Datenschutzbeauftragte ihr erforderliches Wissen ganz unterschiedlich an. Dies ist autodidaktisch oder über Weiterbildungslehrgänge oder Seminare von Anbietern möglich. Diese stellen dann Zertifikate bereit, die die vermittelten Inhalte auflisten. Die Berater von ENSECUR verfügen z.B. über die Abschlüsse Datenschutzbeauftragter (IHK, TÜV, DSB-TÜV) / Ausgebildeter fachkundig zertifizierter Datenschutzbeauftragter (UDIS), Datenschutzauditor (TÜV, DSA-TÜV), Informationssicherheits-Beauftragter / ITSiBe (Bitkom), IT Risk Manager (Bitkom), Compliance Officer (TÜV).

Welche persönlichen und fachlichen Eignungen muss ein Datenschutzbeauftragter haben?

Fachlich müssen sie Risiken der Datenverarbeitung durch z.B. Malware oder Viren bewerten können und müssen betriebswirtschaftliche Zusammenhänge ihrer betreuten Organisationen kennen. Interessenskonflikte zu anderen Aufgaben dürfen nicht vorliegen. Daher scheiden z.B. IT-Leiter oder Personalleiterinnen oder Mitglieder der Geschäftsleitung regelmäßig aus, um die Funktion zu übernehmen. Auch persönlich oder wenn sie mit anderen zusammenarbeiten stehen sie vor anspruchsvollen Herausforderungen: Sie müssen belastbar, integer, zuverlässig, sorgfältig, konfliktfähig, gewissenhaft sein und überzeugend auftreten können, um ihre Empfehlungen bei den Geschäftsleitungen zu platzieren.

Wer darf sich Datenschutzbeauftragter nennen?

Da es keine staatlichen Vorgaben gibt, kann sich prinzipiell jeder Datenschutzbeauftragter nennen. Sollte eine Aufsichtsbehörde überprüfen, ob eine benannte Datenschutzbeauftragte fähig ist, ihre Aufgabe zu erfüllen, so prüft sie dies individuell. Stellt sie dabei fest, dass sie nicht in der Lage ist, die Anforderungen zu erfüllen, so gilt die Bestellung als unwirksam. Rechtlich führt dies dazu, dass man die ursprüngliche Bestellung so betrachtet, als hätte sie nie stattgefunden.

Was passiert, wenn man keinen Datenschutzbeauftragten hat?

Ist eine Organisation gesetzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen und tut dies nicht, so verstößt sie gegen die DS-GVO. Aufsichtsbehörden können den Verstoß mit einem Bußgeld von bis zu 10 Mio. € oder bei Unternehmen von bis zu 2 % des weltweiten Vorjahresumsatzes ahnden.

Wer kontrolliert den Datenschutzbeauftragten?

Da Datenschutzbeauftragte gemäß den gesetzlichen Vorgaben nach Art. 38 Abs. 3 DS-GVO weisungsfrei und unabhängig sein sollen, gibt es niemanden in einer Organisation, der diese kontrolliert. Sie orientieren sich bei ihren Aufgaben stets an den gesetzlichen Vorschriften.

Aufsichtsbehörden und andere Datenschutzbeauftragte bzw. Datenschutzauditoren könnte man noch am ehesten als ihre Kontrolleure betrachten. Die staatlichen Aufsichtsbehörden dürfen Datenschutzbeauftragte auf ihre Eignung überprüfen und sprechen ihnen diese auch ab, sofern dies berechtigt ist. Zum anderen kontrolliert z.B. bei der Auftragsverarbeitung der Datenschutzbeauftragte des Auftraggebers die Nachweise zum Datenschutz, die ihm der Auftragsverarbeiter übergibt. Häufig wirkt dort der Datenschutzbeauftragte mit und es ist durchaus möglich, dass er involviert wird, wenn es zu Rückfragen zu den Nachweisen kommt. Insofern erfolgt so eine indirekte Kontrolle.

Wer haftet bei Verstößen gegen die Datenschutz-Grundverordnung?

