Viele Unternehmen müssen einen Datenschutzbeauftragten benennen,
entweder weil die Unternehmensgröße es erforderlich macht oder die Art und
Umfang der verarbeiteten Daten sie dazu verpflichten. In den meisten Fällen ist
es sinnvoll, eine externe Lösung zu wählen und nicht die internen
Unternehmensressourcen mit der Aufgabe zusätzlich zu belasten. Ein Blick ins Internet
verrät: Das Angebot an externen Datenschutzbeauftragten ist groß. Doch woran
erkennt man, ob das Angebot auch gut ist?
Qualifikation steht an erster Stelle
Zunächst muss der Datenschutzbeauftragte fachlich in der Lage
sein, seine Aufgabe zu erfüllen. Das klingt wie eine Selbstverständlichkeit,
ist es aber leider nicht. Die DSGVO selbst macht zu der Qualifikation keine
konkreten Vorgaben. In Art. 37 Abs. 5 heißt es lediglich:
„Der Datenschutzbeauftragte wird auf
der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens
benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
besitzt“.
Wie diese Qualifikation und das Fachwissen zustande kommen,
darüber schweigen sich die DSGVO und das BDSG aus.
Um die Eignung eines Datenschutzbeauftragten einschätzen zu
können, achten Sie auf Zertifizierungen. Ein Zertifikat von DEKRA, TÜV, IHK und
Bitkom sind gute Indikatoren, dass die fachliche Qualität stimmt. Macht ein
externer DSB zu seiner Qualifikation keine Angaben oder verweist auf eine
Akademie, die Sie noch nie gehört haben, ist Vorsicht angebracht.
Unterschiedliche Ansätze zur Umsetzung der DSGVO
Datenschutz hat unterschiedliche Aspekte. Daher ist
Herangehensweise an das Thema je nach Datenschutzbeauftragten sehr
unterschiedlich. Man kann dabei zwischen dem normativen Rechtsansatz und dem
lösungsorientierte Management-Ansatz unterscheiden.
Ersterer wird oft von Anwaltskanzleien verfolgt, die das Thema
Datenschutz im Zuge ihrer Rechtsberatung anbieten. Sie prüfen mit einer
Soll-Ist-Analyse, wie weit jeder einzelne Verarbeitungsvorgang von den
Buchstaben des Gesetzes entfernt ist. Vorteil dieser Methode ist ein sehr
genauer Blick in die operative Microebene. Sie ist in der Regel jedoch sehr
zeit- und damit kostenaufwändig. Außerdem wird durch die starke operative
Ausrichtung dieses Ansatzes die unternehmensstrategische Komponente von
Datenschutz nur wenig berücksichtigt. Dadurch mangelt es diesem Ansatz oft an
konkreten Handlungsempfehlungen, wie der Datenschutz an den verschiedenen
Stellen umgesetzt werden soll.
Datenschutz-Anbieter wie DataGuard präferieren dagegen
lösungsorientierten Datenschutz. Dabei werden nicht die möglichen Mängel, sondern
die Wege gesucht, mit denen Datenschutz in einem Unternehmen umgesetzt werden
kann. Und das in einer Art und Weise, die zu dem jeweiligen Unternehmen und
seinen Geschäftsmodellen passt. Der Geschäftsleitung kommt dabei eine wichtige
Rolle zu. Denn sie entscheidet über den Weg, der externe Datenschutzbeauftragte
berät bei der Entscheidung und unterstützt bei der Umsetzung. Vorteil dabei ist
der pragmatische Ansatz. Es wird versucht, Datenschutz in die bestehenden
Geschäftsprozesse zu integrieren. Es lässt sich zudem gut priorisieren, welche
Maßnahme zu welchem Zeitpunkt umgesetzt werden soll.
Für den externen Datenschutzbeauftragten ist das eine sehr
komplexe Aufgabe. Denn natürlich muss er die rechtlichen Aspekte bei seiner
Beratung im Blick behalten, aber vor allem auch die technischen und
wirtschaftlichen Gesichtspunkte betrachten. Um all diese Erfordernisse zu
erfüllen, geht DataGuard den Weg, seinen Kunden ein ganzes Team an
Datenschutz-Spezialisten zur Seite zu stellen. IT-Security-Profis,
Betriebswirtschaftler mit hoher Branchenkenntnis und Juristen sorgen dafür,
dass jeder Aspekt des Datenschutzes in die Betrachtung einbezogen wird.
