Externer Datenschutzbeauftragter – zertifizierter Datenschutz

Wann braucht Ihr Unternehmen einen Datenschutzbeauftragten?

Unternehmen benötigen gemäß Artikel 37 der DSGVO einen Datenschutzbeauftragten, wenn personenbezogene Daten automatisiert verarbeitet werden wie z.B. Namen, E-Mail-Adressen, Kontonummern oder Standortdaten von Kunden.

Die Datenschutz-Grundverordnung (DSGVO) schreibt für viele Unternehmen in der Europäischen Union (EU) die Bestellung eines Datenschutzbeauftragten vor.

Ausnahmen bestehen für kleinere Betriebe: Einen Datenschutzbeauftragten bestellen muss ein Unternehmen nur, wenn sich mindestens zehn Mitarbeiter regelmäßig mit solchen Daten beschäftigen. Dazu zählen auch Mitarbeiter, die nur einmal pro Woche personenbezogene Daten bearbeiten oder Teilzeitkräfte.

Laut Art. 37 Abs. 1 DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn

die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht.</em

Eine Kerntätigkeit liegt vor, wenn es sich um eine für die Geschäftstätigkeit oder die Unternehmensstrategie wichtige Tätigkeit handelt und nicht bloß um routinemäßige Verwaltungsaufgaben, die in jedem Unternehmen als Nebentätigkeit vorkommen.

So liegt eine Kerntätigkeit in der umfangreichen Verarbeitung von personenbezogenen Daten, bei Unternehmen wie z.B.
‣ Unternehmen die Scoring- oder Profiling-Maßnahmen anbieten
‣ Markt- und Meinungsforschungsunternehmen
‣ Sicherheits- und Überwachungsunternehmen
‣ Social-Media-Anbieter
‣ Versicherungsunternehmen

Bezogen auf besondere Kategorien von Daten sind zu nennen:
‣ Arztpraxen
‣ Labors
‣ Krankenhäuser
‣ Rechtsanwaltskanzleien
‣ Beratungsstellen mit politischer, familiärer oder persönlicher Ausrichtung

Die Bestellung eines Datenschutzbeauftragten ist verpflichtend:
soweit in einem Unternehmen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder
‣ in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder
‣ in dem Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden

In den allermeisten Fällen in denen eine Verpflichtung besteht, wird sich die Pflicht zur Bestellung eines Datenschutzbeauftragten aus der ersten Kategorie ergeben.

Wer braucht einen Datenschutzbeauftragten?

‣ Jedes Unternehmen mit 10 Personen und mehr, die personenbezogene Daten verarbeiten
‣ Arztpraxen, Gesundheitsberufe und Kanzleien mit mehr als einem Berufsträger
‣ Kindertagesstätten (Kitas) mit kommunaler oder privater Trägerschaft
‣ Sonstige Unternehmen die besondere Daten verarbeiten bzw. zu einer Datenschutz-Folgeabschätzung verpflichtet sind.
‣ Jedes Unternehmen bei dem eine Kerntätigkeit in der umfangreichen Verarbeitung personenbezogener Daten besteht.

Fazit:
Die pauschale Aussage, dass jedes Unternehmen mit mindestens zehn Mitarbeitern einen Datenschutzbeauftragten braucht, ist genauso wenig richtig, wie die Aussage, dass im Falle von weniger als zehn Mitarbeitern stets kein Datenschutzbeauftragter benötigt wird.
Denn nahezu jedes Unternehmen nutzt mittlerweile die Vorteile der papierlosen, elektronischen Datenverarbeitung (EDV), so dass die Regelung mit der 10-Personen-Grenze im Wirtschaftsleben wohl mit Abstand am bedeutsamsten sein dürfte.
Auch unter 10 Personen sind z.B. Arztpraxen, Kanzleien und andere Unternehmen verpflichtet einen Datenschutzbeauftragten zu benennen.

Es kommt immer auf den Einzelfall an und bedarf jeweils einer gründlichen Prüfung.

