Externer Datenschutzbeauftragter – so finden Sie den Dienstleister, der zu Ihrem Unternehmen passt

Wenn Ihr Unternehmen einen externen Datenschutzbeauftragten sucht und Sie keiner Empfehlung folgen können, startet die Suche nach einem geeigneten Experten meist über die Suchmaschine. Eine Ergebnisliste lässt nicht lange auf sich warten. Und schon stellt sich die berechtigte Frage: „Welches der zahlreichen Unternehmen ist denn nun das Richtige?“

Aber, was macht den „richtigen“ externen Datenschutzbeauftragten für das Unternehmen überhaupt aus? Wir stellen einige Kriterien vor, die für die Auswahl wichtig sind und Ihnen bei der Entscheidungsfindung helfen.

EU-Kommission Datenschutz in den USA nun ausreichend(5)

Erstellen Sie eine Anforderungsliste an Ihren zukünftigen externen Datenschutzbeauftragten

Machen Sie sich zunächst Gedanken darüber, was Ihnen und Ihrem Unternehmen bei einem externen Datenschutzbeauftragten als Dienstleister wichtig ist. Mit diesen Anforderungen können Sie bereits evtl. schon einige der aufgelisteten Ergebnisse ausschließen.

Beispiele für Anforderungen:

  • Ist eine räumliche Nähe zu meinem Unternehmen erforderlich oder von Vorteil?
  • Wie wichtig ist eine regelmäßige Präsenz im Unternehmen oder Erreichbarkeit für Sie?
  • Wie wichtig ist Ihnen die Größe des Partners. Reicht Ihnen ein „Alleinkämpfer“ oder bevorzugen Sie ein Team mit Vertretungsregelungen etc.?
  • Welche Kompetenzen sind unabdingbar? (Mehrjährige Erfahrung als externer Datenschutzbeauftragter, Branchenerfahrung, Change-Management-Know-how…)
  • Organisiert der Datenschutzbeauftragte den Datenschutz toolbasiert und bietet Ihnen als Kunde eine gute Transparenz oder gleicht seine Arbeit eher einer „Black Box“?
  • Werden weitere Dienstleistungen wie IT-Sicherheit, Informationssicherheit, Compliance angeboten?
  • Welchen Background kann (oder sollte?) der Datenschutzbeauftragte haben oder muss es zwingend ein Anwalt sein, weil Sie auch eine Rechtsberatung benötigen?
  • Wie wichtig ist Ihnen der Faktor „Mensch“ und, dass es harmoniert oder steht rein die fachliche Kompetenz im Vordergrund?
  • Wie wichtig sind Ihnen die Kosten – möchten Sie einen Datenschutzbeauftragen „auf dem Papier“ oder einen wirklichen „Kümmerer“, der sich aktiv um Ihren Datenschutz kümmert?
  • …?

Wie finden Sie potenzielle externe Datenschutzbeauftragte?

Eine vernünftige und umfangreiche Auflistung aller Experten für den Datenschutz, zum Beispiel auch auf regionaler Ebene, mit Branchenschwerpunkten usw., finden Sie in dem Bereich nicht. Dafür sind die einzelnen Leistungen und Angebote zu individuell, als dass man alles in einer vernünftigen Darstellung abbilden könnte.

Also bleibt Ihnen eigentlich meist nur die Suche über eine Suchmaschine Ihrer Wahl. Die Suchergebnisse müssen Sie dann mit Ihren eigenen Kriterien bewerten. Mehr dazu finden Sie weiter im Bericht.

Relevante Quellen für Empfehlungen nutzen

Bevor Sie das WWW zurate ziehen, fragen Sie zunächst durchaus andere Unternehmer oder relevanten Kontakte, wie der Datenschutz in deren Unternehmen organisiert ist und ob sie Ihnen einen Datenschutzbeauftragten empfehlen können. Sie werden so aus erster Hand Details zur Zusammenarbeit erhalten und erfahren, wie er/sie im Unternehmen und bei den Mitarbeitern ankommt und vieles mehr. Der Kontakt könnte dann Ihre erste Anlaufstelle sein.

Anders als in anderen Bereichen ist es im Datenschutz übrigens kein Problem, wenn der Datenschutzbeauftragte für mehrere Unternehmen derselben Branche arbeitet. Ganz im Gegenteil, denn Neutralität und Vertraulichkeit sind Eckpfeiler seiner Rolle. Außerdem steigt so das Branchen-Know-how des Anbieters. „Sollte es dennoch zur Gefahr eines potenziellen Interessenskonfliktes kommen – beispielsweise bei einer Anfrage eines direkten scharfen Konkurrenten des bereits betreuten Kunden – wird ein professioneller Datenschutzbeauftragter höflich aber bestimmt ablehnen,“ sagt Florian Padberg, Geschäftsführer des auf den Datenschutz spezialisierten Beratungsunternehmens ituso.de.

