Der externe
Datenschutzbeauftragte
(DSB)
Überblick

Der Datenschutzbeauftragte

Viele Entscheidungsträger haben bereits vom „Datenschutzbeauftragten“ (DSB) gehört. Sie ignorieren jedoch oft die mit dieser Rolle verbundenen Funktionen und Aufgaben im betrieblichen Datenschutz. Manchmal ist nicht einmal klar, ob Ihre eigene Organisation verpflichtet ist, einen Datenschutzbeauftragten zu ernennen. Auf dieser Seite informieren wir Sie über die Verpflichtungen. Darüber hinaus werden die Elemente erläutert, die bei der Ernennung des Datenschutzbeauftragten zu berücksichtigen sind.

Unterscheidung

Datenschutzbeauftragter für nicht-öffentliche und öffentliche Stellen

Externer Datenschutzbeauftragter
(nicht-öffentliche Stellen = privater Sektor)

Datenschutzbeauftragte (intern oder extern) finden sich in der Privatwirtschaft, in Unternehmen gemäß Art. 4 Nr. 18 DSGVO und in so genannten nicht-öffentlichen Stellen gemäß § 2 Abs. 4 des Bundesdatenschutzgesetzes (BDSGneu).

Hiernach sind Unternehmen, die regelmäßig wirtschaftlich tätig sind, andere nicht öffentliche Einrichtungen und andere privatrechtliche Personenvereinigungen per Definition nach der DSGVO – Unternehmen. Dies sind insbesondere Unternehmen (z. B. Einzelunternehmen, Selbständige wie Ärzte, Rechtsanwälte, Steuerberater), Kapitalgesellschaften (AG, GmbH, KG, OHG, GbR, UG, Partnerfirmen sowie viele weitere) und andere nicht öffentliche Einrichtungen. Die Ernennung des Datenschutzbeauftragten erfolgt gemäß Artikel 37 DSGVO bzw. BDSGneu § 38.

Übrigens, die Person selbst muss kein Mitarbeiter des Unternehmens sein. Die Datenschutzgesetze gewähren Unternehmen bestimmte Freiheiten bei der Bestellung von Datenschutzbeauftragten.

Im Bereich des betrieblichen Datenschutzes ist es möglich, einen internen oder externen Datenschutzbeauftragten zu ernennen. Bei der internen Lösung wird die Rolle des Datenschutzbeauftragten von einem separaten Mitarbeiter übernommen, während bei der externen Lösung die Unterstützung durch einen kompetenten Dienstleister erfolgt.

Externer Datenschutzbeauftragter
(öffentliche Einrichtungen)

Auch öffentliche Einrichtungen müssen die Datenschutzbestimmungen einhalten und einen Datenschutzbeauftragten (intern oder extern) benennen. Dazu können nach Paragraf 2 Absatz 1 des Bundesdatenschutzgesetzes (BDSG)  öffentliche Stellen des Bundes, wie Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform gehören.

Die Regularien für die Ernennung des Datenschutzbeauftragten werden in der Regel dem Datenschutzgesetz des Bundeslandes entnommen, in dem die Behörde oder Einrichtung ihren Sitz hat. Die Datenschutzgesetze der Länder unterscheiden sich und verlangen manchmal, dass die Position des Datenschutzbeauftragten von einem internen Mitarbeiter der Behörde oder der amtlichen Stelle (interner Datenschutzbeauftragter) wahrgenommen wird. Wenn dies in den Landesdatenschutzgesetzen nicht ausdrücklich gefordert oder ausgeschlossen wird, kann es von einem Dienstleister (externer Datenschutzbeauftragter) übernommen werden. In einigen Landesdatenschutzgesetzen ist die Bestellung eines Datenschutzbeauftragten und eines Vertreters vorgeschrieben.

Aufgaben und Funktionen eines Datenschutzbeauftragten

Aufgaben und Funktionen

Der Datenschutzbeauftragte ist eine Person, die für den Datenschutz innerhalb eines Unternehmens Ansprechpartner ist. Diese Person muss unter anderem auf die Einhaltung der einschlägigen Datenschutzvorschriften, insbesondere bei der Verarbeitung personenbezogener Daten, hinwirken.

Dies bedeutet jedoch nicht, dass er für den gesamten betrieblichen Datenschutz selbst verantwortlich ist. Er hat das Recht, Aufgaben zu delegieren und zu überwachen. Er berät im Rahmen seiner Tätigkeit die Geschäftsleitung. Die Verantwortung für den Datenschutz obliegt nach wie vor der Geschäftsleitung.

Übrigens, die Person selbst muss kein Mitarbeiter des Unternehmens sein. Die DSGVO der EU gewähren Unternehmen bestimmte Freiheiten bei der Bestellung von Datenschutzbeauftragten.

