Wenn Sie auf einen Experten als externen Datenschutzbeauftragten für Ihr Unternehmen setzen wollen, gilt es diesen sorgfältig auszuwählen und anschließend rechtskonform zu bestellen. Das hier beschriebene Best-Practice-Vorgehen hilft Ihnen dabei, den passenden Datenschutzbeauftragten für Ihr Unternehmen zu finden und eine optimale Zusammenarbeit zu beginnen.
1. Schritt: Auswahl des geeigneten Datenschutzbeauftragten
Wenn Sie sich im Unternehmen entschieden haben, anstelle eines Mitarbeiters (als betrieblichen Datenschutzbeauftragten) lieber einen Experten als externen Datenschutzbeauftragten zu bestellen, sollten Sie bei der Auswahl des geeigneten Dienstleisters mindestens auf folgende Merkmale achten:
- Die als externe Datenschutzbeauftragte zu bestellenden Mitarbeiter des Anbieters verfügen über eine entsprechende juristische Qualifikation mit Spezialisierung auf das Datenschutzrecht und die datenschutzrechtlichen Nachbargebiete. Datenschutz ist Querschnittsmaterie, deshalb werden über das Datenschutzrecht hinaus etwa Kenntnisse im Arbeitsrecht, öffentlichem Recht, Lauterkeitsrecht, Telekommunikationsrecht, etc. benötigt.
- Der Anbieter hat Mitarbeiter, die umfassende IT-Kenntnisse vorweisen können. Denn nur so kann der Datenschutzbeauftragte Ihre IT überhaupt richtig prüfen und Ihnen bei der konkreten Umsetzung der gesetzlichen Vorgaben in Ihrem Unternehmen helfen.
- Das Team des Anbieters verfügt nachweislich über eine mehrjährige Berufserfahrung im Bereich Datenschutz und Informationssicherheit, damit alle Beratungsprozesse möglichst hochgradig optimiert sind.
- Der Anbieter kann Erfahrungen aus Ihrer Branche vorweisen, so dass etwaige Spezialisierungen Ihres Geschäftsmodells nicht zu unerwarteten Hindernissen werden.
- Die Integration des internationalen Datenschutzrechts ist beim Anbieter eingeschlossen, damit Sie beim Einsatz von Cloud-Computing, Datentransfers in die USA oder dem Einsatz von Software-as-a-Service (SaaS) datenschutzkonform arbeiten können.
- Im Idealfall gestaltet der Anbieter seine Leistungs- bzw. Kostenstruktur transparent (z. B. als Datenschutz-Flatrate), so dass Sie vor Kostenfallen bzw. bösen Überraschungen sicher sind.
Lesen Sie hier, worauf Sie beim Vergleich mehrerer Anbieter und der Auswahl eines externen Datenschutzbeauftragten achten sollten.
2. Schritt: Kick-off-Meeting & Dokumentenprüfung
Nachdem Sie sich für das zu Ihrem Unternehmen passende Angebot entschieden haben, sollte eine Art Kick-off-Meeting stattfinden. Bei dieser ersten Besprechung (vor Ort) werden Ihr Management und andere Verantwortliche
- über die rechtlichen und tatsächlichen Anforderungen des Datenschutzes und der damit zusammenhängenden Fragen der Datensicherheit informiert
- und auf die zu erfüllenden Aufgaben vorbereitet.
Zu diesem Kick-off-Meeting sollten Sie dem Datenschutz-Dienstleister vorhandene Unterlagen über den aktuellen organisatorischen und technischen Status im Bereich Datenschutz und IT-Sicherheit vorlegen können. Manche Anbieter wollen diese Unterlagen bereits vorab sichten. Sie können in der Regel anonymisiert und von Geschäftszahlen bereinigt sein.
Der zukünftige externe Datenschutzbeauftragte wird diese Unterlagen sichten, bewerten und auf Vollständigkeit sowie Rechtskonformität überprüfen. Dabei prüft er unter Umständen auch gleich die Website Ihres Unternehmens mit.
3. Schritt: Datenschutz-Audit
Als nächster Schritt bei der Bestellung des externen Datenschutzbeauftragten folgt das Datenschutz-Audit direkt bei Ihnen im Unternehmen. Das Audit sollte an dem Standort erfolgen, an dem die maßgebliche Unternehmens-IT betrieben wird, damit sich die Prüfer einen konkreten Eindruck verschaffen können.
