Limonade statt Zitrone

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Was kos­tet ein exter­ner Daten­schutz­be­auf­trag­ter?”, die­se Fra­ge wird desöf­te­ren per Email oder als Blog-Kom­men­tar an uns her­an­ge­tra­gen.  Eine nach­voll­zieh­ba­re Fra­ge, gera­de wenn das eige­ne Unter­neh­men unter die gesetz­li­che Bestell­pflicht für einen Daten­schutz­be­auf­trag­ten fällt. Und gera­de in wirt­schaft­lich anstren­gen­den Pha­sen sind die Kos­ten ein rele­van­ter Fak­tor. Sind kei­ne wei­te­ren Anga­ben vor­han­den, dann fällt die Beant­wor­tung in etwa so leicht wie die von Fra­gen wie

  • Was kos­tet ein Auto?
  • Wie teu­er ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächs­ten Som­mer­ur­laub bezahlen?

Die ehr­li­che Ant­wort auf die Fra­ge nach den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten kann in die­sem Fall nur lau­ten: “Es kommt dar­auf an!”

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Daten­schutz ist kein Pro­dukt von der Stan­ge, auch wenn das eine oder ande­re rei­ße­ri­sche Bil­lig­hei­mer-Ange­bot das glau­ben machen will. Daten­schutz ist stets eine indi­vi­du­el­le Leis­tung maß­ge­schnei­dert auf Ihre Orga­ni­sa­ti­on. Jede Unter­neh­mung ver­fügt über eine eige­ne Aus­gangs­si­tua­ti­on (Sta­tus Quo wie Anzahl der Mit­ar­bei­ter, Filia­len, Betriebs­rat, Richt­li­ni­en etc.), unter­schied­li­che Res­sour­cen zur Umset­zung, eine Viel­falt an zu betrach­ten­den Fak­to­ren (bei­spiels­wei­se die unter­schied­lichs­ten IT-Lösun­gen) und ein not­wen­di­ges Schutz­ni­veau je nach Bran­che und Art der per­so­nen­be­zo­ge­nen Daten in der Organisation.

All die­se Punk­te bedeu­ten ein Mehr oder Weni­ger an Auf­wand in der Umset­zung und Betreu­ung im Rah­men der Auf­ga­ben eines Daten­schutz­be­auf­trag­ten nach Art. 39 DSGVO. Sie wir­ken sich dem­nach direkt auf die ent­ste­hen­den Kos­ten aus. Umso wich­ti­ger ist es, mög­lichst vie­le die­ser Aspek­te zu ken­nen, um die ein­gangs genann­te Fra­ge seri­ös und vor allem ohne spä­te­re Preis­nach­ver­hand­lun­gen beant­wor­ten zu kön­nen. Zu die­sem Zweck kön­nen Sie unser kom­for­ta­bles Online-For­mu­lar nut­zen und damit Ihr Ange­bot anfor­dern. Ihre Anga­ben wer­den selbst­ver­ständ­lich ver­trau­lich behandelt.

Wuss­ten Sie schon, dass zahl­rei­che unse­rer Leis­tun­gen aus offi­zi­el­len För­der­mit­teln bezu­schusst wer­den kön­nen? Hier erfah­ren Sie mehr über För­der­mög­lich­kei­ten und Zuschüs­se für Bera­tungs­leis­tun­gen Daten­schutz & Infor­ma­ti­ons­si­cher­heit von a.s.k. Daten­schutz. Ein wei­te­rer Fak­tor, der Sie unter­stützt, die Belas­tung für die Kos­ten eines exter­nen Daten­schutz­be­auf­trag­ten gering zu halten.

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Im Rah­men eines ein- bis mehr­tä­gi­gen Daten­schutz-Audits vor Ort (zu Coro­na-Zei­ten erst mal nur remo­te) wird der Sta­tus Quo des Daten­si­cher­heit- und Daten­schutz-Niveaus Ihrer Orga­ni­sa­ti­on ermit­telt. Klar defi­nier­te Fra­gen­ka­ta­lo­ge zusam­men mit Ein­zel- und Grup­pen­ge­sprä­chen erge­ben ein deut­li­ches Bild und bil­den die Grund­la­ge für alle wei­te­ren Akti­vi­tä­ten. Nach Aus­wer­tung des Audits und der Gesprä­che steht ein Kata­log von Maß­nah­men und Emp­feh­lun­gen fest, mit des­sen Umset­zung die gesetz­lich vor­ge­schrie­be­nen Not­wen­dig­kei­ten in Ihrem Unter­neh­men sicher­ge­stellt wer­den. Der Kata­log wird in der sog. “Ein­füh­rungs­pha­se” gemein­sam unter Zuhil­fe­nah­me eines Online Pro­jekt Tools umge­setzt. Der Auf­wand für die­se Pha­se wird in Mann­ta­gen gemäß Ihren Anga­ben kal­ku­liert und abge­rech­net. Zumeist ist ein Pau­schal­preis ver­ein­bart, der alle Leis­tun­gen die­ser Pha­se umfasst. Beach­ten Sie mög­li­che För­der­mit­tel und Zuschüs­se.