Im Bereich des betrieblichen Datenschutzes ist es möglich, einen internen oder externen Datenschutzbeauftragten zu ernennen. Bei der internen Lösung wird die Rolle des DSB von einem separaten Mitarbeiter übernommen, während bei der externen Lösung die Unterstützung durch einen kompetenten Dienstleister erfolgt.

Aufgaben im Einzelnen

  • Überprüfung von Verträgen zur Auftragsverarbeitung.
  • Überprüfung und Anpassung der Datenschutzerklärungen.
  • Mithilfe bei der Erstellung vom Verzeichnis der Verarbeitungstätigkeiten.
  • Feststellung von Handlungsbedarf und Überwachung bei der Umsetzung von notwendigen Maßnahmen.
  • Sicherstellung der Einhaltung von gesetzlichen Bestimmungen.
  • Zuverlässige und schnelle Reaktion auf Anfragen von betroffenen Personen.
  • Korrekte und fristgerechte Reaktion auf Datenschutzverletzungen.
  • Kommunikation mit staatlichen Datenschutzbehörden.
  • Hilfestellung bei der Ausübung der Informationspflicht des Verantwortlichen.
  • Durchführung von Risikofolgenabschätzungen und Erstellung von z. B. Löschkonzepten.
Benennung

Wann wird ein Datenschutzbeauftragter benötigt?

Manche Entscheidungsträger sind der Ansicht, dass die Ernennung des Datenschutzbeauftragten freiwillig wäre. Aber diese Annahme ist falsch. Der Gesetzgeber hat im BDSG definiert, ab welchem Zeitpunkt, die Bestellung eines Datenschutzbeauftragten (DSB) als Verpflichtung angesehen wird. Die DSGVO legt auch fest, wann die Unternehmensleitung einen Datenschutzbeauftragten ernennen muss. Wenn das Unternehmen die Anforderungen an die Bestellung eines Datenschutzbeauftragten noch nicht berücksichtigt hat, wird dringend empfohlen, die Notwendigkeit einer solchen Maßnahme zu überdenken.

Die folgenden vier Bereiche müssen untersucht werden, um mit Sicherheit sagen zu können, ob eine Benennung erforderlich ist.

  • Unternehmensgröße

    Die Größe des Unternehmens, ab dem ein Datenschutzbeauftragter bestellt werden muss, hängt von der Verarbeitung personenbezogener Daten ab. Im Mittelpunkt steht der Umfang der Datenverarbeitung. Wenn mehr als 20 oder mehr Mitarbeiter regelmäßig eine automatisierte Datenverarbeitung beschäftigt sind, besteht die Verpflichtung zur Benennung.

  • Daten gemäß Art. 9

    Bei Verarbeitung besonderer Kategorien personenbezogener Daten als Kerntätigkeit, wie z. B. die Informationen über die Rasse, die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben einer Person, ist ebenfalls eine Verpflichtung, unabhängig von der Anzahl der Beschäftigten notwendig.

  • Gewerbsmäßig

    Werden personenbezogene Daten zu kommerziellen Zwecken übermittelt, erhoben, verarbeitet oder verwendet, d. h. besteht die Haupttätigkeit des Unternehmens aus diesen Verarbeitungen, besteht auch eine Verpflichtung unabhängig von der Anzahl der Mitarbeiter.

  • Öffentliche Stellen

    Handelt es sich um eine öffentliche Stelle, oder Behörde mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit arbeiten, muss auf jeden Fall ein Datenschutzbeauftragter benannt werden.

Muss ein Datenschutzbeauftragter bestellt werden?
Machen Sie den Schnelltest.

Vorteile externer Datenschutzbeauftragter

Ein Profi steht sofort zur Verfügung

Sie erhalten einen fachkundigen und erfahrenen Experten für Datenschutz. Sie müssen sich nicht um die notwendigen Schulungen, Weiterbildungen & die nötige Fachliteratur kümmern.

Eine Person sorgt für Datenschutz

Sie haben eine Person im Unternehmen die sich einzig um den Bereich Datenschutz kümmert. Dies wird in der Haupttätigkeit durchgeführt und nicht nur als vielleicht „lästige Nebentätigkeit“ zusätzlich zu eigenen Arbeiten eines Mitarbeiters.

Vermeidung innerbetrieblicher Interessenkonflikte

Der Datenschutzbeauftragte ist eine Stabsstelle der Geschäftsleitung. Er ist dieser direkt unterstellt. Eine mögliche Missgunst unter den Mitarbeitern kommt bei einem externen Beauftragten nicht vor. Auch genießt der externe Berater meist eine höhere Akzeptanz bei Betriebsräten.

