Blog

Veröffentlicht am

interner vs. externer Datenschutzbeauftragter

Vergleich int. DSB vs. ext. DSB Kosten

Natürlich werde ich als externer Datenschutzbeauftragter und Datenschutzauditor mehr Argumente für den externen Datenschutzbeauftragten als dagegen finden. Ich versuche es auf den Punkt zu bringen: Mit dem externen Datenschutzbeauftragten läuft es einfacher, da die Erfahrungen vorhanden sind. Natürlich setzt die externe Umsetzung der DSGVO ein hohes Maß an Kenntnissen über Betriebsabläufe voraus, weil jede Firma irgendwie anders ist.

Das zeichnet uns aus. Wir haben Branchenerfahrungen in fast allen Wirtschaftsbereichen.

Arbeitsaufwand DSGVO in der Firma

Der Arbeitsaufwand der für die Umsetzung der DSGVO besteht aus Protokollierungs-Arbeiten und Umsetzungen im Betriebsprozessen. Der Datenschutzbeauftrage, ob intern oder extern, organisiert die Umsetzung und erzeugt deswegen interne Zeitaufwände.

Wir unterscheiden deshalb Ausbildungs- und Umsetzungskosten. Bei einem externen Datenschutzbeauftragten entfallen die Ausbildungskosten für die Firma.

Interner Datenschutzbeauftragter

Der interne Datenschutzbeauftragte lohnt sich nach unseren Berechnungen ab zirka 400 Beschäftigten. Details der Rentabilitätsrechnung können bei uns per E-Mail angefordert werden: break-even-dsb@dsbok.de

Kosten interner Datenschutzbeauftragter (für Firma mit 100-200 Angestellten)

Die regulären Ausbildungskosten für einen internen Datenschutzbeauftragten liegen bei zirka 3.500 Euro im ersten Jahr, die Folge-Ausbildungskosten pro Jahr bei zirka 1.800 Euro pro Jahr, um den gesetzlichen Anforderungen zu entsprechen.

Hinzu kommen die Arbeitsstunden für die interne Umsetzung der DSGVO im Betrieb, also für den Betrieb betrieblich bedingte unproduktive Stunden. Der Aufwand ist abhängig von der Anzahl der Mitarbeiter und liegt durchschnittlich bei zirka 72 Stunden im ersten Jahr und 68 Stunden pro Folgejahr. Dies entspricht zirka 3.960 Euro im ersten Jahr und zirka 3.740 Euro pro Folgejahr (55 Euro p.Std. angenommen).

Zwar genießt der intern benannte Datenschutzbeauftragte Aufgrund seiner Stellung einen Kündigungsschutz, die doppelte Belastung durch die Anforderungen der DSGVO Umsetzung bedeuten aber auch einen erhöhten Arbeitsaufwand für 3-4 Monate pro Jahr sowie bei Änderungen an maßgeblichen IT-Systemen oder Cloud-Diensten oder Gesetzesänderungen.

Externer Datenschutzbeauftragter (für Firma mit 100-200 Angestellten)

Der externe Datenschutzbeauftragte benötigt entweder einen Datenschutzkoordinator in der Firma oder bespricht die Datenschutz Themen direkt mit den Abteilungen. Von diesen zwei Faktoren hängt der Preis eines externen Datenschutzbeauftragten ab.

Kosten externer Datenschutzbeauftragter

Ein externer Datenschutzbeauftragter kostet schon im ersten Jahr der Zusammenarbeit weniger (abhängig vom Umfang der Datenverarbeitungen) als ein interner Datenschutzbeauftragter; zirka 4.350 Euro im ersten Jahr; In den Folgejahren sind die Kosten mit zirka 2.560 Euro auch deutlich deutlich geringer.
Fordern Sie hier Ihr Angebot für einen externen Datenschutzbeauftragten.

Die internen Umsetzungskosten beim Einsatz eines externen Datenschutzbeauftragten sind zusätzlich geringer, weil der Ablauf Aufgrund der Erfahrungen koordinierter abläuft.

Die gezeigten Kosten für einen Datenschutzbeauftragten in der folgenden Übersicht, bezieht sich auf Firmen mit 100-200 Angestellten:

Kalkulation Datenschutzbeauftragter intern/extern
Veröffentlicht am

Wann brauche ich einen Auftragsverarbeitungsvertrag?

Der richtige Auftragsverarbeitungsvertrag mit Dienstleistern

Ein Auftragsverarbeitungsvertrag (AVV) benötigen Sie immer dann, wenn Sie personenbezogene Daten (pbD) Ihrer Firma oder Ihrer Kunden von einem Dienstleister verarbeiten lassen. Dabei ist entscheidend, dass die personenbezogenen Daten in Weisung verarbeitet werden. Das heißt, der Dienstleister erhält eine klare Weisung in welcher Weise und zu welchem Zweck die personenbezogenen Daten von Ihm verarbeitet werden.

Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird.
Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-) Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar.

Hier einige Beispiele, für die Sie einen Auftragsverarbeitungsvertrag mit einem Dienstleister benötigen:

Hier Beispiele für Auftragsverarbeitung

  • Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,
  • Werbeadressenverarbeitung in einem Lettershop, Give-Away-Versender, o.ä
  • Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort,
  • Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen),
  • Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
  • Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
  • Datenträgerentsorgung durch Dienstleister,
  • Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf perso-nenbenzogene Daten nicht ausgeschlossen werden kann,
  • Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt),
  • Apothekenrechenzentren nach § 300 SGB V,
  • ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf,
  • Sicherheitsdienste, die an der Pforte Besucher- und Anlieferer Daten erheben,
  • externe Personen, Dienstleister, usw., die im Auftrag Messwerte in Mietwohnungen (Hei-zung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten,
  • Visabeschaffungsdienstleister, die hierfür vom Arbeitgeber die Beschäftigtendaten erhal-ten.

Hier Beispiele für Verarbeitungen ohne Auftragsverarbeitung in eigener Verantwortung

  • Tätigkeiten der Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
  • Inkassobüros mit Forderungsübertragung,
  • Bankinstitute für den Geldtransfer,
  • Postdienste für den Brief- oder Pakettransport,
  • Tätigkeit als WEG-Verwalter;
  • Detektive bei ihrer Observierungs-/Überwachungs-/Ausforschungstätigkeit,
  • Hersteller und Großhändler, die von Einzelhändlern für mit Endkunden vereinbarte Direktlieferungen die Endkundenadressen erhalten (beauftragte Warenzusendung),
  • Blumen- oder Weinversender, die eine Liste mit Adressdaten zur Versendung der Blumen-bzw. Weingeschenke an dritte Personen erhalten (beauftragte Warenzusendung),
  • Insolvenzverwalter,
  • Personalvermittlung nach Auftrag von Stellensuchenden oder Arbeitgebern (siehe dazu auch Beispiel 6 im WP 169),
  • Internet-Plattformbetreiber zur Vermittlung zwischen Anbietern und Nachfragern, diesich auf der Plattform treffen können,
  • TKG-Dienstleistungen, es sei denn, darüber hinausgehende Zusatzdienste wie Auslagerung
  • einer betrieblichen Telefonanlage oder Cloudspeicherlösungen usw. (siehe dazu auch Beispiel 1 im WP 169),
  • Versicherungs-/Finanzmaklervermittler im Rahmen des Kundenvertrags,
  • Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen,
  • Übersendung von Schulungsteilnehmer-Daten zur Durchführung der Schulung an einen
  • externen Trainer, Schulungsveranstalter oder an das Tagungshotel,
  • Fertigung individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten/
  • Kunden im Auftrag von Ärzten, Zahnärzten, Apotheken, Sanitätshäusern usw.,
  • Medizinische Labore, Materiallabore usw. (Materialuntersuchung im Auftrag).
  • Zahlungsdienstleister für elektronische Zahlungen (Transport von Zahlungsdaten, Geldwäsche- und Betrugsprüfung nach ZAG und den Mindestanforderungen der BaFin),
  • von Reisebüros aufgrund Kundenvertrags vermittelte Leistungsanbieter, wie Hotels,
  • Mietwagenfirmen, Fluggesellschaften, Busunternehmen, Versicherungen usw. (siehe dazu auch Beispiel 8 im WP 169).

Im Kern keine beauftragte Verarbeitung personenbezogener Daten, sondern der Auftrag zielt auf eine andere Tätigkeit

  • vom Vermieter beauftragte Handwerker, die dazu die nötigen Mieterdaten erhalten,
  • Sachverständige zur Begutachtung eines Kfz-Schadens,
  • Personenbeförderung, Krankentransportleistungen,
  • Bewachungsdienstleistungen,
  • Reinigungsdienstleistungen und Handwerkereinsätze in Unternehmen,
  • Reinigung von Berufskleidung mit Namensschildern,
  • Druck von Prospekten, Katalogen, mit Bildern von Beschäftigten oder Fotomodellen,
  • Transport von ausreichend geschreddertem Papiermaterial,
  • Transport von Unterlagen und Waren durch Kurierdienste, Speditionen, Zeitungsausträger,
  • Übersetzung von Texten in/aus Fremdsprachen

Auftragsverarbeitungsvertrag als Auftragsverarbeiter

Wenn Sie als Dienstleiter personenbezogene Daten von Ihren Kunden erhalten, bzw. Zugriff darauf haben, müssen Sie Ihrem Kunden einen Auftragsverarbeitungsvertag zur Verfügung stellen

