Logo der activeMind AG

15 Kriterien für die Auswahl eines externen Datenschutzbeauftragten

Inhalt

Wer auf der Suche nach einem externen Datenschutzbeauftragten ist, wird schnell viele Anbieter zu den verschiedensten Preisen finden. Wir erklären Ihnen, worauf Sie bei der Auswahl eines geeigneten externen Datenschutzbeauftragten unbedingt achten sollten.

Warum ist die gründliche Auswahl des externen Datenschutzbeauftragten so wichtig?

Seit Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) sind unzählige Anbieter als externe Datenschutzbeauftragte auf den Markt gedrängt. Die Berufsbezeichnung „Datenschutzbeauftragter“ ist aber leider bislang nicht geschützt. Jeder darf sich so nennen, völlig unabhängig von Ausbildung oder sonstiger Qualifikation. Selbst nach dem Besuch eines einzigen Kurses von wenigen Tagen treten „zertifizierte Datenschutzbeauftragte“ als Anbieter auf den Markt!

Die Verantwortung, eine tatsächlich geeignete Person als Datenschutzbeauftragten auszuwählen, trägt das bestellende Unternehmen bzw. die bestellende Organisation. Irrtümer und Fehler bei der Auswahl gehen zu Lasten des Entscheiders und können eine persönliche Haftung auslösen! Bitte bedenken Sie, dass der Datenschutzbeauftragte die notwendigen Befähigungen in seiner Person vereinen muss. Andernfalls darf er nicht bestellt werden.

Die folgenden Kriterien helfen Ihnen beim Vergleich mehrerer Anbieter

Eine Kernbedingung für jede Verarbeitung personenbezogener Daten ist ihre Rechtmäßigkeit (Art. 5 Abs. 1 a) DSGVO). Die Datenverarbeitung muss in Übereinstimmung mit der gesamten (!) Rechtsordnung erfolgen, also nicht nur datenschutzkonform sein. So sind im Marketing etwa Anforderungen des Wettbewerbsrechts zu beachten und beim Abschluss von Datenschutzverträgen warten auch typisch zivilrechtliche Fragen auf Antwort, seien es Haftungsvereinbarungen, Kündigungsklauseln oder Vertragsstrafen. Wie soll ein Berater ohne irgendeine juristische Ausbildung diese Fragen korrekt beantworten?

Viele Anbieter setzen sehr offensiv auf “Pragmatismus”. Dies verschleiert, dass es hierbei oft primär um die Begrenzung des Beratungsaufwandes geht. Das führt vorhersehbar zu zweifelhaften Lösungen. Unsere Prämisse ist es, Ihnen vor allem eine rechtskonforme Lösung vorzuschlagen. Erst im rechtlich eröffneten Rahmen suchen wir dann auch nach der möglichst pragmatischen Umsetzung.

Bei der activeMind AG haben alle Berater ein juristisches Studium absolviert! Unsere Beratung beachtet den Rahmen des geltenden Rechts.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besitzt der für mich vorgesehene Datenschutzbeauftragte persönlich eine ausreichende juristische Qualifikation, um die „Rechtmäßigkeit“ einer Verarbeitung zu beurteilen? Gewährt der Ansatz des Beraters eine im Ergebnis rechtskonforme Lösung?

Unsere Consultants sind nachweislich selbst in der Lage, technische Sachverhalte eigenständig zu beurteilen. Neben weiteren technischen Qualifikationen im Einzelfall, sind unsere Consultants geprüfte ISO 27001 Auditoren! Ihr Ansprechpartner kann Sie damit nicht nur datenschutzrechtlich, sondern auch praktisch/technisch beraten. Dies ist zwingend, da Datenschutz ohne Informationssicherheit nicht funktioniert. Unsichere Verarbeitungen sind verboten!

Unsere Consultants können technische Fragestellungen regelmäßig selbst beurteilen. Viele sind geprüfte ISO 27001 Auditoren und besitzen weitere technische Qualifikationen!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besitzt der für mich vorgesehene Datenschutzbeauftragter persönlich ausreichende technische Qualifikation?

Der Datenschutz ist nicht erst mit Einführung der Datenschutz-Grundverordnung international. Datenschutzbeauftragte müssen grundsätzlich in der eigenen Landessprache der Betroffenen kommunizieren können. Wir decken durch eigene Mitarbeiter eine Vielzahl an Sprachen ab. Selbst wenn der für Sie bestellte Beauftragte eine bestimmte Sprache nicht beherrscht, ist der Weg in unserem Team nicht weit.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Welche Sprachen können unterstützt werden?

