Externer Datenschutzbeauftragter für Ihr Unternehmen

Alle Unternehmen, Vereine, Behörden oder öffentliche Stellen sind dazu verpflichtet einen Datenschutzbeauftragten zu bestellen, wenn

• mehr als 19 Mitarbeiter personenbezogene Daten verarbeiten
• die Kernaufgabe des Unternehmens die umfangreiche und systematische Überwachung von Personen umfasst
• die Kerntätigkeit des Unternehmens die umfangreiche Verarbeitung besonders sensibler Daten ist

Kernaufgabe oder Kerntätigkeit sind dabei sowohl die prägende Aufgabe eines Unternehmens als auch alle Vorgänge, die zur Erfüllung dieser Hauptaufgabe beitragen und fester Bestandteilt des Betriebsablaufs sind.

Generell ist zu berücksichtigen, dass die Verantwortung für den Datenschutz stets in der Hand der Unternehmensführung bleibt und nicht auf den Datenschutzbeauftragten übertragen werden kann. Dennoch senkt der Verantwortliche durch die Bestellung eines Datenschutzbeauftragten sein Risiko, indem er sich im Umgang und in ihrem Bemühen um die Einhaltung der DSGVO unterstützen lässt und die Kommunikation mit den Behörden und Betroffenen in Expertenhände legt.

Gesetzlich ist es vorgeschrieben, dass ein Datenschutzbeauftragter (sowohl intern als auch extern) folgende Voraussetzungen erfüllen muss:

• Gewisse berufliche Qualifikation
• Fachwissen auf dem Gebiet des Datenschutzes
• Befähigung zur Erfüllung der gesetzlichen Aufgaben

Häufig arbeiten externe Datenschützer in den Berufsfeldern Jura, Wirtschaft und Informatik. Das ist auch sinnvoll, da diese Professionen die Hauptthemenfelder der DSGVO umfassen. Darüber hinaus ist es wichtig darauf zu achten, dass die Fortbildung zum Datenschutzbeauftragten an einem namenhaften Institut, zum Beispiel der Akademie des TÜV Süds oder der IHK, abgelegt wurde. Zusätzlich muss eine dauerhafte Fortbildung in den Bereichen des Datenschutzes, der IT sowie der Datensicherheit nachgewiesen werden können.

Die Datenschutzgrundverordnung verpflichtet den Datenschutzbeauftragten folgende Aufgaben und Pflichten zu erfüllen:

• Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten
• Überwachung der Einhaltung der Datenschutzgrundverordnung sowie nationaler Datenschutzvorschriften
• Beratung und Überwachung in Bezug auf Datenschutz-Folgeabschätzungen
• Schulung und Sensibilisierung von Mitarbeitern
• Zusammenarbeit mit Behörden sowie Ansprechperson für Betroffenenanfragen
• Gute Erreichbarkeit für Kunden und Behörden

Was macht der DSB und was macht er nicht?

Der Datenschutzbeauftragte wirkt auf die Einhaltung des Datenschutzes im Unternehmen hin. Er beurteilt Prozesse auf ihre Datenschutzkonformität, unterrichtet die Geschäftsführung und steht allgemein bei Fragen zum Thema Datenschutz zur Seite.

Der Datenschutzbeauftragte hat dabei keinerlei Entscheidungsbefugnis – alle Entscheidungen rund um Datenschutz liegen beim Unternehmen (der Unternehmensleitung). 

Kurzum: wir begleiten unsere Mandanten und sorgen dafür, dass die notwendigen Prozesse und Unterlagen geschaffen / implementiert werden.

Für eine erfolgreiche Zusammenarbeiten empfehlen wir einen internen Datenschutzkoordinator zu installieren. Dieser ist unser Haupt-Ansprechpartner. Von Vorteil ist hier ein gewisses IT-Verständnis, da viele Themen das Gebiet der IT-Sicherheit tangieren.

Wie arbeiten wir?

Da Datenschutz ein dauerhafter Prozess und kein kurzes Projekt, vereinbaren wir mit unseren Mandanten regelmäßige Jour-Fix-Termine. In den allermeisten Fällen finden diese digital (telefonisch/Videokonferenz) statt. In diesen Jour-Fix-Terminen werden aktuelle Themen besprochen und Aufgaben für uns sowie unsere Mandanten festgelegt. Alle Jour-Fix-Termine werden von uns protokolliert. wir aktuelle Themen besprechen und neue Aufgaben für euch sowie mich definieren. Jeder Termin wird dabei von mir protokolliert. Solltet ihr Vorlagen benötigen, so bekommt ihr die i.d.R. von mir und ihr müsst sie nur noch an euch anpassen.