Nach­dem in der Ein­füh­rungs­pha­se die not­wen­di­ge Basis geschaff­ten wur­de,  schließt sich nun die “Betreu­ungs­pha­se” als exter­ner Daten­schutz­be­auf­trag­ter an.  Die­se umfasst ein­ma­li­ge und wie­der­keh­ren­de Auf­ga­ben wie sie Arti­kel 39 DSGVO vor­sieht. Selbst­ver­ständ­lich haben wir die­se Auf­ga­ben um eini­ge wei­te­re Tätig­kei­ten für Sie ergänzt, sofern dadurch kei­ne Inter­es­sens­kon­flik­te zu den Kern­auf­ga­ben des Daten­schutz­be­auf­trag­ten ent­ste­hen. Zu den Auf­ga­ben lesen Sie mehr in unse­rem sepa­ra­ten Blog-Beitrag.

Was kos­tet es Sie auf jeden Fall …

… wenn Sie kei­nen Daten­schutz­be­auf­trag­ten benen­nen, obwohl Sie gesetz­lich dazu ver­pflich­tet sind.

  • Buß­geld (Aus­nah­me: öffent­li­che Stellen)
  • Ihren guten Ruf z.B. bei Datenpannen
  • Viel Ärger mit der Aufsichtsbehörde

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Die Vor­tei­le einer exter­nen Bestel­lung lie­gen für klei­ne und mit­tel­stän­di­sche Unter­neh­men aber auch Kom­mu­nen klar auf der Hand. Dabei spie­len nicht nur die kal­ku­lier­ba­ren und über­schau­ba­ren Kos­ten eine gro­ße Rol­le. Ihre Orga­ni­sa­ti­on pro­fi­tiert spür­bar vom Ein­satz eines exter­nen Datenschutzbeauftragten.

aboutpixel.de / Roter gehts nicht © Rainer Sturm

Der Auf­re­ger

Ende 2014 war die Auf­re­gung groß. Face­book kün­dig­te eine Ände­rung sei­ner Datennut­zungsschutz­richt­li­nie für 2015 an. Der Stein des Ansto­ßes fin­det sich gleich zu Beginn

“Du gibst uns eine nicht-exklu­si­ve, über­trag­ba­re, unter­li­zen­sier­ba­re, gebüh­ren­freie, welt­wei­te Lizenz zur Nut­zung jeg­li­cher IP-Inhal­te, die du auf oder im Zusam­men­hang mit Face­book pos­tet („IP-Lizenz“). Die­se IP-Lizenz endet, wenn du dei­ne IP-Inhal­te oder dein Kon­to löscht, außer dei­ne Inhal­te wur­den mit ande­ren Nut­zern geteilt und die­se haben die Inhal­te nicht gelöscht.“

Kurz: alles, was Du als Nut­zer pos­test, wird von uns ver­wer­tet. Oder wie es unser Part­ner­blog daten​schutz​be​auf​trag​ter​-info​.de so pas­send for­mu­liert: “Friss oder stirb”

Das Laby­rinth des Minotaurus

Wer die Funk­ti­ons- und Vor­ge­hens­wei­se von Face­book kennt, der weiß, wie schwie­rig es ist, sein Pro­fil dort zu löschen. Regel­mä­ßig ändern sich die Menü­struk­tu­ren und sol­che “unwich­ti­gen” Funk­tio­nen ver­schwin­den zuun­terst am Ende in The­men­be­rei­chen, wo sie Otto Nor­mal­ver­brau­cher im Zwei­fel nicht sucht oder fin­det. Und wenn der Nut­zer dabei ver­se­hent­lich noch die eine oder ande­re Ein­stel­lung zu Pri­vat­sphä­re und Daten­schutz falsch inter­pre­tiert, gibt er noch mehr über sich preis, statt sein Pro­fil loszuwerden.