Im Rahmen des Datenschutz-Audits werden mit unterschiedlichen Verantwortlichen – insbesondere aus den Bereichen IT, Personal, Marketing und Vertrieb – Fragen zu IT-Sicherheitsmanagement, Datenschutzmanagement und Gebäudesicherheit abgeklärt.
Das Audit dient dazu, den Ist-Zustand im Bereich des Datenschutzes zu dokumentieren. Es werden die im Unternehmen bereits getroffenen und noch umzusetzenden Maßnahmen erfasst, die für einen datenschutzkonformen Zustand erforderlich sind.
Im Idealfall prüfen die Experten des Datenschutz-Anbieters nach anerkannten und systematischen Kriterien, etwa den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Davon können Sie ausgehen, wenn ein entsprechend zertifizierter Auditor dabei ist.
4. Schritt: Auditbericht & Maßnahmenkatalog
Der folgende Auditbericht stellt gewissermaßen die Arbeitsgrundlage für den zu bestellenden externen Datenschutzbeauftragten dar. Dieser kann daraus die fortlaufende Verbesserung der datenschutzrechtlichen Situation in Ihrem Unternehmen herleiten bzw. herbeiführen. Dafür sollte der Bericht
- eine ausführliche Beschreibung der beim Audit vorgefundenen datenschutzrechtlichen Situation im Unternehmen beinhalten und
- zu den einzelnen Befunden jeweils eine Handlungsempfehlung geben.
Bei sehr guten Datenschutz-Anbietern sind die Handlungsempfehlungen im Auditbericht mit verschiedenen Prioritätsstufen und Reifegraden versehen. Dadurch können Sie schnell erkennen, ob die Umsetzung die Erfüllung des gesetzlich geforderten Mindeststandards darstellt oder ein darüberhinausgehendes Datenschutz- und Informationssicherheitsmanagement verwirklicht.
5. Schritt: Bestellung des externen Datenschutzbeauftragten
Nach diesen wichtigen Vorbereitungsschritten sind Sie soweit: Sie können den Experten des Anbieters als externen Datenschutzbeauftragten bestellen. Die Bestellung als formaler Akt sollte dokumentiert erfolgen (z. B. mit unserer Vorlage zur DSB-Bestellung).
Je nach Anbieter kann es sein, dass Sie hierbei zwischen verschiedenen Tarifen wählen können, z. B. von der einfachen Umsetzung der gesetzlichen Mindestanforderungen bis hin zum proaktiven Datenschutz-Management. Bei der Entscheidungsfindung sollten Sie vor allem folgende Aspekte beachten:
- Wie viele Aufgaben wollen Sie an den externen Datenschutzbeauftragten delegieren – und wie viele können Sie überhaupt intern erledigen?
- Ist Ihr Unternehmen in einer hinsichtlich des Datenschutzes besonderen Branche (z. B. Finanzen, Gesundheit, Online-Marketing) tätig?
- Verfügt Ihr Unternehmen über mehrere Standorte, ggfs. sogar im Ausland bzw. handelt es sich um einen Konzern?
Fazit: Machen Sie den Datenschutz zur Chefsache
Die geschilderten fünf Schritte sind ein prototypischer Weg zur Bestellung eines externen Datenschutzbeauftragten im Unternehmen. Die Vorschläge beruhen auf der langjährigen Praxis der activeMind AG in diesem Bereich. Andere Anbieter können durchaus andere Wege nehmen.
Als Unternehmer sollten Sie jedoch darauf achten, dass Ihr Weg zum externen Datenschutzbeauftragten ähnlich systematisch erfolgt. Denn nur systematisch umgesetzter und entsprechend dokumentierter Datenschutz macht Ihr Unternehmen rechtskonform – und verschafft Ihnen darüber hinaus einen Wettbewerbsvorteil. Selbst wenn Ihnen das Thema Datenschutz also lästig erscheinen sollte, die Bestellung eines externen Datenschutzbeauftragten sollten Sie zur Chefsache machen!
Dieser aktualisierte Artikel wurde zuerst am 5. Dezember 2016 veröffentlicht.
Unser Vorgehen überzeugt Sie? Dann lassen Sie sich von uns ein individuelles Angebot für Ihren externen Datenschutzbeauftragten erstellen!