Datenschutzbeauftragte
(DSB)
Überblick
Der Datenschutzbeauftragte
Viele Entscheidungsträger haben bereits vom “Datenschutzbeauftragten” (DSB) gehört. Sie ignorieren jedoch oft die mit dieser Rolle verbundenen Funktionen und Aufgaben im betrieblichen Datenschutz. Manchmal ist nicht einmal klar, ob Ihre eigene Organisation verpflichtet ist, einen Datenschutzbeauftragten zu ernennen. Auf dieser Seite informieren wir Sie über die Verpflichtungen. Darüber hinaus werden die Elemente erläutert, die bei der Ernennung des Datenschutzbeauftragten zu berücksichtigen sind.
Unterscheidung
Datenschutzbeauftragter für nicht-öffentliche und öffentliche Stellen
Externer Datenschutzbeauftragter
(nicht-öffentliche Stellen = privater Sektor)
Datenschutzbeauftragte (intern oder extern) finden sich in der Privatwirtschaft, in Unternehmen gemäß Art. 4 Nr. 18 DSGVO und in so genannten nicht-öffentlichen Stellen gemäß § 2 Abs. 4 des Bundesdatenschutzgesetzes (BDSGneu).
Hiernach sind Unternehmen, die regelmäßig wirtschaftlich tätig sind, andere nicht öffentliche Einrichtungen und andere privatrechtliche Personenvereinigungen per Definition nach der DSGVO – Unternehmen. Dies sind insbesondere Unternehmen (z. B. Einzelunternehmen, Selbständige wie Ärzte, Rechtsanwälte, Steuerberater), Kapitalgesellschaften (AG, GmbH, KG, OHG, GbR, UG, Partnerfirmen sowie viele weitere) und andere nicht öffentliche Einrichtungen. Die Ernennung des Datenschutzbeauftragten erfolgt gemäß Artikel 37 DSGVO bzw. BDSGneu § 38.
Übrigens, die Person selbst muss kein Mitarbeiter des Unternehmens sein. Die Datenschutzgesetze gewähren Unternehmen bestimmte Freiheiten bei der Bestellung von Datenschutzbeauftragten.
Im Bereich des betrieblichen Datenschutzes ist es möglich, einen internen oder externen Datenschutzbeauftragten zu ernennen. Bei der internen Lösung wird die Rolle des Datenschutzbeauftragten von einem separaten Mitarbeiter übernommen, während bei der externen Lösung die Unterstützung durch einen kompetenten Dienstleister erfolgt.
Externer Datenschutzbeauftragter
(öffentliche Einrichtungen)
Auch öffentliche Einrichtungen müssen die Datenschutzbestimmungen einhalten und einen Datenschutzbeauftragten (intern oder extern) benennen. Dazu können nach Paragraf 2 Absatz 1 des Bundesdatenschutzgesetzes (BDSG) öffentliche Stellen des Bundes, wie Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform gehören.
Die Regularien für die Ernennung des Datenschutzbeauftragten werden in der Regel dem Datenschutzgesetz des Bundeslandes entnommen, in dem die Behörde oder Einrichtung ihren Sitz hat. Die Datenschutzgesetze der Länder unterscheiden sich und verlangen manchmal, dass die Position des Datenschutzbeauftragten von einem internen Mitarbeiter der Behörde oder der amtlichen Stelle (interner Datenschutzbeauftragter) wahrgenommen wird. Wenn dies in den Landesdatenschutzgesetzen nicht ausdrücklich gefordert oder ausgeschlossen wird, kann es von einem Dienstleister (externer Datenschutzbeauftragter) übernommen werden. In einigen Landesdatenschutzgesetzen ist die Bestellung eines Datenschutzbeauftragten und eines Vertreters vorgeschrieben.