Time to say good bye

Für die­je­ni­gen, die nun wirk­lich genug haben, von der Daten­sam­mel­wut und der Igno­ranz deut­scher und euro­päi­scher Geset­ze, der kann sein Face­book Pro­fil schnell und ein­fach löschen. Unse­re Schritt-für-Schritt Anlei­tung, wie Sie Ihren Account bei Face­book los­wer­den können:

  1. Letzt­ma­lig bei Face­book einloggen
  2. Den Link https://​www​.face​book​.com/​h​e​l​p​/​c​o​n​t​a​c​t​.​p​h​p​?​s​h​o​w​_​f​o​r​m​=​d​e​l​e​t​e​_​a​c​c​o​unt aufrufen
  3. Die Opti­on “Kon­to löschen” auswählen
  4. Jetzt müs­sen Sie noch mal Ihr Pass­wort ein­ge­ben und die Cap­t­cha Sicher­heits­ab­fra­ge bestä­ti­gen. Ein Schelm, wer böses dabei denkt, wie­so das Cap­t­cha so schlecht les­bar ist und man im Zwei­fel meh­re­re Anläu­fe benötigt
  5. Geschafft

Vor­sicht Falle

Face­book geht davon aus, dass Sie Ihr Pro­fil eigent­lich gar nicht löschen woll­ten. Daher wird Ihr Account erst mal nur für 14 Tage deak­ti­viert, sprich nie­man­dem mehr ange­zeigt. Sobald Sie sich in die­sem Zeit­raum noch mal ein­log­gen, und sei es nur um Nach­zu­schau­en, ob das Face­book Pro­fil wirk­lich gelöscht ist, schwupp ist es wie­der aktiv. Also Geduld haben.

Wider­spruch per Time­li­ne zwecklos

Wie ein Virus gras­siert regel­mä­ßig ein Bild und /​ oder Text in den Time­li­nes zahl­rei­cher Nut­zer mit der Auf­for­de­rung, dies zahl­reich zu tei­len. Sinn­ge­mäß soll damit der Daten­nut­zung durch Face­book wider­spro­chen wer­den. Recht­lich unwirk­sam, daher sinnlos.

Am Ende des Tages bleibt es also beim “Friss oder Stirb” .…

 

 

 

 

Verkehrsschild links rechts Datenschutz © AK-DigiArt - Fotolia.com

Unter­wegs zum heu­ti­gen AKDB Kom­mu­nal­fo­rum in Mün­chen mit fast 700 Teil­neh­mern lese ich einen Kom­men­tar zur geplan­ten PKW Maut. Dar­in heißt es sinn­ge­mäß, bor­nier­te Daten­schüt­zer wür­den die­se Plä­ne als unver­ein­bar mit dem Daten­schutz Recht hal­ten. Die­sem Ein­druck des Kom­men­ta­tors kann ich mich nicht anschlie­ßen. Nie­mand, der sich mit der Mate­rie Daten­schutz und sei­nen Grund­la­gen ernst­haft aus­ein­an­der­setzt, wird die geplan­te PKW Abga­be per se als nicht daten­schutz­kon­form ein­stu­fen oder die­se daten­schutz­recht­lich als undurch­führ­bar deklarieren.

Geht es bei der aktu­el­len Dis­kus­si­on doch viel­mehr dar­um, was mit einer sol­chen umfang­rei­chen Daten­samm­lung über den eigent­li­chen Zweck “Maut” hin­aus, noch pas­sie­ren soll. Das Zau­ber­wort im Daten­schutz heißt Zweck­bin­dung. Noch liegt kei­ne fer­ti­ge und umsetz­ba­re Beschrei­bung des Ver­fah­rens auf dem Tisch, da wer­den Rufe sei­tens der Ermitt­lungs­be­hör­den laut, auf die­se Daten eben­falls Zugriff neh­men zu wol­len. Jede Art von Daten­samm­lung erzeugt Begehr­lich­kei­ten. Umso umfang­rei­cher die­se Samm­lung wird, des­to mehr staat­li­che Stel­len wol­len dar­auf zugrei­fen. Begrün­dun­gen dafür fin­den sich zuhauf, sie­he auch die aktu­el­len Aus­sa­gen des schei­den­den BKA-Chefs Ziercke. Im Zwei­fel wird der lang­sam abge­dro­sche­ne The­men­be­reich Gefah­ren­ab­wehr und Ter­ror­be­kämp­fung bemüht.

Gren­zen müs­sen sein, Dis­kus­sio­nen — zumin­dest kon­struk­ti­ver Art — eben­falls. Wenig hilf­reich ist es jedoch, einen gan­zen Berufs­stand zu ver­all­ge­mei­nern und ihm pani­sche Ableh­nungs­hal­tung zu unter­stel­len. Skep­sis und Hin­ter­fra­gen soll­te stets mög­lich sein, ohne pau­scha­le (Vor-) Ver­ur­tei­lun­gen. Im Gegen­zug könn­te man dem Kom­men­ta­tor und allen wei­te­ren Befür­wor­tern der PKW Maut unter­stel­len, obrig­keits­hö­ri­ge Ja Sager zu sein. Schlech­ter Stil im Rah­men der not­wen­di­gen Dis­kus­si­on über und Beschäf­ti­gung mit dem Thema.