Grundsätzlich haftet der Verantwortliche, also die Organisation, die Daten verarbeitet, für Datenschutzverstöße gegenüber Betroffenen. Je nachdem was passiert ist und wer wie den Verstoß verursacht hat oder diesen hätte vermeiden können, ist es denkbar, dass auch Personen der Geschäftsleitung oder auch der Organisation haftbar sind. Wenn beispielsweise die Geschäftsleitung wissentlich Datenschutzverstöße duldet oder wenn Mitarbeiter gegen organisatorische Vorgaben wissentlich verstoßen, so ist es durchaus möglich, dass die Organisation diese in Regress nimmt. In jedem Fall ist eine Einzelfallbetrachtung erforderlich, um genau zu prüfen, wer mit welchem Verschulden handelte.

Ist der Datenschutzbeauftragte haftbar?

Betriebliche Datenschutzbeauftragte haften nur mit ihrer beschränkten Arbeitnehmerhaftung, d.h. nur bei grober Fahrlässigkeit und Vorsatz. Externe haften schon bei leichter Fahrlässigkeit in voller Höhe. Daher verfügen sie häufig über Berufshaftpflichtversicherungen.

Welche Rechte hat ein Datenschutzbeauftragter?

Datenschutzbeauftragten stehen seitens der DS-GVO verschiedene Rechte zu:

  • Sie sind unabhängig und weisungsfrei, d.h. die Organisation darf ihnen nicht vorgeben, mit welchem Ergebnis sie einen Sachverhalt bewerten müssen. Die Geschäftsleitung darf z.B. nicht vorgeben, dass eine Einschätzung zu einer möglichen Datenschutzverletzung abzumildern ist, nur weil sie der Auffassung ist, dass eine solche nicht vorliegt.
  • Sie berichten an die höchste Managementebene, damit die verantwortlichen Personen ihre Einschätzungen und Empfehlungen unmittelbar erhalten.
  • Sie sind bei allen Sachverhalten der Datenverarbeitung frühzeitig einzubinden. Plant die Organisation ein neues Software einzuführen, so ist die Datenschutzbeauftragte rechtzeitig zu informieren.
  • Sie dürfen zu allen relevanten Prozessen oder Bereichen Einblick nehmen, damit sie ihre Aufgabe erfüllen können.
  • Sie sind durch ihre Organisationen mit ausreichenden Ressourcen (z.B. angemessenes Zeitkontingent für Aufgabe, eigene Räumlichkeiten, Hilfspersonal, Weiterbildungsangebote, Fachliteratur etc.) zu unterstützen.
  • Sie dürfen sich von den Aufsichtsbehörden Rat zu ihren Fragen einholen.
  • Sie genießen einen Schutz davor, dass die Organisation sie aufgrund ihrer Einschätzungen nicht abberufen darf. Nur bei schwerwiegenden Verstößen oder grobem Fehlverhalten (z.B. Diebstahl) ist dies möglich.
  • Sie dürfen aufgrund ihrer Tätigkeit nicht benachteiligt werden.
  • Sie genießen als betriebliche Datenschutzbeauftragte einen besonderen Kündigungsschutz während der Tätigkeit und noch ein Jahr über das Ende ihrer Tätigkeit hinaus. Sofern eine Organisation einen Datenschutzbeauftragten freiwillig benannt hat, gilt dieser Schutz nicht.
  • Sie haben ein Zeugnisverweigerungsrecht, sofern dies der Leitung der verantwortlichen Stelle ebenfalls zusteht.

Wie finden Sie den passenden Datenschutzbeauftragten?

Die Suche nach dem passenden externen DSB ist eine anspruchsvolle Aufgabe. Wenn Sie ihn dann gefunden haben, so kann dies im schlechten Fall zu einem kurzen Intermezzo oder im guten Fall zum Bund fürs Arbeitsleben werden. Da immer wieder Interessenten auf uns zukommen, die eine leidvolle Erfahrung hinter sich haben und beim nächsten Mal alles besser machen wollen, ist es Wert, sich ein paar Gedanken zur Auswahl des passenden Datenschutzbeauftragten zu machen. Schließlich kann eine falsche Entscheidung sehr teuer und mit viel Frustration verbunden sein.

