Kosten für den Datenschutz?
Den Richtigen unter den vielen Datenschutzbeauftragten finden ist keine leichte Aufgabe für Unternehmen, denn seit dem Inkrafttreten der DSGVO wuchs die Anzahl der vermeintlichen Experten wie Unkraut im Garten.
Soll der Posten intern oder extern vergeben werden? Beide Varianten unterscheiden sich preislich fundamental. Der interne Datenschutzbeauftragte schlägt mit dem Gehalt und Weiterbildungskosten zu buche.
Soll der Posten extern vergeben werden, muss genau wie beim internen Datenschutzbeauftragten zunächst ein fachkundiger und qualifizierter Kandidat gefunden werden. Die Angebote auf dem Markt sind weitreichend. Von 99 Euro bis Open-End (pro Monat) ist alles vertreten.
Zertifizierung
Leider ist die Begrifflichkeit der Datenschutzbetreuung bzw. -beratung weder geschützt, geschweige denn die Ausbildung einheitlich. Mittlerweile gibt es etliche Zertifizierungen auf dem Markt – Dekra, etc. – um den gängigsten zu nennen. Verlass dich dabei nur auf die renommierten Prüfstellen, wie die eben genannten. Von Online-Akademien rate ich dringend ab.
Die Konsequenz: Heutzutage kann jeder ein paar Euros in die Hand nehmen und „Datenschutzbeauftragter“ werden und eine „Beratung“ für Summe X anbieten. Die Gänsefüßchen habe ich bewusst benutzt, denn auch unter den ganzen Datenbeschützern die es ernst meinen gibt es viele faule Eier. So habe ich zum Beispiel mal einen Mandanten übernommen, der ein Audit beauftragt hatte. Für 10.000 Euro gab es dann eine Exceldatei, welche sich auf einem DIN A4 Blatt ausdrucken lies. Das ist schon echt hart an der Grenze und darf definitiv nicht unterstützt werden.
Auswahl Datenschutzbeauftragter
Aufgrund der vielen Trittbrettfahrer ist es sinnvoll, neben den Zertifikaten der Dekra, etc., einen Blick auf den Lebenslauf des Kandidaten zu werfen. Wie lange beschäftigt dieser sich schon mit dem Thema Datenschutz? Welche weiteren Kunden bzw. Mandate betreut er? Wie groß sind die Unternehmen? In welcher Branche ist er tätig? Wie ist die berufliche Laufbahn? Welche Ausbildung hat er genossen? Hat er einen rechtlichen oder technischen Hintergrund? Bringt er die notwendige Fachkunde und berufliche Qualifikation im Sinne von Art. 37 Abs. 5 DSGVO mit?
Rechtlich vs. technisch
Datenschutz ist in meinen Augen definitiv eher ein rechtliches Thema als ein technisches Thema. Allerdings darf der technische Teil keineswegs vernachlässigt werden.
So ist ein Anwalt vielleicht nicht immer die beste Variante, wenn dieser keinen technischen Hintergrund mit sich bringt. Andersherum ist es noch schwachsinniger, einen technisch versierten IT-ler ohne juristischen Background ins Rennen zu schicken, da der Datenschutzbeauftragte überwiegend mit den Gesetzestexten arbeiten muss.
Meine Empfehlung an dieser Stelle: Sucht euch einen Juristen, im Idealfall mit dem Fachgebiet Informationsrecht (IT-Recht), sowie mit technischer Zusatzausbildung (Informationssicherheitsbeauftragter, etc.).
Stundenlohn eines Datenschutzbeauftragten
Die Stundensätze können, je nach Berufserfahrung, Stand und Aufgabengebiet, von 40 Euro bis hin zu 800 Euro pro Stunde reichen. Die meisten Stundensätze liegen wohl im Schnitt bei 150 Euro pro Stunde.
Die Monatspauschale – Kosten für den Datenschutz
Wie oft höre ich: „Was so teuer? – Im Internet habe ich ein Angebot in Höhe von 99 Euro monatlich gesehen.“ Das kann allerdings teurer enden als du denkst. Ein genauer Blick lohnt sich. Ferner sollten ein Pflichten- und Lastenheft sowie Service Level Agreements vereinbart werden. Vor Abschluss eines Billigangebotes solltest du dir bitte folgende Fragen stellen:
- Welche Leistungen sind inklusive?
- Wie sieht es mit Haftungsfragen aus?
- Werden Jahresberichte (kostenlos) erstellt?
- Wie teuer sind die Anfahrten? Wenn dein Unternehmen in Hamburg sitzt und du aus München betreut wirst, dann aber Prost-Mahlzeit.
- Wird eine Termingebühr fällig?
- Wie werden Termine gerechnet?
- Werden Anrufe bzw. Anfragen extra berechnet?
- Was kostet mich ein Audit?
- Werden Schulungen von Mitarbeitern kostenfrei angeboten?
Rechenbeispiel
Gerne würde ich an dieser Stelle zwei ganz banale Beispiele für einen Zwei-Jahres-Vertrag bei einem KMU mit 100 Mitarbeitern, 50 Verfahren, 40 Auftragsverarbeitungsverträgen, 10 Vor-Ort-Terminen, 74 Stunden Arbeitszeit für Telefon- und Emailanfragen vergleichen:
Anbieter A:
- Jede Beratung ist „all inklusive“ – monatliche Kosten 500 Euro
- Verzeichnis der Verarbeitungtätigkeiten „all-inklusive“
- Vor-Ort-Termine „all-inklusive“
- Prüfungen von Auftragsverarbeitungsverträgen „all-inklusive“
- Anfahrten werden pauschal mit 20 Euro berechnet
- Das Audit wird einmal zusätzlich mit 3 Tagessätzen je 750 Euro berechnet.
