Externer Datenschutz-Beauftragter nach DSGVO und BDSG

Der Datenschutzbeauftragte wirkt im Unternehmen darauf hin, dass die gesetzlichen Vorgaben zum Schutz personenbezogener Daten eingehalten werden. Er ist die Person, die den Unternehmer von überbordender Bürokratie des Datenschutzmanagements entlasten kann. Wir legen größten Wert darauf, dass unsere Leistungen und Kosten für unsere Kunden absolut transparent sind. Daher bieten wir als Rahmenvertragspartner verschiedener großer Organisationen attraktive Festpreispakete an.

Leistungen

Folgende Leistungen sind in unserem Leistungspaket „externer Datenschutzbeauftragter“ enthalten:

  • die Benennung des Datenschutzbeauftragten
  • Erfüllung der gesetzlichen Pflichten des Datenschutzbeauftragten
  • Soforthilfe bei Datenschutzvorfällen („Incident Response Service“)
  • Jährliches Audit des Verantwortlichen (als Online-Audit)
  • Jährliche verpflichtende Schulung der Mitarbeiter (als Online-Schulung)
  • Beratung und Mitwirkung bei der Erstellung von Datenschutz-Folgenabschätzungen

Sichern auch Sie Ihre Organisation noch heute ab!

Fordern Sie Ihr individuelles Angebot noch heute an.

Leistungsbeschreibung

Unsere Komplett-Angebote beinhalten immer die folgenden Leistungen:

Z

Benennung d. Datenschutzbeauftragten

Z

Handlungsempfehlungen zur Umsetzung der datenschutzrechtlichen Anforderungen

Z

Datenschutzerklärung für Ihre Webseite

Z

Schulungen für Ihre Mitarbeiter (digital)

Z

Datenschutz-Dossiers mit techn. & rechtl. Update

Z

Jährliche Tätigkeitsberichte

Z

Datenschutzhandbuch

Z

Umfangreiche Vorlagen-Bibliothek

Z

Verzeichnis von Verarbeitungstätigkeiten (VVT) und Technisch-organisatorische Maßnahmen (TOM)

Z

Standardprozesse bzw. Verarbeitungstätigkeiten

Z

Bewährte Datenschutz-Software inklusive

Z

Beratung bspw. bei der Erarbeitung der Dokumentationen, des Datenschutzhandbuchs oder Durchführung von Datenschutz-Folgenabschätzungen

Z

Siegel „Geprüftes Datenschutzmanagement“

Optionale Leistungen

Y

Beratungsleistungen wie Bearbeitung von Datenschutzvorfällen (Notfälle), Prüfung von Aufsichtsbehörden, Unterstützung bei Vertragsstreitigkeiten, Unterstützung und Durchführung von Datenschutz-Audits bei Partner oder Begleitung von externen Datenschutzaudits im Haus des Kunden

Y
Erstellung individueller Auftragsverarbeitungsverträge oder Prüfung der von Dritten erstellten AVV
Y

Umfassende technische Prüfung von Websites

Y

Prüfung der Konformität von Software/Hardware

Y
Individuelle Schulungen (bspw. Geschäftsführung, Führungskräfte, Personalverantwortliche, …)

Warum ein externer Datenschutzbeauftragter?

Gerade im Mittelstand bringt die Benennung eines externen Datenschutzbeauftragter oft eine Vielzahl von Vorteilen gegenüber der Beschäftigung eines internen betrieblichen Datenschutzbeauftragten.

intern: Zeitintensive und aufwendige Weiterbildungsmaßnahmen zur Erlangung der Fachkunde sowie Freistellungen für die Schulungsdauer

extern: Zertifizierte, bereits vorhandene und sofort abrufbare Fachkunde

intern: Haftung im Rahmen der beschränkten Arbeitnehmerhaftung. Der Verantwortliche haftet vollumfänglich (inkl. seinem Privatvermögen)

extern: Haftung durch den externen DSB bei Beratungsfehlern, Risikominimierung für das Unternehmen und den Verantwortlichen

intern: Schwer kalkulierbare Kosten für Literatur, Büro, Arbeitsausfälle, Weiterbildung inkl. Übernachtung und Verpflegung

extern: Transparente Kostenstruktur durch vertraglich festgelegte Preise

intern: Interne DSB müssen zu mindestens 20-25% von Ihrer Hauptbeschäftigung freigestellt werden, d.h. Personalkosten für mind. ¼ Stelle entfallen auf den internen DSB

extern: Keine Bindung von Unternehmensressourcen

intern: Zusätzliche Kosten für Fort-und Weiterbildung (zzgl. Reisekosten + Verpflegungskosten)

