Einen externen Datenschutzbeauftragten bestellen.

Das Thema Datenschutz wird immer komplexer und die Aufgaben des Datenschutzbeauftragten werden dadurch immer größer. Dies führt dazu, dass Unternehmen es in Erwägung ziehen, einen externen Datenschutzbeauftragten zu bestellen. Doch um diesen zu bestellen, müssen einige Schritte vorab gegangen werden.

Darum sollte ein externer Datenschutzbeauftragter bestellt werden.

Die Aufgaben hinsichtlich des Datenschutzes können sowohl von einem internen Mitarbeitenden, als auch durch einen externen Dienstleister übernommen werden. Wenn interne Mitarbeitenden die Aufgaben erledigen, müssen diese freigestellt werden und auch eine entsprechende Qualifikation vorweisen können. Externe Datenschutzbeauftragte haben den Vorteil, dass die Mitarbeitenden des Dienstleisters keinem Interessenkonflikt unterliegen, die Kosten planbar sind und diese vielfältige Kenntnisse und Erfahrungen haben. Gleichzeitig erhalten diese in der Regel automatisch Weiterbildungen. Das beauftragende Unternehmen hat somit weniger Planungsaufwand. Gleichzeitig genießt der interne Datenschutzbeauftragte einen besonderen Kündigungsschutz.

So bestellen Sie einen externen Datenschutzbeauftragten.

Wenn Unternehmen sich entscheiden einen externen Datenschutzbeauftragten zu bestellen, durchlaufen diese einen Prozess von insgesamt fünf Schritten. Dafür ist es im ersten Schritt notwendig den passenden externen Datenschutzbeauftragten zu finden, um im Anschluss alle Dokumente zu prüfen und in einem ersten Meeting zusammenzukommen. Im ersten Kick-off-Meeting kommen alle Verantwortlichen zusammen und es kann in einem vierten Schritt der Bericht erstellt sowie Maßnahmen festgelegt werden. Wenn nun alle Schritte durchlaufen wurden, kann der externe Datenschutzbeauftragte bestellt werden.

Die Wahl des externen Datenschutzbeauftragten.

Bei der Wahl des externen Datenschutzbeauftragten sollten einige wichtige Merkmale beachtet werden. Denn die Problematik besteht darin, dass die Bezeichnung „Datenschutzbeauftragte*r“ nicht geschützt ist und sich jeder Datenschutzbeauftragter nennen darf ohne dabei Qualifikationen vorweisen zu müssen. Das beauftragende Unternehmen übernimmt jegliche Verantwortung, wenn diese keine geeignete Person auswählt. Somit ist es umso wichtiger, dass der externe Datenschutzbeauftragte bestimmte Kriterien erfüllt. Dabei gilt es folgende Kriterien zu beachten:

• Juristische, technische und sprachliche Qualifikation: Eine juristische Qualifikation ist bei der Bestellung des externen Datenschutzbeauftragten ein wesentliches Kriterium. Denn letztendlich muss nicht nur die Art. 5 Abs. 1a DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten) oder das BDSG beachtet werden, sondern auch ALLE weiteren Gesetze, die sich nicht direkt mit dem Datenschutz beschäftigen, aber dennoch darauf auswirken. Hierzu gehört beispielsweise das Wettbewerbsrecht. Eine juristische Qualifikation ist somit unerlässlich. Der externe Datenschutzbeauftragte sollte zudem technische Sachverhalte beurteilen können. Bestenfalls ist der externe Dienstleister ISO27001 qualifiziert. Somit kann auch eine Informationssicherheit gewährleistet werden. Nachdem der Datenschutz nicht nur für Deutschland anzuwenden ist, sondern international ist, ist es notwendig, dass der beauftragte Dienstleister in der Lage ist, auch mit unterschiedlichen Partnern zu kommunizieren.
• Erfahrung: Externe Datenschutzbeauftragte werden immer mehr gesucht und dadurch kommen immer wieder neue Anbieter auf dem Markt. Das beauftragende Unternehmen sollte darauf achten, dass das anbietende Unternehmen ausreichend Erfahrung als externer Datenschutzbeauftragte besitzt.
• Qualität: Vor allem beim Datenschutz gilt es auf Qualität zu achten. Gleichzeitig hat dies zur Folge, dass je höher die Qualität ist, auch die Preise steigen. Es ist hilfreich darauf zu achten, welche Leistungen am Ende benötigt werden. So lässt sich am Ende doch Geld sparen, wenn nur Aufgaben beauftragt werden, die auch wirklich benötigt werden.
• Transparenz: Der externe Dienstleister, der als Datenschutzbeauftragter fungiert, sollte seine Leistungen und Kosten transparent gestalten, damit das beauftragende Unternehmen keinerlei versteckte Kosten zu tragen hat. Zusatzkosten sollen nur mit vorheriger Zustimmung entstehen.
• Verlässlichkeit und Vertraulichkeit: Nachdem Mitarbeitende immer wieder ausfallen können, ist es wichtig, dass für Ersatz gesorgt ist. Der externe Datenschutzbeauftragte sollte dadurch einen Vertreter gewährleisten können. So kann die Verlässlichkeit garantiert werden.
• Unabhängigkeit: Ein Datenschutzbeauftragter ist gesetzlich dazu verpflichtet unabhängig seine Aufgaben zu erfüllen und hat ausschließlich eine unterstützende Funktion.
• Haftung: Bei einer falschen Beratung haftet nicht der externe Dienstleister, sondern das beauftragende Unternehmen. Daher sollten sich Unternehmen im Klaren sein, welchen externen Anbieter diese wählen, um hohe Geldbußen aufgrund von Datenschutzverstößen zu vermeiden.

Die Dokumente prüfen und erstes gemeinsames Meeting.

Nachdem der passende Anbieter gefunden wurde, werden in einem ersten Termin alle Verantwortlichen eingeladen. In diesem werden die Verantwortlichen inkl. Management über sämtliche Anforderungen der DSGVO informiert und aufgeklärt, welche Aufgaben zu erfüllen sind.

Zu diesem ersten Termin sollten die Beteiligten des beauftragenden Unternehmens bereits erste Unterlagen dem externen Anbieter weitergeleitet haben. Hierzu gehören beispielsweise Unterlagen zu den bereits getroffenen technischen und organisatorischen Maßnahmen. Dabei können vertrauliche Daten zu Beginn noch anonymisiert werden. Der externe Anbieter prüft die entsprechenden Unterlagen auf Vollständigkeit, bewertet diese und kontrolliert die notwendigen rechtlichen Aspekte.

Ein Datenschutz-Audit durchühren.

Vorab gilt es hier zu erwähnen, dass ein Datenschutzaudit freiwillig ist und im §9a BDSG hierfür lediglich die Möglichkeit eingeräumt wird. Jedoch ist es durchaus sinnvoll ein Datenschutzaudit durchzuführen.

Dabei erfolgt das Datenschutz-Audit am Hauptsitz des Unternehmens. Mit den Verantwortlichen aus den Bereich IT, Marketing, Vertrieb sowie dem Personal werden Informationen zur Gebäudesicherheit, dem Datenschutzmanagement und dem IT-Sicherheitsmanagement ausgetauscht. Die notwendigen Informationen des Audits werden dokumentiert und stellen den Ist-Zustand des Unternehmens dar. In der Dokumentation werden auch alle zukünftigen und rechtlich notwendigen Maßnahmen festgehalten.

