Externer Datenschutzbeauftragter

Angebot externer betrieblicher Datenschutzbeauftragter DSB22.11.2018

Externer Datenschutzbeauftragter für Ihr Unternehmen (gleich ob Einzelunternehmen, eine Firma oder Konzern), eine Behörde, eine Körperschaft,  Stiftung oder einen Verein gesucht? Wir klären Sie zunächst einmal über die Funktion „externer Datenschutzbeauftragter“ bzw. „interner Datenschutzbeauftragter“ auf.

Ein externer Datenschutzbeauftragte (externer DSB) bzw. auch ein interner Beauftragter für den Datenschutz (interner DSB) soll auf die Einhaltung des Datenschutzes nach der Datenschutz-Grundverordnung (DS-GVO) überwachen und auf deren ordnungsgemäße Anwendung hingewirken. Der bestellte Datenschutzbeauftragte ist dadurch innerhalb seines Zuständigkeitsbereiches nicht nur „Selbstkontrollorgan“. Zu den Aufgaben gehören auch die Beratung der Geschäftsleitung, des Betriebsrates (bzw. Personalrates oder der Mitarbeitervertretung) und selbstverständlich jedes einzelnen Mitarbeiters im Hinblick auf den Datenschutz betreffende Fragestellungen. Auch bei der Prozessberatung unterstützt der Datenschutzbeauftragte und  führt den sogenannten Verantwortlichen damit zu praxistauglichen sowie datenschutzkonformen Lösungen. Hierbei wird nach dem Einsatzgebiet unterschieden.

Externer Datenschutzbeauftragter (nicht-öffentliche Stellen = Privatwirtschaft)

Betriebliche Datenschutzbeauftragte (intern oder extern) sind in der Privatwirtschaft, in Unternehmen gemäß Art. 4 Nr. 18 DS-GVO sowie in den sogenannten nicht-öffentlichen Stellen gemäß § 2 Abs. 4 Bundesdatenschutzgesetz (BDSG), zu finden. Unternehmen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen, und andere nicht-öffentliche Stellen sind damit natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts. Dies schließt insbesondere Unternehmen (z. B. Einzelfirmen, Freiberufler wie Ärzte, Rechtsanwälte, Steuerberater), Firmen [Aktiengesellschaften (AG), GmbHs, KGs, OHGs, GbR, UGs, Partnergesellschaften usw.] und Konzerne, aber auch Parteien ein. Die Bestellung erfolgt gemäß Art. 37 DS-GVO.

Externer Datenschutzbeauftragter (öffentliche Stellen)

Auch öffentliche Stellen müssen die Bestimmungen des Datenschutzes einhalten und einen Datenschutzbeauftragten bestellen. Gemäß § 2 Abs. 1 BDSG kann es sich hierbei insbesondere um öffentliche Stellen des Bundes, wie Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes und der bundesmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts handeln. Darüber hinaus sind gemäß § 2 Abs. 2 BDSG öffentliche Stellen der Länder insbesondere Behörden, Organe der Rechtspflege, andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes bzw. sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen. Die Modalitäten rund um die Bestellung des Datenschutzbeauftragten ergeben sich i. d. R. aus dem Landesdatenschutzgesetz des Bundeslandes, in dem die Behörde bzw. öffentliche Stelle sitzt. Die Datenschutzgesetze der Länder differieren und fordern teilweise die Besetzung der Position „Datenschutzbeauftragter“ durch einen internen Mitarbeiter der öffentlichen Stelle / behördlichen Einrichtung (behördlicher interner Datenschutzbeauftragter), falls dies nicht explizit gefordert oder ausgeschlossen ist, kann eine Übernahme durch einen Dienstleister erfolgen (behördlicher externer Datenschutzbeauftragter). In einigen Landesdatenschutzgesetzen, so z. B. im Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) wird die Bestellung eines Datenschutzbeauftragten + Vertreters des Datenschutzbeauftragten gefordert.

Aufgaben: externer Datenschutz / interner Datenschutzbeauftragter

Ein interner / externer Datenschutzbeauftragter:

  • überwacht die Einhaltung der Anforderungen des Datenschutzes und wirkt auf die ordnungsgemäße Anwendung der DS-GVO hin
  • berät und unterstützt:
    • die Geschäftsleitung bzw. Behördenleitung
    • den Betriebsrat / Personalrat / die Mitarbeitervertretung (MAV)
    • sowie sämtliche Mitarbeiter bei Fragestellungen des Datenschutzes
  • berücksichtigt bei der Beratung die gesetzlichen Anforderungen [z. B. aus dem Bundesdatenschutzgesetz (BDSG), Telemediengesetz (TMG), Telekommunikationsgesetz (TKG), der EU-Datenschutz-Grundverordnung (EU-DSGVO bzw. DSGVO)]
  • bearbeitet Auskunftsersuchen der Betroffenen und der Aufsichtsbehörde/n
  • arbeitet bei Bedarf mit der Aufsichtsbehörde (i. d. R. Landesdatenschutzbeauftragter) zusammen
  • kontrolliert den Verantwortlichen auf die Einhaltung des Datenschutzes
  • und unterstützt beim Datenschutz in datenschutzrechtlichen, datenschutzorganisatorischen und datenschutz- bzw. datensicherheitstechnischen Fragestellungen sowie regelmäßig auch bei der Datensicherheit bzw. IT-Sicherheit / Informationssicherheit