Viele Faktoren haben daran Anteil, ob die Zusammenarbeit mit einem potentiellen Datenschutzbeauftragten gelingt oder nicht. Auch das Dienstleistungsangebot verschiedener Anbieter unterscheidet sich mittlerweile erheblich. Falls Sie nicht wissen, wie Sie Ihren passenden Datenschutzbeauftragten finden, so werden Ihnen die folgenden Denkanstöße bei Ihrer Suche helfen und die Auswahl erleichtern.

1. Datenschutzsoftware oder Datenschutzberatung?

Suchen Sie eine Datenschutzsoftware mit der Sie Ihr Datenschutzmanagement organisieren und die Erfüllung Ihrer verschiedenen Datenschutzanforderungen dokumentieren und nachweisen können? In diesem Szenario pflegen Sie selbst die Dokumentation in der Software. Den externen DSB kaufen Sie sich dazu ein und je nach Vertragsgestaltung führt er mehr oder weniger Aufgaben aus. Oder suchen Sie eher einen Kümmerer, der die Aufgabe des Datenschutzbeauftragten übernimmt und Sie dabei unterstützt, die gesetzlichen Anforderungen zu erfüllen?

Vorteile Datenschutzsoftware ohne Beratung

+ Anfangs kostengünstig – Institutionen, die Softwarelösungen einsetzen, jedoch damit nicht zufrieden waren, äußerten uns gegenüber, dass diese anfangs kostengünstig gewesen seien.

+ Datenschutz Know-How mit der Software einkaufbar – Sofern intern geschulte Personen über ein Grundverständnis von Datenschutz verfügen, kann die Organisation mit der Software ohne weitere externe Unterstützung ihre Datenschutzdokumentation umsetzen.

Nachteile Datenschutzsoftware ohne Beratung

– Allein gelassen bei der Umsetzung bzw. teure Unterstützung, wenn man sie braucht – Häufig waren Unternehmen mit Softwarelösung bei der Umsetzung der Datenschutzanforderungen alleine und ohne Unterstützung ihres Datenschutzbeauftragten. Die Verträge beinhalten häufig nur eine geringfügige Unterstützung und jegliche Zusatzberatung löst Extrakosten aus.

– Häufig langsame Reaktionszeiten oder geringe Fachkompetenz – Außerdem Organisationen, die sich für Softwarelösungen entschieden mit, dass die Ansprechpartner dann entweder kurzfristig nicht reagieren konnten oder nicht über die Fachkompetenz verfügten, um verlässliche Aussagen zu liefern.

Was bietet ENSECUR?

Sie erhalten bei uns eine hochwertige Datenschutzberatung. Werkzeuge zur Dokumentation bringen wir mit. Eine reine Datenschutzsoftware bieten wir nicht an.

2. Datenschutzgeneralist oder Datenschutzspezialist?

Mittlerweile gibt es unzählige Anbieter von Beratungsleistungen im Datenschutz. Schon vor der Datenschutz-Grundverordnung (DS-GVO) gab es viele Berater und Beratungsunternehmen. Seit 2018 hat sich die Anzahl an Anbietern nochmals deutlich gesteigert. Eine ganz normale Reaktion, da die Nachfrage explosionsartig anstieg und viele Einrichtungen, Unternehmen und Vereine anfingen, Datenschutz ernst zu nehmen.

Die DS-GVO erhöhte auch die Anforderungen an Datenschutzberater, so dass die qualitativen Unterschiede zwischen Beratern deutlicher wurden. Das kann in Auswahlgesprächen auffallen, muss es jedoch nicht zwingend. Einen guten Datenschutzbeauftragten zu gewinnen, ist häufig ein Glückspiel für Unternehmen und Einrichtungen. Es macht einfach einen Unterschied, ob Sie es mit einer jahrelang erfahrenen Beraterin zu tun haben oder mit jemandem, der erst seit kurzem als Datenschutzbeauftragter berät.

