Leistungen und Aufgaben des Daten­schutz­beauftragten

Gesetzliche Pflichten des Unternehmers

Der Datenschutz­be­auf­tragte ist eine namentlich benannte Person, die inner­halb eines Unter­nehmens oder einer Or­ga­ni­sation für den Daten­schutz zu­ständig ist. Sie ist ver­ant­wort­lich für die Gewähr­leistung der Ein­haltung recht­licher Be­stimmungen und Vor­schriften zur Ver­arbeitung per­so­nen­be­zogener Daten. Die Re­gelungen der DSGVO und des Bun­des­da­ten­schutz­ge­setzes (BDSG) schreiben nicht vor, dass die ver­ant­wort­liche Person ein An­ge­stellter der Firma oder der eigenen Or­ga­ni­sa­tion sein muss. Im Gegenteil: einige Personengruppen, wie z.B. die Geschäftsfühung oder die IT-Leitung sind sogar von dieser Tätigkeit ausgeschlossen.
Es ist daher möglich und durchaus gewollt, dass ein externer Daten­schutz­be­auf­tragter bestellt wird. Es hat meist Vorteile von einem fach­kompetenten ex­ternen Dienst­leistungs­an­bieter betreut zu werden.

Was bedeutet eigent­lich einen „Daten­schutz­be­auf­tragten bestellen“?
Dieser Be­griff kommt aus dem Rechts­wesen und man könnte ihn mit „ein­setzen“ oder „er­nennen“ be­schreiben. Dies stellt sicher, dass der Ver­treter seine Pflichten und Arbeit offiziell aus­übt und dieser Per­son da­durch Rechte und Pflichten über­tragen werden.
Diese „Be­stellung“ muss be­stimmten Forma­li­täten ent­sprechen. Ein so ge­nanntes Auftrags­dokument muss genau zeigen, wer für den Daten­schutz ver­ant­wort­lich ist. Die Geschäftführung oder ver­ant­wort­liche Führungs­kräfte mit Voll­macht müssen den Auf­trag erteilen.

Leitende Mit­arbeiter im Unter­nehmen dürfen die Auf­gaben des Daten­schutz­be­auf­tragten nicht über­nehmen! Für be­trieb­liche und interne Daten­schutz­be­auftragte be­steht ein Interessens­kon­flikt und Un­ver­ein­barkeit, wenn sie z.B. fol­gende Po­sitionen ausüben:

  • Geschäftsführer
  • Personalleiter
  • Vertriebsleiter
  • IT/ EDV Leiter
  • andere leitende Mitarbeiter, die personenbezogene Daten verarbeiten

Übernimmt eine be­schäftigte Person die Auf­gaben des Daten­schutzes, ge­nießt diese einen be­sonderen Kündigungs­schutz. Nach Art. 38 Abs 3 DSGVO darf der Daten­schutz­be­auf­tragte von dem Ver­antwort­lichen oder dem Auftrags­ver­arbeiter wegen der Er­füllung seiner Auf­gaben nicht ab­be­rufen oder be­nach­teiligt werden.

Wann benötige ich einen Daten­schutz­be­auf­tragten?

Gemäß § 38 DSGVO muss ein Unter­nehmens­daten­schutz­be­auf­tragter von einer Firma (schriftlich) be­stellt werden, wenn per­sonen­be­zogene Daten auto­ma­ti­siert ver­arbeitet werden.
Das Bundes­daten­schutz­gesetz (BDSG) legt fest, wann ein Unter­nehmer ver­pflichtet ist, einen Daten­schutz­beauf­tragten zu bestellen. Folgende Kriterien müssen er­füllt sein:

  • wenn min­destens 20 Personen im Unter­nehmen ständig an der auto­ma­ti­sierten Ver­arbeitung per­so­nen­be­zogener Daten be­teiligt sind oder per­sonen­be­zogene Daten auf andere Weise er­heben, ver­arbeiten oder nutzen. Zu den Personen ge­hören Fest­an­gestellte sowie Teil­zeit­kräfte, Frei­berufler, Aus­hilfen oder Zeit­arbeiter, Aus­zu­bildende und Mit­arbeiter aus dem IT-Bereich. Wenn an einem Computer ge­arbeitet wird, wird von einer auto­ma­ti­sierten Ver­arbeitung der Daten aus­ge­gangen. Rechtsgrundlage: § 4f Abs. 1 Satz 3 BDSG.
  • Unabhängig von der Anzahl der Personen im Unter­nehmen muss ein Daten­schutz­be­auf­tragter bestellt werden, wenn eine auto­ma­tisierte Ver­arbeitung durch­ge­führt wird, die besondere Risiken für die Rechte und Frei­heiten der be­troffenen Personen be­inhaltet. Dies gilt, wenn per­so­nen­be­zogene Daten geschäfts­mäßig zum Zweck der Über­mittlung oder zu Zwecken der Markt- und Meinungs­forschung kommerziell ver­arbeitet oder ge­nutzt werden. Dies gilt bei­spiels­weise für Unter­nehmen aus den Be­reichen Kredit­aus­kunfteien, Adress­verlage oder Meinungs­forschungs­unter­nehmen. Rechts­grundlage ist § 4f Abs. 1 Satz 5 BDSG.
  • Wenn ein Unter­nehmen sensible Daten ver­arbeitet, bspw. Gesund­heits­daten oder Bonitätsdaten. Rechts­grundlage: § 4f Abs. 1 Satz 5 BDSG.

Bestellen Sie einen externen Daten­schutz­be­auf­tragten und genießen Sie die Vor­teile für Ihr Unternehmen.

Die Aufgaben und Pflichten eines Daten­schutz­be­auf­tragten: die Ge­währ­leistung des ex­ternen und in­ternen Daten­schutzes im Untern­ehmen

  • Erfassung und Ge­staltung von Daten­ver­arbeitungs­pro­zessen: Der Daten­schutz­be­auftragte analysiert Arbeits­prozesse und prüft technische Ein­richtungen wie bspw. Software auf Ein­haltung der Richt­linien. In der Um­setzungs­phase werden neben den Be­stands­auf­nahmen auch Maßnahmen in Bezug auf Lösungen und Ver­besserungen aus­ge­arbeitet, ge­plant, orga­nisiert und be­gleitet. Das Prinzip „Daten­vermeidung und Daten­spar­samkeit“ steht dabei im Vorder­grund.
  • Ansprechpartner: Jeder hat das Recht zu er­fahren, wie Daten in einem Unter­nehmen gehand­habt, und wie die Richt­linien ein­ge­halten werden — und werden müssen. Als direkter An­sprech­partner gewähr­leistet der Daten­schutz­be­auftragte kompetente Ant­worten auf Fragen von Kunden oder Patienten, Mit­arbeitern und anderen Dritten. Der Daten­schutz­be­auftragte ver­tritt ein Unter­nehmen in Fragen des Datenschutzes.
  • Der Datenschutz­be­auftragte stellt sicher, dass im Umgang mit per­so­nen­be­zogenen Daten keine Fehler unter­laufen und gewähr­leistet, dass Unter­nehmen mit der er­forder­lichen Sorg­falt den Daten­schutz rechts­sicher ein­halten. Die direkte Um­setzung unter­liegt jedoch nicht der Ent­scheidungs­be­fugnis eines Daten­schutz­be­auftragten.
  • Über­wachung der Daten­ver­arbeitung: Es wird geprüft, ob die Prozesse in Unter­nehmen die gesetz­lichen An­forderungen er­füllen, um vor allem Verstöße gegen den Daten­schutz zu ver­meiden. Aber auch um Daten­missbrauch — auch aus Ver­sehen — und andere Ver­stöße ge­zielt zu ver­hindern. Durch die Kon­trolle und ent­sprechende vor­beugende Maßnahmen schafft der Daten­schutz­be­auftragte Sicherheit.
  • Sicherheit durch Ver­fahrens­ver­zeichnisse: Darin werden Art und Umfang der Daten­ver­arbeitung im Unter­nehmen do­ku­mentiert. Der Daten­schutz­beauftragte ist ver­ant­wortlich für die Er­fassung relevanter Infor­ma­tionen und hält das Ver­zeichnis kon­ti­nuierlich auf dem neuesten Stand. Jedem ist das externe Ver­fahrens­ver­zeichnis zur Ver­fügung zu stellen.
  • Steuerung ver­schiedener Prozesse: Der Ein­satz von Soft­ware und anderen relevanten Ein­richtungen wird auf Daten­sicher­heit und ge­setz­lichen An­forder­ungen über­prüft und ge­gebenen­falls an­gepasst. Die ordnungs­ge­mäße An­wendung der Daten­ver­arbeitungs­pro­gramme ist zu über­wachen. Bei geplanten neuen Unter­nehmens­pro­zessen steht er den Ver­ant­wort­lichen be­ratend zur Seite.
  • Schulung der Mit­arbeiter: Vor­schriften zum Um­gang mit Daten sind ver­pflichtend zu be­achten. Um den Daten­schutz zu ge­währ­leisten müssen die Mit­arbeiter ein­ge­wiesen und informiert werden. Die Ver­pflichtung zur Ver­trau­lich­keit wird über­prüft und do­ku­mentiert.
  • Der Daten­schutz­be­auftragte hat Ver­schwiegen­heit über die Identität des Be­troffenen sowie über die Um­stände, die Rück­schlüsse auf den Be­troffenen zu­lassen, zu wahren, soweit er nicht davon durch den Be­troffenen befreit wird.