Das Datenschutzrecht ist nur eine von vielen rechtlichen Disziplinen, die ein Verantwortlicher beachten muss. Der Datenschutzbeauftragte ist aber auf den Bereich des Datenschutzes beschränkt. Er muss sich an die Grenzen des Datenschutzes halten und darf nicht links oder rechts davon beraten. Die gewerbliche rechtliche Beratung im Einzelfall ist nämlich gesetzlich den Rechtsanwälten vorbehalten!

Bei uns stellt dies kein Problem dar, da wir in solchen Fällen auf unsere Rechtsanwälte der activeMind.legal Rechtsanwaltsgesellschaft zurückgreifen. Sollten also Beratungsleistungen nur durch einen Rechtsanwalt erbracht werden dürfen, haben wir diese selbst im Haus.

Wir dürfen auch außerhalb der engen datenschutzrechtlichen Grenzen beraten!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Kann und darf auch in anderen rechtlich verwandten Bereichen beraten werden?

Unsere Mitarbeiter sind selbständig in der Lage, Ihr konkretes Problem umfassend zu beleuchten und einer individuellen Lösung zuzuführen. Die notwendige Qualifikation liegt bei Ihrem Datenschutzbeauftragten gesammelt vor. Ihre Fragestellung wird nicht durch einen Agenten aufgenommen und an einen der wenigen „Spezialisten“ im Unternehmen weitergegeben. Auch erhalten Sie von uns keine allgemein vorformulierte Pseudoantwort, sondern eine für Ihre Problemstellung tatsächlich passende. Wir stellen Ihnen feste Ansprechpartner, die Sie persönlich und individuell beraten.

Selbstverständlich stellen wir Ihnen auf Wunsch auch eine SaaS Compliance-Portallösung an. Dieses Angebot ist aber nur unterstützend gedacht und soll Sie nicht primär oder gar ausschließlich auf Selbstbedienung verweisen.

Sie sprechen bei uns nicht mit einem Datenschutz-Callcenter! Wir bestellen keinen Strohmann.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besitzt mein Datenschutzbeauftragter persönlich alle notwendigen Qualifikationen oder liegen diese nur verteilt in einem Team vor? Habe ich feste Regelansprechpartner? Bestelle ich statt eines persönlichen Beauftragten in Wahrheit nur die Zugriffsmöglichkeit auf vorgefertigte Standardlösungen?

Seit Einführung der Datenschutz-Grundverordnung strömen unkontrolliert neue Anbieter auf den Markt.

Wir beraten und prüfen seit dem Jahr 2000 in den Bereichen Datenschutz und Informationssicherheit, bundesweit und ohne Beschränkung auf eine bestimmte Branche oder eine Unternehmensgröße. Unser Schwerpunkt verschiebt sich dabei zunehmend auf Unternehmensgruppen und andere große Organisationen mit deutlich erhöhten Erwartungen an die Beratungsleistung. Wir betreuen aber weiterhin auch kleine Startups mit nur einer Handvoll Mitarbeiter und KMU. Krankenhäuser und Behörden beraten wir ebenso wie SaaS-Anbieter oder Hotels. Wir zählen Luxuslabel und Industrie zu unseren Kunden, genauso wie den regionalen Mittelständler oder IT-Dienstleister und Forschungseinrichtungen. Durch diese Bandbreite sammeln wir sehr viel Erfahrung und können Wissen auch transferieren. Wir können daher pragmatische und tatsächlich praktikable Lösungen regelmäßig schnell anbieten.

Wir haben jahrelange Erfahrung. Unser Unternehmen wurde nicht „pünktlich“ zur DSGVO gegründet!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Wie lange besteht der Anbieter schon? Erfolgte der Markteintritt gezielt zur DSGVO? Wie viel Erfahrung besteht in der größenunabhängigen und branchenübergreifenden Beratung?

Qualität hat ihren Preis. Wir bezahlen unsere Berater angemessen. Oder andersherum: Wir bezahlen die Gehälter, die für wirklich qualifizierte Mitarbeiter notwendig sind. Unsere Kalkulation richtet sich individuell nach Ihrem Unternehmen, Ihrer Branche, Ihrer Aufstellung und Ihrer Verflechtung mit anderen Unternehmen. Wir haben keine Fixpreise, die völlig am konkreten Bedarf eines Unternehmens vorbeigehen. Durch die umfassende Expertise unserer Mitarbeiter ist sichergestellt, dass wir den notwendigen Aufwand geringhalten können. Wir finden Ihre Lösung im Zweifel schnell und damit kostengünstig.