Unterstützt werden sie dabei durch eine Web-Plattform, die Vorlagen und
Dokumente automatisiert und Handlungsempfehlungen gibt. Durch innovative
Machine Learning-Algorithmen werden diese von Kunde zu Kunde zutreffender.
Vorteil dieser Arbeitsweise ist hohe Zeit- und Kosteneffizienz.
Die Zeit läuft
Die DSGVO sieht eine Reihe von verbindlichen Fristen vor. So ist
das Auskunftsbegehren eines Betroffenen innerhalt eines Monats zu beantworten, Datenschutzvorfälle
müssen sogar binnen 72 Stunden an die zuständige Landesbehörde gemeldet werden.
Die Frist nimmt keine Rücksicht auf Wochenenden, Urlaube oder Feiertage. Tritt
eine Datenpanne beispielsweise am Donnerstag Abend auf, muss sie spätestens am
Sonntag Abend gemeldet werden. Achten Sie also bei der Auswahl Ihres
Datenschutzbeauftragten darauf, dass er über die notwendigen Ressourcen
verfügt, um schnell und zuverlässig reagieren zu können.
Transparenz und Nachhaltigkeit
Verzeichnis der Verarbeitungstätigkeiten,
technisch-organisatorische Maßnahmen, Verträge der Auftragsverarbeiter:
Dokumentation von Verarbeitungsprozessen ist eine wichtige Aufgabe bei der
Umsetzung der DSGVO. Um bei den vielfältigen Dokumenten die Übersicht zu
behalten, ist ein Datenschutz Management System unerlässlich. Da es auch dafür
keine Vorgaben gibt, wie so eine Managementsystem auszusehen hat, trennt sich
hier die Spreu vom Weizen. Von händischen Aufzeichnungen über Word- und
Excel-Vorlagen bis zu Machine Learning-Webplattformen verfolgen
Datenschutzbeauftragte die unterschiedlichsten Ansätze.
Webbasierte Datenbank-Lösungen sind dabei aus zwei Gründen zu
bevorzugen: Zum einen lassen sich in solchen Datenbanken die gesuchten
Dokumente schnell finden und überprüfen. In der Regel bieten solche Lösungen
auch die Möglichkeit, den aktuellen Status schnell festzustellen und offene
Punkte zu identifizieren.
Zum zweiten bieten webbasierte Software-Lösungen in den meisten
Fällen die Möglichkeit, dass nicht nur der externe Datenschutzbeauftragte,
sondern auch das Unternehmen auf die Daten zugreifen kann. Dadurch lässt sich
die Zusammenarbeit zwischen externem DSB und in internem
Datenschutz-Koordinator optimal gestalten.
Beide Punkte steigern die Effizienz bei der Umsetzung des Datenschutzes in einem Unternehmen. Sie sparen Zeit und damit Geld und sorgen für die optimale Ausnutzung der eingesetzten Ressourcen.
Darauf sollten Sie achten:
Zusammenfassend sollten Sie bei der Auswahl eines externen
Datenschutzbeauftragten folgende Punkte prüfen:
- Welche Qualifikation besitzt der DSB? Welche Zertifikate kann er
nachweisen? - Welchen Beratungsansatz verfolgt der Datenschutzbeauftragte?
Identifiziert er lediglich die Schwachstellen im Unternehmen oder unterstützt
er auch bei deren Beseitigung? - Kann der Anbieter alle Aspekte des Datenschutzes betreuen oder
fallen durch zusätzliche Dienstleister weitere Kosten an? - Wie sieht das Notfallkonzept und die Erreichbarkeit des externen
DSB aus? Wie kann er an Wochenenden, in Urlauben oder im Krankheitsfall
reagieren? - Wie sieht das Datenschutz Management System des DSB aus? Haben Sie
als Kunde Zugriff auf Dokumente wie das Verzeichnis der
Verarbeitungstätigkeiten oder sind Sie immer auf den DSB angewiesen?
Für weitere Informationen schauen Sie auf dieser Seite mit allen Details zum externen Datenschutzbeauftragten vorbei. Dort gibt es eine komplette Übersicht über die Pflichten, Aufgaben und Kosten sowie den vergleich zum internen DSB.