Externer Datenschutzbeauftragter
––– SüdWest Datenschutz Rechtsanwaltsgesellschaft mbH
––– Inhaltsverzeichnis
- Wie helfen wir Ihnen weiter?
- Interner & externer Datenschutzbeauftragter – Ihre Vorteile
- Das ist ein Datenschutzbeauftragter
- Datenschutzbeauftragter– Verpflichtung zur Benennung?
- Datenschutzbeauftragter – Freiwillige Benennung
- Aufgaben eines Datenschutzbeauftragten
- Interner vs. externer Datenschutzbeauftragter
- Datenschutzbeauftragter – Benennung, Veröffentlichung und Meldung
- Fehlen eines Datenschutzbeauftragten – die Folgen
Zielgruppe
- Unternehmen, die zur Benennung eines Datenschutzbeauftragten verpflichtet sind.
- Unternehmen, die – ohne dazu verpflichtet zu sein – freiwillig einen Datenschutzbeauftragten benennen möchten.
Wie helfen wir Ihnen weiter?
- Unterrichtung und Beratung des Verantwortlichen.
- Berücksichtigung besonderer gesetzlicher Bestimmungen bei der Auftragsverarbeitung (z.B. Datenverarbeitung im Rechenzentrum).
- Beratung bei der Durchführung einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO.
- Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben.
- Koordinierung und stichprobenartige Überwachung der Maßnahmen zur Datensicherheit, soweit es sich um gesetzliche Anforderungen handelt.
- Schulung der Beschäftigten.
- Prüfung der Rechtsgrundlage für die Übermittlung personenbezogener Daten ins europäische oder außereuropäische Ausland.
- Verpflichtung der Beschäftigten auf die Vertraulichkeit.
- Wahrung der Rechte der betroffenen Personen.
Interner & externer Datenschutzbeauftragter - Ihre Vorteile
- Erfüllung der datenschutzrechtlichen Anforderungen der DSGVO und Vermeidung von Bußgeldern.
- Der besondere Kündigungsschutz für angestellte interne Datenschutzbeauftragte entfällt.
- Der Einsatz eines neutralen Beraters vermeidet Interessenkonflikte.
- Eine Bildung unnötiger interner Strukturen entfällt.
- Es entstehen keine zusätzlichen Aus- und Fortbildungskosten.
- Der externe Datenschutzbeauftragte hat langjährige Erfahrung im Datenschutzrecht und ist entsprechend spezialisiert.
- Durch unsere langjährige Erfahrung in verschiedenen Branchen und Unternehmensgrößen können wir individuelle und effektive Datenschutzkonzepte entwickeln, implementieren und überprüfen.
–––
Das ist ein Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist eine natürliche Person, die von einem Unternehmen oder einer öffentlichen Stelle benannt wird, um die Einhaltung des Datenschutzes sicher zu stellen und zu überwachen.
Datenschutzbeauftragter– Verpflichtung zur Benennung?
Für private Unternehmen schreiben die DSGVO und das BDSG die Benennung eines Datenschutzbeauftragten vor, wenn eine der folgenden Voraussetzungen vorliegt:
- Das Unternehmen beschäftigt in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten, wie z.B. Name, Geburtsdatum, dienstliche Kontaktdaten (§ 38 Abs. 1 S.1 BDSG). Bei der Berechnung werden auch Teilzeitkräfte, Auszubildende, Praktikanten und freie Mitarbeiter berücksichtigt.
- Das Unternehmen ist verpflichtet, eine sogenannte Datenschutz-Folgenabschätzung gemäß Art- 35 DSGVO durchzuführen (§ 38 Abs. 1 S. 2 Alt. 1 BDSG).
- Das Unternehmen verarbeitet personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung (§ 38 Abs. 1 S. 2 Alt. 2 BDSG). Darunter fallen z.B. Auskunftei, Detektei, Adressverlag oder Markt- und Meinungsforschungsinstitute.
- Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b DSGVO).
- Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. Gesundheitsdaten, genetische oder biometrische Daten, Daten zur sexuellen Orientierung) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten Art. 10 DSGVO (Art. 37 Abs. 1 lit. c DSGVO).
Die Voraussetzungen 2. bis 5. sind unabhängig von der Anzahl der beschäftigten Personen. Folglich kann die Benennung eines Datenschutzbeauftragten also auch für kleine Unternehmen verpflichtend sein.
Eine Unternehmensgruppe darf nach Art. 37 Abs. 2 DSGVO einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragten leicht erreicht werden kann.