Vergleich externer Datenschutzbeauftragter – die fachliche Komponente

Die Auswahl von qualifizierten externen Datenschutzbeauftragten wird dadurch erschwert, dass es für die Weiterbildung zum „Externen Datenschutzbeauftragten“, und damit der offiziellen Rolle im Unternehmen, keine vorgeschriebene Mindestqualifikation wie Berufsausbildung oder Studium gibt.

Was ein externer Datenschutzbeauftragter an fachlichen Voraussetzungen erfüllen muss, darüber gibt die DSGVO Auskunft. Aber dass eine einwöchige Weiterbildung mit Zertifikat, sei es von TÜV, Dekra, IHK oder einer anderen durchaus vertrauenswürdigen Zertifizierungs-Stelle, keinen mit allen Wassern gewaschenen Experten hervorzaubern kann, dürfte klar auf der Hand liegen.

Heißt konkret: Schauen Sie genau auf den Werdegang Ihres Wunschkandidaten. Neben seiner beruflichen Qualifikation sollte er oder sie vor allem über ein umfassendes Fachwissen verfügen. Sein Wissen sollte die folgenden Bereiche umfassen:

  • Datenschutzrecht (v.a. DSGVO und BDSG-neu)
  • Datenschutzpraxis inkl. technischer Maßnahmen

Der externe Datenschutzbeauftragte muss also nicht nur die gesetzlichen Bestimmungen genau kennen, sondern auch deren geeignete Umsetzung bewerten können.

Vergleich externer Datenschutzbeauftragter – die menschliche Komponente

Der Ruf des Datenschutzbeauftragten allgemein ist nicht der Beste. Er gilt vielen als Verhinderer und „kleinkarierter Fliegenbeinzähler“.

Doch genau das sollte er nicht sein. Der externe Datenschutzbeauftragte sollte Ihr Partner im Unternehmen sein. Jemand, den man bei neuen Prozessen gerne ins Boot holt. Weil er eher empfiehlt an bestimmten Schräubchen zu drehen, um Prozesse datenschutzkonform zu bekommen, als immer den ganzen Prozess in Frage zu stellen und ein Nein-Sager zu sein.

Ein externer Datenschutzbeauftragter taucht tief in Ihre Unternehmensstrukturen ein und benötigt auch als Person eine gewisse Akzeptanz. Engagieren Sie deshalb vorzugsweise jemanden, der sowohl zu Ihnen als auch der Mentalität Ihrer Beschäftigten passt.

Beurteilungskriterien externer Datenschutzbeauftragter

Sie haben ein paar Vorschläge für mögliche Dienstleister von Google oder anderen Quellen und möchten sich mit den Kandidaten nun näher befassen. Die Reihenfolge der Ergebnisse in der Suchmaschine sagt übrignes nichts über deren Qualitäten aus und ob ein Kandidat zu Ihnen und Ihrem Unternehmen passt. Dies gilt es noch herauszufinden.

Sehr einfach machen Sie es sich, wenn Sie an beispielsweise 10 potenzielle Partner eine E-Mail-Anfrage mit Ihrem Anliegen und der Bitte nach einem Angebot schicken. Dabei werden Sie bereits einen großen Unterschied in der Art der Bearbeitung Ihrer Anfrage feststellen.

Das mögliche Spektrum liegt dabei zwischen einer Rückfrage nach weiteren Informationen zu Ihrem Unternehmen per E-Mail oder Anruf, der Zusendung einer Preisliste oder direkt eines Angebotes. Dazu später mehr.

Sobald Sie eine erste Vorauswahl getroffen haben, ist es sinnvoll einen genaueren Blick auf die Kandidaten zu werfen.

Mirko_Tasch_ (0966)_q_lr

„Wenn Sie sich die Frage stellen: "Wie schaffe ich es, den Datenschutz effizient und effektiv umzusetzen und dabei das Team merklich zu entlasten?“ Sind Sie bei uns richtig. Wir helfen Ihnen mit unserer Expertise dabei!"

—Mirko Tasch
Geschäftsführer

Vergleich externer Datenschutzbeauftragter: Machen Sie sich ein Bild

Angebotene Leistungen

Ist der Datenschutz nur eine Randdienstleistung oder eine Kernkompetenz des Unternehmens? Bei Letzterem sollten auch entsprechende Referenzen und Erfahrungswerte vorliegen, die Sie überprüfen können.

