Ihr Begleiter

Der externe Datenschutzbeauftragte steht Ihnen bei der erfolgreichen Umsetzung gesetzlicher und interner Anforderungen zur Seite.

Ihr Ansprechpartner

Externer Datenschutzbeauftragter

Unsere Arbeit im Namen des Datenschutzes

Ein Datenschutzbeauftragter zeigt sich für eine praxisnahe und dem Gesetz entsprechende Organisation des Datenschutzes verantwortlich. Unsere externen Datenschutzbeauftragten beraten sowohl Unternehmen als auch Behörden. Wir sensibilisieren an oberster Ebene der Organisationsstruktur.

Die zuständigen Mitarbeiter der jeweiligen Fachabteilungen sowie das gesamte Personal der Organisation, das mit personenbezogenen Daten in Kontakt kommt oder auch nur die Möglichkeit hat, auf solche in IT-Umgebungen zuzugreifen, wird auf den rechtskonformen Umgang mit personenbezogenen Daten geschult.

Interner & Externer Datenschutzbeauftragter im Vergleich

Der Aufgabenbereich

Unsere externen Datenschutzbeauftragten sind das koordinierende und leitende Element, das für alle Fragen zum Datenschutz Rede und Antwort steht. Wir überwachen Ihre Datenschutzmaßnahmen und beraten bei der Umsetzung oder Planung technischer und organisatorischer Maßnahmen.

Unsere externen Datenschutzbeauftragten übernehmen die Ausgestaltung und Handhabung des Datenschutzes innerhalb Ihrer Organisationsstruktur. Die Mitarbeiter Ihres Hauptsitzes und der Niederlassungen werden beraten. Wir versuchen einen sensiblen und vertrauensvollen Umgang mit personenbezogenen Daten sicherzustellen und Ihr Personal nachhaltig zu motivieren, ein hohes Datenschutzlevel aufrechtzuerhalten.

Zudem begleiten und beraten wir IT-Abteilungen, insbesondere beim Einsatz oder der Planung der zukünftigen IT-Infrastruktur. So werden beispielsweise Softwareprodukte, die der Verarbeitung personenbezogener Informationen dienen, begutachtet und Know-how bereitgestellt, um potenzielle zukünftige Verstöße gegen Datenschutzvorschriften bereits im Vorfeld zu identifizieren und zu unterbinden.

Unsere Vorgehensweise
  • Externer Datenschutzbeauftragter
    Qualifikationen
  • Externer Datenschutzbeauftragter
    Vorteile
  • Externer Datenschutzbeauftragter
    Kosten
  • Externer Datenschutzbeauftragter
    Leistungen

Vorschriften und die Gesetzgebung

Eine der wichtigsten Regelungen der Datenschutz-Grundverordnung (DS-GVO) ist die verpflichtende Bestellung eines Datenschutzbeauftragten für Behörden und Unternehmen, die im Wirtschaftsraum der Europäischen Union tätig sind, sofern dies durch die Grundverordnung, das Unionsrecht oder das Recht der Mitgliedsstaaten vorgesehen ist.

Unternehmen sollten sich nunmehr mit den neuen Vorschriften der Datenschutz-Grundverordnung vertraut machen. Die Anpassung der Datenverarbeitungsprozesse erfordert Zeit!

Gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten

In der Bundesrepublik Deutschland regeln derzeit §§ 4f, 4g BDSG die Bestellung und Aufgaben des Datenschutzbeauftragten ...Weiter

Bußgelder bei Verstößen gegen datenschutzrechtliche Vorschriften

Wird der Pflicht zur Bestellung eines Datenschutzbeauftragten nicht nachgekommen oder missachten Unternehmen ...Weiter

Was sagt das Gesetz

In Bezug auf den richtigen Datenschutzbeauftragten für Ihr Unternehmen gilt es bestimmt gesetzliche Regelungen zu beachten. Dazu geben wir Ihnen hier gerne einen Überblick mit den Anforderungen aus unserem Gesetz sowie eine Informationsgrundlage für die Entscheidung über eine Zusammenarbeit mit einem externen oder internen Datenschutzbeauftragten.