extern: Weiterbildung durch dsXprt sichergestellt, keine Mehrkosten für Kunden

intern: Betriebsabläufe sind im Groben bereits bekannt

extern: Einarbeitung in die individuellen Betriebsabläufe notwendig

intern: Teilweise „Betriebsblindheit“ des Mitarbeiters für wichtige Details ist unvermeidlich

extern: Stets unvoreingenommene Herangehensweise mit Blick auf Details

intern: Abberufung nur in wichtigen Gründen (§ 626 BGB & § 4f Abs. 3 Satz 4), zusätzlich ein Jahr Kündigungsschutz nach Abberufung

extern: Abberufung bzw. Kündigung der Bestellung jederzeit möglich

intern: Stellvertreter muss zusätzlich bestimmt werden

extern: Stellvertretung ist gesichert

intern: I.d.R. keine übergreifenden Erfahrungen und keine Vergleichsmöglichkeiten

extern: Beratungsmehrwert durch Know-How aus anderen Unternehmen und Branchen

intern: Der interne DSB wird oft als parteiisch angesehen, der das Unternehmen nicht neutral vertritt

extern: Neutrale Position sowohl nach außen (gegenüber Betroffenen und Aufsichtsbehörden) als auch innerhalb des Unternehmens

intern: Eventuelle Interessenskonflikte

extern: Keine Interessenskonflikte

intern: Betriebsrat kann bei der Einstellung bzw. Umsetzung des internen DSB sein Mitbestimmungsrecht ausüben (§ 99 BetrVG)

extern: Betriebsrat hat kein Mitbestimmungsrecht für den externen DSB

Kosten eines internen DSB

Für die Berechnung gehen wir davon aus, dass in einem kleinen/mittelständischen Unternehmen (KMU) die Rolle des internen DSB nicht durch einen Mitarbeiter in Vollzeit ausgefüllt wird.

Annahme: Gehalt = 3.400 EUR/Monat (entspr. Personalkosten = 4.060 EUR/Monat)

  • Personalkosten 20% für DSB-Tätigkeiten: 812 EUR/Monat
  • Ausbildung DSB inkl. Nebenkosten (einmalige Kosten): 4.500 EUR
  • Fachliteratur und Weiterbildung: 3.700 EUR/Jahr
  • D&O-Versicherung: 1.000 EUR/Jahr

Durchschnittskosten: 1.222 EUR/Monat

Kosten eines externen DSB von dsXprt

Volle Transparenz und Planungssicherheit bei erheblich geringeren laufenden Kosten.

Ein monatlicher Pauschalbetrag deckt alle im Normalfall erforderlichen Dienstleistungen inkl. Beratungsstunden, Dokumentationen und Templates, Mitarbeiterschulungen, Incident Response Service, usw.) ab.

UNSER VERSPRECHEN: Keine versteckten Kosten, kein „Kleingedrucktes“. Statt dessen volle Transparenz über Kosten und
Leistungen von Anfang an.

 

Leistungen im Detail

Benennung des Datenschutzbeauftragten

Die Pflicht zur Benennung des Datenschutzbeauftragten ist für viele Unternehmen durch Art. 37 DSGVO i.V.m. § 38 BDSG gesetzlich vorgeschrieben (entsprechend gelten der § 36 KDG bzw. der § 36 DSG-EKD) und somit Bestandteil jedes unserer Leistungsangebote.

Erfüllung des gesetzlichen Pflichten des Datenschutzbeauftragten
Gem. Art. 39 Abs. I DSGVO obliegen dem Datenschutzbeauftragten zumindest folgende Aufgaben:

 

a) Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der Datenschutz-Grundverordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

b) Überwachung der Einhaltung der Datenschutz-Grundverordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c) Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO;

d) Zusammenarbeit mit der Aufsichtsbehörde;

e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Art. 36 DS-GVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Betroffene Personen können den Datenschutzbeauftragten zudem gem. Art. 38 Abs. IV DSGVO zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß der Datenschutz-Grundverordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

Incident Response Service
Im Fall eines datenschutzrelevanten Vorfalls im Unternehmen haben Sie als Verantwortlicher maximal 72 Stunden Zeit, Sofortmaßnahmen zu ergreifen und den Vorfall bei der zuständigen Aufsichtsbehörde zu melden. Mit unserem Incident Response Service unterstützen wir Sie, den Schaden zu begrenzen und andere rechtliche Auswirkungen zu minimieren. 

Für Kunden, die wir als vertraglich benannter Datenschutzbeauftragter beraten und vertreten, ist der Incident Response Service im monatlichen Pauschalhonorar inkludiert. Die sich aus den Sofortmaßnahmen ergebenden Aufwände werden mit unserem vereinbarten Stundenhonorar ohne Sonderaufschläge vergütet.

Jährliches Audit des Verantwortlichen
Der Datenschutzbeauftragte hat gem. Art. 39 Abs. I DSGVO die Pflicht zur Überwachung der Einhaltung der Datenschutz-Grundverordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Durchführung von regelmäßigen Audits.