Zertifikate & andere Kompetenznachweise

Zertifikate spielen im Bereich Datenschutz eine große Rolle. Zertifizierte Datenschutzbeauftragte oder -Auditoren bringen (zumindest auf dem Papier) nachweislich eine Fachkompetenz mit. Sie bilden sich im Optimalfall regelmäßig weiter und bleiben damit up-to-date. Doch das ist, wie bereits erwähnt, nicht alles was zählt.

Um das Unternehmen oder eine Person und seine/ihre Kompetenz besser kennenzulernen, lohnt sich neben der Webseite ein Blick auf weitere verfügbare Informationen: Findet man Veröffentlichungen und Beiträge, welche die Fachkompetenz unterstreichen und einen kleinen Einblick in die Arbeitsweise des Unternehmens bieten? Zeigt die Person, die Sie im „Visier“ haben, in beruflichen Netzwerken wie etwa LinkedIn Fachkompetenz durch Beträge, Speaker-Auftritte auf Konferenzen, Webinare oder Podcasts, die Ihnen helfen die Person unverbindlich „kennenzulernen“?

Kundenstimmen & Referenzen

Gibt es Aussagen von Kunden oder veritable Referenzen, welche die Fachkompetenz des externen Datenschutzbeauftragten belegen? Schauen Sie sich diese an und machen Sie sich ein Bild über verfügbare Bewertungen.

Philosophie

Können Sie auf der Webseite einen Eindruck über die Philosophie und Arbeitsweise bekommen und werden die Aussagen evtl. über Social Media-Auftritte des Unternehmens unterstrichen?

Oder können Sie die Person oder das Unternehmen sogar bei einer Veranstaltung „live“ in Augenschein nehmen? Nutzen Sie die Chance auf ein persönliches Kennenlernen!

Gespräche mit potenziellen externen Datenschutzbeauftragten

Ist Ihre Liste jetzt evtl. noch weiter geschrumpft, gewinnen Sie am schnellsten einen Eindruck über einen potenziellen Partner in einem persönlichen Gespräch. Die meisten Dienstleister bieten ein kostenloses Erstgespräch an. Diese Möglichkeit sollten Sie nutzen.

Schon bereits bei drei Gesprächen kann sich für Sie die Spreu vom Weizen trennen. Achten Sie beispielsweise auch auf Fragen, die Ihnen gestellt werden. So finden Sie schnell heraus, ob die Zusammenarbeit grundsätzlich Ihren Vorstellungen entsprechen könnte oder eben nicht.

Ihre Erwartungen

Natürlich ist es auch notwendig, sich über die eigenen Erwartungen vorab Gedanken zu machen. Folgende Punkte könnten Ihnen dabei helfen, das Gespräch einzuordnen:

  • Interessiert sich der Dienstleister tiefergehend für meine aktuelle Situation?
  • Kann ich auf Augenhöhe besprechen, was ich mir von einer Zusammenarbeit verspreche?
  • Habe ich das Gefühl, dass meine Herausforderung im Unternehmen, Wünsche und Ziele ausreichend berücksichtigt und bedient werden könnten?
  • Habe ich das Gefühl, dass mir der Dienstleister seine Arbeitsweise und sein Schema „aufdrücken“ will?
  • Muss der Partner Besonderheiten meiner Branche kennen und kennt er sie?
  • Wenn mir eine Schema F-Betreuung mit einem festen Stundenkontingent angeboten wird, passt das zu meinen Vorstellungen?
  • Was passiert, wenn ich merke, dass sich meine Bedürfnisse ändern, ich evtl. doch mehr Unterstützung brauche?
  • Wie ist die Laufzeit der Verträge und die Rahmenbedingungen?
  • Gibt es eine Möglichkeit, sich besser kennenzulernen, evtl. über ein Einstiegsprodukt wie eine Datenschutzschulung für Mitarbeiter etc. bevor man sich bindet?

Detailliertere Einschätzungen und ein konkretes Angebot wird ein externer Datenschutzbeauftragter in der Regel erst nach einer kleinen Analyse Ihrer Ist-Situation abgeben können. Dazu erhalten Sie meist einen Fragebogen, der als Basis für weiteren Rückfragen oder ein Angebot dient.

Fragen zur Zusammenarbeit

Folgende Fragen können Ihnen helfen, ein besseres Gefühl für eine laufende Zusammenarbeit zu bekommen:

  • Gibt es einen festen Ansprechpartner? Wie sind seine Qualifikationen und ist ein Kennenlernen möglich? (Zwischenmenschliches!)
  • Wie ist die Erreichbarkeit?
  • In welchem Zeitrahmen können „To-Dos“ umgesetzt werden?
  • Wie oft, in welcher Form und wie transparent informiert mich der Datenschutzbeauftragte über Entwicklungen?
  • Sieht der externe Datenschutzbeauftragte seine Aufgabe in der beratenden Funktion oder kann ich auch eine operative Unterstützung erwarten?