Die Anforderungen an den Daten­schutz­be­auftragten — Fach­kunde und Zu­ver­lässig­keit

Nach Art. 37 DSGVO wird der Daten­schutz­be­auftragte „auf der Grund­lage seiner be­ruflichen Qua­li­fi­kation und ins­besondere des Fach­wissens be­nannt, das er auf dem Gebiet des Daten­schutz­rechts und der Daten­schutz­praxis besitzt, sowie auf der Grund­lage seiner Fähig­keit zur Er­füllung der in Artikel 39 genannten Aufgaben.“

Im Erwägungs­grund 97 der DSGVO wird genannt, dass sich „Das er­forder­liche Niveau des Fach­wissens sollte sich ins­be­sondere nach den durch­ge­führten Daten­ver­arbeitungs­vor­gängen und dem er­forderlichen Schutz für die von dem Ver­ant­wort­lichen oder dem Auftrags­ver­arbeiter ver­arbeiteten per­sonen­be­zogenen Daten richten. Derartige Daten­schutz­be­auftragte sollten un­ab­hängig davon, ob es sich bei ihnen um Be­schäftigte des Ver­antwort­lichen handelt oder nicht, ihre Pflichten und Auf­gaben in voll­ständiger Un­ab­hängig­keit ausüben können.“

ONPRIVACY übernimmt die Aus­ge­staltung des Daten­schutzes und der IT-Sicher­heit für ihr Unter­nehmen. Gerne.

Erste Schritte — Ordnung und Struktur …

Der externe Daten­schutz­be­auf­tragte von ONPRIVACY handelt nach dem Grund­satz „ziel­ge­richtete und effiziente Daten­schutz­be­ratung,  exakt erkennen und umsetzen“. Wir richten uns auf die Branche und die in­di­vi­duellen An­forderungen eines Unter­nehmens ein. Wie geht es weiter nach der Erst­analyse?