In diesem Rahmen werden unter anderem alle Prozesse geprüft und kontrolliert, wie mit den personenbezogenen Daten umgegangen wird. Um alle Prozesse zu kennen ist es hilfreich bereits vorab, einer Checkliste zum Datenschutzaudit nachzugehen. Die Checkliste sollte dabei auch Fragen zur Organisations-, Zutritts-, Zugangs- und Zugriffskontrolle enthalten. Gleichzeitig erfolgt eine Weitergabe- und Eingabekontrolle sowie die Kontrolle der Aufträge, der Verfügbarkeit und des Trennungsgebots. Im Detail geht es beispielsweise bei der Kontrolle der Organisation darum, ob gemäß den §4f und dem §4g BDSG ein Datenschutzbeauftragter vorhanden ist. Auch wird überprüft, ob gemäß §5 BDSG die Mitarbeitenden dazu verpflichtet sind, sich an das Datengeheimnis zu halten. Im Bereich der Organisation wird ebenso abgefragt, ob Datenschutzschulungen erfolgen und ein Datenschutzkonzept vorhanden ist. Bei der Zutrittskontrolle geht es im Detail um die Gebäudebeschränkung, der Zugang zu Rechenzentren ausschließlich für befugtes Personal, die sichere Aufstellung der Server sowie der beschränkte Zutritt für Räume, in den Akten und Datenträger verwahrt werden. In der Zugangskontrolle geht es um die Einrichtung von Bildschirmsperren sowie um die Installation, Aktivierung und Aktualisierung einer Firewall. Im Bereich der Zugriffe müssen Fragen zum Zugriffsberechtigungskonzept, die unterschiedlichen Zugriffsrechte sowie die Dokumentation bei der Verletzung der Rechte beantwortet werden. Hier spielen auch Fragen zur Entsorgung von beispielsweise Datenträgern oder auch der Kopier- und Bearbeitungsschutz eine tragende Rolle. Bei der Weitergabekontrolle geht es darum, ob eine Datenverschlüsselung aktiv ist bzw. ob überhaupt eine Verschlüsselung eingerichtet wurde. Bei der Verfügbarkeitskontrolle wird darauf geachtet, ob beispielsweise Sicherungskopien vorhanden sind und wie Daten abgesichert sind. Im Datenschutzaudit ist auch die Einhaltung der Löschfristen zu hinterfragen und Datenschutzleitlinien und –konzepte sind wesentliche Bestandteile. In einem weiteren Schritt wird auch die Erfüllung der Informationspflichten gem. Art. 13 f. DSGVO überprüft.

Der Auditbericht und Maßnahmen festlegen.

Als Arbeitsgrundlage für die festzulegenden Maßnahmen dient der Auditbericht. Letztendlich können daraus Optimierungen abgeleitet werden. Der Bericht sollte dabei Punkte wie die Beschreibung der datenschutzrechtlichen Situation, aber auch Handlungsempfehlungen enthalten. Bei der Handlungsempfehlung sind mit Priorisierungen und Reifegrade zu ergänzen. Durch die Ergänzung von Prioritätsstufen und Reifegraden kann das Unternehmen erkennen, ob es sich um eine gesetzliche Anforderung handelt oder hierdurch lediglich der Datenschutz verbessert wird.

Den externen Datenschutzbeauftragten bestellen.

Nun kann ein externer Datenschutzbeauftragter bestellt werden und diese sollte dokumentiert werden. Bei der Bestellung kann in der Regel zwischen unterschiedlichen Tarifen gewählt werden und es müssen in diesem Rahmen Überlegung zur Aufgabendelegation an den beauftragten Datenschutzbeauftragten angestellt werden.

Fazit.

Mit den steigenden Anforderungen an den Datenschutz und die Datensicherheit werden auch die Anforderungen an den Datenschutzbeauftragten immer größer. So überlegen immer mehr Unternehmen die Aufgaben des Datenschutzbeauftragten outzusourcen. Bevor jedoch ein externer Datenschutzbeauftragter bestellt werden kann, müssen jedoch erste Schritte vorab durchgeführt werden. Diese gehen von der Wahl des Datenschutzbeauftragten, über die Dokumentenprüfung bis hin zum Datenschutzaudit und der Ergreifung erster Maßnahmen, ehe der externe Datenschutzbeauftragte bestellt werden kann.

Sie brauchen Hilfe bei der Bestellung eines externen Datenschutzbeauftragten? Kein Problem! Wir helfen Ihnen gerne. Vereinbaren Sie noch heute einen kostenfreien Termin zur Erstberatung.