Spezialisten finden häufig die bessere Lösung als Generalisten

Was häufig vergessen wird: Organisationen und deren Kerntätigkeit und Tätigkeitsfelder sind extrem heterogen. Die Datenschutzfragen von Softwareunternehmen sind andere als im Einzelhandel. Die Anforderungen an die Pharmaindustrie anders als die eines Kinos. Für die Pharmaindustrie gibt es viele Gesetze, die Datenschutzanforderungen beinhalten, die für andere Branchen jedoch völlig irrelevant sind. Ist es daher realistisch, dass Anbieter, die für jede Branche ihre Beratungsleistungen anbieten auch die beste Lösung für eine ganz bestimmte Branche bieten? Es mag Ausnahmen geben, in vielen Fällen dürfte ein Spezialist bessere Lösungen finden als ein Generalist.

Was bietet ENSECUR?

Sie profitieren von unserer Erfahrung als Datenschutzspezialist für einzelne Branchen. Wir konzentrieren uns bewusst nur auf bestimmte Organisationen. Besonders gerne arbeiten wir mit Softwareunternehmen oder sozialen Einrichtungen zusammen. Abseits davon auch mit Organisationen, die viel Wert auf umfassenden Datenschutz legen.

3. Fachlicher Hintergrund: Jurist, Informatiker, Betriebswirt

Was ist der optimale fachliche Hintergrund von Datenschutzbeauftragten? Soll ich mich für einen Juristen, eine Informatikerin oder einen Betriebswirt entscheiden? Hierfür gibt es keine eindeutige Antwort, denn sie hängt von Ihren Anforderungen ab. Wir kennen exzellente Juristen als Datenschutzbeauftragte, wir kennen jedoch auch völlig ungeeignete. Um es an einem Beispiel zu verdeutlichen:

Ein Auftraggeber wollte mit unserem Kunden als Auftragnehmer eine Auftragsverarbeitung abschließen. Die Vereinbarung, die vom Rechtsanwalt des Auftraggebers kam, war aus dessen Sicht vermutlich juristisch brillant. Rein rechtlich betrachtet, sicherte sie den Auftraggeber in allen Belangen ab. Großartig! Leider vergaß er dabei, dass die Auftragsverarbeitung ein Miteinander zwischen Auftraggeber und Auftragnehmer ist. Sie war so einseitig und so praxisfern, wie wir das noch nie zuvor gesehen hatten. Mittlerweile haben wir mehrere tausende solcher Vereinbarungen geprüft, daher glauben wir, dass wir dies beurteilen können. Wir rieten unserem Auftragnehmer, diese Vereinbarung abzulehnen und klar zu kommunizieren, dass auf dieser Basis eine Zusammenarbeit unmöglich ist und warum das so ist. Unser Kunde folgte der Empfehlung, die Vereinbarung des Auftraggebers verschwand in der Versenkung und stattdessen einigte man sich auf die ausgewogene Vereinbarung unseres Kunden.

Genauso gibt es hervorragende Informatiker als Datenschutzbeauftragte, es gibt jedoch auch Technikidioten, die ihre fachlich fundierten technischen Analysen nicht vermitteln können, so dass weniger technisch Versierte schlichtweg nicht versteht, was sie von ihr wollen. Wir glauben, dass nur eine Kombination von Recht, IT, Methodenkompetenz und viel Persönlichkeit zum Ziel führt:

Mit großer Dankbarkeit erinnern wir uns an einen tollen gemeinsamen Moment mit einem Kunden: Mitten im Kennenlerngespräch standen der Kunde und wir abwechselnd am Whiteboard, analysierten die technische Ausgangslage, leiteten die rechtlichen Konsequenzen daraus ab und verfeinerten mit ersten Lösungsansätzen das Gesamtbild. So macht Datenschutzberatung Spaß!

Was bietet ENSECUR?

Sie arbeiten mit Wirtschaftsjuristen, Informatikern und Betriebswirten zusammen, wenn Sie sich für uns entscheiden. Wenn Sie Rechtsberatung für Verträge oder Vereinbarungen benötigen, bei denen wir an die Grenzen unserer Beratungskompetenz kommen, dann verweisen wir Sie an fachkundige Kooperationspartner.

