Nach wie vor aber
wissen viele Unternehmen nicht, wie viel Datenschutz eigentlich kostet. Man
kann natürlich ordentlich Geld dafür ausgeben – sozusagen „mit Kanonen auf
Spatzen schießen“. Und es gibt auch die „Sparfüchse“, die glauben, mit einem
Outsourcing dieser Angelegenheit alles erledigt zu haben – es darf halt nichts
kosten.
Wie viel es kosten
sollte, muss man sich schon ein wenig erarbeiten. Zum Glück gibt es eine
Orientierungshilfe von der Datenschutz-Bundesbeauftragten. Zusammen mit einer
Entgelttabelle und einer tariflichen Entgeltordnung kann man nun eine
Kalkulationsgröße für Entgeltverhandlungen herstellen.
Seit dem 25.5.2018 ist jede datenverarbeitende Stelle zur
Beachtung der DSGVO verpflichtet. Vorher gab es zwar „nur“ das
Bundesdatenschutzgesetz, aber mit der DSGVO wurde eine Bußgeld-Vorschrift
verkündet, die es in sich hatte. Gleichzeitig wurde die Unternehmenslenkung verantwortlich
gemacht und der Datenschutzbeauftragte zu einer Person mit beratender und
beaufsichtigender Funktion.
Es hätte schon längst etwas getan werden müssen. Wenn es
zu einer Erstberatung bzw. einer ersten Anwendung der Vorgaben aus der DSGVO
durch eine externe Fachperson kommen sollte, muss man mindestens schon mal mit
einer Geldausgabe von 10 Tsd. Euro rechnen; zumindest wäre dies ein relativ
„üblicher“ Betrag bei einer Unternehmensberatung und kleineren Projekten. In
vielen Fällen langen die Berater allerdings zu und wollen das drei- bis
vierfache für einen Arbeitseinsatz von wenigen Monaten.
Bei einem mittelständischen Unternehmen mit etwa 200
Mitarbeitern beliefen sich in 2016/17 die Kosten der externen Fachleute für
eine BDSG-konforme Erstanwendung auf etwa 25 Tsd. Euro. Die
unternehmenseigenen, internen Kosten lagen vermutlich bei rund der Hälfte.
Grundsätzlich muss man schon mit einem Stundensatz von 80 bis 100 Euro netto
rechnen, selbst wenn die Hauptarbeit beim Auftraggeber liegt.
Was dann als Arbeitsergebnis abgeliefert wird, muss dabei
nicht wirklich hilfreich sein. Überhaupt wären diese hohen Beträge nur
einmalige Kosten, um eine Grundlage zu schaffen. Wichtiger ist jedoch die
Frage, wie hoch der laufende Aufwand aussehen wird.
Stellenbewertung
für eine datenschutzbeauftragte Person
Datenschutz ist jetzt keine Angelegenheit, die von einem
Unternehmenslenker „so nebenbei“ gehandhabt werden kann. Es muss zwar nicht
„immer“ ein Datenschutzbeauftragter benannt werden, aber schon Art. 37 Abs. 1
b) DSGVO macht dies faktisch notwendig. Von daher sollte mit dieser Aufgabe
eine Person betraut werden, die ein entsprechendes „Niveau des Fachwissens“ mit
sich bringt; mit einem solchen Fachwissen sind gemeint ein Wissen über die
technische und organisatorische Verarbeitung von Daten sowie das angemessene
Schützen von personenbezogenen Daten (vgl. Satz 2 Erwägungsgrund 97).
Eine damit beauftragte Person soll „ihre Pflichten und
Aufgaben in vollständiger Unabhängigkeit ausüben können“ (vgl. Satz 3
Erwägungsgrund 97). Idealerweise verlangt dies nach einer Freistellung, keine
Linien-Funktion. Eine Person innerhalb einer Hierarchie wäre selbst an
Weisungen ihrer Vorgesetzten gebunden und müsste vielleicht sogar
Budgetvorgaben einhalten. Wenn aber selbst eine Verantwortung ausgeübt wird
über technische und organisatorische Maßnahmen mit Bezug auf eine
Datenverarbeitung, entstünde ein Interessenskonflikt (vgl. Art. 38 Abs. 6
DSGVO). Ein weiterer Pluspunkt wäre natürlich eine persönliche Reife, um sich
unabhängiger zu machen und kritischer zu verhalten. Doch es soll u.a. auch eine
Beratung des Verantwortlichen stattfinden und ggf. sogar mit den
Aufsichtsbehörden zusammenarbeiten (vgl. Art. 39 DSGVO).