Öffentliche Stelle?
Privates Unternehmen?
- regelmäßige und systematische Überwachung von betroffenen Personen
- umfangreiche Verarbeitung besonderer Kategorien von Daten (Art. 9^ DSGVO) oder strat- frechtliche DAten (Art. 10 DSGVO)
Mind. 20 Personen mit ständig automatisierter Verarbeitung beschäftigt?
Hierzu zählen Beschäftigte (ggf. auch Putzkraft), Auzubildende, Praktikanten und freie Mitarbeiter, solange diese immer wieder mit der Verarbeitung personenbeogener Daten beschäftigt sind.
- Rasse/Ethnie
- Politische Meinungen
- Religiöse / weltanschauliche Überzeugungen
- Gewerkschaftsangehörigkeit
- Genetik/Biometrie
- Gesundheit
- Sexualleben/sexuelle Orientierung
- Strafrechtliche Verurteilung / Straftat
Übermittlung personenbezogener oder anonymisierte Daten
- Auskunftei
- Adresshandel
- Marktforschung
- Meinungsforschung
–––
Datenschutzbeauftragter – Freiwillige Benennung
Viele – gerade auch kleinere – Unternehmen sind mit den zahlreichen Dokumentations-, Auskunfts- und Nachweispflichten der DSGVO überfordert. Hilfe kann hier von einem auf Datenschutz spezialisierten Anwalt oder einem externen Datenschutzbeauftragten geleistet werden. Dadurch werden im Unternehmen personelle Ressourcen frei. Hinzu kommt, dass ein professioneller Umgang mit dem Thema Datenschutz auch das Vertrauen von Kunden und Geschäftspartnern steigert.
–––
Aufgaben eines Datenschutzbeauftragten
––– Der Datenschutzbeauftragte ist zuständig für die Einhaltung der datenschutzrechtlichen Vorschriften und die Überwachung eines datenschutzkonformen Umgangs mit personenbezogenen Daten im Unternehmen.
In diesem Zusammenhang obliegen dem Datenschutzbeauftragten nach Art. 39 DSGVO die folgenden Aufgaben:
- Unterrichtung über die bestehenden datenschutzrechtlichen Pflichten und Beratung bei der Lösung datenschutzrechtlicher Fragen. Dabei ist der Datenschutzbeauftragte Ansprechpartner für die Geschäftsführung, alle Beschäftigten und Abteilungen des Unternehmens.
- Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften sowie der unternehmenseigenen Datenschutzstrategien inklusive der Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung von Beschäftigten.
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO.
- Zusammenarbeit mit der Aufsichtsbehörde und Zuständigkeit für die vorherige Konsultation datenschutzrechtlicher Fragen an die Aufsichtsbehörde.
- Ansprechpartner für betroffene Personen und Beschäftigte zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte zusammenhängenden Vorgänge.
Der Datenschutzbeauftragte arbeitet hinsichtlich seiner Aufgaben weisungsunabhängig und berichtet unmittelbar der höchsten Managementebene des Verantwortlichen. Er darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Weiterhin muss der Datenschutzbeauftragte durch den Verantwortlichen ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden. Dazu ist ihm die notwendige Zeit und Unterstützung, etwa durch Fortbildung, finanzielle, materielle und personelle Ausstattung zu gewähren.
–––
Interner vs. externer Datenschutzbeauftragter
––– Die Position des Datenschutzbeauftragten kann innerhalb des Unternehmens intern durch einen betrieblichen Datenschutzbeauftragten oder extern besetzt werden. Soll ein interner Datenschutzbeauftragter benannt werden, muss der entsprechende Beschäftigte bestimmte persönliche und fachliche Voraussetzungen erfüllen.
Zu berücksichtigen sind die berufliche Qualifikation und das Fachwissen des Beschäftigten auf dem Gebiet des Datenschutzrechts. Genaue Vorgaben an die Kenntnisse des internen Datenschutzbeauftragten machen DSGVO und BDSG nicht. Der Datenschutzbeauftragte sollte aber mit der Datenverarbeitung, der IT-Sicherheit und den relevanten Datenschutzbestimmungen vertraut sein. Die Kenntnisse müssen bereits zum Zeitpunkt der Benennung vorliegen. Mit zunehmender Komplexität der vom Unternehmen durchgeführten Verarbeitung steigen auch die Anforderungen an den Datenschutzbeauftragten. Hilfreich ist es in jedem Fall, wenn der Datenschutzbeauftragte seine Kenntnisse beispielsweise mit einem Zertifikat nachweisen kann. Zudem ist darauf zu achten, dass durch die Person des Datenschutzbeauftragten keine Interessenkonflikte entstehen. Der Geschäftsführer des Unternehmens sowie IT- und Personalleiter sollten deshalb nicht gleichzeitig externer Datenschutzbeauftragter DSGVO sein. Aus Unternehmenssicht muss zudem beachtet werden, dass nach §§ 38 Abs. 2, 6 Abs. 4 BDSG ein interner Datenschutzbeauftragter über einen besonderen Kündigungsschutz verfügt.
