Menü
Aufwände und Marktangebot
Die meisten Unternehmen fragen sich wieviel Aufwand bedeutet die Umsetzung der Anforderungen der Datenschutz Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes-neu (BDSG-neu) für mein Unternehmen? Was kostet die Umsetzung? Was muss ich tun, um meine Haftung zu minimieren?
Hier hört man sehr viele unterschiedliche Aussagen – grundsätzlich ist das auch richtig.
Denn es kommt auf die Leistungsinhalte des Unternehmens und/oder dessen Größe an, wieviel Aufwand man für den Datenschutz rechnen muss.
Aber eines bleibt bei den Projekten meist gleich
- eine Grundstruktur zur Erfüllung der Anforderungen der DSGVO und des BDSG-neu.
Dies Erkenntnis leitet sich aus den Darstellungen der vorherigen Seite "was muss man umsetzen" ab. Auch für die Betreuungsaufwände lassen sich so für das Unternehmen so recht schnell festlegen.
Aber oft besteht bei vielen Unternehmen falsche Vorstellungen wer was im Datenschutz umzusetzen hat. Sehr viele Unternehmen glauben, dass ein Datenschutzbeauftragter (DSB) alle Aufgaben zu erledigen hat - doch dies ist falsch! Ein Blick in Art. 39 DSGVO klärt hier auf!
Im Unternehmen gibt es mindestens zwei innerbetriebliche Rollen:
- den Datenschutzbeauftragten und
- den Verantwortlichen.
- Dazu kommt meist einer oder mehrere Auftragsverarbeiter.
Für jede Rolle hat die DSGVO die Aufgaben festgelegt. Die Aufgabenverteilung ist aus der nachfolgenden Abbildung ersichtlich:
Die Aufgaben des Datenschutzbeauftragten obliegen zumindest folgende Aufgaben gemäß Art. 39 DSGVO:
1.) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
2) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
3) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35
4) Zusammenarbeit mit der Aufsichtsbehörde;
5) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Die Verpflichtung zur Vorabkontrolle und Schulung durch den DSB gemäß altem Bundesdatenschutzgesetz ist entfallen.
Ein Schwerpunkt für den DSB liegt bei der Überwachung der Einhaltung der DSGVO und weiterer indirekt geltender Vorschriften. Hierzu muß er Audits durchführen und sofern vorhanden den Verantwortlichen auf Mängel im Datenschutz hinweisen. Der DSB hat die Strategien des Veranwortlichen zu prüfen, die Auftragsverarbeitung, die Datensicherheit etc. Diese Prüfungen hat er zu dokumentieren, weil sich im schlimmsten Falle hier eine Haftungslücke für ihn selbst auftun könnte. Der DSB muss sich entlasten können, dass er seine Aufgabe richtig durchgeführt hat (Rechenschaftspflicht des DSB)! Damit entsteht ein nicht zu unterschätzender neuer Aufwandsposten für den DSB.
Wir gehen bei einem Datenschutz-Audit von einem Aufwand von mindestens 0,5 Tag Vorbereitung, 1 Tag Durchführung und 0,5 bis 1 Tag für die Nachbereitung und Dokumentationserstellung einschl. Prüfbericht aus. Dass Audits nicht rein über Papier "abgewickelt" werden können, sollte jedem klar sein. Auch dass ein Unternehmen, welches mehrere Standorte hat natürlich auch mehrere DS-Audits durchführen muss.
Das sollte für jeden nachvollziehbar sein. Der Aufwand erhöht sich natürlich bei mehr Komplexität, mehreren Standorten, Verarbeitung von personenbezogener (pb) Daten besonderer Kategorien (z.B. Gesundheitsdaten) oder höherer IT Unterstützung mittels neuer Technologien.
Damit ist auch klar, dass sehr viele Aufgaben bei dem Verantwortlichen liegen. Er hat dafür die Nachweispflicht zur Umsetzung - dies ist nicht einfach und benötigt Aufwand. Hier ist mit der DSGVO eine Beweisumkehrlast entstanden, die sich nun Rechenschaftspflicht nennt.
Grundsätzlich können teilweise Aufgaben des Verantwortlichen an den DSB übertragen werden. Diese dürfen für den DSB aber keinen Interessenkonflikt darstellen. Und - der Verantwortliche kann seine Verantwortung niemals delegieren.
Der Markt für Datenschutz
Der Markt für externe Datenschutzbeauftragte ist ein großen Spagat zwischen dem was ein Unternehmen benötigt, was angeboten wird und was sich der Auftraggeber davon erwartet.
Was muss ein DSB können? Er muss nach Art 37 (5) DSGVO über eine sogenannte Fachkunde verfügen. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
Dabei sollte er
- Fachwissen auf dem Gebiet des Datenschutzrechts,
- Datenschutzpraxis
- Kenntnisse der EDV Anwendungen des Unternehmens,
- und tiefe Kenntnisser der IT und IT Sicherheit
haben, Denn wie sollte er denn sonst die Audits durchführen können? Das bedingt in der Regel eine längere Berufspraxis bzw. -erfahrung. Dies kann nicht mit Kurz-Ausbildungen DSB erreicht werden. Aus dieser Betrachtungsweise sollten Sie auch die Internet-Angebote kritisch prüfen.
