Noch immer sind viele Unternehmen auf der Suche nach einem externen Datenschutzbeauftragten, oder sind mit der bestehenden Datenschutz-Beratung unzufrieden und suchen deshalb eine Alternative zum bestellten Datenschutzbeauftragten.
Dabei ist die richtige Auswahl gar nicht so einfach. Das Angebot an Datenschutzberatern ist in der letzten Zeit geradezu explodiert und wird immer undurchsichtiger. Es gibt reine Online-Beratung zum Dumpingpreis bis hin zur Anwaltskanzlei.
Wie schon ein altes Sprichwort sagt: Wer die Wahl hat, hat die Qual!
Eine pauschale Empfehlung kann man hier nicht geben. International agierende Unternehmen sind bestimmt mit einem Volljuristen gut beraten, während die Masse der kleineren mittelständigen Unternehmen auch mit einem seriös arbeitenden externen Datenschutzbeauftragten gut beraten sind. Jedoch ist das Angebot gerade in diesem Segment am größten.
Die meisten seriösen Anbieter sind Mitglied in einem der großen Verbände GDD und BvD. Bei den Verbänden wird darauf geachtet, dass sich die Mitglieder ständig weiterbilden. Das ist sehr wichtig, besteht auf dem Gebiet des Datenschutzes mit den noch jungen Gesetzen mangels belastbarer Gerichtsurteile doch noch eine große Rechtsunsicherheit.
Die ständige Weiterbildung des Datenschutzbeauftragten ist sogar gesetzlich im Art. 38 Abs. 2 der Europäischen Datenschutzgrundverordnung DSGVO vorgeschrieben. Dort heißt es:
„Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.„
Wobei aus dem Gestzestext hervorgeht, dass hier ein interner Mitarbeiter, zum Datenschutzbeauftragten angenommen wird und die Aufrechterhaltung der Fachkunde durch geeignte Weiterbildungsmaßnahmen vom Arbeitgeber übernommen werden. Übertragen auf einen externen Datenschutzebauftragten, der aufgrund eines Dienstleistungsvertrages agiert, kann dies analog übernommen werden, sodass eine ständige Erhaltung der Fachkunde auch vom externen Datenschutzbeauftragten gefordert wird.
Beim Abschluss eines Vertrages mit einem externen DSB sollte darauf geachtet werden, dass die persönliche Betreuung vereinbart wird. Jedes Unternehmen arbeitet unterschiedlich und ohne die Prozesse im Unternehmen zu kennen, ist eine seriöse Datenschutz-Beratung nicht möglich.
Meines Erachtens ist daher eine reine Online- und Telefon-Beratung nicht ausreichend.
Optimal ist es, den Datenschutzbeauftragten vor Vertragsunterzeichnung persönlich kennen zu lernen, denn nur wenn die „Chemie“ mit dem Berater stimmt, ist eine vertrauensvolle Zusammenarbeit möglich.
Der Datenschutzebauftragte ist nach Art. 38 Abs. 3 DSGVO direkt der obersten Management-Ebene unterstellt. Aus dieser Vorgabe heraus, muss der Datenschutzbeauftragte auch die entspr. Softkills mitbringen, damit die Kommunikation auf dieser Ebene funktioniert.
Da Datenschutz auch sehr viel mit Datensicherheit zu tun hat, sollte man außerdem darauf achten, dass der Berater fundierte IT-Kenntnisse verfügt. Damit mit der IT-Abteilung auf Augenhöhe gesprochen werden kann und die Prozesse der IT-Systeme verstanden werden sollten insbesondere die Themen der IT-Security, wie. z.B. Firewall-Systeme, Netzwerk-Segmentierung, Verschlüsselung, Datensicherungs- und Lösch-Konzepte, keine Fremdwörter sein.
Gerade wenn man noch keinen Datenschutzbeauftragten bestellt hatte und mit der Umsetzung der Datenschutz-Vorschriften noch am Anfang steht, wird der Arbeitsaufwand für den Berater, wie auch für das Unternehmen zu Beginn relativ hoch sein und die Umsetzung der Änderugen, die notwendig sein werden, einen längeren Zeitraum in Anspruch nehmen. Daher ist von Vorteil, den Dienstleistungsvertrag mit dem Datenschutzbeauftragten über einen längeren Zeitraum zu schließen. Auch aus diesem Gesichtspunkt ist eine sorgfältige Auswahl sinnvoll.
Fassen wir also die Kriterien nochmals zusammen:
⦁ Unternehmensgröße
⦁ Persönliche Betreuung (vertraglich geregelt)
⦁ Sympathie
⦁ Engagement
⦁ Sprache des Managements bzw. der Geschäftsleitung verstehen
⦁ IT-Know-How
⦁ Längerfristiger Vertrag
⦁ Mitglied in einem Verband
Wenn Sie Ihre Auswahl auf Basis dieser Kriterien treffen, werden Sie bestimmt IHREN externen Datenschutzbeauftragten finden!
