Notebookpartner

Was kostet ein externer Datenschutzbeauftragter?

Eine Frage die wir oft hören und die die natürlich auch berechtigt ist. Bevor wir zur Beantwortung kommen, eine Gegenfrage: Was kostet ein Automechaniker oder ein Maler oder ein Steuerberater? Schwierige Frage, richtig? Kann man nicht so pauschal beantworten. Genau das gleiche gilt für den Datenschutzbeauftragten. Letztendlich kommt es darauf an, was er denn eigentlich tun soll. Vielleicht sind in Ihrem Unternehmen schon alle Prozesse genau dokumentiert, alle Mitarbeiter geschult, die IT ist professionell gewartet und eigentlich sind schon sämtliche Anforderungen umgesetzt. Der Datenschutzbeauftragte soll das ganze nur prüfen und eben als Ansprechpartner für Betroffene, Mitarbeiter und die Behörden zur Verfügung stehen. Das wäre dann  ein ziemlich geringer Aufwand. Vielleicht haben Sie im Unternehmen aber auch noch nie etwas zum Thema Datenschutz gemacht, der Datenschutzbeauftragte muss dann bei Null beginnen und sämtliche Prozesse durchleuchten, Mitarbeiter schulen, die IT Sicherheit prüfen, Betroffenenrechte umsetzen und und und…- -dann wird das ganze schnell mal ein Full-Time-Job.
Ganz entscheidend ist natürlich auch die Größe des Unternehmens (Mitarbeiter, Standorte) und Art und Umfang der verarbeiteten Daten. Das ist immer individuell, einen Pauschalpreis vorab festzulegen ist daher doch eher schwierig.

Monatspauschale & Aufwand

Als gänige Praxis hat es sich bewährt eine Monatspauschale festzulegen, die gewisse Grundleistungen beinhaltet und zusätzlichen Aufwand per Stunden- oder Tagessatz abzurechnen . Eine Monatspauschale ist schon daher nötig, da der Datenschutzbeauftragte seine Infrastruktur zur Verfügung stellen muss, Erreichbar für Rückfragen sein muss und natürlich auch immer auf dem Laufenden bleiben soll.

Kauft man da nicht die Katze im Sack?

Ein seriöser Anbieter will, dass Sie stets über die Kosten im Bilde sind. Es erfolgt immer ein Erstgespräch, bei dem die Situation analysiert wird und der Aufwand und Leistungsumfang besprochen wird. Vielleicht stellt sich im im Gespräch heraus, dass der Datenschutzbeauftragter nicht der richtige für Sie ist – oder natürlich auch mal umgekehrt. Auf jeden Fall sollten Sie mit dem Datenschutzbeauftragten “gut zu Potte kommen” und die vereinbarten Leistungen und Kosten nachvollziehen können – dann steht einer erfolgreichen Zusammenarbeit nichts im Wege.

Notebookpartner

Gültigkeit von Einwilligungen – Gültig bis zum Widerruf?

Die Rechtsgrundlage vieler Datenverarbeitungen ist die Einwilligung. Ganz klassisches Beispiel ist der Versand von Newslettern. Ein Einwilligung kann natürlich jederzeit widerrufen werden, die Datenverarbeitung muss dann umgehend eingestellt werden. Aber es stellt sich die Frage wie lange so eine Einwilligung Gültigkeit besitzt. Muss nach einer gewissen Zeit die Einwilligung erneut eingeholt werden?

Klare Antwort: JEIN

Aus Sicht der Datenschützer hat der LfDI (Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg) ganz klar Stellung bezogen: “Es gibt kein Verfallsdatum für Einwilligungserklärungen; einer neuen Erklärung bedarf es daher nur bei Änderung der Verarbeitungsumstände.” (24.07.2018 als Antwort auf ein Userfrage bei Twitter). Klares Statement, klare Sache? Nicht ganz.

Eine Stolperfalle lauert im Wettbwerbsrecht. Es gibt Gerichtsurteile die bestätigen, dass die Einwilligung zu einem Newsletter erneut eingeholt werden muss, wenn nach dem Erteilen der Einwilligung über längere Zeit kein Newsletter verschickt wird. Der Empfänger erwartet natürlich nur im Zeitraum nach dem Anmelden zum Newsletter, dass ein solcher zugestellt wird. Die Fristen für den Verfall liegen dabei zwischen 1,5 Jahren (LG München) und 4 Jahren (AG Bonn). Allerdings hat der BGH im Februar 2018 entscheiden, dass eine Einwilligung nicht allein durch Zeitablauf erlischt.