Synergieeffekt

Profitieren Sie von unseren Erfahrungen und Qualifikationen. Da wir auch im Bereich Informationssicherheitsmanagement Expertise besitzen, können wir in diesem Bereich auch unser Wissen in den Datenschutz einfließen lassen.

Kein Sonderkündigungsrecht

Der Mitarbeiter als interner Datenschutzbeauftragte genießt ein Sonderkündigungsrecht. Er kann erst ein Jahr nach Abberufung gekündigt werden. Zur Abberufung ist ein wichtiger Grund im Sinne des Kündigungsrechts notwendig. Betriebsbedingte Gründe, wie z.B. die Entscheidung, künftig einen externen Datenschutzbeauftragten zu bestellen, genügen nicht. Vorteil: Der externe Berater wird mit einem befristeten Vertrag bestellt.

Monatlich feste Kosten

Durch einen festen monatlichen Betrag haben Sie die Kosten immer im Blick und erleben keine böse Überraschung. Außerdem können sich die Mitarbeiter ihren Hauptaufgaben widmen.

Tarife

Unsere Leistungsübersicht im Detail

Datenschutz Lite
Einzelunternehmer bis 10 Mitarbeiter
  • Bestellung als Datenschutzbeauftragter
  • schriftlicher Tätigkeitsbericht*
  • Statusgespräch 1x jährlich per Telefon/Skype
  • Datenschutz-Newsletter
  • Unterstützung bei Anfragen*
  • Schulung der Mitarbeiter*
  • Verfahrensdokumentation bis zu 2 Verfahren / Jahr
  • Informationspflichten nach Art. 13, 14 DSGVO bis zu 2 Verfahren / Jahr
  • Abmahn-Prüfung Webseite
  • Datenschutz-Folgenabschätzung
  • ADV/AD-Verträge Erstellung & Prüfung 1 Dienstleister/Jahr
  • weitere Leistungen inklusive
  • *nach Aufwand
Datenschutz Basic
Unternehmen ab 11 bis 29 Mitarbeiter
  • Bestellung als Datenschutzbeauftragter
  • schriftlicher Tätigkeitsbericht
  • Statusgespräch 1x jährlich Vor-Ort
  • Datenschutz-Newsletter
  • bis zu 15 Minuten pro Anfrage
  • Schulung der Mitarbeiter nach Aufwand
  • Verfahrensdokumentation bis zu 5 Verfahren / Jahr
  • Informationspflichten nach Art. 13, 14 DSGVO bis zu 5 Verfahren / Jahr
  • Abmahn-Prüfung Webseite
  • Datenschutz-Folgenabschätzung
  • Verpflichtungserklärungen und Betriebsvereinbarungen bis zu 2 / Jahr
  • ADV/AD-Verträge Erstellung & Prüfung 3 Dienstleister/Jahr
  • weitere Leistungen inklusive
Datenschutz Business
Unternehmen ab 30 bis 100 Mitarbeiter
  • Bestellung als Datenschutzbeauftragter
  • schriftlicher Tätigkeitsbericht
  • Statusgespräch 1x jährlich Vor-Ort
  • Datenschutz-Newsletter
  • bis zu 30 Minuten pro Anfrage
  • Schulung der Mitarbeiter 1x jährlich
  • Verfahrensdokumentation bis zu 10 Verfahren / Jahr
  • Informationspflichten nach Art. 13, 14 DSGVO bis zu 10 Verfahren / Jahr
  • Abmahn-Prüfung Webseite
  • Datenschutz-Folgenabschätzung
  • Verpflichtungserklärungen und Betriebsvereinbarungen bis zu 4 / Jahr
  • ADV/AD-Verträge Erstellung & Prüfung 1 Dienstleister/Monat
  • weitere Leistungen inklusive
Datenschutz Enterprise
Unternehmen ab 100 Mitarbeiter
  • Bestellung als Datenschutzbeauftragter
  • schriftlicher Tätigkeitsbericht
  • Statusgespräch 1x jährlich Vor-Ort
  • Datenschutz-Newsletter
  • bis zu 60 Minuten pro Anfrage
  • Schulung der Mitarbeiter 2x jährlich
  • Verfahrensdokumentation bis zu 20 Verfahren/ Jahr
  • Informationspflichten nach Art. 13, 14 DSGVO bis zu 20 Verfahren / Jahr
  • Abmahn-Prüfung Webseite
  • Datenschutz-Folgenabschätzung
  • Verpflichtungserklärungen und Betriebsvereinbarungen bis zu 8 / Jahr
  • ADV/AD-Verträge Erstellung & Prüfung 2 Dienstleister/Monat
  • weitere Leistungen inklusive