Die Kosten für die Einhaltung der Vorschriften können grob in drei Kategorien unterteilt werden: die Schaffung der Compliance, die operationale Compliance und das Risikomanagement.
Compliance herstellen
Eine Person finden
Jemand muss sich um die DSGVO-Aufgaben kümmern. Das könnten Sie oder jemand anders sein. Sie oder ein interner Mitarbeiter müssten viel Zeit damit verbringen, die DSGVO-Compliance auf einem grundlegenden Niveau zu verstehen. Es ist ähnlich wie bei anderen Compliance- und Zertifizierungssystemen. Sie könnten ein Experte in den Fachbereichen sein, müssten jedoch viel Zeit damit verbringen, die spezifischen Dokumente durchzugehen, die eingerichtet werden müssen.
Es ist oft günstiger, einen externen Berater zu engagieren, als intern tiefgehende Fachkenntnisse aufzubauen. Die meisten kleinen und mittelständischen Unternehmen benötigen ein paar Tage eines DSGVO-Spezialisten, um die Compliance zu etablieren, und ein paar Stunden pro Jahr, um sie aufrechtzuerhalten. Ein interner, hausintern ausgebildeter Spezialist würde viel mehr Zeit damit verbringen, die Fähigkeiten zu erlernen, und würde kontinuierlich Zeit benötigen, um sie aufrechtzuerhalten.
Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten
Die Kosten werden durch die Vielfalt der personenbezogenen Datenverarbeitungsaktivitäten bestimmt, die Ihr Unternehmen durchführt. Sie müssen alle Aktivitäten (Teile von Computersystemen oder manuellen Prozessen) identifizieren, die personenbezogene Daten betreffen, und ein Verzeichnis erstellen. Dieses Verzeichnis wird 'Verzeichnis von Verarbeitungstätigkeiten' genannt, und die meisten Unternehmen müssen eines führen.
Die Menge und der Detaillierungsgrad dieser Aktivitäten variieren. Hier sind einige Indikatoren:
- Einfache Website: 3-5 Aktivitäten (Betrieb der Website, Backups und Sicherheit, Cookies, Komponenten von Drittanbietern).
- Marketing: 3-5 (Kunden- oder Interessentendatenbank, Mailingliste, eine oder zwei spezifische Kampagnen)
- Verkäufe: 1-3 (Bestellungen bearbeiten, Bestelllieferung oder -ausführung, Rücksendungen)
- Kundensupport: 1-2 (Supportdatenbank, Entgegennahme von Anfragen)
- Personal und Beschäftigung: 1-5 (Personalakten, Einstellung, Entlassung, Beförderung, Gehaltsabrechnung). Sie werden oft kombiniert und (teilweise) ausgelagert.
- Geschäftsprozesse: variieren, 1 für jeden automatisierten Ablauf, den Sie betreiben
Ein kleines Unternehmen mit wenigen Mitarbeitern müsste typischerweise 10-20 Verarbeitungstätigkeiten registrieren. Ein größeres Unternehmen würde etwas mehr benötigen. Bei der Auswahl Ihres PrivacyDocs-Abonnements können Sie mit dem günstigsten 'Kleinunternehmer'-Plan beginnen, der für die meisten kleinen und mittleren Unternehmen geeignet ist. Wahrscheinlich bleiben Sie im ersten Jahr Ihrer DSGVO-Arbeit innerhalb der Grenzen dieses Plans und können bei Bedarf auf den größeren 'Mittelstands'-Plan upgraden.
Kosten für jedes Verzeichnis von Verarbeitungstätigkeiten
Jede Verarbeitungstätigkeit benötigt einen Eintrag in den Verzeichnissen der Verarbeitungstätigkeiten personenbezogener Daten. Es kostet Folgendes:
- 1 Stunde, um eine Verarbeitungstätigkeit zu entdecken (denken Sie daran, mit Ihrem IT- oder Marketingteam zu sprechen, um zu verstehen, was tatsächlich vor sich geht)
- 4 Stunden für die Erstellung des ersten Berichts (denken Sie an ein einstündiges Interview mit Ihnen, jemandem, der den Prozess kennt, und jemandem, der für den Prozess verantwortlich ist) und 1 Stunde für die Einrichtung und das Schreiben
- 1-4 Stunden für Nachverfolgungen (fehlende Details, relevante Verträge, Mitteilungen an die betroffenen Personen usw. finden)
Denken Sie an zwei Aktivitäten pro Tag, da einige dieser Prozesse für kleine Unternehmen schneller ablaufen können als für größere Unternehmen.
