Verstoss

Limonade statt Zitrone

Was kostet ein externer Datenschutzbeauftragter?

„Es kommt darauf an“ – Was kostet ein externer Datenschutzbeauftragter?

Was kostet ein externer Datenschutzbeauftragter?„, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen.  Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

  • Was kostet ein Auto?
  • Wie teuer ist es, ein Haus zu bauen?
  • Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: „Es kommt darauf an!“

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. „Einführungsphase“ gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde,  schließt sich nun die „Betreuungsphase“ als externer Datenschutzbeauftragter an.  Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

  • Bußgeld (Ausnahme: öffentliche Stellen)
  • Ihren guten Ruf z.B. bei Datenpannen
  • Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Übersicht der DSGVO Bußgelder

Mit schöner Regelmäßigkeit hört und liest man in den Medien etwas von Bußgeldern im Datenschutz basierend auf der DSGVO oder anderer Datenschutzgesetze. Merken kann man sich die alle nicht. Doch es kann nicht schaden, das eine oder andere Bußgeld für verschiedene Formen an Datenschutzverstößen zu kennen. DSGVO Bußgelder sollten zwar nicht der alleinige Antrieb zur Einhaltung von Rechtsvorschriften sein, aber vielleicht muss man als interner oder externer Datenschutzbeauftragter auch mal mit Zahlen kommen, damit sich etwas in der Organisation bewegt 🙂

Übersicht der DSGVO Bußgelder

Und da ist es sehr hilfreich, dass sich die Betreiber von https://dsgvo-portal.de die Mühe machen, stets aktuelle Bußgelder zu erfassen und zu katalogisieren. Kann ja ganz hilfreich sein, zu wissen und anzuführen, dass für Werbeanrufe ohne Einwilligung, Informationsmängel in Apps und unzureichende TOM (technische und organisatorische Maßnahmen) die italienische Datenschutzaufsicht im Januar 2020 ein Bußgeld in Höhe von 27,8 Mio Euro verhängt hat. Die genannten Verstöße sind ja nicht selten. Vielleicht ein weiterer Anstoß, um solche Mängel in der eigenen Organisation anzugehen.

Die im Portal gelisteten DSGVO Bußgelder lassen sich nach diversen Kriterien sortieren und anzeigen, z.B. nach Bußgeldhöhe, Datum, Land und auch Bußgeldempfänger (da finden sich einige alte Bekannte, aber auch sehr viele neue Namen). Ein Wermutstropfen, wenn man das so sehen mag, ist jedoch vorhanden: In der Übersicht finden sich die Bußgelder, welche von den Aufsichtsbehörden verhängt wurden. Das muss nicht identisch sein, was von den betroffenen Organisationen z.B. nach Beschreiten des Rechtsweges dann wirklich gezahlt wurde. Sofern es hierzu Erkenntnisse gibt, finden sich diese unter den Details, die man zu jedem Vorgang aufrufen kann. Darin wird auch die Art des Verstoßes weiter konkretisiert.

Danke an die Betreiber des Portals.

Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email oder Newsletter verteilt werden. Mail- oder Newsletter-Programm geöffnet, Text geschrieben, aus dem Adressbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akkurat mit Vor-, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Missgeschick aufmerksam und läßt es darauf beruhen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9!) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach über die eigene Webseite und auf Veranstaltungen vor und mit Unternehmen auf die datenschutzrechtliche Unzulässigkeit eines solchen Vorgangs hingewiesen. Name plus Email- Adresse sind personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes (BDSG). Eine Übermittlung (nichts anderes stellt eine Email dar) ist daher nur zulässig, wenn der Betroffene (also der eigentliche Email-Inhaber) explizit in die Übermittlung an Dritte schriftlich eingewilligt hat oder eine gesetzliche Grundlage vorliegt. Beides ist im Falle einer solchen Panne sicher nicht der Fall. Die Verwendung des offenen Email-Verteilers (also das Eintragen der Empfänger in das AN:/TO: Feld) stellt somit einen Datenschutzverstoß dar. Aufgrund der Menge der betroffenen Email-Adressen sah das BayLDA von einem reinen Verweis auf die rechtliche Unzulässigkeit ab. Stattdessen wurde ein Bußgeld verhängt, das nun nach Verstreichen der Widerspruchsfrist rechtswirksam geworden ist.

Doch wer zahlt jetzt das Bußgeld für den offenen Newsletter-Verteiler?

In diesem konkreten Fall wurde das Bußgeld gegen die Mitarbeiterin verhängt. Ob der Arbeitgeber für Sie einspringt, ist nicht bekannt. Das BayLDA teilte jedoch mit, daß es in einem ähnlichen Fall in zu einem Bußgeld gegen ein weiteres Unternehmen kam. Da hier die Mitarbeiter seitens der Unternehmensleistung nicht oder nicht ausreichend für das Thema sensibilisiert wurden, hatte nun das Unternehmen selbst für den Fauxpas mit dem offenen Email-Verteiler geradezustehen.