4. Fachliche Kompetenz: Ist ein Zertifikat das wichtigste?

Datenschutzbeauftragte müssen ihre fachliche Eignung nachweisen. Als fachliche Qualifikation gelten Zertifikate von diversen Anbietern für Kurse und Lehrgänge, die wenige Tage oder auch mehrere Wochen umfassen. „In einem Tag zum qualifizierten Datenschutzbeauftragten“ Slogans wie diese lockten den einen oder anderen motivierten Berater an. Mit welcher Expertise dieser dann Beratungswillige beglückt, kann sich jeder selbst ausdenken.

Sehr selbstkritisch blicken wir auf unsere Anfangszeit in 2009/2010 zurück. Nach fünf Tagen Praxis-Lehrgang durften wir uns voller Stolz Externe Datenschutzbeauftragte (IHK) nennen. Zu der Zeit des guten alten Bundesdatenschutzgesetz (BDSG) mag das gerade noch ausreichend gewesen sein. Aus heutiger Sicht blicken wir mit Demut auf die Anfänge zurück, danken unseren Kunden für deren Akzeptanz und freuen uns über all das, was wir seitdem lernen durften.

Dass jeder in unserem Metier irgendwann starten muss, um die vielfältigen Anforderungen zu erlernen, das ist klar. Und es sind nicht gerade wenige, wie ein Auszug der Anforderungen des Düsseldorfer Kreis aus 2010 zeigt. Zu den verpflichtenden Kompetenzen gehören:

  • verfassungsrechtlich garantierte Persönlichkeitsrechte,
  • die Anwendung des BDSG (Bundesdatenschutzgesetz) und der DS-GVO (Datenschutzgrundverordnung),
  • spezialgesetzliche Vorschriften je nach Branche,
  • technische Kenntnisse der IT und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahme),
  • Betriebswirtschaftliche Grundkompetenz, Wissen zu Aufbau- und Ablauforganisationen,
  • Kenntnisse im praktischen Datenschutzmanagement.

Kurzum: Gesucht wird die eierlegende Wollmilchsau!

Voraussetzungen: Was einen wirklich guten externen Datenschutzbeauftragte aus unserer Sicht ausmacht

Aus heutiger Sicht sind wir der Auffassung, dass Zertifikatsnachweise nett sind. Wirklich gute Datenschutzbeauftragte zeichnen sich aus unserer Sicht jedoch wie folgt aus:

  • Dem Kunden zuhören können und verstehen, was die zu lösende Fragestellung ist
  • Lösungsorientierung statt Problembewunderung
  • Bereitschaft sich permanent weiterzuentwickeln
  • Das eigene Wissen kritisch in Frage stellen und sich immer wieder eingestehen, dass man nicht alles weiß
  • Erfahrung durch die Prüfung unterschiedlichster Fragestellungen
  • Austausch und Diskussion mit anderen
  • Zu verstehen, dass Datenschutz ein Aspekt neben vielen anderen und nicht die wichtigste Sache der Welt ist
  • Fähigkeit, eine eigene Meinung zu entwickeln, und nicht blind die Meinung der (Aufsichts)Behörden zu übernehmen
Was heißt das nun für Ihre Auswahl?

Dass die Datenschutzbeauftragten in spe einen Fachkundenachweis haben, ist zwingende Voraussetzung, nicht mehr und nicht weniger. Wenn Sie wirklich herausfinden wollen, ob Ihr Bewerber geeignet ist, so stellen Sie lieber eine fachliche Fragestellung. Achten Sie darauf, wie er oder sie dabei vorgeht und was für eine Lösung er oder sie ihnen präsentiert. Das würde die Kennenlerngespräche auch für uns Berater interessanter machen.

Was bietet ENSECUR?

Sie profitieren von unseren vielfältigen fachlichen Qualifikationen, z.B. als

  • Datenschutzbeauftragte (Externe Datenschutzbeauftragter (IHK), Ausgebildeter fachkundig zertifizierter Datenschutzbeauftragter (UDIS), Datenschutzbeauftragter DSB-TÜV, Datenschutzbeauftragte TÜV
  • IT-Security Beauftragte (TÜV),
  • Informationssicherheits-Beauftragte (Informationssicherheits-Beauftragte / ITSiBe (Bitkom)),
  • Datenschutzauditoren (TÜV),
  • Compliance Officer (TÜV),
  • IT Risk Manager (Bitkom).