Unsere Preise sind realistisch und erlauben tatsächlich den Einsatz von Experten!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Gehen Sie vorsichtig von zwei bis drei Stunden Aufwand pro Monat aus. Würde ein „Experte“ zu dem realistisch berechneten Stundenlohn arbeiten? Vergessen Sie in der Berechnung nicht, jährlich versprochene Leistungen mit hohem Aufwand einzubeziehen.

Immer wieder treten Anbieter mit dem unspezifischen Versprechen auf, die „Erledigung des Datenschutzes zu übernehmen“. Dies ist zum einen rechtlich gar nicht möglich, da der Datenschutzbeauftragte bestimmte Aufgaben nicht übernehmen darf. Zum anderen ist ein solches Versprechen nicht realistisch kalkulierbar. Entweder ist der Preis mit einem deutlich zu hohen Sicherheitszuschlag versehen oder er ist so niedrig, dass sich dies auf den wirtschaftlich vertretbaren Aufwand und natürlich auch das gelieferte Ergebnis auswirken muss.

Wir bieten einen klaren Katalog der wesentlichen Datenschutzleistungen zu einem monatlichen Festpreis an. Wir kommunizieren sofort, wenn eine Anfrage nicht in diesem Rahmen erledigt werden kann und warnen vor. Ohne Ihre Freigabe entstehen keine Zusatzkosten.

Es gibt bei uns weder versteckte Kosten noch Überraschungen in der Rechnung!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Ist klar bestimmt, welche Leistung zu welchem Preis erbracht wird?

Jeder Mensch wird krank, jeder Mensch hat Urlaub, jeder Mensch hat manchmal kollidierende Verpflichtungen. Auch Ihr Datenschutzbeauftragter. Bei uns erhalten Sie mit jeder Bestellung automatisch auch einen Vertreter aus unserem Beraterteam. Da alle Mitarbeiter eigenständig in der Lage sind, in den Bereichen Datenschutz und Datensicherheit zu beraten, ist die zeitnahe Bearbeitung Ihrer Anliegen jederzeit gesichert.

Wir sorgen mit jeder übernommenen Bestellung für eine laufende Stellvertretung durch einen bestimmten und kompetenten Mitarbeiter!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Ist die regelmäßige Stellvertretung des DSB durch bestimmte Mitarbeiter sichergestellt, die ebenfalls ausreichend qualifiziert sind?

Eine gute und individuelle Betreuung ist nur möglich, solange der Berater sich auch tatsächlich noch auf den einzelnen Kunden konzentrieren kann.

Es ist aber leider auf dem derzeitigen Markt keine Seltenheit, dass Datenschutz-Consultants viele Dutzend Unternehmen gleichzeitig beraten müssen oder sogar bei mehr als 100 Organisationen als externer Datenschutzbeauftragter bestellt sind. In solchen Fällen noch von einer Beratung mit Blick auf den Einzelfall auszugehen, ist weltfremd.

Wir halten den Betreuungsschlüssel unserer Berater möglichst klein, in jedem Fall im unteren zweistelligen Bereich. Sie werden bei uns keinen externen Datenschutzbeauftragten finden, der mehr Unternehmen betreut, als er individuell gut leisten kann.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Wie viele Unternehmen werden pro Berater unterstützt?

Viele Anbieter gehen mit neuen Kunden einen einfachen Standardfragebogen durch, um eine Statusbestimmung durchzuführen. Diese Fragebögen gehen weder auf Besonderheiten Ihres Unternehmens oder Ihrer Branche ein, noch berücksichtigen sie Ihre technischen Details, da sich diese in einem vorgefertigten Bogen nicht abbilden lassen. Zugleich bieten diese Fragebögen keine Gewähr der Vollständigkeit und übersehen ggf. wichtige Aspekte. Durch den vorgegebenen Ablauf können diese Prüfung auch Mitarbeiter durchführen, die lediglich die möglichen Antworten abhaken. Eine Hinterfragung oder Verifizierung der Antworten erfolgt nicht.

Die von uns durchgeführten Kontrollen sind echte, auf Ihr Unternehmen abgestimmte Prüfungen durch Mitarbeiter, die zu einer Analyse und Bewertung rechtlich und technisch in der Lage sind. Auch wir orientieren uns zwar an Standards (etwa der ISO 27002), wir setzten aber keine Multiple-Choice-Fragebögen ein.

