Bild_Firma+Logo

Informationssicherheit
und   Lichtvolle Arbeit

Leistungen Informationssicherheit:

Externer Datenschutzbeauftragter (eDSB):

Motivation:

Geschäftsprozesse werden heutzutage typischerweise realisiert auf IT-Anwendungen, die auf IT-Systemen laufen, IT-Ressourcen nutzen und über Netzwerke verbunden sind. Hierbei werden Informationen bzw. Daten verarbeitet. Bestimmte Arten von Daten haben einen Bezug zur Person, sind personenbezogene Daten und bedingen einen besonderen Schutz, den sog. Datenschutz. Der Mißbrauch dieser personenbezogenen Daten ist zu verhindern, ein geeigneter Schutz herzustellen. Dies ist über Gesetze geregelt wie die Europäische Datenschutz-Grundverordnung (DS-GVO) und das Bundesdatenschutzgesetz (BDSG). Institutionen und Firmen haben dies zu gewährleisten und nachweisbar zu dokumentieren. Dafür zuständig bzw. verantwortlich ist die Geschäftsführung bzw. der Vorstand und insbesondere sog. Datenschutzbeauftragte mit besonderer Fachkunde kümmern sich darum. Zur Realisierung eines geeigneten Datenschutzes, kann es für eine Firma, einen Selbständigen oder einen Verein die gesetzliche Pflicht geben, einen Datenschutzbeauftragten zu bestellen bzw. zu benennen oder kann dies - auch unabhängig einer gesetzlichen Erfordernis - freiwillig erfolgen.
Datenschutz hat jedoch mehrere Motivatoren und positive nutzbringende Effekte:

  • Schutz:
    personenbezogener Daten von Beschäftigten, Kunden, Patienten usw.
    damit Vermeidung von Schäden für Betroffene (und letzlich auch die Firma)
  • Rechtskonformität:
    durch Berücksichtigung gesetzlicher Vorgaben wie DS-GVO und BDSG
    damit Vermeidung von Abmahnungen oder Bußgeldern
  • Kostenreduktion:
    durch Standardisierung von Abläufen, Anwendungen, Systemen,
    Löschen überflüssiger Daten usw.
  • Wertschöpfung:
    durch Einrichtung neuer Abläufe zum Gewinn der Firma,
    z.B. datenschutzkonformes Vorgehen der Einführung eines Newsletters

Kompetenz:

Datenschutzbeauftragter kann machen, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Zur Fachkunde gehört ein Verständnis der allgemein datenschutzrechtlichen und spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das jeweilige Unternehmen relevant sind, sowie technisch-organisatorische Kenntnisse, insbesondere Kenntnisse der Informationssicherheit. Um einen effektiven Schutz der Daten zu erreichen, ist neben fundierten Datenschutzkenntnissen, einem methodischen Vorgehen, KnowHow in Informationssicherheit entscheidend, denn darauf kommt es letztlich für den Schutz der Daten an, dies sowohl Prozesse, als auch Technik betreffend. Insofern bzw. aufgrund von Überschneidungen läßt sich die Tätigkeit des Datenschutzbeauftragten (DSB) auch gut mit der des Informationssicherheitsbeauftragten (ISB) kombinieren.

Aufgaben:

Der Datenschutzbeauftragte hat schwerpunktmäßig die Einhaltung der datenschutzrechtlichen Vorschriften und den datenschutzkonformen Umgang mit personenbezogenen Daten im Unternehmen, Verein, ... zu überwachen. Dazu hat er gemäß DS-GVO Artikel 39 mindestens folgenden Aufgaben zu erfüllen:

  • Beratung und Unterstützung
    des Verantwortlichen (Geschäftsführung, Vorstand) und der Mitarbeiter zur Herstellung eines angemessenen und rechtskonformen Datenschutzes inklusive zugehöriger Informationssicherheit
  • Überwachung und Kontrolle
    der Einhaltung des angemessenen und rechtskonformen Datenschutzes inklusive der zugehörigen Strategien des Verantwortlichen, dabei auch Zuweisung von Zuständigkeiten der an der Verarbeitung beteiligten Mitarbeiter
  • Risikorientierung
    bei der Erfüllung der Aufgaben indem dem mit der Verarbeitung verbundenen Risiko gebührend Rechnung getragen wird durch geeignete Priorisierung durch Berücksichtigung von Art, Umfang, Umstände und Zwecke der Verarbeitung.
  • Mitwirkung bei der Datenschutz-Folgeabschätzung
    auf Anfrage des Verantwortlichen durch Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung.
  • Schulung und Sensibilisierung
    und auch Motivation des Verantwortlichen und seiner Mitarbeiter
  • Zusammenarbeit mit der Aufsichtsbehörde
    als Ansprechpartner bei Bedarf, für z.B. Anfragen oder Untersuchungen, und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation im Rahmen einer Datenschutz-Folgenabschätzung, zudem gegebenenfalls zur Beratung des Datenschutzbeauftragten durch die Aufsichtsbehörde zu allen sonstigen Fragen

Darüberhinaus kann er weitere Aufgaben übernehmen wie:

  • Beratung und Unterstützung
    zum Datenschutzmanagement des Verantwortlichen bei der Etablierung von Organisation, Prozessen, Richtlinien, Konzepten, Auditierungen und Dokumentationen zur Erfüllung des nachweisbar angemessenen und rechtskonformen Datenschutzes. Hierbei Datenschutz-relevante Aufgaben wie gegebenfalls das Erstellen bzw. Pflegen des Verfahrensverzeichnisses (falls unter Verantwortung des Verantwortlichen an den Datenschutzbeauftragten delegiert) und/oder Informationssicherheits-relevante Aufgaben wie die Analyse und Konzeption des Informationssicherheits-Konzeptes ("TOMs") bis hin zu Aufbau und Pflege eines Datenschutzmanagement-Systems.
  • Steuerung und Koordination
    auch als "Treiber" / Motivator im Unternehmen, Verein, ... und gegebenfalls darüberhinaus betreffend externe Dienstleister im Rahmen der Analyse, Konzeption, Realisierung und Kontrolle von Datenschutz; dieser Aspekt ist oft sehr wichtig, da Datenschutz üblicherweise nicht die Kernaufgabe im Unternehmen, Verein, ... ist und damit leicht aus dem Fokus gerät und zu wenig Aufmerksamkeit erhält
  • Ansprechpartner für betroffene Personen
    und Mitarbeiter zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte zusammenhängenden Vorgänge und Unterstützung bei der Erfüllung der Betroffenenrechte mit Recht auf Auskunft, Berichtigung, Einschränkung oder Löschen von Daten, auf Wunsch auch Durchführung der Beantwortung
  • Unterstützung bei Datenschutzverletzungen
    mit geeigneter Dokumentation und Meldung und Benachrichtigung
  • Schulung und Fortbildung
    zu Themen des Datenschutzes und der Informationssicherheit z.B. mittels Seminare oder Übungen. Angemessene Fachkenntnisse der Mitarbeiter und andere Beteiligter sind zum Erreichen eines angemessenen Datenschutzes sehr wichtig, da das jeweilige Bewußtsein, die Einstellung und das Verhalten von großer Bedeutung sind.

Folgen bei Nichtbestellung:

Die vorsätzliche oder fahrlässige Versäumnis einen Datenschutzbeauftragten nicht oder nicht rechtezeitig zu bestellen, kann gemäß Datenschutz-Grundverordnung mit Bußgeld von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes belegt werden.

Intern oder Extern:

Ein Datenschutzbeauftragter kann gemäß DS-GVO Artikel 37 intern durch einen Mitarbeiter bestellt werden (interner DSB) oder extern durch Beauftragung eines Dienstleisters (externer DSB), jeweils geeignete Kompetenz vorausgesetzt. Intern kann dies auch als Teilzeit-Tätigkeit neben anderen Aufgaben erfolgen und darf keine Person bestellt werden, die in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht, damit insbesondere nicht Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT-Administratoren. Gemäß BDSG besteht ein besonderer Kündigungsschutz auch über ein Jahr nach Beendigung der Aufgabe hinaus. Extern kann die Funktion eines Datenschutzbeauftragten auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen angehört. Der externe Datenschutzbeauftragte kann dabei unabhängiger agieren, da er nicht in Firmen-interne Abläufe oder -Verpflichtungen eingebunden ist.