Ob der externe Datenschutzbeauftragte Ihren Vorstellungen entspricht und den Versprechungen gerecht wird, wird sich natürlich erst im Laufe der Zusammenarbeit zeigen. Aber bereits anhand der Antworten bekommen Sie einen Eindruck, ob Sie sich gut aufgehoben fühlen können.

Was kostet ein externer Datenschutzbeauftragter?

Datenschutz ist ein recht komplexes Feld, daher lässt sich kein festes Preisschild nach dem Motto „ein Viertel Kilo Datenschutz, bitte“ festlegen.

Datenschutz muss individuell aufgebaut und strukturiert werden. Die Größe Ihres Unternehmens spielt eine wesentliche Rolle. Es muss geklärt werden, welchen Betreuungsumfang Sie sich vorstellen und wünschen, ob Sie lediglich Unterstützung beim Aufbau Ihres Datenschutzes benötigen oder eine dauerhafte Unterstützung durch einen externen Beauftragten und vieles mehr.

Bei vielen Anbietern finden Sie auf den Webseiten auch konkrete Pakete. Hier sollten Sie unbedingt auf die Inhalte des Angebotes achten (!) und vorsichtig sein, um nicht Äpfel und Birnen zu vergleichen. Genaues Hinschauen ist bei Paketen angebracht, bei welchen man einen gewissen Umfang einkauft, den das Unternehmen zum einen oft nicht einschätzen kann und zum anderen müssen oft selbstverständliche weitere Leistungen zusätzlich beauftragt werden.

Überprüfen Sie: Kritische Bestandteile von günstigen Paketen

  • Beschränkung auf x Verarbeitungstätigkeiten
  • Beschränkung auf x Dokumente
  • Beschränkung auf x Beratungsstunden jährlich
  • Inhaltliche Abarbeitung von Themen komplett beim Unternehmen
  • Reine Handlungsempfehlungen
  • Kein fester Ansprechpartner
  • Kontaktmöglichkeit ausschließlich per Mail oder Hotline

Wenn Sie für 150 €/Monat einen externen Datenschutzbeauftragten buchen, muss Ihnen klar sein, dass Sie nach Ablauf eines Jahres immerhin 1.800 € primär für seinen Namen bezahlt haben. Inhaltlich werden Sie bei Ihrem Datenschutz aller Wahrscheinlichkeit nach nicht weiter sein.

Betreuung von der Stange / nach Schema F bedeutet oft übrigens auch, dass der Datenschutzbeauftragte Ihnen und Ihren Kollegen in erster Linie einfach Dokumente zum Befüllen schickt, auf deren Komplettierung er dann geduldig wartet. Wenn man sich also das gern gebrachte Argument „Wir haben zahlreiche relevante Vorlagen parat und müssen nicht das Rad dauernd neu erfinden!“ einmal tiefer ansieht, kann dies auch auf einen echten Nachteil einer zu günstigen „Unterstützung“ hindeuten.

Der Preis spielt natürlich eine Rolle, sollte aber nicht der größte Faktor bei der Auswahl des Anbieters sein, wenn Sie den Datenschutz in Ihrem Unternehmen erfolgreich umsetzen und sich effektiv vor Ärger schützen möchten. Eine Unterstützung durch externen Datenschutzbeauftragten lässt sich in den meisten Fällen sehr gut kalkulieren, lassen Sie sich einfach ausführlich beraten.

Fazit

Die wichtigsten Punkte, die Sie bei der Auswahl des externen Datenschutzbeauftragten beachten sollten, nochmals zusammengefasst:

  • Machen Sie sich bewusst, was Sie von einem externen Datenschutzbeauftragten erwarten.
  • Was sind Ihre Ausschlusskriterien und No-Gos?
  • Gibt es Empfehlungen von Kontakten?
  • Machen Sie sich ein Bild von den Dienstleistern, die sich auf den ersten Blick gut anhören (Webseite, Social-Media-Kanäle, Webinare etc.).
  • Finden Sie am besten in einem persönlichen Gespräch heraus, ob Ihre Erwartungen, Wünsche von und mit dem Partner erfüllt werden können.
  • Vergleichen Sie Angebote, wohlwissend, dass qualitatives Datenschutzmanagement durch einen kompetenten externen Datenschutzbeauftragen Zeit und Geld kostet.
  • Last but not least: Was sagt Ihr Bauchgefühl zum persönlichen „Fit“? Denken Sie dabei daran, dass Sie mit dem Anbieter langfristig und auch in manch schwierigen Situationen zusammenarbeiten werden.

Wir hoffen nun, dass der Bericht Ihnen dabei hilft, den richtigen externen Datenschutzbeauftragten für Ihr Unternehmen zu finden.