1. Die Angebots-Phase

Angenommen, Sie haben uns per Telefon oder E-Mail kontaktiert: Wie geht es dann weiter? Dies möchten wir Ihnen hier beschreiben.

1.1. Telefonisches Vorgespräch

Die Basis für jede Zusammenarbeit ist erst einmal ein telefonisches Vorgespräch. Ganz unverbindlich besprechen wir Ihre Anfrage und finden gemeinsam heraus, ob für Ihr Unternehmen eine Benennungspflicht eines Datenschutzbeauftragten besteht.

Für den Fall, dass Sie keinen Datenschutzbeauftragten benötigen, werden wir Ihnen dies sofort und unmissverständlich mitteilen. Anschließend können Sie entscheiden, ob Sie möglicherweise auf freiwilliger Basis eine Benennung planen.

1.2. Persönliches Erstgespräch

Sofern es Ihnen recht ist, stellen wir uns gerne persönlich vor. Bei Ihnen vor Ort können wir uns gegenseitig kennenlernen. Dies ist sehr wichtig, denn der externe Datenschutzbeauftragte ist keine Dienstleistung "von der Stange". Erfahrungsgemäß ist die Benennung zum externen Datenschutzbeauftragten der Grundstein für eine lange Zusammenarbeit; es bildet sich ein gegenseitiges Verständnis und Vertrauen, welches notwendig ist, um gemeinsam auch knifflige Situationen zu meistern.

Jedes Unternehmen hat seine ganz eigenen Besonderheiten. Diese sollten Sie unbedingt bei diesem Gespräch zur Sprache bringen. Beispielsweise sind die Verbindungen zu anderen Unternehmen (Schwester-, Töchter-, und Mutterunternehmen) manchmal nicht ganz trivial. Dies gilt es ganz zu Anfang herauszuarbeiten.

Unsererseits können wir unser Leistungsspektrum beschreiben. Insbesondere zeigen wir Ihnen das mächtige Datenschutz-Handbuch und die vielen andere Materialien, die im Laufe der Zeit zum Zuge kommen (PrivazyPlan®, TOM-Guide®, Newsletter, Fragebögen etc.). Dadurch gewinnen Sie einen ganz realistischen Eindruck davon, wie wir arbeiten.

1.3. Postalisches Angebot mit Pauschalpreis

Nach dem persönlichen Erstgespräch verfügen wir über das notwendige Wissen, um Ihnen ein Angebot zu unterbreiten. In diesem individuellen Angebot ist alles enthalten, was später vertraglich relevant ist. Alle Leistungen (und deren Teilschritte) sind ausführlich beschrieben. Alle Preise sind genau aufgeschlüsselt.

Was unsere Preisgestaltung angeht: Anders als andere Dienstleister rechnen wir nicht nach Aufwand ab. Vielmehr veranschlagen wir eine monatliche Pauschale. Damit verschaffen wir Ihnen eine größtmögliche Planungssicherheit. Und Sie können sicher sein, dass wir Ihnen keine zeitraubenden Themen aufdrücken, nur um Umsatz zu erzeugen. Manche unserer Kunden sprechen von einer Datenschutz-Flatrate; das ist durchaus zutreffend.

Ebenfalls abweichend zu anderen Dienstleistern gilt Folgendes: Das geforderte Verarbeitungsverzeichnis lassen wir uns nicht einfach aushändigen, sondern wir erarbeiten es gemeinsam mit Ihnen im Rahmen von Interviews. Nur so können die Ziele dieser gesetzlich geforderten Dokumentation erreicht werden (alles andere wäre auch eine fachliche Überforderung Ihrer Mitarbeiter).

Sofern wir Sie menschlich, fachlich und kostenmäßig überzeugt haben, müssen Sie nur die Benennungsurkunde unterschreiben. Danach wird unsere Zusammenarbeit beginnen.


2. Das Datenschutz-Handbuch

Nachdem Sie uns Ihr Vertrauen geschenkt haben und im Anschluss an die Benennung als externer Datenschutzbeauftragter, geht die Arbeit sofort los.

2.1. Sinn und Zweck des Datenschutz-Handbuchs

Das Datenschutz-Handbuch ist eine Sammlung von wichtigen Dokumentationen und Nachweisen. In einer übersichtlichen Weise sammeln wir hier alles, was später auf Anfrage präsentiert werden muss.