  • Unterstützung bei der Er­stellung des Ver­arbeitungs­ver­zeichnisses
  • Einwilligungs­er­klärungen vor­bereiten
  • Auftrags­ver­arbeitungs­ver­träge aus­arbeiten
  • Mitarbeiter­ schulen
  • Datenschutz­in­for­ma­tionen zur Ver­fügung stellen
  • Aufklärung für die Um­setzung der Daten­schutz­richt­linien
  • Datenschutz­erklärung für Web­seiten erstellen
  • Consent Management prüfen
  • Prüfung technischer und or­ga­ni­sa­torischer Maß­nahmen
  • Beratung zu Daten­schutz- und Datensicherheitsfragen (bspw. Email Ver­schlüsselung, Signa­turen etc.)
  • Handlungs­hilfen

Fördermittel für den Datenschutz

Die Beratungs­leistungen von ONPRIVACY im Daten­schutz und der Da­ten­sicher­heit können durch Förder­mittel be­zu­schusst werden. Die Höhe der Unter­stützung kann ab­hängig vom Be­ratungs­inhalt, der Situation eines Unter­nehmens oder des Stand­orts variieren. Die Bereit­stellung von Förder­mitteln erhöht in vielen Unter­nehmen die Bereit­schaft, Be­ratungen und Dienst­leistungen zum Daten­schutz in An­spruch zu nehmen. Sie können einen Zu­schuss be­antragen — wir helfen ihnen dabei!

Das Bundesamt für Wirt­schaft und Aus­fuhr­kon­trolle (BAFA) betreut im Auf­trag des Bundes­ministeriums für Wirt­schaft und Tech­no­logie die Förderung von Unter­nehmens­be­ratungen. Unter­nehmen können mit dieser Be­ratungs­förderung einen Zuschuss zu den durch Be­ratung ent­standenen Kosten er­halten. Die Beratungs­förderung wird vom Europäischen Sozial­fonds (ESF) der Europäischen Union mit­finanziert.

Voraussetzungen und antragsberechtigt dafür sind:

  • Start-Up / junge Firma, die nicht mehr als zwei Jahre am Markt ist
  • Unternehmen ab dem dritten Jahr nach Gründung
  • Unternehmen in schwierigen Situationen. Die Be­dingungen der Leit­linien für staatliche Bei­hilfen zur Rettung und Um­strukturierung müssen er­füllt sein

Für alle gilt: der Firmen­sitz muss in Deutschland liegen und der EU-KMU-De­finition ent­sprechen. Aus­ge­schlossen sind Unter­nehmen freier Berufe, die als Unter­nehmens­be­ratung, Steuer- und Unter­nehmens­beratung, Rechts- oder Insolvenz­ver­waltung tätig sind. Ebenfalls sind ge­meinnützige Vereine und Stiftungen von der Förderung aus­ge­schlossen. Die Förder­sätze sind ab­hängig vom Stand­ort des Unter­nehmens. So können die Raten je nach Art der Tätig­keit und Bemessungs­grundlage 50 Prozent oder auch bis zu 80 oder sogar 90 Prozent be­tragen.

Ein Rechts­anspruch auf Förderung gegen­über ONPRIVACY besteht nicht.

Wir freuen uns auf ihre Nach­richt. Senden sie uns ihre Kontakt­daten für ein erstes Be­ratungs­ge­spräch. Es ist un­ver­bind­lich und kosten­frei. Wir prüfen bei unserer per­sönlichen Erst­be­ratung den aktuellen Daten­schutz in ihrem Unter­nehmen und er­mitteln mög­lichen Handlungs­bedarf.

    HerrFrau

    Ihr Vorname *

    Ihr Nachname *

    Ihre E-Mail-Adresse *

    Ihre Telefonnummer (optional)

    Ihre Nachricht (optional)

    Bitte Sicherheits-Code eingeben: *   captcha

    Mit der Er­he­bung und Ver­wendung meiner per­so­nen­be­zo­genen Daten (siehe Datenschutzerklärung) bin ich ein­ver­standen. Ich stimme zu, dass meine An­gaben zur Kontakt­auf­nahme bzw. zur Be­arbeitung meines An­liegens ge­speichert werden. Eine Kopie der Nach­richt wird an meine E-Mail-Adresse gesendet. *

     

        * Pflichtfeld

    An dieser Stelle verzichten wir auf eine de­tailliertere Ab­frage be­nötigter Kontakt- und Unter­nehmens­daten. Diese klären wir im ersten per­sönlichen Be­ratungsgespräch.