Praxisbeispiele der Arbeit des Datenschutzbeauftragten

Konkret prüft, berät, unterstützt und verfasst und führt ein interner / externer Datenschutzbeauftragter u. a. durch:

  • Erstellung eines individuellen Datenschutzkonzeptes
  • Erstellung, Überarbeitung und Beratung zu Arbeitsanweisungen, Richtlinien und Betriebsvereinbarungen wie
    • Internet- und E-Mail-Nutzung
    • E-Mail-Archivierung
    • Zeiterfassung
    • Videoüberwachung
  • individuelle Analysen der Schwachstellen und der Ist-Situation des Verantwortlichen
  • individuelle Prozessberatung
  • Führung von Verzeichnissen von Verarbeitungstätigkeiten
  • Beratung zu Bring-Your-Own-Device (kurz BYOD), Choose Your Own Device (kurz CYOD) und Corporate-Owned, Personally Enabled (kurz COPE), z. B. beim Einsatz von Smartphones
  • Abwicklung um die Rechte der Betroffenen im Datenschutz gemäß Artt. 15-22 Datenschutz-Grundverordnung (DS-GVO)
  • Verpflichtung auf die Vertraulichkeit zwecks Erfüllung von Rechenschaftspflichten gemäß Art. 5 Abs. 2 DS-GVO
  • Verpflichtung auf das Fernmeldegeheimnis gemäß § 88 Telekommunikationsgesetz (TKG)
  • Überwachung der ordnungsgemäßen Anwendung der eingesetzten Datenverarbeitungsprogramme
  • Koordination und Überwachung von Datenschutz-Maßnahmen im laufenden Geschäftsbetrieb
  • Risikomanagement
  • Beratung über technische und organisatorische Maßnahmen (TOM) zur Sicherung des Datenschutzes und der Datensicherheit
  • Beratung für die Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO (vormals Vorabkontrolle gemäß § 4d Abs. 5 BDSG alte Fassung kurz a.F.)
  • Erstellung von Datenschutz-FAQ
  • Abwicklung rund um Verträge zur Auftragsverarbeitung (AVV oder AV-Verträge) nach Art. 28 DS-GVO (vormals bekannt als sogenannte Auftragsdatenverarbeitung gemäß § 11 BDSG a. F.)
  • Beratung zum Drittlandtransfer / internationalen Datentransfer
    • Beratung bei Erstellung der Binding Corporate Rules (BCR)
    • Beratung zum Einsatz der EU-Standardvertragsklauseln
    • Beratung zu „Safe Harbor“-bedingten Maßnahmen im Hinblick auf das Urteil aus Oktober 2015
    • Beratung zum EU-US-Privacy-Shield
  • Kontrolle der Datenschutzerklärung/en der Webseite/n bzw. von Applikationen (Apps)
  • Social Media und Datenschutz (Beurteilungen der Datenschutzbestimmungen z. B.: bei Facebook mit dem „Like-Button“ oder Social Plug-Ins)
  • Mitarbeiterschulungen über Erfordernisse und Einhaltung des Datenschutzes (Datenschutzschulungen / Sensibilisierung der Mitarbeiter)
  • uvm.

Zur Person: interner Datenschutzbeauftragter / externer Datenschutzbeauftragter

Als Datenschutzbeauftragter darf nur bestellt werden, wer eine ausreichende Qualifikation, die erforderliche Fachkunde und die Fähigkeit, die gesetzlich definierte Aufgaben zu erfüllen, besitzt. Gerade in mittelständischen Unternehmen ergibt sich hierbei allerdings ein Problem. Diejenigen Personen, die über das notwendige Wissen verfügen, dürfen die Funktion des Datenschutzbeauftragten regelmäßig nicht begleiten, da diese zu einem Interessenkonflikt mit den orignären Aufgaben führt (nebenberuflicher Datenschutzbeauftragter). So könnten z. B. der Geschäftsführer oder IT-Leiter nicht „Teilzeit-Datenschutzbeauftragter“ sein, da sie sich nicht selbst kontrollieren dürfen. Es liegt daher nahe einen externen Dienstleister zu beauftragen, der als externer Datenschutzbeauftragter für den Verantwortlichen tätig wird.

Bestellung des Datenschutzbeauftragten extern oder intern

Muster Bestellungsurkunde externer DatenschutzbeauftragterAls Grundlage für die Bestellung sollte ein Vertrag geschlossen werden. Des weiteren ist die schriftliche Bestellung durch eine Bestellungsurkunde zwingend anzuraten. Diese Urkunde sollte sowohl durch die Geschäfts- (Geschäftsführer, Vorstand) bzw. Behördenleitung und auch durch die Person des Datenschutzbeauftragten unterzeichnet werden.

