Strafe

Limonade statt Zitrone

Was kostet ein externer Datenschutzbeauftragter?

„Es kommt darauf an“ – Was kostet ein externer Datenschutzbeauftragter?

Was kostet ein externer Datenschutzbeauftragter?„, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen.  Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

  • Was kostet ein Auto?
  • Wie teuer ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: „Es kommt darauf an!“

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. „Einführungsphase“ gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde,  schließt sich nun die „Betreuungsphase“ als externer Datenschutzbeauftragter an.  Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

  • Bußgeld (Ausnahme: öffentliche Stellen)
  • Ihren guten Ruf z.B. bei Datenpannen
  • Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email oder Newsletter verteilt werden. Mail- oder Newsletter-Programm geöffnet, Text geschrieben, aus dem Adressbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akkurat mit Vor-, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Missgeschick aufmerksam und läßt es darauf beruhen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9!) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach über die eigene Webseite und auf Veranstaltungen vor und mit Unternehmen auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email- Adresse sind personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall. Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.

Doch wer zahlt jetzt das Bußgeld für den offenen Newsletter-Verteiler?

In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt. Das BayLDA teilte jedoch mit, daß es in einem ähnlichen Fall in zu einem Bußgeld gegen ein weiteres Unternehmen kam. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hatte nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.

Aufklärung ist Pflicht – Sorgfältiger Umgang mit Newslettern-Verteilern vermeidet Bußgelder

Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen. Was ist zu beachten? Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adressieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den selben rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.

Fragen Sie doch Ihren Datenschutzbeauftragten

Zum richtigen Umgang mit personenbezogenen Daten im Rahmen des Direktmarketings hilft Ihnen kompetent Ihr Datenschutzbeauftragter weiter. Sie haben keinen? Dann sollten Sie sich darum kümmern, da eine gesetzliche Bestellpflicht vorliegen kann. Sprechen Sie uns unverbindlich und kostenfrei an!

 

Wozu Big Brother Container? Waschanlage reicht!

Personal, aber auch Kunden standen im Fokus einer ausgedehnten Videoübewachung der Essener Autowaschkette Mr. Wash. In 8 von 33 Filialen wurden 60 Kameras nicht rechtskonform betrieben. Das war dem NRW-Landesbeauftragten für Datenschutz ein Bußgeld in Höhe von 64.000 Euro wert, meldet WAZ. Dabei kam der Kette zu Gute, sich bei den Ermittlungen im Verfahren „kooperativ“ verhalten zu haben.

Interessant ist die Aufteilung des Bußgeldes. 54.000 Euro wurden wegen des schweren Verstoßes gegen das Bundesdatenschutzgesetz durch die Videoüberwachung verhängt. Die restlichen 10.000 Euro wurden dafür fällig, bisher keinen Datenschutzbeauftragten bestellt zu haben, obwohl die gesetzliche Bestellpflicht vorlag.

In unserem Datenschutz Blog finden Sie einen Beitrag zur umsichtigen und rechtskonformen Umsetzung einer Videoüberwachung.

Planen Sie die Installation einer Videoüberwachungsanlage? Haben Sie bereits eine solche Lösung im Einsatz und sind sich über die Rechtskonformität im Unklaren? Dann fragen Sie doch Ihren Datenschutzbeauftragten. Sie haben keinen? Sprechen Sie uns an.

Sony wehrt sich gegen Geldstrafe wegen Hackerangriffs auf sein Playstation Network

2011 ging das Ereignis als bisher größte Datenpanne der Geschichte durch die Medien (wir berichteten). Hackern gelang es, über 75 Millionen Kundendaten aus dem Sony Netzwerk zu entwenden, darunter Namen, Anmeldedaten und Zahlungsangaben. In weiteren nachfolgenden Hacker-Attacken wurden weitere Millionen Datensätze entwendet mit teilweise noch ausführlicheren Nutzerangaben.

Das Krisenmanagement des Konzern war durchaus als suboptimal einzustufen – siehe Bericht. Aufgrund des Firmensitzes in Japan wog man sich jedoch in Sicherheit vor der Verfolgung durch die Schutzbehörden. Doch damit ist nun Schluss. Was nicht nur zahlreiche Politiker und Datenschützer, sondern auch gerade Kunden von Sony gefordert haben, hat die britische Datenschutzbehörde nun in die Tat umgesetzt. Sie verhängte eine Geldstrafe in Höhe von 300.000 Euro, gegen das Unternehmen. Begründung: Wer für so viele sensiblen Daten mit Mißbrauchspotential verantwortlich ist, muss dem Schutz dieser Daten oberste Priorität einräumen.

Sony hat Widerstand gegen die Strafe angekündigt, schließlich sei man „Opfer“ einer kriminellen Attacke geworden. Das Unternehmen blendet dabei aus, dass es selbst erst durch Mängel in der IT Infrastruktur (schwache Passwörter, fehlende Sicherheitspatches) die Möglichkeit für diese mehrfachen Angriffe geschaffen hat. Thema verfehlt, Sechs, setzen!

Fragen Sie doch Ihren Datenschutzbeauftragten

Ihr Datenschutzbeauftragter muss kein IT Profi sein. Er wird jedoch ausreichend Fachwissen mitbringen, um unter anderem auch auf Sicherheitslücken durch schwache Passwörter oder nicht zeitnahe / fehlende Sicherheitspatches konsequent hinzuweisen. Lösungen lassen sich meist unkompliziert durch technische und / oder organisatorische Maßnahmen herbeiführen und das Schutzniveau weiter erhöhen. Seien Sie schlauer und sprechen Sie mit Ihrem Datenschutzbeauftragten. Vermeiden Sie Datenpannen und die damit verbundenen Bußgeldrisiken. Sie haben keinen Datenschutzbeauftragten? Wir helfen gerne weiter.

„Rekordstrafe“ für Datenschutzverstoß von Google

Die letzten Tage wurde oft über eine Rekordstrafe für Google aufgrund eines Datenschutzverstoßes berichtet. Dem Konzern wurde vorgeworfen, einen Schutzmechanismus in Apples Browser Safari bewußt umgegangen zu haben. Damit konnte trotz einer möglichen anderen Einstellung des Nutzers dieser durch den Konzern dennoch getrackt werden. Dafür wurde Google nun in den USA zur Zahlung von 22,5 Millionen Dollar (ca. 18,3 Millionen Euro) verdonnert. Das klingt erst mal viel, gerade wenn man die in Deutschland verhängten Bußgelder betrachtet. In Anbetracht eines Gewinns von 2,8 Milliarden Dollar alleine von April bis Juni 2012 ist dieser Betrag wenig rekordverdächtig.