Wir ermitteln den Status bei Ihnen vor Ort, im direkten Gespräch mit den Verantwortlichen bei Ihnen im Haus. Wir gehen angepasst an Ihre besondere Situation vor. Wir stellen situationsabhängig die wirklich relevanten Fragen und hinterfragen auch die uns gegebenen Antworten. Wir beziehen die vorhandene Dokumentation in die Prüfung ein. Sie erhalten einen für Sie passenden, individuellen Bericht.

Wir versprechen Ihnen, dass Sie nicht von einem Callcenter-Agenten angerufen werden, der telefonisch einen allgemeinen Standardfragebogen mit Ihnen durchgeht!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Wird ein tatsächlich bedarfs- und anforderungsgerechtes, individuelles Audit durch einen rechtlichen und technischen Experten durchgeführt?

Der Datenschutzbeauftragte muss gesetzlich die Verschwiegenheit wahren. Dazu gehört selbstverständlich, dass bereits die Kontaktaufnahme zum Datenschutzbeauftragten vertraulich erfolgen kann. Wir stellen sicher, dass ausschließlich der Datenschutzbeauftragte und ggf. sein Vertreter Anfragen erhalten. Sie werden nicht mit einer allgemeinen E-Mailadresse abgespeist, die nicht speziell für Sie eingerichtet wurde.

Bei uns wird für jede einzelne Bestellung eine gesonderte E-Mailadresse eingerichtet!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Wird eine individuelle E-Mailadresse des Datenschutzbeauftragten für Ihr Unternehmen eingerichtet? Ist sichergestellt, dass vertrauliche Anfragen direkt und ausschließlich Ihren Datenschutzbeauftragten erreichen?

Die Aufgaben des Datenschutzbeauftragten sind gesetzlich bestimmt. Die des Unternehmens allerdings auch. Der Datenschutzbeauftragte kann und darf dem Unternehmen die Verantwortung für den Datenschutz nicht abnehmen. Er darf und muss unterstützen, aber nicht mehr. Übernimmt er die Verantwortung oder verspricht die vollständige Umsetzung, schuldet er einen Erfolg und bringt sich dadurch automatisch in einen Interessenskonflikt. Er darf dann nicht mehr für Sie als Datenschutzbeauftragter tätig sein!

Soweit vereinbart, unterstützen wir Sie nach Kräften bei der Erfüllung von Anforderungen für eine geeignete Zertifizierung. Wir erfinden aber keine aussagelosen Siegel, bei denen für den Markt nicht erkennbar ist, was die Anforderungen zur Erteilung waren. Und wir bestätigen nicht den Erfolg unserer eigenen Bemühungen. Auch dies steht der gesetzlich zwingend geforderten Unabhängigkeit und Zuverlässigkeit des Datenschutzbeauftragten entgegen und stellt seine Bestellung in Frage.

Wir versprechen nur, was wir versprechen dürfen! Das halten wir dann aber auch.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Verspricht der Datenschutzbeauftragte einen Erfolg, der unzulässig zugleich seiner Kontrolle unterliegt?

Falsche Beratung kann sehr teuer werden. Die Haftung bei Datenpannen und Datenschutzverstößen trifft in allererster Linie das Unternehmen selbst. Unter bestimmten Voraussetzungen kann ein Rückgriff auf den Datenschutzbeauftragten möglich sein.

Wir sind ausreichend versichert! Die Versicherung deckt materielle und immaterielle Schäden ab.

Prüffrage für Ihren Vergleich mehrerer Anbieter: Besteht beim Anbieter eine angemessene Versicherung, auch für immaterielle Schäden?

Wir beraten nicht nur nach anerkannten Regeln, wir leben diese auch selbst.

Unser eigenes Datenschutzmanagementsystem ist nach anerkannten best practises aufgebaut. Im Bereich der Informationssicherheit ist dies durch die Zertifizierung nach ISO 27001 belegbar. Auch ein TISAX Ergebnis liegt für uns vor!

Prüffrage für Ihren Vergleich mehrerer Anbieter: Erfolgt die Beratung nach allgemein anerkannten Regeln, die der Berater auch nachweislich selbst befolgt?

Haben Sie den passenden Anbieter gefunden, empfehlen wir Ihnen dieses Vorgehen für die Bestellung des externen Datenschutzbeauftragten.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.