Kosten der Bewertungen
Beim Erstellen des Inventars kann Ihnen auffallen, dass eine Aktivität eine zusätzliche Bewertung benötigt: Datenschutz-Folgenabschätzung (DFA) für risikobehaftete Vorgänge, Interessenabwägung (BBI) für Aktivitäten, die sich auf Ihr berechtigtes Interesse als Unternehmen stützen, und Übertragungsfolgenabschätzung (TIA), wenn Sie Systeme von Nicht-EU-Anbietern nutzen (und in einigen Ländern, die einen angemessenen Schutz bieten)
Dies sind umfangreiche Dokumente und können 1 bis 5 Tage zur Fertigstellung benötigen.
Betriebliche Compliance
Die operationale DSGVO-Compliance erfordert einen geringeren Aufwand, insbesondere für Unternehmen, die sich nicht stark verändern.
Aktualisieren Sie die Verzeichnisse der Verarbeitungstätigkeiten
Laut der DSGVO (BDSG, GDPR) müssen die Aufzeichnungen vor jeder Änderung der Verarbeitung und regelmäßig aktualisiert werden. Eine jährliche Überprüfung ist oft ausreichend für Prozesse, die voraussichtlich nicht geändert werden (wie die meisten administrativen Prozesse).
1-3 Personenstunden sind oft ausreichend pro Verarbeitung. Sie können erwarten, beim ersten Review tatsächlich zu sprechen und zusätzliche Details zu erhalten, und in den folgenden Jahren einfach die jährlichen 'Ist es immer noch dasselbe?' E-Mails zu senden.
Verstöße registrieren
Wenn Menschen Fehler machen oder Ihre Systeme gehackt werden, müssen Sie Datenschutzverletzungen in einem internen Register (Teil der PrivacyDocs-Suite) registrieren. Jede Verletzungsregistrierung umfasst drei Teile:
- Registrierung (1 Stunde eines Datenschutzexperten und 1 Stunde eines Fachexperten)
- Risikobewertung (1 Stunde eines Datenschutzexperten und 1 Stunde eines Fachexperten)
- Vorgeschlagene Minderungsmaßnahmen (variieren)
- Melden Sie der Datenschutzbehörde und den betroffenen Personen, wenn die Verletzung ein höheres Risiko darstellt, das nicht eingegrenzt ist (4-20 Stunden).
Die meisten Verstöße (wie das Eingeben eines falschen E-Mail-Empfängers) erfordern weniger als 4 Stunden zur Dokumentation.
Auf Anfragen von betroffenen Personen reagieren
Anfragen von betroffenen Personen (wie Anfragen nach Informationen, die über eine bestimmte Person gespeichert sind, oder Anfragen zur Löschung) werden häufig vom Datenschutzbeauftragten bearbeitet, vermittelt durch die Rechtsabteilung. Die Kosten für die Antwort variieren, mit einem Minimum von 1 Stunde.
Risiken verwalten
Die Risikobewertungen können die Risiken hervorheben, die durch Änderungen der Prozesse oder Aktualisierung der Dokumentation gemindert werden müssen. Die damit verbundenen Kosten für das Risikomanagement und die Risikominderung können die größten sein. Einige Unternehmen verlassen sich auf Computersysteme oder Geschäftsprozesse, die nicht konform sind und erhebliche Änderungen erfordern, um konform zu werden.
In der Praxis ist Risikomanagement für die meisten Unternehmen, die nicht auf die Verarbeitung personenbezogener Daten als Kern ihres Geschäfts angewiesen sind, nicht teuer.
Hilfe erhalten
Die Inanspruchnahme eines professionellen Dienstes, wie z.B. des PrivacyDocs DSGVO-Beraterdienstes, ist oft der kosteneffektivste Weg, um die DSGVO-Compliance zu erreichen und aufrechtzuerhalten. Es ist wichtig, Ihre Berater auf die Aspekte der DSGVO-Compliance zu fokussieren und zu steuern, die Sie wirklich benötigen. Es gibt viele Aspekte, die schön zu haben sind, die jedoch akzeptable Risiken der Nichteinhaltung darstellen, wenn sie fehlen.