Diese Funktion kann durch einen internen Mitarbeiter, auf der Basis des Arbeitsvertrages sowie der Bestellungsurkunde, und als externer (betrieblicher) Datenschutzbeauftragter, basierend auf einem Dienstleistungsvertrag und der Bestellungsurkunde, ausgeübt werden.

Schauen Sie sich unsere (veraltetes) Muster Bestellungsurkunde – externer Datenschutzbeauftragter Paragraf 4f BDSG an. Hinweis: Die geänderte Fassung nach Art. 37 DS-GVO können Sie gerne via E-Mail bei uns anfordern.

Sollten Sie sich noch unschlüssig sein, ob Ihr Datenschutzbeauftragter eigener Mitarbeiter (interner Datenschutzbeauftragter) oder ein externer Dienstleister (externer Datenschutzbeauftragter) werden soll, dann dürfte Ihnen der Beitrag zum Bestellen des Datenschutzbeauftragten (mit Pro und Contra) weiterhelfen. Hier geht es zum vergleichenden Fachbeitrag „Interner (betrieblicher) Datenschutzbeauftragter (DSB) vs. externer DSB – ein Vergleich“.

Ihr Weg zum Angebot

Wir übernehmen sehr gerne die Funktion „externer Datenschutzbeauftragter“ für Ihre Firma, Behörde, Körperschaft, Stiftung oder Ihren Verein. Sprechen Sie uns unverbindlich an!

Externer Datenschutzbeauftragter – Eigenschaften und Vorteile

Eingesetzte Datenschutzbeauftragte verfügen über einen relevanten Studienabschluss, Praxiserfahrung und die Mindest-Zertifizierung „Datenschutzbeauftragter (TÜV)“. Ihre Vorteile sind hierbei unter anderem:

  • Professionalität
  • Kostenersparnis (keine Kosten für teure Fortbildungen, Arbeitsmaterialien oder Arbeitszeit der eigenen Mitarbeiter)
  • Fachwissen (bereits zum Zeitpunkt der Bestellung und auch fortwährend)
  • Zuverlässigkeit
  • Flexibilität, da die eigenen Mitarbeiter (Angestellte Ihres Unternehmens) einem erweiterten Kündigungsschutz unterliegen, wenn diese zum Datenschutzbeauftragten bestellt werden (vergleichbar mit dem Kündigungsschutz des Betriebsrates)
  • diverse TÜV-Zertifizierungen, z. B.: Datenschutzauditor (TÜV), Datenschutzbeauftragter (TÜV)
  • Beratung zur Datensicherheit
  • Durchführung von Datenschutzschulungen (Grundlagenschulungen / Spezialschulungen)
  • akademisch fundierte Beratung
  • sowie zahlreiche weitere Vorteile 

Variante 1 – persönlicher Kontakt auf Wunsch mit Rückrufservice

Nehmen Sie direkten Kontakt mit Ihrem persönlichen Ansprechpartner auf, ganz nach Ihren Wünschen auch mit Rückrufservice.

Variante 2 – Fragebogen ausfüllen, übersenden, Angebot erhalten

Als Alternative zum persönlichen Kontakt haben Sie die Möglichkeit den Fragebogen zum Datenschutz-Angebot ausgefüllt an uns zu übersenden. Wir senden Ihnen umgehend Ihr unverbindliches Angebot zu und setzen uns für Rückfragen direkt mit Ihnen in Verbindung.

 

Brands Consulting | Datenschutz & Beratung – Ihr regionaler Dienstleister für Datenschutz und Datensicherheit – insbesondere „externer Datenschutzbeauftragter“ u. a. für Sie tätig in:

Baden-Württemberg

Freiburg im Breisgau Stuttgart

Bayern

Hof München Nürnberg Würzburg

Berlin

Bremen

Hamburg

Hessen

Bad Camberg Bad Homburg Frankfurt Fulda Gießen Hanau Idstein Limburg Marburg Rüsselsheim Wetzlar

Niedersachen

Hannover

Nordrhein-Westfalen

Aachen  Bedburg Bergheim Bochum Bonn Brühl Dortmund Düren Düsseldorf Elsdorf Erftstadt Essen Euskirchen Frechen Kerpen Krefeld Köln Leverkusen Münster Oberhausen Pulheim Recklinghausen Wermelskirchen Wesseling Wuppertal

Rheinland-Pfalz

Altenkirchen Bad Ems Koblenz Montabaur Neuwied

Saarland

Bexbach, Blieskastel, Dillingen/Saar, Friedrichsthal, Homburg, Lebach, Merzig, Neunkirchen, Ottweiler, Püttlingen, Saarbrücken, Saarlouis, St. Ingbert, St. Wendel, Sulzbach/Saar, Völklingen, Wadern

Sachsen-Anhalt

Magdeburg

Sachsen

Chemnitz Dresden Leipzig Zwickau

Schleswig-Holstein

Flensburg, Kiel, Neumünster, Itzehoe, Hansestadt Lübeck, Elmshorn, Norderstedt, Wedel, Pinneberg, Ahrensburg

Thüringen