Ob und inwie­weit die­se geplan­te Maut sinn­voll ist, finan­zi­el­le Vor­tei­le bringt oder gar am Ende des Tages auf EU Ebe­ne gekippt wird, sind The­men, die auf ande­ren Spiel­fel­dern und mit ande­ren Mit­spie­lern aus­ge­tra­gen wer­den müssen.

Mann mit Lupe - Unter Beobachtung

Mann mit Lupe - Unter BeobachtungZum 01.03.2012 beglückt uns Goog­le mit neu­en Daten­schutz­be­stim­mun­gen. Und wie immer alles nur zum Woh­le der Nutzer 😉

Ab die­sem Tag erhal­ten wir per­so­na­li­sier­te Goog­le-Such­ergeb­nis­se, ob uns das passt oder nicht. Aus­lö­ser ist das sog. Web­pro­to­koll, das hin­ter jedem Goog­le Account geführt wird. Wie üblich, ist die­ses stan­dard­mä­ßig akti­viert. Die­ses Pro­to­koll zeich­net alle Akti­viä­ten — auch dienste­über­grei­fend — des Nut­zers auf, sofern man über einen Goog­le Account eines der Diens­te ver­fügt. Bis­her durf­ten die­se Daten nicht ver­eint wer­den, der 01. März 2012 ändert dies. Mit den neu­en Daten­schutz­be­stim­mun­gen, eine für alle Diens­te, kann Goog­le die­se Daten nun zusam­men­füh­ren. Und das ganz unab­hän­gig davon, ob es Alt- oder Neu­da­ten sind. Grund genug, die vor­han­de­nen Daten zu löschen und die Auf­zeich­nung neu­er Daten einzuschränken.

Wie das geht, ver­rät das Com­pu­ter­ma­ga­zin “Chip” in einem Arti­kel samt anschau­li­cher Bild-Anlei­tung.

Mehr Infor­ma­tio­nen zu Goo­g­les neu­en Daten­schutz­be­stim­mun­gen fin­den Sie in einem lesens­wer­ten Bei­trag von daten​schutz​be​auf​trag​ter​-info​.de

Erwei­ter­ter Zuständigkeitsbereich

Seit die­sem Monat ist der hes­si­sche Daten­schutz­be­auf­trag­te nicht mehr nur für die Daten­schutz­kon­trol­le in den Behör­den des Bun­des­lan­des zustän­dig. Sei­ne Befug­nis­se wur­den erwei­tert und auf die nicht-öffent­li­chen Berei­che, also Unter­neh­men ausgeweitet.

Viel Feind’, viel Ehr’

Dies nahm er zum Anlaß, um bereits im Juni 2011 ver­stärk­te Kon­trol­len gegen Strom­ver­sor­ger, Ban­ken und Dro­ge­rie­ket­ten anzu­kün­di­gen. Intel­li­gen­te Strom­zäh­ler, die Bespit­ze­lung von Mit­ar­bei­tern und der Umgang mit Kun­den­da­ten — gera­de bei Ban­ken und der SCHUFA — ste­hen auf sei­ner Prüf­lis­te. Ver­stö­ße will er ahn­den, “mit Sank­tio­nen bis hin zu Buß­geld­be­schei­den”.

Eigen­ver­ant­wor­tung tut Not

In der letz­ten Zeit meh­ren sich die Stim­men, daß Ver­brau­cher auf­grund ihres Rechts auf infor­ma­tio­nel­le Selbst­be­stim­mung auch die Ver­pflich­tung haben, selbst auf­Ih­re Daten zu ach­ten und wem sie die­se anver­trau­en. Er stößt in das sel­be Horn und äußert z.B. zu Kun­den­kar­ten wie PAYBACK: “[…] die Daten der Kun­den wer­den ver­kauft. Doch die Gefahr ist den Men­schen nicht bewusst.”

Sor­ge berei­te ihm eben­falls der sorg­lo­se Umgang von Kin­dern und Jugend­li­chen mit ihren Daten. “Die wis­sen nicht, was sie anrich­ten, und das Inter­net ver­gisst nichts, des­halb muss man sie schützen.” 

Die Hoff­nung stirbt zuletzt

Für die Zukunft hofft er, daß sich Daten­schutz zu einem Wirt­schafts­fak­tor ent­wi­ckelt. “Sobald es sich wirt­schaft­lich aus­zahlt, dass man sei­nen Kun­den Ver­trau­lich­keit zusi­chern kann, ist der Daten­schutz auf dem bes­ten Weg, auch in den pri­va­ten Bereich Ein­zug zu halten.”

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.