Wie bestellt man einen externen Datenschutzbeauftragten?

activeMind AB - So funktioniert die Bestellung eines externen Datenschutzbeauftragten

Die meisten Unternehmen in der EU mit mehr als neun Mitarbeitern müssen einen Datenschutzbeauftragten bestellen. Für die allermeisten lohnt es sich dabei, auf einen externen Datenschutzbeauftragten zu setzen. Denn ein solcher Experte verfügt bereits über das notwendige juristische, technische und organisatorische Wissen, um den Datenschutz im Unternehmen effektiv und rechtskonform umzusetzen. Wie die Bestellung eines externen Datenschutzbeauftragten (DSB) funktioniert, erklären wir Ihnen in fünf einfachen Schritten!

1. Schritt: Auswahl des geeigneten Datenschutzbeauftragten

Wenn Sie sich im Unternehmen entschieden haben, anstelle eines Mitarbeiters (als internen betrieblichen DSB) lieber einen Datenschutz-Experten als externen Datenschutzbeauftragten zu bestellen, sollten Sie bei der Auswahl des geeigneten Dienstleisters mindestens auf folgende Merkmale achten:

  • Die als externe DSB zu bestellenden Mitarbeiter des Anbieters verfügen über eine entsprechende juristische Qualifikation mit Spezialisierung auf das Datenschutzrecht und die datenschutzrechtlichen Nachbargebiete.
  • Der Anbieter hat Mitarbeiter, die umfassende IT-Kenntnisse vorweisen können, denn nur so kann der Anbieter Ihre IT überhaupt richtig prüfen und Ihnen bei der konkreten Umsetzung der gesetzlichen Vorgaben in Ihrem Unternehmen helfen.
  • Das Team des Anbieters verfügt nachweislich über eine mehrjährige (Berufs-)Erfahrung im Bereich Datenschutz und Datensicherheit, damit alle Beratungsprozesse möglichst hochgradig optimiert sind.
  • Der Anbieter kann Erfahrungen aus Ihrer Branche vorweisen, so dass etwaige Spezialisierungen Ihres Geschäftsmodells nicht zu unerwarteten Hindernissen werden.
  • Die Integration des internationalen Datenschutzrechts ist beim Anbieter eingeschlossen, damit Sie beim Einsatz von Cloud-Computing, Datentransfers in die USA oder dem Einsatz von Software-as-a-Service (SaaS) datenschutzkonform arbeiten können.
  • Im Idealfall gestaltet der Anbieter seine Leistungs- und / oder Kostenstruktur für den externen Datenschutzbeauftragten transparent (z. B. als Datenschutz-Flatrate), so dass Sie vor Kostenfallen bzw. bösen Überraschungen sicher sind.

2. Schritt: Kick-off-Meeting & Dokumentenprüfung

Nachdem Sie sich für das zu Ihrem Unternehmen passende Angebot entschieden haben, wird bzw. sollte ein Kick-off-Meeting stattfinden. Bei dieser ersten Besprechung (vor Ort) werden Ihr Management und andere Verantwortliche

  • über die rechtlichen und tatsächlichen Anforderungen des Datenschutzes und der damit zusammenhängenden Fragen der Datensicherheit informiert
  • und auf die zu erfüllenden Aufgaben vorbereitet.

Zu diesem Kick-off-Meeting sollten Sie dem Datenschutz-Dienstleister vorhandene Unterlagen über den aktuellen organisatorischen und technischen Status im Bereich Datenschutz und IT-Sicherheit vorlegen können. Manche Anbieter wollen diese Unterlagen bereits vorab sichten. Sie können in der Regel anonymisiert und von Geschäftszahlen bereinigt sein.

Der zukünftige externe Datenschutzbeauftragte wird diese Unterlagen sichten, bewerten und auf Vollständigkeit sowie Rechtskonformität überprüfen. Dabei prüft er unter Umständen auch gleich die Website Ihres Unternehmens mit.

3. Schritt: Datenschutz-Audit

Als nächster Schritt bei der Bestellung des externen Datenschutzbeauftragten folgt das Datenschutz-Audit direkt bei Ihnen im Unternehmen. Das Audit sollte an dem Standort erfolgen, an dem die maßgebliche Unternehmens-IT betrieben wird, damit sich die Prüfer einen konkreten Eindruck verschaffen können.