Aufklärung ist Pflicht – Sorgfältiger Umgang mit Newslettern-Verteilern vermeidet Bußgelder

Um solche Vorfälle von vornherein zu vermeiden und das Eintrittsrisiko zu senken, sollten Sie Ihre Mitarbeiter regelmäßig für dieses Thema sensibilisieren. Gerne können Sie hierfür diesen Blogbeitrag einsetzen. Was ist zu beachten? Weisen Sie darauf hin, solche Rundmails stets über das Feld BCC, also Blind Carbon Kopie zu adressieren. Die Nutzung von TO: und CC: (Carbon Copy) wird stets den selben rechtlichen Sachverhalt mit allen Konsequenzen auslösen. Bei kleineren falsch genutzten Verteilern kann es bei einer Verwarnung bleiben, das ist jedoch nicht garantiert.

Fragen Sie doch Ihren Datenschutzbeauftragten

Zum richtigen Umgang mit personenbezogenen Daten im Rahmen des Direktmarketings hilft Ihnen kompetent Ihr Datenschutzbeauftragter weiter. Sie haben keinen? Dann sollten Sie sich darum kümmern, da eine gesetzliche Bestellpflicht vorliegen kann. Sprechen Sie uns unverbindlich und kostenfrei an!

 

Personalausweis einfach kopieren – einfach rechtswidrig

Personalausweis als Pfand, Personalausweis-Kopie als Beleg – üblich, aber verboten

Usus, Rechtsverstoß inklusive. Der Personalausweis wird als Pfand hinterlegt, eine Kopie zur Identifikation im Vertragsordner abgelegt oder als Scan ins Dokumenten-Management-System gespeichert. Branchenübergreifend üblich, vom Fitness-Studio bis zur Autovermietung.

Der neue Personalausweis

Seit dem 01. November 2010 wird nur noch der neue Personalausweis herausgegeben, gerne auch als „ePerso“ bezeichnet. Im Zuge der Umstellung hat das Personalausweisgesetz (PAuswG) einige Änderungen erfahren. Zahlreiche Kommentierungen und Begründungen begleiten den neuen Ausweis.

Kein ausdrückliches Kopierverbot, aber …

Neben der bisher üblichen Ausweisfunktion beinhaltet der „ePerso“ nun auch die Möglichkeit zu Signatur und zur Authentisierung. Zum Schutz dieser Funktionen schreibt unsere Regierung in ihrer Begründung zur Neuregelung: „Die Erhebung und Verwendung personenbezogener Daten aus oder mithilfe des Ausweises darf künftig nur über die dafür vorgesehenen Wege erfolgen. (.) Weitere Verfahren z.B. über die optoelektronische Erfassung („scannen“) von Ausweisdaten oder dem maschinenlesbaren Bereich sollen ausdrücklich ausgeschlossen werden.“ In den Auslegungen hierzu wird deutlich davon gesprochen, weder Kopien des Personalausweises zuzulassen, noch diesen aus der Hand zu geben.

Warum den Personalausweis nicht kopieren?

Da der neue Personalausweis aufgrund dessen Gestaltung noch eine sog. Berechtigungsnummer trägt, weist das Bundesinnenministerium auf einen zusätzlichen Sachverhalt hin. Die Berechtigungsnummer soll nämlich lediglich dem Ausweisinhaber bekannt sein. Eine Kopie oder ein Scan stehen diesem Umstand jedoch entgegen.

Der alte Personalausweis darf aber kopiert werden?

Trägt dieser zwar nicht die elektronischen Merkmale seines Nachfolgers so ist eine Kopie hier nur sehr schwer als datenschutzrechtlich erforderlich zu begründen. Subjektive Maßstäbe hierüber sind ausgeschlossen. So sollte auch hier auf eine Kopie verzichtet werden. Notieren Sie die erforderlichen Daten. Vorteil: Sie ersparen sich das vorgeschriebene Ausschwärzen nicht erforderlicher Daten und müssen später im Rahmen der Aufbewahrungs– und Löschfristen nicht in Aktenstapeln oder EDV Systemen nach den zu löschenden Dokumenten fahnden.

Dann nehmen wir den Personalausweis eben als Pfand

Hier spricht das PAuswG eine klare Sprache § 1 Abs. 1. S. 3+4 PAuswG – für beide Ausweisformen: „Vom Ausweisinhaber darf nicht verlangt werden, den Personalausweis zu hinterlegen oder in sonstiger Weise den Gewahrsam aufzugeben. Dies gilt nicht für zur Identitätsfeststellung berechtigte Behörden sowie in den Fällen der Einziehung und Sicherstellung.“ Ihre Organisation wird schwerlich als berechtigte Behörde anzusehen sein, Ausnahmen bestätigen die Regel.

Ausnahmen vom Kopierverbot und Pfandverbot für Personalausweise?

Ja, u.a. § 8 Geldwäschegesetz oder § 95 TKG (z.B. für Handy-Verträge). Trifft das auf Ihr Unternehmen zu? Ihr Datenschutzbeauftragter klärt Sie gerne über den Sachverhalt auf. Sie haben keinen? Dann sprechen Sie uns an. Wir unterstützen Sie als externe Datenschutzbeauftragte und externe Informationssicherheitsbeauftragte.

