Skip to content

Externer DSB und ISB

Die DSGVO sieht ausdrücklich den Einsatz von externen Dienstleistern für die Rolle des DSB vor. Gleichzeitig verbietet sie, einen DSB so einzusetzen, dass er bei seiner Tätigkeit Interessenkonflikten ausgesetzt ist.

Ein DSB soll – vereinfacht gesagt – beraten und kontrollieren. Es dürfte vor allem in kleineren Unternehmen nicht immer leicht fallen, einen internen DSB so einzusetzen, dass er oder sie einerseits ausgelastet wird und andererseits keinem Interessenkonflikt ausgesetzt wird.

Wer ist zuständig für den Datenschutz?

Diese Frage wird vielfach so beantwortet: der DSB. Falls das bei Ihnen der Fall ist, gibt es Handlungsbedarf!

Ein DSB darf nicht für die operative Umsetzung des Datenschutzes zuständig sein. Genau dies würde zu den verbotenen Interessenkonflikten gem. Art. 38 (6) DSGVO führen.

Was bieten wir an?

Wir sind für einige Unternehmen als externer DSB und ISB tätig. Wir nehmen nur Mandate an, wenn wir noch ausreichend Zeit für unsere Kunden aufbringen können und die Unternehmen zu uns passen. Wir betreiben kein Massengeschäft, erzielen aber trotzdem Synergien. Wenn sich Konzepte zur Definition von Sicherheitsparametern oder beispielsweise zum Risikomanagement bewährt haben, teilen wir sie mit allen Mandanten. Unter ‘teilen’ verstehen wir, dass das Rad nicht immer wieder neu erfungen (und bezahlt) werden muss.

Tatsächlich verfügen wir über einen guten Fundus an Lösungsansätzen, wie Forderungen der DSGVO oder der ISO 27001 vor allem auch in kleineren Unternehmen so umgesetzt werden, dass sie Prüfungen bzw. Audits bestehen.

Wir bieten die Rolle des DSB gerne in Verbindung mit der Übernehme der Position als externer ISB an. Beide Rollen können nach dem von der DSGVO vorgegebenen Rahmen (Beraten und Kontrollieren) gestaltet werden und ergänzen sich nach unserer Überzeugung dann perfekt. Dass sich die Ziele eines DSB und ISB nicht widersprechen, erörtern wir hier.

Unser Ansatz: Wir arbeiten auf Basis von Stundensätzen und vereinbaren mit unseren Kunden abhängig vom Risikoprofil des Unternehmens gewöhnlich einen Mindestumsatz. Der Mindestumsatz gilt als Anreiz, auch tatsächlich an den Themen Datenschutz und Informationssicherheits-Management zu arbeiten. Pro Forma Mandate nehmen wir nicht wahr.

Bei Bedarf arbeiten wir auch über die vereinbarte Mindestzeit hinaus mit unseren Kunden zusammen. Wir nehmen nur soviele Mandate an, dass (basierend auf unserer Erfahrung) stets genügend Zeit für diese flexible Form der Zusammenarbeit vorhanden ist.

Wir sind kein Incident Response Team, dass rund um die Uhr garantierte Reaktionszeiten verspricht (und halten kann). Eine garantierte ad hoc Verfügbarkeit erfordert hohen Personaleinsatz, der unsere Preise stark in die Höhe treiben würde. Diese Dienstleistung überlassen wir deshalb anderen Anbietern, sind bei der Auswahl aber gerne behilflich. Entscheidend ist aber auch dieser Punkt: Incidence Response oder jede andere Art von operativen Eingriffs ist mit dem (beim DSB) gesetzlich definierten Aufgabenspektrum gar nicht vereinbar (Interessenkonflikt). Und wir wollen Probleme lösen, nicht schaffen…

Sprechen Sie uns gerne an, ob und wie eine Zusammenarbeit mit Ihnen gestaltet werden kann.