Nach Aussagen einiger Landesdatenschutzbeauftragten müssen Unternehmen, die ab 25.05.2018 keinen Datenschutzbeauftragten benannt haben, mit empfindlichen Bußgeldern rechnen. Daher sollten Unternehmen sorgfältig prüfen, ob sie einen Datenschutzbeauftragten bestellen müssen oder nicht.
Da Datenschutzbeauftragte nicht nur bei der Aufsichtsbehörde gemeldet werden müssen, sondern auch die Kontaktdaten veröffentlicht werden müssen (z.B. in der Datenschutzerklärung auf der Website), besteht bei Nichteinhaltung zudem die Gefahr von wettbewerbsrechtlichen Abmahnungen durch Mitbewerber oder Verbände.

Wird der Datenschutzbeauftragte vorsätzlich oder fahrlässig nicht oder nicht rechtzeitig bestellt, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße geahndet werden kann. Derzeit können bis zu 50.000 Euro Bußgeld für die fehlende Bestellung eines Datenschutzbeauftragte verhängt werden. Mit Einführung der EU-DSVGO fallen diese Strafen noch drastischer aus: Bei Datenschutzverstößen müssen Unternehmen künftig bis zu 20 Millionen Euro oder vier Prozent ihres Jahresumsatzes als Strafe zahlen.
Außerdem droht dem Unternehmen ein vermeidbarer Imageschaden. Ein Datenschutzbeauftragter ist somit auch für kleine Unternehmen und Start-Ups unumgänglich.

Externer oder interner Datenschutzbeauftragter?

Soll ein Datenschutzbeauftragter im Unternehmen bestellt werden, so stellt sich die Frage, ob für das Unternehmen ein interner oder externer Datenschutzbeauftragter vorteilhafter ist.

Der interne Datenschutzbeauftragte muss für ein bestimmtes Zeitkontingent für die Wahrnehmung dieser Funktion freigestellt werden. Des Weiteren hat er ein Recht auf Fort- und Weiterbildung, um seine Fachkunde auf dem neuesten Stand zu halten.

Bei der Wahl dieser Person ist insbesondere darauf zu achten, dass kein Interessenskonflikt bestehen darf. Mitglieder der Unternehmensleitung, EDV-Abteilungsleiter oder Personalleiter können nicht als interner Datenschutzbeauftragter fungieren. Ausserdem unterliegt der interne Datenschutzbeauftragte einem besonderen Kündigungsschutz.

Für die meisten Unternehmen empfiehlt sich die Bestellung eines juristisch und technisch versierten Experten als externen Datenschutzbeauftragten. Er berät die Geschäftsführung allgemein in Fragen des Datenschutzes, schult die Mitarbeiter und kontrolliert regelmäßig die technische und organisatorische Umsetzung des Datenschutzes im Unternehmen.

Vorteile des externen Datenschutzbeauftragten

Mittlerweile entscheiden sich viele Unternehmen aus guten Gründen für die Einschaltung eines externen Datenschutzbeauftragten.
Ein externer Datenschutzbeauftragter bietet eine Vielzahl an Vorteilen für Ihr Unternehmen:

Kaum auf einem anderen Rechtsgebiet gibt es so häufig Gesetzesänderungen wie im Datenschutz – z.B. DSVGO. Die verschiedenen Vorschriften im Datenschutzrecht kontinuierlich zu überblicken und in praktischen Prozessen anzuwenden ist für kleine Unternehmen sehr aufwändig. Deshalb bietet es sich an einen externen Datenschutzbeauftragten zu bestellen, der in diesem Bereich das entsprechende Wissen und die notwendige Erfahrung mitbringt. Ein externer Datenschutzbeauftragter berät in der Regel mehrere Unternehmen zum Thema Datenschutz und verfügt daher über das Know How und die Erfahrungen aus zahlreichen Tätigkeiten und Einsätzen.

In vielen Fällen wird die datenschutzrechtliche Absicherung des Unternehmens möglichst schnell benötigt, um etwaigen Bußgeldern, Abmahnungen durch Mitbewerber oder anderen Gefahren für die IT-Sicherheit von Beginn an vorzubeugen. Nicht selten wird der Aspekt des Datenschutzes über längere Zeit ignoriert, so dass der Handlungsbedarf entsprechend dringlich ist. Während ein eigener Mitarbeiter hierfür erst über längere Zeit in Fortbildungen geschult werden muss, kann ein externer Spezialist den Unternehmensdatenschutz aus dem Stand übernehmen.

