Der Markt für "Externe Datenschutzbeauftragte" steigt stetig. Viel Konkurrenz für einen Datenschutzbeauftragten. Ich habe mal eine (völlig unabhängige und wertfreie) Analyse des aktuellen Markts von Datenschutzbeauftragten durchgeführt. Dabei habe ich mich nicht nur den üblichen Klick auf die Google-Anzeigen genutzt, sondern auch tiefer recherchiert und die Angebote durchforstet. Die dabei festgestellten Punkte möchte ich Ihnen nicht vorbehalten.
Ich schreibe über die unterschiedlichen Kategorien von Datenschutzbeauftragten und vergleiche diese: Der "Datenschutzbeauftragten-Vergleich", die "Software-Anbieter", die "bundesweit und branchenübergreifend tätigen Kollegen", die "Paket-Datenschutzbeauftragten" und die "Ewig-Gestrigen".
1. Der Datenschutzbeauftragten-Vergleich
Ja, es gibt ihn wirklich, den "Datenschutzbeauftragten-Vergleich". Der Vergleich verspricht, dass Sie einfach die Preise von Datenschutzbeauftragten vergleichen und sparen. Zum Glück ist dieser Vergleichsservice für Sie kostenlos, denn der Vergleichsservice erhält eine Provision von dem Datenschutzbeauftragten (der sich diese Provision dann wieder bei Ihnen zurückholt). Üblich als Provision sind 20% auf den gesamten (!) Umsatz, den Sie bei dem Datenschutzbeauftragten generieren. Sie sollten also selber überlegen, ob Sie dort die Daten Ihres Unternehmens angeben. Der im Impressum genannte Eigentümer des Vergleichsservice ist übrigens eine Koryphäe im Bereich Online-Marketing und nicht im Bereich der EU-Datenschutz-Grundverordnung.
2. Der Software-Anbieter
Jeder Datenschutzbeauftragter hat ein Problem. Datenschutzberatung ist sehr zeitintensiv. Sie müssen die Verarbeitungen der Kunden kennen und die für seine betrieblichen Prozesse beste Antwort zu datenschutzrechtlichen Fragen bereitstellen. Leider hat der "Software-Anbieter" als Datenschutzbeauftragte keine ausreichende Zeit zur Beratung. Trotzdem will er sein Geschäft hochskalieren und hat die Idee: Er bietet Ihnen eine Software-Lösung oder eine Datenschutz-Plattform an.
Mit dieser Software-Lösung wir Datenschutz "automatisiert", "effizient umgesetzt" und/oder "operativer Aufwand reduziert". Tatsächlich wird Datenschutz nicht "automatisiert", sondern an Sie als Unternehmer abgewälzt. Sie als Kunde müssen, sobald die Tinte am (Lang-)Laufzeitvertrag getrocknet ist, Checkliste ausfüllen, Verzeichnisse füllen und Dokumente an jeden und alles verschicken. Viel Spaß damit.
3. Der "Datenschutzbeauftragter in..."
Dieser Typus an Datenschutzbeauftragter ist wirklich überall zu Hause (und nirgendswo). Er hat Unterseiten auf seiner Webpräsenz, die davon zeugen, dass er sich auskennt in Deutschland. Er ist in Aachen, Münster, Osnabrück, Hamburg, Buxtehude, Garmisch-Partenkirchen, Chemnitz, Rügen und Freiburg zu Hause. Sein Einzugsgebiet ist in der Regel genauso groß wie seine Branchenkenntnis. Es gibt keine Branche, die er nicht bedienen kann:-Er hat Ahnung von Hotels, Arztpraxen, Pflege, Innungsbetriebe, Handwerker und IT-Beratungen. Er ist ein echter Tausendsassa und das macht ihn wiederum unglaubwürdig. Den Stellenanzeigen nach zu urteilen, die er rausgegeben hat, wächst sein Business unaufhörlich. Weiterhin viel Erfolg von meiner Seite - mein Ding ist das nicht.
Zwischendurch mal ein Hinweis, wie Sie herausbekommen, ob Ihr zukünftiger Datenschutzbeauftragter überhaupt Zeit für Sie hat: Googlen Sie ihn mal und fügen Sie "Datenschutzerklärung" dahinter an. Dann finden Sie die bisherigen Kunden ihres zukünftigen Datenschutzbeauftragten. Sind es sehr viele? Sind es zu viele, die eine individuelle Beratung (im Verhältnis zur Personalstärke des Dienstleisters) verhindern?
4. Der "150" - "250" - "500" - "900" Datenschutzbeauftragter
Dieser Typus von Datenschutzbeauftragter unterteilt alle Unternehmen in Pakete. Jedes Unternehmen passt in ein Paket. Quasi "Dienstleistung von der Stange", bevor die Dienstleistung überhaupt angefangen hat. Wenn Sie sich für ein Angebot "von der Stange" entscheiden, dann erwarten Sie bitte nicht individuelle und passgenaue Beratung.
Die Pakete sind so gestrickt, dass sie mit anderen Paketen anderer Datenschutzbeauftragten definitiv nicht vergleichbar sind. Auch sind in jedem Paket für einen Laien nicht erkennbare Einschränkungen vorhanden. Zum Beispiel die eingeschränkte Anzahl an Beratungsstunden (ohne Angabe was zusätzliche Beratungsstunden kosten), nur X Verarbeitungen im Verarbeitungsverzeichnis, beschränkte Anzahl an Vorlagen etc. pp. Hintergrund ist, dass weiterer Aufwand erzeugt wird und dieses pauschale Angebot für Sie in einem unkalkulierbares Dauerschuldverhältnis endet.
5. Der DSGVO-Verweigerer
Der DSGVO-Verweigerer ist schon länger auf dem Markt tätig. Das erkennt man an seiner News-Seite oder seinem Unternehmens-Blog. Die letzten Artikel stammen aus der prä-historischen Zeit vor der DSGVO. Das wäre nicht weiter schlimm, wenn der DSGVO-Verweigerer ein Antiquariat oder einen Handel für seltene Briefmarken betreiben würden. Als Datenschutzbeauftragter besteht im Gegensatz dazu die Notwendigkeit, sehr aktuell am Ball zu bleiben. Somit könnten die Risiken für die eigenen Kunden reduziert werden.
Aussagen, die mal auf den interessierten Leser einfach wirken sollen, sind zum Beispiel:
- Der rechtskonforme Einsatz von Google Analytics ist vorerst wieder möglich! (letzter Blogeintrag aus dem Jahr 2016).
- Sie brauchen ein Datenschutzbeauftragten wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben. (seit 2019 sind es 20 Mitarbeiterinnen und Mitarbeiter, Geschäftsführung ausgeschlossen).
Verstehen Sie mich nicht falsch: Möglicherweise machen die (nicht persönlich genannten) Kolleginnen und Kollegen einen guten Job. Es ist eben nur auffällig, wie sich die Schemata bei den Angeboten wiederholen.
Tipps dazu, welcher Datenschutzbeauftragte am besten für Ihre Bedürfnisse passt, erhalten übrigens am besten bei mir. Ohne Quatsch.
Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz & Informationssicherheit
Bad Aachen
Photo by Hunters Race on Unsplash