Geldstrafe

Limonade statt Zitrone

Was kostet ein externer Datenschutzbeauftragter?

„Es kommt darauf an“ – Was kostet ein externer Datenschutzbeauftragter?

Was kostet ein externer Datenschutzbeauftragter?„, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen.  Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

  • Was kostet ein Auto?
  • Wie teuer ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: „Es kommt darauf an!“

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. „Einführungsphase“ gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde,  schließt sich nun die „Betreuungsphase“ als externer Datenschutzbeauftragter an.  Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

  • Bußgeld (Ausnahme: öffentliche Stellen)
  • Ihren guten Ruf z.B. bei Datenpannen
  • Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Auftragsverarbeitung – Definition, Beispiele, Massnahmen, Risiken (Update) – früher Auftragsdatenverarbeitung

Auftragsverarbeitung, das Auslagern von Datenverarbeitungsprozessen durch den Auftraggeber auf externe Dienstleister, ist ein häufiges Mittel zur Kostensenkung und der Nutzung von externem Know How – Stichwort „Outsourcing“. Sind hiervon personenbezogene Daten betroffen, findet Art. 28 DSGVO Auftragsverarbeiter Anwendung.

Schnell kommt es bei der Einschätzung, ob eine Auftragsverarbeitung vorliegt, zu Mißverständnissen und der Auftraggeber läuft Gefahr, gemäß DSGVO mit Geldbußen durch die Datenschutzbehörden belegt zu werden. Von Imageschäden in der Öffentlichkeitswahrnehmung nicht zu reden. Eine sorgfältige Prüfung durch einen Berater für Datenschutz oder einen Datenschutzbeauftragten hilft, diese Risiken zu minimieren und die notwendigen Regelungen umzusetzen.

Folgende Kriterien (Auswahl) unterstützen die Bewertung über das Vorliegen einer Auftragsverarbeitung:

  • Dem Auftragnehmer fehlt die Entscheidungsbefugnis über die übermittelten Daten.
  • Dem Auftragnehmer ist die Nutzung der überlassenen Daten über den eigentlichen Überlassungszweck hinaus verboten.
  • Der Auftragnehmer nutzt nur die ihm überlassenen Daten.
  • Die Datenverarbeitung wird nach außen durch den Auftraggeber vertreten.
  • Der Auftragnehmer steht in keiner vertraglichen Beziehung zu den Betroffenen der personenbezogenen Daten.

Einige praktische Beispiele von Auftragsverarbeitung:

  • Outsourcing des Rechenzentrums (ganz oder teilweise).
  • Software as a Service / Cloud-Services (nicht nur reine Dateiablage).
  • Marketingaktionen, Kundenumfragen, Newsletterversand durch eine externe Agentur.
  • Beauftragung eines Callcenters für Kundensupport oder Kundengewinnung.
  • Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern.
  • Externe Lohn- und Gehaltsabrechnung.
  • Externe Rechnungsbearbeitung / Buchhaltung.
  • Zugriff auf personenbezogene Daten vor Ort bei Auftraggeber

Aber auch weitere Leistungen sind ebenfalls von den Regelungen zu Art. 28 DSGVO betroffen (Beispiele):

  • Wartung von Servern und Computern durch einen externen Dienstleister (wichtig: auch Fernwartung!)
  • Parametrisierung oder Pflege von Software (Updates etc.), über die Zugriff auf personenbezogene Daten möglich ist.
  • Systemmigrationen.

Was heisst das jetzt für Sie als Auftraggeber?

  • Liegt eine Auftragsverarbeitung vor, muss diese schriftlich geregelt werden.
  • Sie als Auftraggeber müssen die im Vertrag festgeschriebenen Massnahmen zum Datenschutz und zur Datensicherheit beim Auftraggeber in geeigneter Form kontrollieren – im Zweifel persönlich vor Ort beim Auftragnehmer.
  • Für die Einhaltung der gesetzlichen Datenschutzvorschriften sind Sie als Auftraggeber verantwortlich, nicht der Auftragnehmer (dies wird oft irrtümlich falsch eingeschätzt).
  • Eine einfache Erklärung des Auftragnehmers über die Einhaltung der Datenschutzvorschriften ist nicht ausreichend!

Was heisst das jetzt für Auftragnehmer?

  • Als Auftragnehmer haben Sie sich ebenfalls den Regelungen des Art. 28 DSGVO zu unterwerfen und stehen in der Pflicht, Ihren Auftraggeber bei der Umsetzung zu unterstützen.
  • Zukunftsorientierte Unternehmen haben ein stichhaltiges Datenschutzkonzept samt einer vorformulierten Vereinbarung gem. Art. 28 DSGVO bereits in der Schublade und gehen damit aktiv auf ihre Bestandskunden zu. Ein kleines, aber sehr wirkungsvolles Detail, um sich positiv vom Wettbewerb abzuheben und ihren Auftraggeber  von ihrer Leistungsfähigkeit zu überzeugen.
  • Wenig hilfreich: den Auftraggeber vor die Wahl stellen – entweder ohne diese Vereinbarung samt Kontrollrechte zusammenzuarbeiten oder es eben sein zu lassen. Außer Sie sind sich sicher, Ihrem Auftraggeber ist Ihre Dienstleistung oder Ihr Produkt ohne Regelungen zur Auftragsverarbeitung ein Bußgeld wert.