Ein externer Datenschutzbeauftragter ist ebenso wie der interne nach den durch Art. 37 Abs. 5, 39 DS-GVO statuierten Voraussetzungen auszuwählen: Diese gesetzlichen Vorschriften zugrunde gelegt muss er bereits zum Zeitpunkt seiner Benennung die zur Erfüllung der Aufgaben erforderliche berufliche Qualifikation und das nötige Fachwissen haben, wobei sich das Maß des erforderlichen Wissens grundsätzlich nach dem Umfang der Datenverarbeitung des Verantwortlichen und dem Schutzbedarf der verarbeiteten personenbezogenen Daten bestimmen sollte.

Im Vorfeld gesammelte praktische Erfahrung, technische Kenntnisse, eine erfolgte Aus- und Weiterbildung und ein Nachweis über spezielle datenschutzrechtliche Schulungen könnten erforderlich sein. IT-Qualifikationen sollten vom Kandidaten ebenfalls erwartet werden, damit er die zum Teil technisch komplexen Abläufe versteht. Zudem sollte er ein (zumindest grundlegendes) rechtliches Verständnis mitbringen, um die Vielzahl der Regelungen, die sich sowohl aus der Datenschutz-Grundverordnung, der ePrivacy-Verordnung als auch aus dem nationalen Recht ergeben, durchdringen zu können sowie die dazu ergangenen Urteile anwenden zu können.

Die Mindestaufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 DS-GVO, wobei die Aufgaben durch den mit ihm geschlossenen Arbeits- oder Dienstvertrag konkretisiert oder erweitert werden können.

Zu den primären Aufgaben des externen DSB gehört es, auf eine Einhaltung sämtlicher (datenschutzrechtlicher) Vorschriften durch den Verantwortlichen bzw. den Auftragsverarbeiter sowie seine Mitarbeiter (mittels Unterrichtung und Beratung) hinzuarbeiten, Art. 39 Abs. 1 lit. a DS-GVO. Zu diesem Zweck ist er sowohl in die Abläufe der datenverarbeitenden Softwareprogramme als auch in die genutzte Computertechnik einzuweisen. Deren Überprüfung sollte im Folgenden regelmäßig von ihm übernommen werden. Zudem muss der externe Datenschutzbeauftragte dafür Sorge tragen, dass Personen, die mit personenbezogenen Daten umgehen, mit den datenschutzrechtlichen Bestimmungen und ihren Sorgfaltspflichten vertraut gemacht werden. Dies sollte im Rahmen regelmäßiger Schulungen und (ggf. mehrmaliger) Fortbildungen erfolgen.

Ein DSB überprüft regelmäßig die technischen und organisatorischen Maßnahmen des Unternehmens, sofern ihm diese Aufgabe vom Verantwortlichen oder Auftragsverarbeiter vertraglich übertragen wurde. Dazu sind zumindest Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle und die Verfügbarkeitskontrolle zu prüfen. Ferner führt er regelmäßige Audits durch.

Meist überwacht er auch die im Unternehmen eingesetzten automatisierten Verfahren, die er oftmals im Rahmen der Datenschutz-Folgenabschätzung überprüft, um zu gewährleisten, dass die Rechte der Betroffenen hinreichend gewahrt werden und diese zu Genüge informiert sind. Dies erscheint gerade im Hinblick auf das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht aber auch zur Beantwortung von Auskunftsersuchen dringend erforderlich.

Weiterhin kümmert er sich oftmals um die Führung der Verfahrensverzeichnisse, wobei anzumerken ist, dass hierzu ebenfalls keine rechtliche Verpflichtung besteht. Zudem könnte dem DSB vertraglich auferlegt werden, ein Datenschutz-Handbuch mit den notwendigen Konzepten, Richtlinien, Leitlinien und Mitarbeiterinformationen zu erarbeiten.

Der interne oder externe Datenschutzbeauftragte hat den Verantwortlichen oder Auftragsverarbeiter zudem in seinen Angelegenheiten gegenüber der Aufsichtsbehörde als Ansprechpartner zu vertreten. Hinzuweisen ist jedoch darauf, dass dem externen Datenschutzbeauftragten generell keine Entscheidungsbefugnis zukommen kann; diese liegt alleine beim Verantwortlichen und damit in der Regel bei der Unternehmensleitung seines Auftraggebers.