Aufgaben und Funktionen eines Datenschutzbeauftragten
Aufgaben und Funktionen
Der Datenschutzbeauftragte ist eine Person, die für den Datenschutz innerhalb eines Unternehmens Ansprechpartner ist. Diese Person muss unter anderem auf die Einhaltung der einschlägigen Datenschutzvorschriften, insbesondere bei der Verarbeitung personenbezogener Daten, hinwirken.
Dies bedeutet jedoch nicht, dass er für den gesamten betrieblichen Datenschutz selbst verantwortlich ist. Er hat das Recht, Aufgaben zu delegieren und zu überwachen. Er berät im Rahmen seiner Tätigkeit die Geschäftsleitung. Die Verantwortung für den Datenschutz obliegt nach wie vor der Geschäftsleitung.
Übrigens, die Person selbst muss kein Mitarbeiter des Unternehmens sein. Die DSGVO der EU gewähren Unternehmen bestimmte Freiheiten bei der Bestellung von Datenschutzbeauftragten.
Im Bereich des betrieblichen Datenschutzes ist es möglich, einen internen oder externen Datenschutzbeauftragten zu ernennen. Bei der internen Lösung wird die Rolle des DSB von einem separaten Mitarbeiter übernommen, während bei der externen Lösung die Unterstützung durch einen kompetenten Dienstleister erfolgt.
Aufgaben im Einzelnen
- Überprüfung von Verträgen zur Auftragsverarbeitung.
- Überprüfung und Anpassung der Datenschutzerklärungen.
- Mithilfe bei der Erstellung vom Verzeichnis der Verarbeitungstätigkeiten.
- Feststellung von Handlungsbedarf und Überwachung bei der Umsetzung von notwendigen Maßnahmen.
- Sicherstellung der Einhaltung von gesetzlichen Bestimmungen.
- Zuverlässige und schnelle Reaktion auf Anfragen von betroffenen Personen.
- Korrekte und fristgerechte Reaktion auf Datenschutzverletzungen.
- Kommunikation mit staatlichen Datenschutzbehörden.
- Hilfestellung bei der Ausübung der Informationspflicht des Verantwortlichen.
- Durchführung von Risikofolgenabschätzungen und Erstellung von z. B. Löschkonzepten.
Benennung
Wann wird ein Datenschutzbeauftragter benötigt?
Manche Entscheidungsträger sind der Ansicht, dass die Ernennung des Datenschutzbeauftragten freiwillig wäre. Aber diese Annahme ist falsch. Der Gesetzgeber hat im BDSG definiert, ab welchem Zeitpunkt, die Bestellung eines Datenschutzbeauftragten (DSB) als Verpflichtung angesehen wird. Die DSGVO legt auch fest, wann die Unternehmensleitung einen Datenschutzbeauftragten ernennen muss. Wenn das Unternehmen die Anforderungen an die Bestellung eines Datenschutzbeauftragten noch nicht berücksichtigt hat, wird dringend empfohlen, die Notwendigkeit einer solchen Maßnahme zu überdenken.
Die folgenden vier Bereiche müssen untersucht werden, um mit Sicherheit sagen zu können, ob eine Benennung erforderlich ist.
Vorteile externer Datenschutzbeauftragter
Eine Person sorgt für Datenschutz
Sie haben eine Person im Unternehmen die sich einzig um den Bereich Datenschutz kümmert. Dies wird in der Haupttätigkeit durchgeführt und nicht nur als vielleicht „lästige Nebentätigkeit“ zusätzlich zu eigenen Arbeiten eines Mitarbeiters.
Vermeidung innerbetrieblicher Interessenkonflikte
Der Datenschutzbeauftragte ist eine Stabsstelle der Geschäftsleitung. Er ist dieser direkt unterstellt. Eine mögliche Missgunst unter den Mitarbeitern kommt bei einem externen Beauftragten nicht vor. Auch genießt der externe Berater meist eine höhere Akzeptanz bei Betriebsräten.
