Uff! Ja, man kann zur Zahnbehandlung zum Stahlbauschlosser gehen - der hat ja auch Zangen. Natürlich gibt es Agenturen mit hoher Kompetenz in Sachen Datenschutz und Datensicherheit. Doch diese Agenturen werden eher weniger von kleineren Betrieben und dem klassischen Mittelstand in Anspruch genommen.
Verantwortlich für den Datenschutz in einer Organisation ist immer der Verantwortliche (Art. 4 Nr. 7 DSGVO: GeschäftsführerIn, Vorstand, EinrichtungsleiterIn). Wenn die zuständige Agentur einen Auftrag zur Verarbeitung bekommt, dann ist in diesem Vertrag klar festgelegt, was unter welchen Bedingungen zu tun ist (Art. 28 Abs. 3 DSGVO). Dann ist es grundsätzlich auch möglich, dass die datenschutzrechtlichen Belange zum Beispiel bei der Erstellung einer Website ebenfalls Bestandteil dieses Auftrags werden, doch dann muss auch vom Auftraggeber sichergestellt sein, dass die entsprechende Kompetenz vorhanden ist.
Da dies in meinem Kundenumfeld definitiv nicht der Fall ist, empfehle ich Auftraggebern und Auftragnehmern ganz eindeutig: Finger weg vom oberflächlich selbstgebauten Datenschutz!