Es ist kein Geheimnis, dass die meisten Unternehmen dazu verpflichtet sind einen Datenschutzbeauftragten zu benennen. Welche Rechte und Pflichten mit diesem Amt in Verbindung stehen ist oft kaum oder nur lückenhaft bekannt. Ausser dem Datenschutzbeauftragten selbst …
Bestellen sie einen externen Datenschutzbeauftragten von ONPRIVACY für ihr Unternehmen. Lassen sie sich beraten und füllen sie das Kontakt-Formular am Ende dieser Seite aus — vereinbaren sie einen unverbindlichen und kostenfreien Erstberatungstermin mit ONPRIVACY.
Die folgenden Informationen erheben keinen Anspruch auf Vollständigkeit und können keine individuelle Beratung ersetzen.
Gesetzliche Pflichten des Unternehmers
Der Datenschutzbeauftragte ist eine namentlich benannte Person, die innerhalb eines Unternehmens oder einer Organisation für den Datenschutz zuständig ist. Sie ist verantwortlich für die Gewährleistung der Einhaltung rechtlicher Bestimmungen und Vorschriften zur Verarbeitung personenbezogener Daten. Die Regelungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) schreiben nicht vor, dass die verantwortliche Person ein Angestellter der Firma oder der eigenen Organisation sein muss. Im Gegenteil: einige Personengruppen, wie z.B. die Geschäftsfühung oder die IT-Leitung sind sogar von dieser Tätigkeit ausgeschlossen.
Es ist daher möglich und durchaus gewollt, dass ein externer Datenschutzbeauftragter bestellt wird. Es hat meist Vorteile von einem fachkompetenten externen Dienstleistungsanbieter betreut zu werden.
Was bedeutet eigentlich einen „Datenschutzbeauftragten bestellen“?
Dieser Begriff kommt aus dem Rechtswesen und man könnte ihn mit „einsetzen“ oder „ernennen“ beschreiben. Dies stellt sicher, dass der Vertreter seine Pflichten und Arbeit offiziell ausübt und dieser Person dadurch Rechte und Pflichten übertragen werden.
Diese „Bestellung“ muss bestimmten Formalitäten entsprechen. Ein so genanntes Auftragsdokument muss genau zeigen, wer für den Datenschutz verantwortlich ist. Die Geschäftführung oder verantwortliche Führungskräfte mit Vollmacht müssen den Auftrag erteilen.
Leitende Mitarbeiter im Unternehmen dürfen die Aufgaben des Datenschutzbeauftragten nicht übernehmen! Für betriebliche und interne Datenschutzbeauftragte besteht ein Interessenskonflikt und Unvereinbarkeit, wenn sie z.B. folgende Positionen ausüben:
- Geschäftsführer
- Personalleiter
- Vertriebsleiter
- IT/ EDV Leiter
- andere leitende Mitarbeiter, die personenbezogene Daten verarbeiten
Übernimmt eine beschäftigte Person die Aufgaben des Datenschutzes, genießt diese einen besonderen Kündigungsschutz. Nach Art. 38 Abs 3 DSGVO darf der Datenschutzbeauftragte von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Wann benötige ich einen Datenschutzbeauftragten?
Gemäß § 38 DSGVO muss ein Unternehmensdatenschutzbeauftragter von einer Firma (schriftlich) bestellt werden, wenn personenbezogene Daten automatisiert verarbeitet werden.
Das Bundesdatenschutzgesetz (BDSG) legt fest, wann ein Unternehmer verpflichtet ist, einen Datenschutzbeauftragten zu bestellen. Folgende Kriterien müssen erfüllt sein:
- wenn mindestens 20 Personen im Unternehmen ständig an der automatisierten Verarbeitung personenbezogener Daten beteiligt sind oder personenbezogene Daten auf andere Weise erheben, verarbeiten oder nutzen. Zu den Personen gehören Festangestellte sowie Teilzeitkräfte, Freiberufler, Aushilfen oder Zeitarbeiter, Auszubildende und Mitarbeiter aus dem IT-Bereich. Wenn an einem Computer gearbeitet wird, wird von einer automatisierten Verarbeitung der Daten ausgegangen. Rechtsgrundlage: § 4f Abs. 1 Satz 3 BDSG.