Ein interner Datenschutzbeauftragter benötigt entsprechende Lehrgänge und Seminare, um die gesetzlich geforderte Fachkunde zu erwerben und beizubehalten. Wird der Mitarbeiter etwa aus Kosten- oder Zeitgründen nur unzureichend geschult, läuft das Unternehmen Gefahr nach Ansicht der Aufsichtsbehörde überhaupt keinen Datenschutzbeauftragten bestellt zu haben. Entscheidet sich ein Unternehmen hingegen für einen externen Datenschutzbeauftragten, entfallen diese mitunter kostenintensiven Schulungsmaßnahmen. Zudem kann das Unternehmen seine Mitarbeiter weiterhin voll und ganz im  Kerngeschäft einsetzen, anstatt eine Kraft zeitweilig für die Aufgaben als Datenschutzbeauftragter freizustellen.

Interne Datenschutzbeauftragte verfügen im Gegensatz zu externen Datenschutzbeauftragten über keinen gesetzlich festgeschriebenen erweiterten Kündigungsschutz. D.h. der Vertrag der externen Bestellung kann regelmäßige Kündigungsfristen vorsehen. Nach dem Willen des Gesetzgebers ist ein interner Datenschutzbeauftragter generell nicht kündbar. Es besteht lediglich eine Ausnahme für den Fall der außerordentlichen (fristlosen) Kündigung.

Während für den internen Datenschutzbeauftragten in Haftungsfragen die sogenannte “betriebliche Veranlassung” gilt, kann ein externer Datenschutzbeauftragter für sein Handeln verantwortlich gemacht werden. Üblicherweise verfügt der externe Datenschutzbeauftragte über eine dahingehend spezialisierte Betriebs- und Vermögensschadenshaftplicht.

Da der externe Datenschutzbeauftragten nicht im Unternehmen verankert ist, sind Interessenkonflikte mit anderen Bereichen und Themen nicht zu vermuten und unwahrscheinlich. Er kann daher seinen Aufgaben und Verpflichtungen unbefangen nachkommen.

Wettbewerbsvorteil, Kundenvertrauen, Vertrauen bei Investoren und Kooperationspartnern – wenn Unternehmen einen externen Datenschutzbeauftragten einsetzen, macht dies einen professionellen und seriösen Eindruck.

Vergleich Vor- und Nachteile im Unternehmen

Externer DSBInterner DSB
Zertifizierte, bereits vorhandene und sofort abrufbare FachkundeZeitintensive und aufwendige Weiterbildungsmaßnahmen zur Erlangung der Fachkunde sowie Freistellungen für die Schulungsdauer
Haftung durch den externen DSB Risikominimierung für das UnternehmenHaftung im Rahmen der beschränkten Arbeitnehmerhaftung. Der Geschäftsführer haftet vollumfänglich (inkl. Privatvermögen)
Transparente Kostenstruktur durch vertraglich festgelegte PreiseKeine Kostenkontrolle durch Ausgaben für Aus- und Weiterbildung, Literatur, Büro, Arbeitsausfälle, Reisekosten
Keine Bindung von Unternehmensressourceninterne Teilzeit-DSB können ihre Hauptbeschäftigung nicht mehr zu 100% erfüllen
Nutzt seine Ressourcen zu 100% für DatenschutzNutzt seine Ressourcen im Durchschnitt zu 15-20% für Datenschutz
Kosten für Weiterbildung inkludiertKosten für Fort-und Weiterbildung übernimmt der Arbeitgeber
Kurze Einarbeitungszeit in die BetriebsabläufeBetriebsabläufe sind bereits bekannt
Kündigung oder Abberufung vertraglich geregeltAbberufung nur in wichtigen Gründen (§ 626 BGB & § 4f Abs. 3 Satz 4), zusätzlich ein Jahr Kündigungsschutz nach Abberufung
Stellvertretung ist gesichertStellvertreter muss zusätzlich bestimmt werden
Erfahrung aus anderen Firmen und Brancheni.d.R. kein Know-How und keine Vergleichsmöglichkeiten
Neutrale Position im Unternehmen, sowohl ggü. Kunden und Aufsichtsbehörden, als auch internInterner DSB wird meist als parteiisch angesehen, der das Unternehmen nicht neutral vertritt
Betriebsrat hat kein Mitbestimmungsrecht bei der Wahl eines externen DSBBetriebsrat kann bei der Einstellung bzw. Umsetzung des internen DSB aufgrund seines Mitbestimmungsrechtes intervenieren (§ 99 BetrVG)

Welche Aufgaben übernehmen wir für Sie als externer Datenschutzbeauftragter?