Zwischen den Jour-Fix-Terminen sind wir für unsere Mandanten selbstverständlich telefonisch und per E-Mail erreichbar.

Die Bestandsaufnahme

Zu Beginn der Zusammenarbeit ist eine Bestandsaufnahme unumgänglich. Diese besteht aus drei Teilen:

• Eine Checkliste mit vielen Fragen zum Unternehmen, insbesondere mit Schwerpunkt Datenschutz, welche vom Mandanten ausgefüllt wird
• Die Auswertung der Checkliste durch uns und Erarbeitung von Handlungsempfehlungen
• Aufstellung einer Roadmap für die kommenden 12-24 Monate, die wiederum die Basis für die Jour-Fix-Termine bildet

Wann sind wir fertig?

Datenschutz ein dauerhafter Prozess. Wir haben Mandanten, die begleiten wir seit Jahren und es gibt monatlich was zu tun. Wir haben aber auch Mandanten, bei denen haben wir so nach zwei Jahren alles Notwendige geschaffen und wir reduzieren den Aufwand und entsprechend die monatlichen Kosten. Ein Projektende gibt es jedoch als solches nicht - dafür sorgen allein Gesetzesänderungen, neue Anforderungen und neue Ideen unserer Mandanten.

Grundsätzlich kann jedes Unternehmen frei wählen, ob die Funktion des betrieblichen Datenschutzbeauftragten durch einen internen Mitarbeiter oder einen externen Datenschutzbeauftragten übernommen wird.

Aus Zeit-, Ressourcen- und Kostengründen kann es sinnvoller sein, einen externen Datenschutzbeauftragten zu beauftragen. Darüber hinaus kommen viele externe Datenschutzbeauftragte aus den Berufsfeldern Jura, Wirtschaft sowie Informatik und bringen so zu ihrer Qualifikation als Datenschutzbeauftragte zusätzliches Fachwissen mit.

1. Unabhängigkeit: Ein externer Datenschutzbeauftragter ist unabhängig von der Organisation und kann daher objektiv beurteilen und beraten.
    
2. Fachkompetenz: Externe Datenschutzbeauftragte verfügen über umfangreiche Fachkenntnisse im Bereich Datenschutz und sind auf dem neuesten Stand der gesetzlichen Anforderungen.
    
3. Ressourcen: Ein externer Datenschutzbeauftragter kann Ressourcen bereitstellen, die für eine Organisation schwierig oder kostspielig zu beschaffen sind.
    
4. Netzwerk: Externe Datenschutzbeauftragte haben oft ein breites Netzwerk von Fachexperten und können daher auf externe Unterstützung zurückgreifen.
    
5. Zeitersparnis: Ein externer Datenschutzbeauftragter kann die Arbeit der Organisation erleichtern, indem er die datenschutzrechtlichen Anforderungen in Angriff nimmt und die Organisation vor möglichen Problemen schützt.
    
6. Compliance: Ein externer Datenschutzbeauftragter kann dafür sorgen, dass die Organisation die gesetzlichen Anforderungen erfüllt und Compliance-Risiken minimiert.
    
7. Risikomanagement: Ein externer Datenschutzbeauftragter kann die Organisation beim Identifizieren und Bewerten von Datenschutzrisiken unterstützen und Maßnahmen zur Vermeidung von Datenschutzverletzungen empfehlen.
    
8. Schulung: Ein externer Datenschutzbeauftragter kann Schulungen und Informationsveranstaltungen für die Mitarbeiter der Organisation durchführen, um das Verständnis für Datenschutzfragen zu verbessern.
    
9. Interne Audits: Ein externer Datenschutzbeauftragter kann interne Audits durchführen, um sicherzustellen, dass die organisatorischen und technischen Maßnahmen der Organisation den datenschutzrechtlichen Anforderungen entsprechen.
    
10. Reputationsschutz: Ein externer Datenschutzbeauftragter kann dazu beitragen, die Reputation der Organisation zu schützen, indem er sicherstellt, dass Datenschutzverletzungen vermieden werden und die Öffentlichkeit im Falle einer Verletzung angemessen informiert wird.