Lange Rede, kurzer Sinn: Wenn man E-Mail-Adressen einsammelt, sollte man diese auch in naher Zukunft verwenden. Und ganz ehrlich, alles andere macht ja auch keinen Sinn.

Notebookpartner

Warum die DSGVO auch für Vereine wichtig und sinnvoll ist.

Klar Datenschutz ist ein leidiges Thema. Vor allem wenn man sich schon ehrenamtlich um einen Verein kümmert (und es einem oft nicht einmal gedankt wird). Aber jeder “Vereinsmeier” sollte sich doch einmal kurz Gedanken machen, wie denn bisher mit den Mitgliederdaten im Verein verfahren wurde. Die meisten Vereine haben Ihre Mitgliederdaten schon vor der Digitalisierung in Papierform gepflegt. Dann wurde irgendwann mal alles in Excel eingetippt und vor ein paar Jahren wurde dann vielleicht eine Vereinssoftware eingeführt. In der Zwischenzeit haben Vorstände gewechselt, der Kassier hat von Zuhause aus die Mitgliedsbeiträge eingezogen, Mitgliederlisten wurden per E-Mail an den Schriftführer geschickt und und und…
Alles verständlich. Aber mal ganz ehrlich – hat da noch irgendwer den Überblick?

Die Folgen können fatal sein

Klar bisher ist noch nie was passiert. Und wahrscheinlich passiert auch nie was. Aber was, wenn doch? Wollen Sie in der Zeitung lesen, dass Ihrem Verein sämtliche Mitgliederdaten entwendet wurden? Oder, dass ein Mitglied in Schwierigkeiten steckt, weil auf seinen Namen und mit seiner Bankverbindung Bestellungen in einem Online-Shop durchgeführt wurden – und die Daten von Ihrem Verein stammen?
Die Folgen eines Datenverlusts können fatal sein und einen Verein ruinieren. Den Betroffenen ist dann vermutlich egal ob dieser Datenverlust im Verein oder einem Online-Shop passiert ist – das kommt am Ende aufs Gleiche raus.

Die DSGVO als Chance nutzen

Das in Krafttreten der DSGVO sollte Vereine als Gelegenheit nutzen, sich einmal Gedanken zu machen, wer Zugriff auf welche Mitgliederdaten hat und wer vielleicht noch unberechtigt Zugriff darauf hat. So kann relativ schnell eine bessere Struktur in die Mitgliederverwaltung gebracht werden. Natürlich gibt es dann noch einiges an Papierkram zu erledigen. Ob für einen Verein nun wirklich Verträge mit jedem Auftragsverarbeiter sinnvoll sind, sei mal dahingestellt. Aber das Aufstellen eines Verzeichnisses der Verarbeitungstätigkeiten und die Überprüfung der IT-Sicherheit macht in jedem Fall Sinn. So kann effektiv der Datenschutz für die Mitglieder erhöht werden. Und darum soll es ja bei der DSGVO letztendlich gehen.

Fazit: Anpacken

Also es hilft alles nichts – aber es hilft Ihren Mitgliedern. Datenschutz muss auch im Verein umgesetzt werden. Setzen Sie sich mit dem Vorstand zusammen und entwickeln Sie eine Strategie. Bestimmt gibt es einen Anwalt oder Datenschutzbeauftragten unter Ihren Mitgliedern, der weiterhilft. Viele Städte bieten zudem kostenlos Seminare an. Ein guter Einstieg sind die Veröffentlichungen des Bayerischen Landesamts für Datenschutzaufsicht. Hier finden sich zum einen die Anforderungen für Vereine und zum anderen ein Muster für ein Verzeichnis der Verarbeitungstätigkeiten veröffentlicht. Damit lässt sich auf jeden Fall ein Einstieg finden. Los geht’s!

Externe Links (Bayerisches Landesamt für Datenschutzaufsicht)
Anforderungen für Vereine
Musterverzeichnis der Verarbeitungstätigkeiten für Vereine