Im Rahmen des Datenschutz-Audits werden mit unterschiedlichen Verantwortlichen – insbesondere aus den Bereichen IT, Personal, Marketing und Vertrieb – Fragen zu IT-Sicherheitsmanagement, Datenschutzmanagement und Gebäudesicherheit abgeklärt.

Das Audit dient dazu, den Ist-Zustand im Bereich des Datenschutzes zu dokumentieren. Es werden die im Unternehmen bereits getroffenen und noch umzusetzenden Maßnahmen erfasst, die für einen datenschutzkonformen Zustand erforderlich sind.

Im Idealfall prüfen die Experten des Datenschutz-Anbieters nach anerkannten und systematischen Kriterien, etwa den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Davon können Sie ausgehen, wenn ein entsprechend zertifizierter BSI-Auditor dabei ist.

4. Schritt: Auditbericht & Maßnahmenkatalog

Der folgende Auditbericht stellt gewissermaßen die Arbeitsgrundlage für den zu bestellenden externen Datenschutzbeauftragten dar. Dieser kann daraus die fortlaufende Verbesserung der datenschutzrechtlichen Situation in Ihrem Unternehmen herleiten bzw. herbeiführen. Dafür sollte der Bericht

  • eine ausführliche Beschreibung der beim Audit vorgefundenen datenschutzrechtlichen Situation im Unternehmen beinhalten und
  • zu den einzelnen Befunden jeweils eine Handlungsempfehlung geben.

Bei sehr guten Datenschutz-Anbietern sind die Handlungsempfehlungen im Auditbericht mit verschiedenen Prioritätsstufen und Reifegraden versehen. Dadurch können Sie schnell erkennen, ob die Umsetzung die Erfüllung des gesetzlich geforderten Mindeststandards darstellt oder ein darüberhinausgehendes Datenschutz- und Datensicherheitsmanagement verwirklicht.

Übrigens: Für viele kleinere Unternehmen sind die Datenschutz-Maßnahmen bis zu diesem Zeitpunkt bei einigen Anbietern durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) finanziell förderbar.

5. Schritt: Bestellung des externen Datenschutzbeauftragten

Nach diesen wichtigen Vorbereitungsschritten sind Sie soweit: Sie können den Experten des Anbieters als externen Datenschutzbeauftragten bestellen. Die Bestellung als formaler Akt sollte dokumentiert erfolgen (z. B. mit unserer Vorlage zur DSB-Bestellung).

Je nach Anbieter kann es sein, dass Sie hierbei zwischen verschiedenen Tarifen wählen können, z. B. von der einfachen Umsetzung der gesetzlichen Mindestanforderungen bis hin zum proaktiven Datenschutz-Management. Bei der Entscheidungsfindung sollten Sie vor allem folgende Aspekte beachten:

  • Wie viele Aufgaben wollen Sie an den externen Datenschutzbeauftragten delegieren – und wie viele können Sie überhaupt intern erledigen?
  • Ist Ihr Unternehmen in einer hinsichtlich des Datenschutzes besonderen Branche (z. B. Finanzen, Gesundheit) tätig?
  • Verfügt Ihr Unternehmen über mehrere Standorte, ggfs. sogar im Ausland bzw. handelt es sich um einen Konzern?

Fazit: Machen Sie den Datenschutz zur Chefsache

Die geschilderten fünf Schritte sind ein prototypischer Weg zur Bestellung eines externen Datenschutzbeauftragten im Unternehmen. Die Vorschläge beruhen auf der langjährigen Praxis der activeMind AG in diesem Bereich. Andere Anbieter können durchaus andere Wege nehmen.

Als Unternehmer sollten Sie jedoch darauf achten, dass Ihr Weg zum externen Datenschutzbeauftragten ähnlich systematisch erfolgt. Denn nur systematisch umgesetzter und entsprechend dokumentierter Datenschutz macht Ihr Unternehmen rechtskonform – und verschafft Ihnen darüber hinaus einen Wettbewerbsvorteil. Selbst wenn Ihnen das Thema Datenschutz also lästig erscheinen sollte, die Bestellung eines externen Datenschutzbeauftragten sollten Sie zur Chefsache machen!

Bitte bewerten Sie diese Inhalte!
[10 Bewertung(en)/ratings]
0 Kommentare

Dein Kommentar

An Diskussion beteiligen?
Hinterlasse uns Deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.