- Unabhängig von der Anzahl der Personen im Unternehmen muss ein Datenschutzbeauftragter bestellt werden, wenn eine automatisierte Verarbeitung durchgeführt wird, die besondere Risiken für die Rechte und Freiheiten der betroffenen Personen beinhaltet. Dies gilt, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder zu Zwecken der Markt- und Meinungsforschung kommerziell verarbeitet oder genutzt werden. Dies gilt beispielsweise für Unternehmen aus den Bereichen Kreditauskunfteien, Adressverlage oder Meinungsforschungsunternehmen. Rechtsgrundlage ist § 4f Abs. 1 Satz 5 BDSG.
- Wenn ein Unternehmen sensible Daten verarbeitet, bspw. Gesundheitsdaten oder Bonitätsdaten. Rechtsgrundlage: § 4f Abs. 1 Satz 5 BDSG.
Bestellen Sie einen externen Datenschutzbeauftragten und genießen Sie die Vorteile für Ihr Unternehmen.
Die Aufgaben und Pflichten eines Datenschutzbeauftragten: die Gewährleistung des externen und internen Datenschutzes im Unternehmen
- Erfassung und Gestaltung von Datenverarbeitungsprozessen: Der Datenschutzbeauftragte analysiert Arbeitsprozesse und prüft technische Einrichtungen wie bspw. Software auf Einhaltung der Richtlinien. In der Umsetzungsphase werden neben den Bestandsaufnahmen auch Maßnahmen in Bezug auf Lösungen und Verbesserungen ausgearbeitet, geplant, organisiert und begleitet. Das Prinzip „Datenvermeidung und Datensparsamkeit“ steht dabei im Vordergrund.
- Ansprechpartner: Jeder hat das Recht zu erfahren, wie Daten in einem Unternehmen gehandhabt, und wie die Richtlinien eingehalten werden — und werden müssen. Als direkter Ansprechpartner gewährleistet der Datenschutzbeauftragte kompetente Antworten auf Fragen von Kunden oder Patienten, Mitarbeitern und anderen Dritten. Der Datenschutzbeauftragte vertritt ein Unternehmen in Fragen des Datenschutzes.
- Der Datenschutzbeauftragte stellt sicher, dass im Umgang mit personenbezogenen Daten keine Fehler unterlaufen und gewährleistet, dass Unternehmen mit der erforderlichen Sorgfalt den Datenschutz rechtssicher einhalten. Die direkte Umsetzung unterliegt jedoch nicht der Entscheidungsbefugnis eines Datenschutzbeauftragten.
- Überwachung der Datenverarbeitung: Es wird geprüft, ob die Prozesse in Unternehmen die gesetzlichen Anforderungen erfüllen, um vor allem Verstöße gegen den Datenschutz zu vermeiden. Aber auch um Datenmissbrauch — auch aus Versehen — und andere Verstöße gezielt zu verhindern. Durch die Kontrolle und entsprechende vorbeugende Maßnahmen schafft der Datenschutzbeauftragte Sicherheit.
- Sicherheit durch Verfahrensverzeichnisse: Darin werden Art und Umfang der Datenverarbeitung im Unternehmen dokumentiert. Der Datenschutzbeauftragte ist verantwortlich für die Erfassung relevanter Informationen und hält das Verzeichnis kontinuierlich auf dem neuesten Stand. Jedem ist das externe Verfahrensverzeichnis zur Verfügung zu stellen.
- Steuerung verschiedener Prozesse: Der Einsatz von Software und anderen relevanten Einrichtungen wird auf Datensicherheit und gesetzlichen Anforderungen überprüft und gegebenenfalls angepasst. Die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme ist zu überwachen. Bei geplanten neuen Unternehmensprozessen steht er den Verantwortlichen beratend zur Seite.
- Schulung der Mitarbeiter: Vorschriften zum Umgang mit Daten sind verpflichtend zu beachten. Um den Datenschutz zu gewährleisten müssen die Mitarbeiter eingewiesen und informiert werden. Die Verpflichtung zur Vertraulichkeit wird überprüft und dokumentiert.