Ein DSB ist in den Fällen des Art. 37 DS-GVO bzw. § 38 BDSG n.F. zu benennen. Die Benennung sollte in Schriftform erfolgen; sie ist nach Art. 37 Abs. 7 DS-GVO sowohl zu veröffentlichen als auch gegenüber der Aufsichtsbehörde bekannt zu machen (Mitteilungspflicht). Die Benennungsurkunde sollte sowohl die Unterschrift des DSB als auch die der Leitung des Verantwortlichen enthalten.

Der externe Datenschutzbeauftragte ist gem. § 38 Abs. 3 BDSG n.F. in seinem Tätigkeitsfeld nicht den Weisungen der Unternehmensleitung unterworfen. Er kann frei innerhalb der rechtlichen Grenzen agieren. Gerade deshalb sollte im Vorfeld betrachtet werden, inwiefern ein interner Mitarbeiter unabhängig tätig sein kann: Er darf zwar grundsätzlich weitere Aufgaben und Pflichten im Betrieb übernehmen, § 38 Abs. 6 Satz 1 BDSG; jedoch sollte er keine andere Position innehaben, die seine Entscheidungsfreiheit beeinträchtigen könnte (z.B. HR- oder IT-Leitung, Geschäftsführung etc.).

Nach § 38 Abs. 4 BDSG n.F. ist eine Abberufung des DSB nur in entsprechender Anwendung des § 626 BGB zulässig. Sein Arbeitsverhältnis kann nur gekündigt werden sofern Tatsachen gegeben sind, die eine fristlose Kündigung aus wichtigem Grund gestatten. Ist die Tätigkeit beendet, so ist die Kündigung während des folgenden Jahres unzulässig, sofern kein wichtiger Grund nachgewiesen werden kann, der eine fristlose Beendigung des Arbeitsverhältnisses rechtfertigen würde. Nicht abschließend geklärt ist die Frage, inwiefern dieses Weiterbeschäftigungsrecht auf den externen Datenschutzbeauftragten übertragbar ist. Die Kündigungsmöglichkeit für eine externe Person die im Rahmen eines Dienstverhältnisses tätig ist, könnte sich daher entweder nach § 621 BGB oder nach § 627 BGB richten. Alternativ wäre eine analoge Anwendung von § 626 BGB denkbar. Letzteres könnte Sinn machen und den Willen des Gesetzgebers vermutlich am nächsten kommen.

Somit stellt sich die Frage, ob die Rolle des Datenschutzbeauftragten von einer internen oder einer externen Person besetzt werden sollte. Während, wie bereits ausgeführt, die Zusammenarbeit mit einem internen Mitarbeiter aufgrund der persönlichen Vertrautheit sowie der bereits bestehenden Kenntnisse hinsichtlich des Unternehmens und der damit verbundenen Strukturen regelmäßig harmonisch ablaufen kann, besteht damit, wie in der Praxis feststellbar ist, einerseits die Gefahr, dass schlicht ganze Aufgabenbereiche "übersehen" werden oder andererseits das Risiko zu tragen ist, dass dem Kandidaten entweder technische Sachkenntnisse oder rechtliche Fähigkeiten fehlen. Die jedoch gewichtigsten Gründe gegen die Wahl eines internen Mitarbeiters sind dessen Haftung und die (vermutlich auch bei Anwendbarkeit der DS-GVO fortbestehende) schnellere Kündbarkeit des externen Beauftragten für den Datenschutz. Während der interne DSB gegenüber dem Unternehmen nur nach den Gesichtspunkten der Arbeitnehmerhaftung haftet, haftet der externe Datenschutzbeauftragte regelmäßig aus §§ 280, 611 BGB sowie aus § 823 BGB.

Je nach den Zielen des Verantwortlichen oder Auftragsverarbeiters sprechen die besseren Argumente entweder für die Wahl eines internen oder eines externen DSB. Ein gutes Argument für den externen Dienstleister ist, dass er sich in der Regel hauptberuflich mit Datenschutz beschäftigt.

Wir übernehmen die Ausgestaltung des Datenschutzes für Sie.