Im Internet findet man Angebote von unterschiedlichen Personenkreisen wie z.B.:
- Datenschutzbeauftragte, welche aus der Administration von IT Systemen erwachsen sind. Diese bewegen sich meist im Stundensatz auch auf der Ebene der Freiberufler-Sätze von Administratoren von 50 - 100 Euro/Std.
- Datenschutzbeauftragte, welche aus dem Bereich der IT Sicherheit kommen. Hier verdoppelt sich der Stundensatz meist, also ab 100 - 180 Euro,
- Datenschutzbeauftragte, aus dem Berufsfeld von Rechtsanwälten. Hier liegen die Stundensätze von 150 - 800 Euro. Ja Sie haben richtig gelesen 800 Euro pro Stunde - also Tagessatz 6.400,-- plus MwSt.
Beliebt sind auch die Angebote im Silber - Gold und Platin Level. Diese bewegen sich von 150 € - bis 4500 € pro Monat. Nun - was erhält man von so einem Anbieter bei 150 € x 12 Monate = 1.800 €? Ein gefordetes Audit in dem o.g. Umfang (in der DSGVO nachzulesen) und die Beratung bei der Datenschutz-Folgeabschätzung? Die Frage soll sich nun jeder selbst beanworten, denn das Leistungsergebnsi ist Bestandteil der Rechenschaftspflicht der DSGVO, die auch der Verantwortliche für seine Entlastung benötigt.
Es finden sich sogar Angebote DSB für 25 € im Monat - also ein DSB für 300 € im Jahr. Was macht denn dieser DSB für das Unternehmen? Ja - wahrscheinlich nicht viel. Denn bei den meisten Angeboten steht dann im "Kleingedruckten", weitere Unterstützung nach Aufwand und das dann meist zu einem Std.-Satz 175 € aufwärts.
Viele Unternehmen möchten natürlich den Aufwand für den Datenschutz möglichst gering halten.
Dabei kann dies oder auch das Abwarten auf eine Aktion von Aufsichtsbehörden teuer werden. Wie aus einschlägigen Kreisen der Aufsichtsbehörden bekannt soll für ein Kleinunternehmen z.B die fehlende Bestellung eines DSB mit 50.000 € geahntet werden. Dies ist das doppelte Stammkapital einer GmbH! Das kann zur Insolvenz führen - und die hat der Geschäftsführer dann direkt zu verantworten, da sie vorsätzlich herbei geführt wurde.
Eine weiteres Risiko liegt in der derzeitige Bestellung des DSB. Wird die Bestellung überhaupt von der Aufsichtsbehörde anerkannt?
Denn bei den o.g. Jahresprämien kann es sicherlich passieren, dass die Aufgaben gar nicht gesetzeskonform durchgeführt werden - somit entspricht das einer Nichtbestellung!
Ein weiteres Risiko liegt darin, dass manches Unternehmen schnell einen Mitarbeiter zum internen DSB benannt hat. Dieser wird auf einen 5-Tages Kurs geschickt und das war es dann. Entspricht dies der geforderten Fachkenntnis des DSB nach der DSGVO? Wenn diese nicht erfüllt ist, dann droht eine Nichtbestellung.
Dann gibt es noch die Benennung des IT Leiters oder Personalleiters - auch hier Sachverhalt einer Nichtbestellung wegen Interessenkonflikt. Auch EDV Dienstleister kommen immer mehr auf die Idee einen Datenschutzbeauftragten zu stellen - aber auch hier droht direkter Interessenskonflikt. Denn der EDV Dienstleister überprüft dann seinen eigenen Auftragsverarbeiter-Vertrag für den Verantwortlichen? Sicherlich nicht korrekt.
Im Fazit sollte jedes Unternehmen alle Angebote genau prüfen.
Unser Zusammenfassung - wir haben einige Angebote im Internet geprüft. Dabei sind wir z.B auf eine Seite mit Angeboten zu Datenschutzbeauftragten gestoßen. Sehr umfangreich als großes Unternehmen dargestellt. In der weiteren Recherche sind wir dann über die als DSB genannten Mitarbeiter und das Impressum zu einer Webagentur vorgestoßen, Dort waren die DSB´s dann auf einmal Webentwickler und Marketing Mitarbeiter - in einem 3 Personen Unternehmen. Hier handelt es sich wohl mehr um einen vertrieblich aufgebauten "honey-pot" um Unternehmen zu ködern. Im Sinne - viel scheinen - wenig umzusetzen. Ein gefährliches Risiko für den Auftraggeber.
Anlage: Checkliste für DSB Beauftragung
CONSUVATION bietet fundierte Leistungen zum Datenschutz mit langjähriger Erfahrung - auch in den Gebieten der IT Sicherheit. Rechtliche Beratung ist grundsätzlich den zugelassenen Rechtsanwälten vorbehalten. Das darf ein DSB somit nicht anbieten. Wir auch nicht. Wir führen keine Beratung durch, die anderen Berufständen vorbehalten ist.
Wir sind mit unseren Preisen im marktüblichen Gefüge - aber wir bieten hier überdurchnittlich mehr! Schauen Sie sich unsere Leistungen und Lösungen im Datenschutz an - wir scheuen keinen Vergleich zu unseren Mitbewerbern. Testen Sie uns und wir freuen uns, wenn Sie uns Ihr Vertrauen schenken und wir Sie überzeugen konnten.
.