Beispiele für Dienstleister, die Ihren Kunden einen Auftragsverarbeitungsvertag zur Verfügung stellen müssen:

  • Hosting Anbieter für Webseiten und sonstige Webanwendungen
  • Webdesigner die CMS erstellen und Pflegen
  • Lettershop Anbieter
  • IT-Servicefirmen
  • Cloud Anbieter für Applikationen

Auftragsverarbeitung im Cloud-Service

In der Regel benötigen Sie mit Cloud Anbietern einen Auftragsverarbeitungsvertag. Die Cloud Anbieter haben nicht immer eine klare Weisung der Verarbeitung von personenbezogenen Daten, aber die Cloud Anbieter haben theoretischen Zugang zu den personenbezogenen Daten. Besonders anspruchsvoll ist der Einsatz von Dienstleistern in Drittstaaten wie zum Beispiel den USA. Lesen Sie hierzu bitten den Blog Beitrag “Das Schrems II Problem”.

Muster Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag als Auftraggeber:

Download Auftragsverarbeitungsvertrag für Auftraggeber

Auftragsverarbeitungsvertrag als Auftragnehmer:

Download Auftragsverarbeitungsvertrag für Auftragnehmer

Hilfe bei der Erstellung Auftragsverarbeitungsvertrag;

Wenn Sie Hilfe für die Erstellung eines Auftragsverarbeitungsvertrages als Auftraggeber oder Auftragnehmer benötigen, nutzen Sie bitte unseren Support oder unser Zusatzpaket Auftragsverarbeitung.

.

Veröffentlicht am

Wann brauche ich einen Datenschutzbeauftragten?

Regel nach dem Gesetz

Das Bundesdatenschutzgesetz schreibt fest, dass Firmen und Organisationen ab 20 Angestellten, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen müssen. Die bisherige Grenze von 10 Mitarbeitern wurde 2019 geändert.

Regel für besondere Verarbeitungen

Unter bestimmten Voraussetzungen, die Sie mit unserem kostenlosen Test prüfen können, ist es möglich, dass Sie auch mit weniger als 10 Angestellten einen Datenschutzbeauftragten benennen müssen. Deutliche Kennzeichen für eine strengere Regelung sind die Arbeit mit Schutzbefohlenen oder der Umgang mit besonders sensiblen Daten nach Artikel 9 der DS-GVO oder die Erstellungspflicht einer Datenschutzfolgeabschätzung. Hierzu könnte unter Umständen auch die Videoüberwachung gehören.

Egal, ob Sie in Ihrer Firma einen Datenschutzbeauftragten offiziell benennen müssen, müssen Sie sich als Eigentümer eine Firma um die Umsetzung des Datenschutz nach DS-GVO und BDSG in Ihrer Firma kümmern. Bei groben Fehlern und Datenpannen können auch bei kleinen Unternehmen empfindliche Bußgelder fällig werden

Die DSGVO-Hilfe als online Service hilft Ihnen schnell einen Überblick über den Datenschutz zu erhalten und die gesetzlichen Vorschriften einzuhalten.

Veröffentlicht am

DSGVO Hilfe für kleine Firmen

Endlich starten wir unsere Webseite und Blog für kleine Firmen als Hilfe für die Umsetzung der DSGVO.

Durch unsere Unternehmenswebseite (www.dsbok.de) und unser Netzwerk erhalten wir immer wieder Anfragen von Firmen, die Aufgrund Ihrer Größe nicht gesetzlich verpflichtet sind einen Datenschutzbeauftragten zu benennen. Letztlich macht es der fehlende Datenschutzbeauftragte aber nicht leichter die Datenschutzgrundverordnung umzusetzen. Ganz im Gegenteil. Die Pflichten der DSGVO bleiben bestehen aber es ist niemand im Unternehmen, der etwas davon versteht und sich um die Umsetzung kümmert.

Für die Firmen, für die wir als externe Datenschutzbeauftragte tätig sind, etablieren wir das vorgeschriebene Datenschutzmanagementsystem in Form eine Online-Software. Aufgrund der häufigen Anfragen kleinerer Unternehmen, haben wir in diesem Projekt unsere Software in speziellen Paketen auf die Firmen angepasst, die in der Regel alleine vor der Umsetzung stehen.

Unsere Datenschutz-Hilfe-Pakete sind auf kleine Unternehmen zugeschnitten und helfen Schritt für Schritt mit Softwareunterstützung und vielen Vorlagen bei der Umsetzung der DSGVO. Jedes Paket enthält auch Beratungsstunden, der Kunde ist nicht auf sich allein gestellt, sondern erhält professionelle persönliche Hilfe.

Zusätzlich finden unsere Kunden im Blog künftig Tipps aus der Praxis für die einfache Umsetzung der DSGVO Anforderungen.

Proudly powered by OKMW