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

Bayerisches Unternehmen kassiert Bußgeld, weil IT-Manager gleichzeitig als Datenschutzbeauftragter bestellt war.

„Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten“, so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach.

Wer muss einen Datenschutzbeauftragten bestellen?

Unternehmen und auch Vereine müssen einen Datenschutzbeauftragten (DSB) bestellen, wenn bei ihnen mindestens zehn Personen („mehr als neun“, so das Bundesdatenschutzgesetz) mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dabei ist es unerheblich, a) ob es sich dabei um interne oder externe personenbezogene Daten handelt und b) mit welchem Zeitanteil die Personen beschäftigt sind (Vollzeit, Teilzeit, Aushilfe etc.). Es zählt hier alleine die Zahl der „Köpfe“.

Zahlreiche Unternehmen und Vereine erfüllen diese Voraussetzungen. Das Gesetz stellt es dabei frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Je nach Bundesland schreiben die Landesdatenschutzgesetze einen Datenschutzbeauftragten ebenfalls für Behörden und kommunale Einrichtungen (sog. öffentliche Stellen) verpflichtend vor. In einigen Bundesländern besteht bereits heute die Möglichkeit einer externen Bestellung des behördlichen Datenschutzbeauftragten. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wird die Bestellpflicht für öffentliche Stellen vereinheitlicht. Ebenso soll dann eine generelle Möglichkeit der externen Bestellung für Behörden / Kommunen gegeben sein.

Wann ist von einem Interessenskonflikt auszugehen?

Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht zusätzlich / weiterhin für solche Aufgaben zuständig sein, welche die Gefahr von Interessenskonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können. Der Gesetzgeber verlangt hier salopp, nicht „den Bock zum Gärtner zu machen“. Ähnlich hat dies auch die EU-Datenschutzrichtlinie (Art. 18) gefordert, völlige Unabhängigkeit des DSB in seiner Funktion als Kontrollinstanz. Mit Artikel 38 und 39 der EU-DSGVO wird dies in 2018 keine Änderung erfahren.

In einschlägigen Kommentaren zum Bundesdatenschutzgesetz (z.B. Gola / Schomerus) wird explizit darauf verwiesen, dass sich hieraus bestimmte Funktionen für die Tätigkeit des Datenschutzbeauftragten von vornherein ausschließen. Dazu zählen auf jeden Fall

  • Inhaber, Vorstand, Geschäftsführer (ausnahmslos),
  • Leiter der IT,
  • Personalleiter,
  • Vertriebsleiter (zumindest im Direktvertrieb).

Für alle anderen Funktionen ist zu prüfen, ob ein Interessenskonflikt ausgeschlossen werden kann und auch keine weiteren Beeinträchtigungen für die Ausübung der Funktion des Datenschutzbeauftragten bestehen. So ist es nicht unbedingt zielführend, einen IT-Mitarbeiter zum Datenschutzbeauftragten zu bestellen, wenn der Konflikt mit dem Vorgesetzten – dem IT-Leiter – bereits vorprogrammiert ist und der IT-Mitarbeiter seine zusätzliche Aufgabe als DSB z.B. aus Angst vor Repressalien nicht ausüben kann / wird.

Wie kam es jetzt zu diesem Bußgeld aufgrund eines Interessenskonflikts?

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) berichtet in seiner Pressmitteilung davon, dass im Rahmen der Überprüfung eines bayerischen Unternehmens die Bestellung des IT-Leiters zum internen Datenschutzbeauftragten festgestellt wurde. Dies liefe nach Meinung der Behörde „letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus“. Aus Sicht der Behörde (und der einschlägigen Rechtskommentare) widerspricht dies der Funktion des Datenschutzbeauftragten, als unabhängige Instanz im Unternehmen auf die Einhaltung des Datenschutzes hinzuwirken (eine der Kernaufgaben des DSB).

Nachdem das Landesamt das Unternehmen mehrfach über Monate aufgefordert hat, eine Bestellung ohne Interessenskonflikt herbeizuführen und dies seitens des Unternehmens zugesagt, jedoch nicht umgesetzt wurde, verhängte die Behörde ein Bußgeld. Die Geldbuße ist mittlerweile bestandskräftig.

„Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und ein sehr wichtiges Element der Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“, betont Thomas Kranig, der Präsident des BayLDA.

Was können Sie als Unternehmen tun, um solches Bußgelder zu vermeiden?

Entweder Sie vermeiden solche Interessenskonflikte oder Sie greifen zu einer transparenten und kostengünstigen externen Bestellung des Datenschutzbeauftragten, wie sie beispielsweise a.s.k. Datenschutz anbietet. Ein Angebot erhalten Sie zeitnah mittels unserer Online-Anfrage.

Übrigens gilt das Thema Interessenskonflikt auch für behördliche Datenschutzbeauftragte!!

Quelle: Pressemitteilung des BayLDA