- Der Datenschutzbeauftragte hat Verschwiegenheit über die Identität des Betroffenen sowie über die Umstände, die Rückschlüsse auf den Betroffenen zulassen, zu wahren, soweit er nicht davon durch den Betroffenen befreit wird.
Die Anforderungen an den Datenschutzbeauftragten — Fachkunde und Zuverlässigkeit
Nach Art. 37 DSGVO wird der Datenschutzbeauftragte „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“
Im Erwägungsgrund 97 der DSGVO wird genannt, dass sich „Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“
ONPRIVACY übernimmt die Ausgestaltung des Datenschutzes und der IT-Sicherheit für ihr Unternehmen. Gerne.
Erste Schritte — Ordnung und Struktur …
Der externe Datenschutzbeauftragte von ONPRIVACY handelt nach dem Grundsatz „zielgerichtete und effiziente Datenschutzberatung, exakt erkennen und umsetzen“. Wir richten uns auf die Branche und die individuellen Anforderungen eines Unternehmens ein. Wie geht es weiter nach der Erstanalyse?
- Unterstützung bei der Erstellung des Verarbeitungsverzeichnisses
- Einwilligungserklärungen vorbereiten
- Auftragsverarbeitungsverträge ausarbeiten
- Mitarbeiter schulen
- Datenschutzinformationen zur Verfügung stellen
- Aufklärung für die Umsetzung der Datenschutzrichtlinien
- Datenschutzerklärung für Webseiten erstellen
- Consent Management prüfen
- Prüfung technischer und organisatorischer Maßnahmen
- Beratung zu Datenschutz- und Datensicherheitsfragen (bspw. Email Verschlüsselung, Signaturen etc.)
- Handlungshilfen
Fördermittel für den Datenschutz
Die Beratungsleistungen von ONPRIVACY im Datenschutz und der Datensicherheit können durch Fördermittel bezuschusst werden. Die Höhe der Unterstützung kann abhängig vom Beratungsinhalt, der Situation eines Unternehmens oder des Standorts variieren. Die Bereitstellung von Fördermitteln erhöht in vielen Unternehmen die Bereitschaft, Beratungen und Dienstleistungen zum Datenschutz in Anspruch zu nehmen. Sie können einen Zuschuss beantragen — wir helfen ihnen dabei!
Das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) betreut im Auftrag des Bundesministeriums für Wirtschaft und Technologie die Förderung von Unternehmensberatungen. Unternehmen können mit dieser Beratungsförderung einen Zuschuss zu den durch Beratung entstandenen Kosten erhalten. Die Beratungsförderung wird vom Europäischen Sozialfonds (ESF) der Europäischen Union mitfinanziert.
Voraussetzungen und antragsberechtigt dafür sind:
- Start-Up / junge Firma, die nicht mehr als zwei Jahre am Markt ist
- Unternehmen ab dem dritten Jahr nach Gründung
- Unternehmen in schwierigen Situationen. Die Bedingungen der Leitlinien für staatliche Beihilfen zur Rettung und Umstrukturierung müssen erfüllt sein
Für alle gilt: der Firmensitz muss in Deutschland liegen und der EU-KMU-Definition entsprechen. Ausgeschlossen sind Unternehmen freier Berufe, die als Unternehmensberatung, Steuer- und Unternehmensberatung, Rechts- oder Insolvenzverwaltung tätig sind. Ebenfalls sind gemeinnützige Vereine und Stiftungen von der Förderung ausgeschlossen. Die Fördersätze sind abhängig vom Standort des Unternehmens. So können die Raten je nach Art der Tätigkeit und Bemessungsgrundlage 50 Prozent oder auch bis zu 80 oder sogar 90 Prozent betragen.
Ein Rechtsanspruch auf Förderung gegenüber ONPRIVACY besteht nicht.
Wir freuen uns auf ihre Nachricht. Senden sie uns ihre Kontaktdaten für ein erstes Beratungsgespräch. Es ist unverbindlich und kostenfrei. Wir prüfen bei unserer persönlichen Erstberatung den aktuellen Datenschutz in ihrem Unternehmen und ermitteln möglichen Handlungsbedarf.
An dieser Stelle verzichten wir auf eine detailliertere Abfrage benötigter Kontakt- und Unternehmensdaten. Diese klären wir im ersten persönlichen Beratungsgespräch.