INTERN ODER EXTERN,
Die DSGVO lässt es Unternehmen frei, ob sie einen internen oder einen externen Datenschützer bestellen. Auf den ersten Blick scheint ersteres eine gute Alternative zu sein: Ein Mitarbeiter wird geschult und übernimmt zeitnah die Aufgaben des Datenschutzes. Zeit und Kosten können so gespart werden und man kann sich schnell wieder dem operativen Geschäft widmen. Klingt beinahe zu schön um wahr zu sein. Ist es auch. Denn ein interner Datenschützer ist ein bisschen so wie Gas geben mit angezogener Handbremse: Wenig Vorankommen trotz maximalem Ressourcenverbrauch. Und wenn man Pech hat, fliegt einem das Ding um die Ohren. Nur dass „das Ding“ in dem Fall Ihr Unternehmen ist.
Aber was genau sind denn die Stolpersteine, die ein interner Datenschutz mit sich bringen kann? Und welche Vorteile würde Ihnen dem gegenüber ein externer Datenschutzexperte (also wir) bringen? Hier ein paar praxisnahe Überlegungen:
DER INTERNE DATENSCHUTZBEAUFTRAGTE
ART DER ZUSAMMENARBEIT
Ein Datenschützer muss dazu in der Lage sein, auch unangenehme Themen anzusprechen sowie notwendige Maßnahmen durchzusetzen, die das Unternehmen mitunter Geld kosten. Ein interner Datenschutzbeauftragte ist aber ein Angestellter und muss gegenüber Personen, denen er im Machtgefüge untergeordnet ist, Größe zeigen. Je nach Persönlichkeit des internen Datenschützers kann es hier zu Berührungsängsten kommen. Es besteht die Gefahr, dass wichtige Maßnahmen verspätet oder überhaupt nicht umgesetzt werden wodurch der Datenschutz unbemerkt auf der Strecke bleibt.
Aber auch, wenn der betroffene Mitarbeiter den Mut besitzt, seine Maßnahmen durchzusetzen verliert er als Datenschutzbeauftragter möglicherweise schnell an Zuspruch. Seine Forderungen und Maßnahmen sind tiefgreifend, was Kollegen und Vorgesetzte automatisch zu betroffenen dieser Maßnahmen macht. Nicht immer zu deren Freude. Die Gefahr ist entsprechend groß, dass der neu berufene Datenschutzbeauftragte nicht ernst genommen wird oder in der Gunst seiner Kollegen sinkt. Hierdurch kann sich nicht nur Unzufriedenheit breitmachen, sondern auch die Angst davor, auf Änderungen zu bestehen. Das Resultat ist ein von Grund auf fehlerhaft aufgebauter Datenschutz, was erhebliche Sanierungskosten sowie Strafen nach sich ziehen kann.
DAUER DER ZUSAMMENARBEIT
Der interne Datenschützer unterliegt einem besonderen Kündigungsschutz. Er ist nach Ablauf des Jahres der Abbestellung noch ein weiteres Jahr unkündbar, außer bei einem triftigen Grund, der zur fristlosen Kündigung führt.
ZERTIFIZIERUNGEN
Interne Datenschützer sind in der Regel nicht zertifiziert, sondern nehmen an Fortbildungen zum Thema Datenschutz teil. Da in dieser kurzen Schulungszeit lediglich Grundwissen vermittelt werden kann, muss sich der interne Datenschützer im Nachgang auf eigene Faust weiterbilden. Dass es hierdurch – angesichts eines so komplexen Themas – schnell zu teuren Fehlern kommen kann, liegt auf der Hand.
BERUFSERFAHRUNG
Ein interner Datenschutzbeauftragter muss ein echter Allrounder sein. Neben seinen eigentlichen Aufgaben als normaler Angestellter muss er seine neue Rolle ausfüllen und sich gleichzeitig mit technischen und juristischen Themen auskennen. Nach seiner Schulung zum Datenschutzbeauftragten verfügt der betroffene Mitarbeiter aber nach wie vor über keinerlei Praxis, was es ihm nahezu unmöglich macht, die sich ihm stellenden Probleme mit Weitsicht und Kreativität zu lösen. Denn hierfür bedarf es Erfahrung. Entscheidungen und Maßnahmen können somit nicht unter Berücksichtigung aller Details getroffen werden, worunter nicht nur die Qualität des Datenschutzes leidet, sondern auch deutlich mehr Zeit und Kosten aufgewendet werden müssen.
ENGAGEMENT UND WEITERENTWICKLUNG
Für einen internen Datenschutzbeauftragten ist es oftmals schwer, sich neben seiner eigentlichen Arbeit und seinen zusätzlichen Aufgaben als Datenschützer auch noch weiterzubilden bzw. auf dem Laufenden zu bleiben, was beispielsweise neue Gesetzesnovellen angeht. Verbandsarbeit, die ihm die Auseinandersetzung mit dem Thema erleichtern könnte, ist für einen internen Datenschutzbeauftragten meist, wenn überhaupt, nur bedingt möglich. Hierdurch entsteht einerseits die Gefahr, dass der verantwortliche Mitarbeiter nie so richtig eins mit der Thematik wird und andererseits, dass er von Neuerungen zu spät oder sogar keine Kenntnis nimmt.