Ein konkreter Anlass kann sein, dass die Datenschutz-Aufsichtsbehörde Auskünfte einfordert, oder dass der Betriebsrat gewisse Nachweise sehen möchte, oder dass die Geschäftsführung über den aktuellen Stand der Dinge informiert werden will. In allen diesen Fällen wird der unternehmensinterne Datenschutz-Koordinator dieses Datenschutz-Handbuch aufschlagen und die Antworten finden. Das Datenschutz-Handbuch verbleibt dauerhaft in Ihrem Unternehmen.

2.2. Erstellung der Vorab-Version

In kürzester Zeit erhalten Sie eine Vorabversion des Datenschutz-Handbuchs. Alle allgemeinen Teile sind hier schon enthalten: Beispielsweise die exemplarischen Mitarbeiter-Erklärungen, das Datenschutz-Glossar etc.

2.3. Erstellung des Verarbeitungsverzeichnisses

Gemeinsam mit Ihren fachverantwortlichen Mitarbeitern erstellen wir das geforderte Verarbeitungsverzeichnis. Wir nehmen diese Aufgabe ziemlich genau. Daher stellen wir viele Fragen bezüglich des Umgangs mit personenbezogenen Daten.

Dies bedeutet aber nicht, dass wir Ihren Mitarbeitern notwendigerweise auch viel der kostbaren Zeit rauben. Da wir ausgezeichnet vorbereitet sind, können wir diese Gespräche sehr effizient führen. Oftmals hören wir anschließend: "Ach, das war es schon? Das ging aber schneller als erwartet.".

Das Verarbeitungsverzeichnis wird nicht an einem Tag erstellt. Gemäß unseres Angebots wird dieses erst grob und dann immer feiner erarbeitet.

2.4. ... (fast) fertig

Das war es auch schon fast. Möglicherweise werden noch Betriebsvereinbarungen im Datenschutz-Handbuch abgeheftet. Nicht selten gibt es auch konkretes Verbesserungspotential, welches (in Anlehnung an das Qualitätsmanagement) in Form von "Feststellungen" dokumentiert wird.

Dann ist das Datenschutz-Handbuch zunächst komplett. Eine inhaltliche Weiterentwicklung und Ergänzung findet dann später durch die laufende Tätigkeit des Datenschutzbeauftragten statt; beispielsweise wird der jährlich erstellte Tätigkeitsbericht hier im Datenschutz-Handbuch abgeheftet.


3. Laufende Betreuung

Mit dem Wirksamwerden der Benennung (Bestellung) sind wir Ihr externer Datenschutzbeauftragter und stehen Ihnen uneingeschränkt zur Verfügung. Parallel zur Erstellung des Datenschutz-Handbuchs gibt es zahlreiche Prozesse, die eingeleitet werden. Diese Prozesse haben wir schriftlich dokumentiert. Sie erhalten von uns eine ausführliche Prozess-Dokumentation, die wir hier auszugsweise darstellen möchten.

Vorab noch eine wichtige Klarstellung: Als externe Datenschutzbeauftragte interessieren wir uns in aller Regel nicht für die konkreten Daten Ihres Unternehmens. Auch für uns gilt der Grundsatz der Datensparsamkeit. Sie müssen also nicht befürchten, dass wir in Aktenordnern und Serververzeichnissen herumstöbern. Wir wollen Ihre Kennwörter nicht wissen, und wir brauchen auch nicht unbedingt eine vollständige Liste aller Mitarbeiter. Selbstverständlich achten wir Ihre Betriebs- und Geschäftsgeheimnisse. Wir sind zur Verschwiegenheit verpflichtet, wenn die betroffenen Personen es wünschen.

3.1. Einmalige Prozesse

Einige Prozesse finden nur ein einziges Mal statt. Insbesondere zum Beginn unserer Zusammenarbeit sind beispielsweise diese Schritte notwendig:

Einführendes Gespräch mit der Geschäftsführung: Dies ist - wenn möglich - der allererste Schritt überhaupt. In diesen 15 Minuten werden wir erst einmal "eingenordet". Was sind die akuten Ziele? Wo lauern Probleme? Welcher Aktivitätsgrad des Datenschutzbeauftragten wird gewünscht? Wer wird der unternehmensinterne Datenschutz-Koordinator?