––– Ein externer Datenschutzbeauftragter erfüllt seine Aufgaben dagegen auf Grundlage eines Dienstleistungsvertrags. Dadurch, dass der externe Datenschutzbeauftragte zu Beginn seiner Tätigkeit noch nicht mit den speziellen Unternehmensstrukturen vertraut ist, ist eine gewisse Einarbeitungsphase erforderlich.
Dennoch bietet der externe Datenschutzbeauftragte einige Vorteile. Zum einen werden die eigenen Beschäftigten des Unternehmens nicht mit dem – zugegebenermaßen oft auch unbeliebten – Thema Datenschutz gebunden. Zum anderen verfügt ein externer Datenschutzbeauftragter über die notwendigen Fachkenntnisse und Erfahrung. Er hat sich auf den Datenschutz und die Datensicherheit spezialisiert und ist so in der Lage, schnelle, zuverlässige und kompetente Antworten auf datenschutzrechtliche und technische Fragestellungen zu geben, die den Bedürfnissen des Unternehmens gerecht werden. Dem eigenen Unternehmen bleiben Fortbildungskosten erspart. Der Fokus liegt dabei immer auf der Einhaltung der Vorschriften von DSGVO und BDSG. Sollte es jedoch zu einer Datenschutzverletzung kommen, ist eine schnelle und ordnungsgemäße Handlung unerlässlich. Zudem werden durch einen externen Datenschutzbeauftragten Interessenkonflikte und eine gewisse „Betriebsblindheit“ vermieden, da der externe Datenschutzbeauftragte aus einer neutralen Perspektive auf den Datenschutz im jeweiligen Unternehmen sieht.
–––
Datenschutzbeauftragter – Benennung, Veröffentlichung und Meldung
––– Eine vorgeschriebene Form für die Benennung eines externen Datenschutzbeauftragten besteht in DSGVO und BDSG nicht. Aus Nachweisgründen empfehlen sich aber die Schrift- oder Textform.
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und sind der jeweiligen Aufsichtsbehörde zu melden. Dabei ist es egal, ob es sich um einen internen oder externen Datenschutzbeauftragten handelt.
–––
Fehlen eines Datenschutzbeauftragten – die Folgen:
Dieser Verstoß kann von den Datenschutzbehörden gemäß Art. 83 Abs. 4 DSGVO mit einer Geldbuße von bis zu 10 Mio. EUR oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem, welcher Betrag höher ist.
Datenschutzbeauftragte (DSB) müssen mit den Datenschutzgesetzen, -vorschriften und -praktiken der Branche vertraut sein. Das bedeutet, dass sie ein umfassendes Verständnis für die Grundsätze der Datenverarbeitung, der Datensicherheit und der Datenschutzrichtlinien und -verfahren haben müssen. Um behördlicher Datenschutzbeauftragter zu werden, müssen Sie über die von den zuständigen Behörden geforderten rechtlichen Qualifikationen und Fähigkeiten verfügen.
Wenn Sie Hilfe bei der Einhaltung des Datenschutzes benötigen, dann könnte ein Datenschutzbeauftragter (DSB) Ihr bester Verbündeter sein. Ein Datenschutzbeauftragter ist jemand, der Unternehmen berät, dass diese die Datenschutzverordnung der Europäischen Union (GDPR) und andere datenschutzrechtliche Bestimmungen einhält.
Ein Datenschutzbeauftragter (DSB) zu sein, kann aufgrund der komplexen und sich ständig weiterentwickelnden Datenschutzgesetze große Herausforderungen mit sich bringen. Datenschutzbeauftragte müssen sich über die neuesten rechtlichen Entwicklungen auf dem Laufenden halten und verstehen, wie sich neue Technologien auf den Datenschutz und die Datensicherheit auswirken.