KOSTENKONTROLLE
Die verpflichtende Schulung zum Datenschutzbeauftragten ist sehr Kosten- und Zeitintensiv. Leider ist es aber hiermit nicht getan. Der interne Datenschützer muss für die Umsetzung der DSGVO die erforderlichen Maßnahmen konzipieren sowie die notwendigen Werkzeuge erstellen. Alleine letzteres kann selbst bei einem erfahrenen Datenschutzbeauftragten Monate in Anspruch nehmen. VVT, AVV, TOM, VGV und MK sind hier nur die Spitze des Eisbergs und erfordern neben Detailwissen auch einen enormen Zeit- und Kostenaufwand. Die Sanierungskosten eines fehlerhaft aufgebauten Datenschutzes sowie etwaige Strafen für Versäumnisse und Datenpannen können die bereits verursachten Kosten noch erheblich steigern.
DER EXTERNE DATENSCHUTZBEAUFTRAGTE
ART DER ZUSAMMENARBEIT
Schon ab dem ersten Kontakt sind Ihnen unsere Datenschützer zur Objektivität und Offenheit verpflichtet. Somit ist es uns möglich, Ihr Unternehmen unvoreingenommen zu betrachten und auch kritische Themen sachlich anzusprechen. Da wir durch diese Außenperspektive die Abläufe in Ihrem Unternehmen nicht durch die Gewohnheitsbrille sehen, können wir Datenschutzschwachstellen und -risiken schnell erkennen und beheben.
Gegenüber Ihren Mitarbeitern nehmen wir eine beratende und sensibilisierende Position ein, was die Datensicherheit in Ihrem Unternehmen stark erhöht.
Die Arbeit unserer Datenschutzbeauftragten macht es Ihrem Unternehmen möglich, sich weiterhin um die unternehmensspezifischen Kompetenzen zu kümmern – trotz der Datenschutzimplementierung. Sie müssen weder ein Experte auf dem Gebiet der DSGVO sein, noch müssen Sie etwaige Risiken eruieren geschweige denn lösen. Dies übernehmen wir für Sie. Das spart nicht nur Zeit, sondern auch Kosten.
DAUER DER ZUSAMMENARBEIT
Die Zusammenarbeit zwischen Ihnen und uns beruht auf einem Dienstleistungsvertrag wodurch alle Services und die dafür benötigten Zeiten abgesprochen und absehbar sind. Sie sind somit nicht dauerhaft an uns gebunden.
ZERTIFIZIERUNGEN
Unsere Datenschützer verfügen alle über eine Zertifizierung nach dem neuen BDSG und der DSGVO. Altzertifizierungen nach § 4f BDSG wurden nachträglich um Zertifizierungen nach Art. 37 DSGVO erweitert.
BERUFSERFAHRUNG
Jedes Unternehmen ist anders und benötigt unterschiedliche Herangehensweisen. Um für die verschiedenen Gegebenheiten individuelle Lösungsansätze finden zu können, sind unsere Datenschutzbeauftragten nicht nur zertifiziert, sie verfügen auch über langjährige Berufserfahrung, einschlägiges Wissen und ein gutes Maß an Kreativität. So ist es uns möglich, für unsere Kunden verschiedenste datenschutzrechtliche Herausforderungen zu meistern und durch das Aufzeigen von gangbaren Alternativen individuelle Wege zu finden. Hierbei haben wir natürlich die Faktoren Zeit und Kosten immer im Blick.
ENGAGEMENT UND WEITERENTWICKLUNG
Datenschutz ist für uns weniger Beruf als vielmehr Berufung, weshalb wir uns auch über unser Kerngeschäft hinaus für dieses Thema engagieren. Als aktives Mitglied im größten deutschen Datenschutzverband beteiligen wir uns an der Mitgestaltung von Gesetzesinterpretationen. Dabei arbeiten wir stets realitätsnah und mit dem Fokus auf der Verbesserung der Rechte und Freiheiten betroffener Personen und Unternehmen. Durch die Nähe zum Verband und den beteiligten Stakeholdern haben wir unmittelbaren Zugriff auf aktuelle Änderungen in der Rechtsprechung und können Sie dadurch frühzeitig über Neuerungen und Risiken informieren.
KOSTENKONTROLLE
Unsere Datenschützer haben alle gesetzlich vorgeschriebenen Werkzeuge zur Hand, die Ihr Unternehmen für einen umfassenden Datenschutz benötigt. Selbst individuelle Sondertools können ohne nennenswerten Mehraufwand erstellt werden, da diese auf unseren bereits bestehenden Werkzeugen beruhen. Das heißt, dass die in einem Unternehmen angewendeten Sonderverfahren bzw. neu katalogisierten Verfahren von uns auf die Anwendbarkeit bei anderen Kunden geprüft werden. Somit können neu erarbeitete und überzeugende Lösungen nach Möglichkeit auf alle betroffenen Kunden angewendet werden, was die Kosten für diese Verfahren minimal hält.
Dank eines soliden Datenschutzkonzepts ist nicht mit weiteren Folgekosten zu rechnen.
Und nun kommt die Gretchenfrage: Wenn Sie, nach allem was Sie jetzt wissen, die Wahl haben zwischen einem Unternehmen mit internem Datenschutzbeauftragten und einem Unternehmen, das auf einen externen Datenschutzbeauftragten vertraut, bei welchem Unternehmen hätten Sie ein besseres Gefühl, wenn es um die Verarbeitung Ihrer persönlichen Daten geht? Wenn Sie sich gerade für das zweite Unternehmen entschieden haben, dann machen Sie das Gefühl der Sicherheit auch für Ihre Kunden möglich und vertrauen Sie auf einen externen Datenschutz.