Vorteile Externer Datenschutzbeauftragter:

  • Fokussierung
    eigene Mitarbeiter kümmern sich fokussiert und produktiv um die Kernaufgaben
  • Schnelle KnowHow-Gewinnung
    für das Unternehmen, den Verein, ..., denn Datenschutz und damit verbunden auch Informationssicherheit ist eine anspruchsvolle Aufgabe, für die rechtliches, technisches und organisatorisches Fachwissen erforderlich ist; dies kann intern aufgebaut werden oder in der Regel schneller bzw. sofort extern beauftragt bzw. einbezogen werden
  • Gewinn durch übertragbares KnowHow
    da der externe Datenschutzbeauftragte in mehreren Firmen aktiv ist, erhält er übergreifendes Wissen und Lösungsansätze und kann diese als Mehrwert weitergeben
  • Keine Konflikte mit internen Aufgaben
    da ein interner Datenschutzbeauftragter möglicherweise Interessenskonflikte mit anderen Aufgaben oder Kollegen hat, der externe in der Regel nicht
  • Geringere Aufwände
    da externe Datenschutzbeauftragte sich z.B. eigenständig fortbilden, der Firma entstehen keine Kosten durch Freistellung oder Fortbildung interner Mitarbeiter
  • Synergieeffekte zu Informationssicherheit
    als kostenreduzierende Win-Win-Kombination, denn entsprechendes KnowHow vorausgesetzt, kann der Datenschutzbeauftragte auch Informationssicherheit mit abdecken, möglich als Kombination als externer Informationssicherheitsbeauftragter (eISB)
  • Versicherung
    durch eine Berufshaftpflichtversicherung.

Leistungen und Preise:

Die Leistungen eines externen Datenschutzbeauftragten lassen sich sinnvoll über Pauschal- und Individual-Leistungen realisieren. Da die zu behandelnde Komplexität in der Regel mit der Anzahl der Mitarbeiter steigt, kann diese als Maßstab dienen. Eine Bestellung kann erfolgen zu einer Pauschalgebühr von 20,- Euro pro Mitarbeiter pro Monat, gestuft in 5er Stufen und einem Mindestsatz von 200,- Euro, jeweils zzgl. USt. Darin enthalten sind die Leistungen aus den Mindestaufgaben

  • Bereitstellung der Benennung inklusive Fungieren als Ansprechpartner gegenüber Behörden und - bei Bedarf - Betroffenen (falls diese z.B. im Streit eine unabhängige Person wünschen)
  • Qualitätssicherung der Regelungen, Abläufe und Konzepte (durch Beratung, Unterstützung, Überwachung und Erstellung von Richtlinien und Anweisungen), bedarfsorientiert auch die konkrete Qualitätssicherung bzw. das Agieren als Unparteiischer bei Konflikten
  • Mitwirkung bei Schadenbegrenzung im Falle von Datenpannen, dazu insbesondere Vorbereitung und Qualitätssicherung von geeigneten Reaktionszeiten ("72 Stunden")
  • Stundenleistungen von je einer Personenstunde pro Stufe pro Monat

Alles darüberhinaus wird Tätigkeits-/Bedarfs-orientiert indivduell abgesprochen bzw. beauftragt und nach Aufwand mit Stundensätzen von 150,- Euro pro Stunde zzgl. USt. abgerechnet.

Die Pauschale ist von Vorteil für Nachhaltigkeit, Qualität und geeignete Reaktionszeiten, die Tätigkeitsabrechung ist vorteilhaft für eine Bezahlung nach Aufwand. Daher ist auch eine Mindestlaufzeit von 6 oder 12 Monaten mit automatischer Verlängerung um den jeweiligen Zeitraum sinnvoll, um alles geeignet aufbauen und vorhalten zu können.

Alternative Preis-/Leistungsmodelle sind machbar, insbesondere bei einer hohen Anzahl von Mitarbeitern oder Vereinsmitgliedern, kontaktieren Sie uns einfach für ein individuelles Angebot.

Die Anmeldung zu unserem Newsletter findet sich hier

Irrtümer und Änderungen vorbehalten; Angebote der DresPleier GmbH sind stets freibleibend und unverbindlich und werden erst durch die schriftliche Bestätigung (auch per Mail) für die DresPleier GmbH verbindlich.

Copyright © DresPleier GmbH. Alle Rechte vorbehalten.