Kein Sonderkündigungsrecht
Der Mitarbeiter als interner Datenschutzbeauftragte genießt ein Sonderkündigungsrecht. Er kann erst ein Jahr nach Abberufung gekündigt werden. Zur Abberufung ist ein wichtiger Grund im Sinne des Kündigungsrechts notwendig. Betriebsbedingte Gründe, wie z.B. die Entscheidung, künftig einen externen Datenschutzbeauftragten zu bestellen, genügen nicht. Vorteil: Der externe Berater wird mit einem befristeten Vertrag bestellt.
Monatlich feste Kosten
Durch einen festen monatlichen Betrag haben Sie die Kosten immer im Blick und erleben keine böse Überraschung. Außerdem können sich die Mitarbeiter ihren Hauptaufgaben widmen.
Tarife
Unsere Leistungsübersicht im Detail
- Bestellung als Datenschutzbeauftragter
- schriftlicher Tätigkeitsbericht*
- Statusgespräch 1x jährlich per Telefon/Skype
- Datenschutz-Newsletter
- Unterstützung bei Anfragen*
- Schulung der Mitarbeiter*
- Verfahrensdokumentation bis zu 2 Verfahren / Jahr
- Informationspflichten nach Art. 13, 14 DSGVO bis zu 2 Verfahren / Jahr
- Abmahn-Prüfung Webseite
- Datenschutz-Folgenabschätzung
- ADV/AD-Verträge Erstellung & Prüfung 1 Dienstleister/Jahr
- weitere Leistungen inklusive
- *nach Aufwand
- Bestellung als Datenschutzbeauftragter
- schriftlicher Tätigkeitsbericht
- Statusgespräch 1x jährlich Vor-Ort
- Datenschutz-Newsletter
- bis zu 15 Minuten pro Anfrage
- Schulung der Mitarbeiter nach Aufwand
- Verfahrensdokumentation bis zu 5 Verfahren / Jahr
- Informationspflichten nach Art. 13, 14 DSGVO bis zu 5 Verfahren / Jahr
- Abmahn-Prüfung Webseite
- Datenschutz-Folgenabschätzung
- Verpflichtungserklärungen und Betriebsvereinbarungen bis zu 2 / Jahr
- ADV/AD-Verträge Erstellung & Prüfung 3 Dienstleister/Jahr
- weitere Leistungen inklusive
- Bestellung als Datenschutzbeauftragter
- schriftlicher Tätigkeitsbericht
- Statusgespräch 1x jährlich Vor-Ort
- Datenschutz-Newsletter
- bis zu 30 Minuten pro Anfrage
- Schulung der Mitarbeiter 1x jährlich
- Verfahrensdokumentation bis zu 10 Verfahren / Jahr
- Informationspflichten nach Art. 13, 14 DSGVO bis zu 10 Verfahren / Jahr
- Abmahn-Prüfung Webseite
- Datenschutz-Folgenabschätzung
- Verpflichtungserklärungen und Betriebsvereinbarungen bis zu 4 / Jahr
- ADV/AD-Verträge Erstellung & Prüfung 1 Dienstleister/Monat
- weitere Leistungen inklusive
- Bestellung als Datenschutzbeauftragter
- schriftlicher Tätigkeitsbericht
- Statusgespräch 1x jährlich Vor-Ort
- Datenschutz-Newsletter
- bis zu 60 Minuten pro Anfrage
- Schulung der Mitarbeiter 2x jährlich
- Verfahrensdokumentation bis zu 20 Verfahren/ Jahr
- Informationspflichten nach Art. 13, 14 DSGVO bis zu 20 Verfahren / Jahr
- Abmahn-Prüfung Webseite
- Datenschutz-Folgenabschätzung
- Verpflichtungserklärungen und Betriebsvereinbarungen bis zu 8 / Jahr
- ADV/AD-Verträge Erstellung & Prüfung 2 Dienstleister/Monat
- weitere Leistungen inklusive