Mit Bedacht sollten Musterverträge aus dem Internet eingesetzt werden. Teilweise entsprechen diese nicht den aktuellen Regelungen aus den letzten Novellierungen des Datenschutzrechts. Diese können zwar sinnvolle Ansatzpunkte liefern, ersetzen jedoch weder die individuell notwendige Anpassung auf die vorliegende Auftragsverarbeitung noch die rechtlich sichere Einschätzung, welche Maßnahmen hierzu notwendig sind.

Daher kann zur Vermeidung von Bußgeldern und Imageschäden nur jedem Unternehmen und Unternehmer geraten werden, einen Berater / Anwalt für Datenschutz oder Datenschutzbeauftragten hinzuzuziehen. Dieser stellt die korrekte Umsetzung sicher und haftet im Zweifel für mögliche Versäumnisse aus seiner Tätigkeit.

Hilfreiche Links und Tipps zur Auftragsverarbeitung im Internet:

Seminar „Rechtliche Aspekte der IT-Nutzung“

Am 21.10.2015 findet das BVS Seminar „Rechtliche Aspekte der IT-Nutzung“ in Nürnberg mit Sascha Kuhrau als Referenten statt. Das Seminar richtet sich an IT-Führungskräfte, Administratoren, Datenschutzbeauftragte, Personalreferenten und Betriebsräte, aber auch an Geschäftsführung / Organisationsleitung.

Inhalte sind unter anderem:

Juristische Konsequenzen von Schäden und Fehlverhalten

  • Schadenersatz und Haftung
  • Straf- und Bußgeldvorschriften

IT-Arbeitsrecht/Mitarbeiterdatenschutz

  • Privatnutzung von E-Mail und Internet
  • IT-Protokollierung und Auswertung
  • Videoüberwachung
  • Heimarbeit
  • Bring your own device (BYOD)
  • Mitarbeiterfotos auf der Webseite
  • Einsichtnahme in persönliche E-Mail-Konten und Ablagen
  • Legale Kontrollen und interne Ermittlungen

Internet-Recht

  • Rechtliche Risiken sozialer Medien
  • Impressum und Datenschutzerklärung
  • Auftragsdatenverarbeitung (IT-Outsourcing und Cloud Computing)

Die Veranstaltung findet im BVS Bildungszentrum Nürnberg statt. Beginn ist um 9.00 Uhr, Ende voraussichtlich um 16.30 Uhr. Referent ist Herr Sascha Kuhrau von a.s.k. Datenschutz. Ich freue mich auf Ihre Teilnahme.

Zur Anmeldung (Lehrgangsgebühr 170 Euro wird von der BVS erhoben)

Wozu Big Brother Container? Waschanlage reicht!

Personal, aber auch Kunden standen im Fokus einer ausgedehnten Videoübewachung der Essener Autowaschkette Mr. Wash. In 8 von 33 Filialen wurden 60 Kameras nicht rechtskonform betrieben. Das war dem NRW-Landesbeauftragten für Datenschutz ein Bußgeld in Höhe von 64.000 Euro wert, meldet WAZ. Dabei kam der Kette zu Gute, sich bei den Ermittlungen im Verfahren „kooperativ“ verhalten zu haben.

Interessant ist die Aufteilung des Bußgeldes. 54.000 Euro wurden wegen des schweren Verstoßes gegen das Bundesdatenschutzgesetz durch die Videoüberwachung verhängt. Die restlichen 10.000 Euro wurden dafür fällig, bisher keinen Datenschutzbeauftragten bestellt zu haben, obwohl die gesetzliche Bestellpflicht vorlag.

In unserem Datenschutz Blog finden Sie einen Beitrag zur umsichtigen und rechtskonformen Umsetzung einer Videoüberwachung.

Planen Sie die Installation einer Videoüberwachungsanlage? Haben Sie bereits eine solche Lösung im Einsatz und sind sich über die Rechtskonformität im Unklaren? Dann fragen Sie doch Ihren Datenschutzbeauftragten. Sie haben keinen? Sprechen Sie uns an.

Offener Email-Verteiler führt zu Bußgeld gegen Unternehmen

Schon jedem Mal passiert

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email verteilt werden. Mailprogramm geöffnet, Text geschrieben, aus dem Adreßbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akurat mit Vor-, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Mißgeschick aufmerksam und läßt es darauf beruhen.

Ihr ist das auch passiert

Eine Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Der ewiger Mahner

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email-Adresse sind personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall.

Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.

Wer zahlt?

In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt.

Das BayLDA teilt jedoch mit, daß es in einem ähnlichen Fall in Kürze zu einem Bußgeld gegen ein anderes Unternehmen kommen wird. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hat nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.

Aufklärung ist Pflicht

Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen.

Was ist zu beachten?

Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adreßieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den gleichen rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.

Hier finden Sie den ganzen Beitrag des BayLDA vom 28.06.2013.