Wir halten diese durch regelmäßige Weiterbildungen auf dem Laufenden.

5. Einzelkämpfer oder Team?

Ganz praktischer Natur ist diese Frage. Als Kleinorganisation mit unregelmäßigen Anfragen dürfte in vielen Fällen eine Beraterin für Sie ausreichend sein. Auch wenn die Beraterin mal in Urlaub ist oder anderweitig abwesend, fällt dies weniger ins Gewicht. Wenn Sie jedoch regelmäßig Datenschutzanfragen als Auftragnehmer erhalten, oder komplexere Fragestellungen haben, bei der das Wissen unterschiedlicher Fachgebiete benötigt wird, so ist es von Vorteil, wenn Ihnen ein Team aus mehreren Personen zur Verfügung steht. Auch für den Fall von Krankheit, Urlaub oder sonstigen Abwesenheiten ist eine Stellvertretung sichergestellt.

Was bietet ENSECUR?

Sie können auf die Unterstützung eines Teams mit unterschiedlichen fachlichen und methodischen Kompetenzen vertrauen. Für Ihre Fragestellung nutzen wir unser gesamtes Wissen. Auch in Vertretungssituationen können Sie sich auf unsere Unterstützung verlassen.

6. Referenzen

Verfügt Ihre externe Datenschutzbeauftragte in spe über aussagefähige Referenzen? Da externe Datenschutzbeauftragte über tiefe Einblicke in die von ihnen betreuten Unternehmensstrukturen verfügen, gibt es auch Organisationen, die aus Geheimhaltungsgründen keine Referenz geben möchten. Viele zufriedene oder begeisterte Organisationen stehen zu Ihren Datenschutzberatern und auch sehr gerne als Referenz zur Verfügung. Wenn es sich dann um Referenzen handelt, die Hinweise zum Erfolg der Umsetzung oder der Qualität der Zusammenarbeit geben, dann können diese ein weiteres Auswahlkriterium sein. Am besten sind natürlich Referenzen von vergleichbaren Einrichtungen und Unternehmen.

Was bietet ENSECUR?

Sie finden die Referenzen unserer zufriedenen bzw. begeisterten Kunden in unserem Referenzbereich. Ein Blick dorthin sagt mehr als tausend Worte.

7. Äpfel mit Birnen vergleichen? Sind die Leistungsumfänge vergleichbar?

Am Ende des Tages kurz vor dem gemeinsamen Ja-Wort, muss auch das Angebot stimmen. Achten Sie darauf, dass die Leistungsumfänge vergleichbar und quantifiziert sind, wenn Sie mehrere Angebote vergleichen. Natürlich lassen sich die Leistungsumfänge immer noch etwas kleiner gestalten. Am Ende des Tages zählt jedoch, ob die relevanten Datenschutzaufgaben angegangen und gelöst sind. Ein paar Euro gespart, um dann jedoch ins Rampenlicht der Öffentlichkeit mit einer meldepflichtigen Datenpanne zu treten, dürfte vermutlich die falsche Einsparung gewesen sein. Sicher hat jeder schon die Erfahrung gemacht, dass er ein Schnäppchen machen wollte, dann jedoch daneben gegriffen hat und nochmals teurer einkaufen musste. Da wäre es günstiger gewesen, sich gleich für die bessere Lösung zu entscheiden. Und wenn der Preis am Ende des Tages dann doch zu hoch erscheint, trifft es Seth Godin passend auf den Punkt:

„It’s not for everyone…but it might be for you.“

Was bietet ENSECUR?

Sie erhalten eine umfassende Datenschutzbetreuung von uns. An der einen oder anderen Stelle vermutlich tiefer als andere Anbieter. Das liegt einfach daran, dass wir nach mittlerweile über 10 Jahren am Markt eine fundierte anstatt einer oberflächlichen Beratung durchführen und wissen wo die Stolpersteine sind.