Mitarbeiter-Schulung und Datengeheimnis: Die Mitarbeiter müssen das Datengeheimnis zusichern und sie müssen geschult werden. Dies zu organisieren ist eine der ersten Aufgaben eines Datenschutzbeauftragten.

Bekanntmachung: Die Beschäftigten müssen natürlich über die Existenz des externen Datenschutzbeauftragten informiert werden. Das ist die Grundlage dafür, dass die Beschäftigten nun wissen, wer sich um ihre Fragen/Sorgen/Anregungen kümmert.

3.2. Wiederkehrende Prozesse

Andere Prozesse finden (regelmäßig) wiederkehrend statt. Dazu einige Beispiele:

Nach-Schulung von Mitarbeitern: Es ist sinnvoll, Ihren Mitarbeitern regelmäßig eine Datenschutzschulung anzubieten. Die Schulung kann unter anderem auch durch Newsletter geschehen. Wir haben hier zahlreiche praxisrelevante und gut verständliche Newsletter erstellt, die z. B. alle drei Monate an Ihre Mitarbeiter gesendet werden können.

TOM-Guide® versenden: Alle von uns betreuten Unternehmen erhalten das regelmäßig überarbeitete Datenschutz-Praxishandbuch TOM-Guide® per E-Mail zugestellt. Ausgewählte Mitarbeiter (z. B. EDV-Mitarbeiter) werden somit über aktuelle Geschehnisse und interessante technische Neuerungen informiert. Auch für den Datenschutz-Koordinator ist der TOM-Guide® wichtig.

Jahresbericht erstellen: Immer am Ende eines Vertragsjahres erhalten Sie von uns einen ausführlichen Jahresbericht. Dort werden alle wichtigen Ereignisse der letzten 12 Monate dokumentiert (inkl. der gesetzlichen Neuerungen). Auch die eventuell offenen Feststellungen werden aufgelistet und erläutert. Gleichfalls erhalten Sie einen präzisen Tätigkeitsbericht des Datenschutzbeauftragten. Diese Präzision ist möglich, weil wir jede Tätigkeit noch am gleichen Tag in der Software DSB-Reporter® dokumentieren.

3.3. Anlassbezogene Prozesse

Außerdem gibt es Prozesse, die durch einen konkreten Anlass begründet stattfinden. Die Gründe dafür können vielfältig sein. Beispielhaft sei genannt:

Reagieren auf rechtliche Änderungen: Aufgrund unserer täglichen Internet-Recherche, und der zahlreichen Fachzeitschriften (und der Gespräche mit Fachkollegen) sind wir immer auf dem aktuellen Stand der Gesetze und Rechtsprechung. Insbesondere die höherinstanzlichen Urteile sind von großer Relevanz, weil die Einschätzungen der Richter sich schnell im Alltag widerspiegeln. Sobald sich etwas Wichtiges ergibt, werden Sie von uns informiert.

Reagieren auf Fragen der Beschäftigten: Die Mitarbeiter Ihres Unternehmens haben vielleicht Fragen zum eigenen Tätigkeitsfeld: Wie sollen bzw. dürfen sie mit Daten umgehen? Wann und wie sollen Daten wieder gelöscht werden? Wann ist die Weitergabe an Dritte rechtmäßig? Wann und wie soll man Inhalte in E-Mails verschlüsseln? Welche Aktenvernichter und Stahlschränke sind empfehlenswert? All diese Fragen gilt es Tag für Tag zeitnah zu beantworten. Übrigens spielen die Beschäftigten-Vertretungen eine immer größere Rolle. Hier ist natürlich ein besonderes Fingerspitzengefühl gefordert. In diesem Spannungsfeld haben wir schon umfangreiche Erfahrungen gesammelt.

Reagieren auf Beschwerden: Leider gehören in seltenen Ausnahmefällen auch Beschwerden zum Tagesgeschäft eines Datenschutzbeauftragten. Oftmals handelt es sich aber um Missverständnisse seitens der Beschwerdeführer. Leider nicht immer. Viele Beschwerden sind eher trivial, aber manche sind wirklich schwerwiegend. Mit all diesen Nuancen muss ein Datenschutzbeauftragter umgehen können.


Sie sehen: Für Datenschutzbeauftragte gibt es viel zu tun.


Quelle: SecureDataService - © Nicholas Vollmer