- Mitarbeiterschulungen werden jährlich mit 12 Euro pro Person berechnet.
- Telefonanfragen „all-inklusive“
- E-Mailanfragen „all-inklusive“
Gesamtsumme:
- Kosten Beratung 24 x 500 = 12.000 €
- 10 Anfahrten 10 x 20 = 200 €
- Audit 3 x 750 = 2.250 €
- Schulungen 12 x 100 = 1.200 €
Kosten für 24 Monate = 15.650 €
Anbieter B:
- Monatliche Bereitstellungsgebühr 100 Euro
- 10 Verfahren des Verzeichnisses der Verarbeitungstätigkeiten inklusive. Jedes weitere Verfahren wird pro Stunde berechnet. In einer Stunde schafft der Anbieter vier Verfahren.
- Prüfung der Auftragsverarbeitungsverträge schlagen jeweils mit 100 Euro zu buche
- Anfahrten werden pauschal mit 20 Euro berechnet
- Auditkosten pauschal 5.000 Euro
- Vor-Ort-Termine werden mit einem Stundensatz von 100 Euro berechnet.
- Vor-Ort-Schulungen werden mit 250 Euro pro 20 Mitarbeiter berechnet
- Telefonanfragen 100 Euro die Stunde, 15 Min Takt, 1 Stunde im Monat inklusive
- E-Mailanfragen 100 Euro die Stunde, 15 Min Takt, 1 Stunde im Monat inklusive
Gesamtsumme:
- Kosten Bereitstellung 24 x 100 = 2.400 €
- 40 Verfahren = 10 Stunden x 100 Stundensatz = 1.000 €
- Auftragsverarbeitungsverträge 1000 x 40 Verträge = 4.000 €
- Audit = 5.000 €
- Vor-Ort-Termine 10 x Stundensatz 100 = 1.000 €
- Schulungen 5 x 250 = 1.250 €
- Telefon- und Emailanfragen 50 x 100 = 5.000 €
Kosten für 24 Monate = 19.650 €
Im Ergebnis lässt sich erkennen, nicht wo billig drauf steht ist am Ende auch billig drin. Gerade bei den „Billigangeboten“ wird der Kunde für jeden einzelnen Vertrag, Verfahren, Sachverhalt einzeln zur Kasse gebeten. Hätte ich in meinem Beispiel noch eventuelle Auskunftsersuchen mit aufgenommen, wäre die Differenz wahrscheinlich noch größer.
Meine Empfehlung: Entscheide dich lieber für eine Datenschutzberatung die planbar und kalkulierbar ist, anstatt eine günstige Variante mit (versteckten) Nebenkosten zu wählen. Am Ende ist das Geschrei groß. Auch hier kann ich meine Erfahrungswerte weitergeben. Die Billiganbieter in unserer Region verlieren immer mehr Mandate. Schlecht für Sie, gut für meine Kollegen und mich.
Das Datenschutzaudit
Auch bei dem Punkt Datenschutzaudit ist Vorsicht geboten, da es noch keinen genehmigten Auditstandard im Sinne des Art. 42 DSGVO in Deutschland gibt. Auch wenn dir „zertifizierte“ Audits angeboten werden, sei dir immer sicher: Es gibt aktuell noch keine zertifizierten Audits, die von der Deutschen Akkreditierungsstelle (DAkkS) genehmigt sind. Dennoch ist es durchaus sinnvoll, einen IST-Zustand aufzunehmen, um in der späteren Betreuung die datenschutzrechtlichen Lücken schließen zu können.
Abraten würde ich dir von einem Fern-Audit oder Checklisten die von dir ausgefüllt werden müssen. Ein Audit findet immer im Unternehmen und mit der persönlichen Anwesenheit des Auditors statt. Dabei erstellt der Auditor einen Auditplan anhand der relevanten Abteilungen im Unternehmen. Ein Organigramm kann hier echt helfen. Im Auditplan selbst wird dann die Reihenfolge und der Ablauf des Audits festgelegt.
Beispiel Auditplan
Tag 1:
08:00 – 10:00 Begehung Werksgelände
10:30 – 12:00 Interview Geschäftsführung
12:30 – 13:00 Gemeinsames Mittagessen
13:00 – 16:00 Personalabteilung
Etc.
Kosten Datenschutz-Audit
Die Kosten für ein „konformes“ Datenschutzaudit wird oftmals anhand von Tagessätzen berechnet. Bei einem kleinen Unternehmen kann ein Audit an einem Tag abgefrühstückt sein. Bei größeren Unternehmen können die Interviews durchaus 3-5 Tage in Anspruch nehmen. Der durchschnittliche Tagessatz liegt aktuell zwischen 1000-1500 Euro. Solltest du ein Angebot in der Höhe vorliegen haben, ist das völlig ok. Natürlich nur wenn du vorher die fachliche Qualität des Auditors überprüft hast und ein gutes Gefühl mit dem Menschen an sich hast. Eine kleine Anmerkung meinerseits: Auch das zwischenmenschliche muss passen. Das ist für mich ganz wichtig. Auch ich schaue mir meine potenziellen Kunden vorher an und mache mir meinen Vorabeindruck. Wenn ich der Meinung bin, dass das nicht passt, kann es schon vorkommen das ich dankend ablehne. Schließlich soll mir die Arbeit ja Spaß machen, nicht oder?