Deswegen bieten wir Ihnen auch unsere Zufriedenheitsgarantie an, mit der Sie den Vertrag innerhalb der ersten 6 Monate lösen können, falls wir Ihre Erwartungen nicht erfüllen sollten.

Wir sind weder der günstigste, noch der teuerste Anbieter. Sie erhalten eine mehr als angemessene Leistung für Ihren Preis. Falls wir Ihnen doch zu teuer sein sollten, vergleichen Sie die Leistungsumfänge, ob diese wirklich vergleichbar sind. Und falls wir Ihnen wider Erwarten immer noch zu teuer sein sollten, dann verweisen wir wieder auf Seth Godin:

„The goal isn’t to serve everyone. The goal is to serve the right people.“ 

Wir arbeiten liebend gerne mit Ihnen zusammen, wenn Sie die richtigen sind.

Fazit zur Auswahl eines externen Datenschutzbeauftragter

Wir hoffen, dass Ihnen unsere Ausführungen dabei helfen, den passenden externen Datenschutzbeauftragten zu finden. Unsere Kriterien passen vielleicht nicht für jede Organisation. Wir sind jedoch davon überzeugt, dass Sie Ihnen eine bessere Entscheidung ermöglicht, wenn Sie sich bislang noch keine Gedanken hierzu gemacht haben. Am Ende des Tages geht es darum, dass die richtigen Menschen zusammenkommen, um gemeinsam Herausforderungen zu lösen. Wenn das gelingt und es dann noch Spaß macht, dann ist eine Menge gewonnen.

Finden Sie anhand dieser Checkliste heraus, welche Art von Datenschutzbeauftragten zu Ihnen passt!

DER WEG ZU IHREM EXTERNEN DATENSCHUTZBEAUFTRAGTEN

In drei Schritten gewinnen Sie Ihren externen Datenschutzbeauftragten:

1. Kennenlerngespräch

Im Rahmen eines unverbindlichen und kostenlosen Auftaktgesprächs besprechen wir gemeinsam Ihre Ausgangslage. In entspannter Atmosphäre lernen Sie uns persönlich kennen und gewinnen einen Eindruck unserer fachlichen und methodischen Kompetenz und unserer pragmatischen Lösungsansätze.

2. Durchführung der Ist-Aufnahme

Wir identifizieren den aktuellen Datenschutzumsetzungsgrad in Ihrem Unternehmen. Dabei berücksichtigen wir den Stand Ihrer Datenschutzorganisation und des Datenschutzbeauftragten, Geschäftsprozesse und Systeme, Betroffenenrechte, vorhandene Dokumentationen, Vereinbarungen mit Dienstleistern und Partnern sowie die örtlichen Gegebenheiten. Davon abgeleitet erhalten Sie zur Abschätzung Ihrer Risiken die Datenschutzrisikokennzahlen für die einzelnen Teilbereiche samt einer detaillierten Auswertung und einer Umsetzungsplanung mit konkreten Maßnahmen für die weitere Vorgehensweise. Für diesen Schritt ist eine Nutzung öffentlicher Fördermittel möglich. Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) unterstützt die Förderungen von unternehmerischen Know-Hows. Aktuell in der Corona-Krise noch höher als zuvor. Wir sind beim BAFA als Berater/Beratungsunternehmen akkreditiert und als förderfähige Beratung qualifiziert – sprechen Sie uns an!

Ihr Kundennutzen der Ist-Aufnahme

  • Individuelle Bedarfsanalyse schafft Transparenz zum aktuellen Datenschutzniveau, auch für Due Diligence Prüfungen im Hinblick auf die DS-GVO ideal geeignet
  • Umsetzungsplanung mit konkreten Schritten zur weiteren Vorgehensweise

Nach erfolgreicher Durchführung der Ist-Aufnahme und Sichtung der Umsetzungsplanung wissen Sie, wo Sie mit Ihrem Unternehmen stehen und was als nächstes getan werden muss. Sie haben nun uns und unser methodisches und lösungsorientiertes Vorgehen kennengelernt. Sie können nun entweder alleine an den Datenschutzaufgaben weiterarbeiten oder Sie arbeiten mit uns zusammen und benennen uns als Ihren externen Datenschutzbeauftragten. Damit entlasten wir Sie unmittelbar und übernehmen die Aufgaben des Datenschutzbeauftragten für Sie.