BEST SPEAKERS DATENSCHUTZ berät  Sie als externer Datenschutzbeauftragter bei der Einhaltung der DSGVO in Ihrem Unternehmen sowie zu allen relevanten Themen im Datenschutz. Dazu gehören u.a. der Aufbau eines Datenmanagements, Auftragsverarbeitung, Datenschutz-Folgenabschätzungen, Datentransfers, IT Sicherheit, Datenspeicherung, Marketing und Werbung.

Wir sorgen für eine datenschutzkonforme Umsetzung der Prozesse in Ihrem Unternehmen im Umgang mit personenbezogenen Daten, ausgerichtet an der Zielsetzung Ihres Unternehmens.

Dabei erhalten Sie ein Rundum-sorglos-Paket im Datenschutz mit folgenden Leistungen:

Auditierung
Im ersten Audit erfolgt die Feststellung Ihrer bisherigen Arbeitsweise zum Datenschutz.
Nach dieser Ist-Analyse erfolgt die Erstellung eines Datenschutzkonzeptes mit entsprechenden Richtlinien für Ihr Unternehmen. Für die Installation des Datenschutzkonzeptes erarbeiten wir für Sie einen Maßnahmenkatalog mit Prioritäten und Umsetzungszielen.

Unsere Aufgaben in Ihrem Unternehmen:

Wir erstellen zusammen mit Ihnen die gem. Art. 30 DSGVO vom Gesetzgeber geforderten Verzeichnisses der Verarbeitungstätigkeiten. Dieses Verzeichnis enthält genauere Informationen über die einzelnen Datenverarbeitungsvorgänge in Ihrem Unternehmen und dient als Grundlage für die weitere datenschutzrechtliche Absicherung. Regelmäßigen Pflege und Aktualisierung der Verarbeitungsübersicht ist Bestandteil unseres Leistungspakets.

Wir überprüfen die Notwendigkeit von Einwilligungen für Prozesse in Ihrem Unternehmen und unterstützen Sie bei der Erstellung der Einwilligungserklärungen. Zudem beraten wir Sie bei der Anpassung Ihrer Prozesse, um die einzuholenden Einwilligungen auf ein Minimum zu beschränken. Hierbei kann es sich sowohl um Einwilligungen von Kunden als auch von Mitarbeitern handeln.

Wir unterstützen Sie bei der Implementierung der technischen und organisatorischen Maßnahmen (TOM) und Privacy by Design / Default, um die Sicherheit der personenbezogenen Daten zu gewährleisten, insbesondere in den Bereichen IT und Personal.

Datenschutzfolgenabschätzung und Risikoanalyse
Mit Risikoanalysen stellen wir fest, ob eine Datenschutzfolgenabschätzung ihrer Prozesse erforderlich ist und führen diese Bedarf dokumentiert durch.

Wir stehen als Ansprechpartner in allen Belangen der Betroffenenrechte zur Verfügung, sowohl bei der Einhaltung als auch in der Kommunikation nach aussen. Hierbei erarbeiten wir für Sie Lösungen für die Implementierung von Löschprozessen oder die Speicherung für eine einfache Datenübermittlung.

Als externer Datenschutzbeauftragter sehen wir uns auch als Anlaufstelle für die Aufsichtsbehörde zur Kommunikation und bei Prüfungen vor Ort.

Durch unsere turnusgemäßen Inhouse-Schulungen halten wir Sie und Ihre Mitarbeiter auf dem neuesten Stand zum Datenschutzrecht und der Umsetzung der DSGVO und klären offene Fragen Ihrer Mitarbeiter.

Im Rahmen unser Zusammenarbeit begleiten wir Ihr Unternehmen und überprüfen, ob die implementierten Maßnahmen richtig umgesetzt wurden. Zudem zeigen wir Möglichkeiten auf, bereits eingerichtete Prozesse zu verbessern und zu vereinfachen.