Ein tarifgebundenes Unternehmen müsste sich anhand seiner
Entgeltordnung orientieren, um eine adäquate Eingruppierung vornehmen zu
können. Im Bereich des TVöD wäre die Entgeltordnung für Beschäftigte in der
Informations- und Kommunikationstechnik hilfreich. Gerade weil es hier um eine
Kombination aus speziellem Fachwissen und dem besonderen Wissen über den
Datenschutz nach DSGVO geht, wird eine Eingruppierung in einer höheren
Entgeltgruppe erforderlich sein. Gleichzeitig wird ein unabhängiges und
selbständiges Arbeiten benötigt, was aber eine Beschäftigung „ohne Anleitung“
nur ungenügend meint. Weisungsbefugnis wird nicht gebraucht und muss somit auch
nicht vergütet werden.
Von daher wäre als Einstieg die Fallgruppe 1 in der Entgeltgruppe
10 (Abschnitt 2 in II. Spezielle Tätigkeitsmerkmale) möglich. Weil besondere
Leistungen mit der Tätigkeit vonnöten sind, wäre eine Eingruppierung in der
Fallgruppe 1 der Entgeltgruppe 11 angemessen.
Die langjährige Erfahrung würde sich wiederum in der
Einstufung wiederspiegeln. In der Regel wird die Person, die als Datenschützer
eingesetzt wird und über eine einschlägige Berufserfahrung von mindestens
sechs, wenn nicht sogar zehn Jahren verfügen. Folgerichtig wäre die Einstufung
in 4 oder 5 angemessen.
EG
|
Stufe 3
(nach 3
Jahren)
|
Stufe 4
(nach 6
Jahren)
|
Stufe 5
(nach 10
Jahren)
|
Mittel aus
4/5
(für
Entgeltverh.)
|
11
|
3.941,33
|
4.311,77
|
4.836,69
|
4.574,23
|
10
|
3.775,33
|
4.064,56
|
4.501,99
|
4.283,27
|
Beträge monatlich in
Euro, gültig bis 31.3.2019
Jahressonderzahlung = 70,28 %
Leistungsentgelt = 2,00 %
SV-AG-Beitrag = 20,00 %
Stellenumfang
bemisst sich nach der Anzahl Beschäftigte
In einer Publikation der Bundesbeauftragten für den
Datenschutz und die Informationsfreiheit vom April 2018 spricht man von einer
Vollzeitstelle pro 1.000 Beschäftigte, und gleichzeitig wird gesagt, dass eine
solche Bemessung „aufgrund des veränderten Aufgabenkatalogs des bDSB nicht mehr
ausreichend“ ist (S. 30). Die Bundesbeauftragte „empfiehlt die vollständige
Freistellung des bDSB ab einer Anzahl von 500 Beschäftigten“, was also einer
Halbierung der bisherigen Annahmen entspricht.
Man spricht allerdings von Beschäftigten. Es wird
deswegen dieser Begriff genutzt, weil jede an der Datenverarbeitung beteiligte
Person geschult und vielleicht sogar überwacht werden muss im Umgang mit den
sensiblen, zu schützenden Personendaten. Zwar wird in Entgeltverhandlungen
häufig nur ein Personalschlüssel vereinbart, der wiederum auf Basis der
Bewohnerstruktur (in einer Wohnstätte) in Vollzeitstellen umgerechnet werden
kann. Doch das würde nicht ausreichen, weil viele Beschäftigte in einem
Teilzeit-Modell arbeiten. Eine Näherungsgröße wäre von daher das Personal,
welches zum 31.12. eines Jahres im Anhang einer Bilanz angegeben wird – also
bestehend aus Voll- und Teilzeitkräften sowie FSJ/BFD’lern.
Von daher ergibt sich als Kalkulationsgröße für
Entgeltverhandlungen ein Faktor von 15,55 für die Monats-Bruttogehälter (=12,7028*1,02*1,2).
Dies wären dann bei dem vorgeschlagenen Mittel aus den Stufen 4/5 für die
Entgeltgruppen 133,19 bzw. 142,24 Euro pro Beschäftigten (ausgehend von den
Jahres-Kosten einer Vollzeitstelle pro 500 Beschäftigte).
CGS
Quelle:
Die Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit
Stand April 2018
Die DSGVO in der Bundesverwaltung
Bitte lesen Sie die Hinweise
zum Rechtsstatus der Webseite, Urheberrechtsbestimmungen und Haftungsausschluss
sowie die Datenschutzerklärung.
Hat Ihnen der Beitrag gefallen?
Empfehlen Sie ein//gegliedert weiter oder klicken Sie gleich
reihum auf die Überschriften oder Seiten dieses Blogs – ersetzt das Applaudieren.
Gibt es was zu meckern?
Schreiben Sie mir eine Email – Ihre Meinung hilft mir,
meine Perspektive neu zu überdenken. Meine Email-Adresse finden Sie auf der
Seite Über mich.
Wollen Sie Ihre Anonymität wahren, versuchen Sie es mit
einem Wegwerf-Email-Dienst, wobei allerdings seit neuestem diese Emails vom
übergeordneten Dienstanbieter blockiert werden. Die Kommentarfunktion wurde von
mir ausgeschaltet, weil die Moderation sehr zeitaufwändig ist.
Ein Thema für Entgeltverhandlungen: Datenschutz kostet