3. Benennung als externer Datenschutzbeauftragter zur Implementierung und Absicherung von Datenschutz in Ihrer Organisation

Nach der offiziellen Benennung als externer Datenschutzbeauftragter und der Kommunikation im Unternehmen beginnt die kontinuierliche Arbeit an den offenen Aufgaben wie unter 2. beschrieben.

Lernen Sie das ENSECUR Beratungsteam kennen

Julian Häcker

Geschäftsführer und Datenschutzberater
Büro Stuttgart
+49 (0) 711 460 541 40

„Datenschutz besser machen bedeutet für mich, dass Verbraucher und Unternehmen sich auch zukünftig ihre Daten mit einem guten Gefühl anvertrauen können.“

Thorsten Jordan

Geschäftsführer und Datenschutzberater
Büro Karlsruhe
+ 49 (0) 721 180 356 70

„Datenschutz besser machen bedeutet für mich, lösungsorientierte Umsetzung der Datenschutzbedürfnisse unserer Kunden. Datenschutz mit Augenmaß, manchmal ergänzt um ein „Zwinkern“.“

Michael Konitzer

Externer Datenschutzbeauftragter, Datenschutzberater
Büro Karlsruhe

  • Datenschutzbeauftragter (IHK)
  • Ausgebildeter fachkundig zertifizierter Datenschutzbeauftragter (UDIS)
  • Informationssicherheits-Beauftragter / ITSiBe (Bitkom)
  • IT Risk Manager (Bitkom)

„Datenschutz besser machen bedeutet für mich, ein zielgerichtetes Datenschutzmanagement, das die Interessen, Bedürfnisse und Ziele der Kunden und der Betroffenen berücksichtigt und gesetzeskonform unterstützt und nicht im Wege steht.“

Steven Bösel

Externer Datenschutzbeauftragter, Datenschutzberater
Büro Karlsruhe

  • Datenschutzbeauftragter (TÜV)
  • Datenschutzauditor (TÜV)
  • Informationssicherheits-Beauftragter / ITSiBe (Bitkom)

„Datenschutz besser machen bedeutet für mich, maßgeschneiderte Datenschutz-Lösungen für meine Kunden zu entwickeln. Dabei darf Datenschutz keine Benachteiligungen im nationalen, wie auch internationalen Wettbewerb bedeuten. Im Idealfall ergeben sich daraus Wettbewerbsvorteile, die Ihr Unternehmen positiv von anderen Marktteilnehmern hervorheben, bei gleichzeitiger Erfüllung der Compliance-Anforderungen.“

Bastian Maute

Externer Datenschutzbeauftragter, Datenschutzberater
Büro Stuttgart

  • Datenschutzbeauftragter DSB-TÜV
  • Datenschutzauditor DSA-TÜV
  • Wirtschaftsjurist (LL.B.)

„Datenschutz besser machen bedeutet für mich, das eingestaubte Image des Datenschutzes aufzupolieren und sinnstiftend dabei mitzuwirken, dass Kunden sich nicht genervt wegducken, wenn der Datenschutzbeauftragte vorbei kommt.“

Mareike Fischer

Externe Datenschutzbeauftragte, Datenschutzberaterin
Büro Karlsruhe

  • Datenschutzbeauftragte DSB-TÜV
  • Datenschutzauditorin DSA-TÜV

„Datenschutz besser machen bedeutet für mich, mit klarer offener Kommunikation eine Brücke zu bilden zwischen den Unternehmenszielen und den Interessen der Betroffenen. Mein Anspruch ist, dass die Compliance nicht nur organisiert und umgesetzt wird, sondern Spaß macht und sinnvoll ist.“

Kontaktieren Sie uns

    Quellen:

    https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/11/Praxisratgeber-LfDI-BW-Der-Beauftragte-für-den-Datenschutz-Teil-I.pdf

    https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/11/Praxisratgeber-LfDI-BW-Der-Beauftragte-für-den-Datenschutz-Teil-II.pdf