So funktioniert die Bestellung eines Datenschutzbeauftragten bei DATENSCHUTZ-BESTSPEAKERS:

Erstgespräch & Vertragsinhalte
In einem ersten Gespräch klären wir mit Ihnen den Leistungsumfang für die Vertragsgestaltung. Der Umfang orientiert sich an den individuellen Bedürfnissen in Ihrem Unternehmen. Dadurch wird sichergestellt, dass alle Bereiche in Ihrem Unternehmen erfasst und anschliessend auch betreut werden.

Audit & Dokumentenprüfung
Mit der Durchführung eines internen Audits und eines Datenschutz-Workshops stellen wir fest, in welchen Bereichen und Prozessen Optimierungs- oder Handlungsbedarf besteht, um die DSGVO rechtskonform in Ihrem Unternehmen umzusetzen. Dokumentenprüfung durch unsere Experten erfolgt vor Ort in den maßgeblichen Bereichen Unternehmens-IT, Personal, Marketing, Vertrieb und anderer relevanter Unternehmensbereiche.

Maßnahmenbericht mit Prioritäten
Nach diesem Audit erhalten Sie eine übersichtliche Dokumentation vom Ist-Zustand des Datenschutzes in Ihrem Unternehmen. Die detaillierte Analyse enthält einen konkreten Maßnahmenkatalog mit Prioritäten und Zielvorgaben sowie eine Datenschutzrichtlinie als Leitfaden für die Umsetzung.

Umsetzung und Optimierung der Prozesse
Wir begleiten Sie bei der Umsetzung aller erforderlichen Maßnahmen, um dauerhaft ein überzeugend hohes Datenschutzniveau zu erreichen. Eine fortlaufende Dokumentation und Kontrolle aller Maßnahmen, sowie Anpassungen von Prozessen oder Erstellung von notwendigen Dokumenten gehören mit zu unseren Aufgaben.

Rechtsberatung
Für die Ausarbeitung von datenschutzkonformen Verträgen oder rechtssicheren Vereinbarungen, sowie Rechtsberatung in allen Belangen des Datenschutzes stehen Ihnen unsere Fachanwälte z.B. pro Halbjahr zur Verfügung. Zusammen mit Ihnen legen wir den Umfang und die Frequenz der Rechtsberatung fest und inkludieren diese in das Leistungspaket.

Kosten eines externen Datenschutzbeauftragten

BEST SPEAKERS DATENSCHUTZ bietet Ihnen ein Datenschutz-Komplettpaket – maßgeschneidert und passgenau auf die Prozesse in Ihrem Unternehmen abgestimmt. Je nach Größe und Komplexität Ihres Unternehmens unterscheidet sich der Beratungsaufwand hinsichtlich des Datenschutzes.

Als externer Datenschutzbeauftragter arbeiten die Experten der BEST SPEAKERS DATENSCHUTZ eng mit Mitarbeitern in Ihrem Unternehmen zusammen. Der Aufwand hängt dabei stark von der Arbeitsteilung zwischen dem Datenschutzbeauftragten und den Ansprechpartnern im Unternehmen ab. Ob als monatlichen Festpreis, als Halbjahres- oder Jahrespreis – wir kalkulieren unsere Angebote stets individuell, um Ihnen eine professionelle Leistung zu einem realistischen und fairen Preis anzubieten.

Unsere Experten und Fachanwälte stehen Ihnen jederzeit gerne für ein kostenloses und unverbindliches Gespräch zur Verfügung.
Dabei können wir direkt klären, ob Sie einen Datenschutzbeauftragten benötigen und in welchem Umfang wir im Datenschutz für Ihr Unternehmen tätig werden können.

Lassen Sie sich direkt unverbindlich beraten – Kontaktieren Sie uns für ein kostenfreies Erstgespräch und Sie erhalten ein individuelles Angebot.

Das Expertenteam und unsere Fachanwälte steht Ihnen jederzeit gerne für Ihre Fragen zur Verfügung.

Rufen Sie uns an unter +49 861 213 94 95 88 (Beratung bundesweit) oder nutzen Sie unseren kostenlosen Rückruf-Service.

Auch per Email sind wir jederzeit für Sie da info@datenschutz-bestspeakers.de

Jetzt kostenloses Erstgespräch anfordern