 

Nach Art. 32 Abs. I DSGVO müssen der Verantwortliche und der Auftragsverarbeiter „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Zudem werden sie verpflichtet, „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ zu etablieren. Im jährlichen Audit wird sichergestellt, dass dieser Anforderung Genüge getan wird und analysiert, wie die getroffenen Maßnahmen am Besten im Einklang mit den organisatorischen und technischen Rahmenbedingungen des Unternehmens stehen können.

Jährliche verpflichtende Mitarbeiterschulung
Die Sensibilisierung der Mitarbeiter in Datenschutz-Belangen ist eine klare Anforderung der DSGVO an den Verantwortlichen. Die Schulung muss von jedem Mitarbeiter des Mandanten jährlich absolviert werden. Gem. Art. 39 Abs. I DSGVO obliegt die Überwachung der Einhaltung dieser (und anderer) Verpflichtungen dem Datenschutzbeauftragten. Für unsere Kunden gehen wir einen Schritt weiter und stellen als Bestandteil unserer Beratungsleistung ein Online Training zur Verfügung (auf Anfrage sind selbstverständlich auch Classroom-Trainings vor Ort möglich). Nach erfolgreichem Abschluss des Wissenstests erhält jeder Mitarbeiter ein Datenschutz-Zertifikat, das ein Jahr gültig ist.
Datenschutz-Standard-Prozesse
Zur Umsetzung der Anforderungen des DSGVO und des BDSG ist es erforderlich, im Unternehmen einige Standardprozesse zu etablieren und die Einhaltung dieses Prozesse durch alle Mitarbeiter (und ggf. Auftragsverarbeiter) sicherzustellen. Wichtige Beispiele hierfür sind der Notfall-Prozess (Im Fall eines Datenschutz-Vorfalls: Wer im Unternehmen tut wann was, um den Vorfall zu analysieren, Schaden zu begrenzen und den gesetzlichen Pflichten nachzukommen?) und der Anfrageprozess (Im Fall eines Auskunftsanfrage eines Betroffenen oder einer Datenschutz-Aufsichtsbehörde: Wer im Unternehmen hat was wann zu tun?). Auf Anfrage sind diese Prozesse der Aufsichtsbehörde vorzulegen.

Wir haben hierfür bewährte Standardprozesse erarbeitet, welche mandantenspezifisch angepasst und ständig weiterentwickelt werden.

Beratung und Mitwirkung bei der Dokumentation der Verarbeitungstätigkeiten
Der Art. 30 DSGVO verpflichtet Unternehmen zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten („Verarbeitungsverzeichnis“). Das Verarbeitungsverzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten und damit der rechtlichen Absicherung des Unternehmens und des Verantwortlichen. Es muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden und dient als Nachweis der Einhaltung des gesetzlichen Dokumentations-Verpflichtung.

Als Ihr Berater und/oder Datenschutzbeauftragter unterstützen wir Sie bei der Erstellung, Prüfung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten mit einem aktuellen Dokumentations-Framework und Beratungs-Expertise.

Beratung und Mitwirkung bei der Dokumentation der IT Sicherheit (TOMs)
Neben dem Verzeichnis der Verarbeitungstätigkeiten hat der Verantwortlich weiterhin dafür Sorge zu tragen, dass geeignete technische und organisatorische Maßnahmen (TOM, Art. 23 DSGVO) implementiert sind, die die technische Sicherheit der Datenverarbeitungsvorgänge wie auch die notwendigen Rahmenbedingungen in Form von Regeln, Vorgaben und Handlungsanweisungen sicherstellen.

Bei Verstößen gegen die Pflicht zur Dokumentation der TOMs drohen Unternehmen nach DSGVO zukünftig Bußgelder von bis zu zehn Millionen Euro bzw. bis zu zwei Prozent des weltweit erzielten Jahresumsatzes (der jeweils höhere Wert gilt).

Wir unterstützen Verantwortliche mit unserer Expertise, diese Dokumentation umfassend und gemäß der Anforderungen zu erstellen und aktuell zu halten.

Beratung und Mitwirkung bei Datenschutzfolgenabschätzungen
Gem. Art. 35 DSGVO führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Bei der Durchführung einer Datenschutz-Folgenabschätzung hat der Verantwortliche nach Art. 35 Abs. II DSGVO den Rat des Datenschutzbeauftragten einzuholen.

Als Ihr Datenschutzbeauftragter beraten und unterstützen wir Sie bei der Erstellung der Datenschutz-Folgenabschätzungen. Hierzu erhalten Sie geprüften Dokumentvorlagen, wodurch Ihr Aufwand auf ein Minimum reduziert werden kann.

Kontakt aufnehmen

Sprechen Sie mit uns!

 

Schreiben Sie uns!