Seit 25. Mai 2018 ist die neue Datenschutz-Grundverordnung in Kraft. Haben Sie zu diesem Zeitpunkt noch keinen Datenschutzbeauftragten bestellt, dann hilft Ihnen dieser Ratgeber dabei.
Schritt für Schritt werden wir alle Ihre Fragen über Datenschutzbeauftragte beantworten.

 

Was ist ein Datenschutzbeauftragter (DSB)?


Datenschutzbeauftragte sind die Verantwortlichen für den Datenschutz und die Umsetzung der entsprechenden Maßnahmen innerhalb des Unternehmens. Sie sind zuständig für die Überwachung der Datenschutz-Strategie, um die Einhaltung der DSGVO-Richtlinien zu gewährleisten. Außerdem berichten sie direkt an die Geschäftsführung des Unternehmens.

 

Wer benötigt einen Datenschutzbeauftragten?

Laut Gesetzestext benötigen Sie einen Datenschutzbeauftragten, wenn:

 

  • mehr als 9 Personen in Ihrer Firma mit personenbezogenen Daten arbeiten;
  • Sie Daten in großem Umfang verarbeiten. Das würde bedeuten, dass die Daten, die Sie sammeln, verarbeiten, speichern oder verwenden, eine große Anzahl von Personen betreffen. Beispielsweise eine Stadt-Bevölkerung, oder die Verarbeitung von persönlichen Daten für verhaltensorientierte Werbung durch eine Suchmaschine (Profiling);
  • Ihre Verarbeitung durch eine öffentliche Behörde oder Körperschaft durchgeführt wird;
  • Sie sensible Daten über Gesundheit, Gewerkschaftsmitgliedschaft, Standorte, sexuelle Orientierung, genetische Daten oder Kinderdaten verarbeiten;
  • Sie systematisch überwachen und verfolgen. Zum Beispiel, wenn Sie Videodaten von Nutzern systematisch überwachen oder Internetnutzer systematisch auswerten, um TV-Bewertungspunkte zu überprüfen;
  • Sie spezielle Kategorien von Daten verarbeiten, die im Zusammenhang mit Straftaten stehen könnten;
  • Sie ein Auftragsdatenverarbeiter sind und systematisch Daten wie Internetverkehr, IP-Adresse oder Besucher überwachen.

 

Was sind die grundlegenden Verantwortlichkeiten eines Datenschutzbeauftragten?

Ein Datenschutzbeauftragter sollte für die folgenden Aufgaben verantwortlich sein:

  • Informierung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsdatenverarbeitenden sowie der Mitarbeiter, die für die Verarbeitung gemäß dieser Verordnung und anderen Datenschutzbestimmungen der Union oder der Mitgliedstaaten durchführen;
  • Überwachung der Einhaltung dieser Verordnung oder anderer Datenschutzbestimmungen der Union oder der Mitgliedstaaten. Dazu gehört auch die Einhaltung der Grundsätze des für die Verarbeitung Verantwortlichen oder Verarbeiters im Hinblick auf den Schutz personenbezogener Daten: Zuweisung von Verantwortlichkeiten, Sensibilisierung und Schulung des Personals in Verarbeitungsvorgängen sowie die damit verbundenen Prüfungen;
  • Beratung bezüglich der Datenschutz-Folgenabschätzung gewährleisten, falls dies gefragt ist, sowie Überwachung seiner Leistung gem. Art. 35 DSGVO;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Ansprechpartner für die Aufsichtsbehörde in Fragen der Verarbeitung, einschließlich der vorherigen Beratung (siehe Art. 36 DSGVO);
  • Angemessene Berücksichtigung der mit der Verarbeitung verbundenen Risiken bezüglich Art, Umfang, Kontext und Zweck der Verarbeitung.

 

Das bedeutet, dass ein Datenschutzbeauftragter der Koordinator zwischen der Firma und der Aufsichtsbehörde ist. Er/Sie ist außerdem dafür verantwortlich, auf Betroffene, d.h. Verbraucher/Kunden des Unternehmens, zu reagieren. Im Rahmen der DSGVO haben Betroffene nämlich das Recht, Zugriff auf ihre erfassten und verarbeiteten Daten anzufordern (sog. Auskunftsrecht der betroffenen Person, Art. 15 DSGVO).

 

Was sind die grundlegenden Aufgaben eines Datenschutzbeauftragten?
Dieser Abschnitt zeigt nun, welche Aufgaben aus den oben genannten Verantwortlichkeiten/Zuständigkeiten entstehen. Datenschutzbeauftragte (DSB) müssen demnach sicherstellen, dass die Datenschutz im Zusammenarbeit mit der Datenschutzbehörde eingehalten werden. Ein DSB muss:

 

  • sicherstellen, dass der Verantwortliche (die Firma) und die betroffenen Personen über ihre Datenschutzrechte, -pflichten und -pflichten informiert werden und gleichzeitig auf diese aufmerksam gemacht werden;
  • der DSGVO entsprechende Datensicherungsziele und -grundsätze erstellen und sicherstellen, dass diese vom Unternehmen eingehalten werden;
  • den Unternehmen Beratung und Empfehlungen bezüglich der Auslegung und Anwendung der Datenschutzbestimmungen geben;
  • Aufzeichnungen über die Verarbeitungstätigkeiten innerhalb des Unternehmens erstellen und den EDSB über diejenigen informieren, die spezifische Risiken aufweisen (sogenannte Vorabkontrollen);
  • die Einhaltung des Datenschutzes innerhalb des Unternehmens sicherstellen und diesem helfen, Rechenschaft abzulegen;
  • Anfragen oder Beschwerden von Seiten des Unternehmens, des für die Verarbeitung Verantwortlichen, anderer Personen oder auf eigene Initiative bearbeiten;
  • Anfragen zu Untersuchungen, zur Bearbeitung von Beschwerden und behördliche Inspektionen kooperativ beantworten;
  • das Unternehmen auf Verstöße gegen die Datenschutzvorschriften aufmerksam zu machen;
  • bei Bedarf eine Datenschutz-Folgenabschätzung durchführen und diese monatlich, vierteljährlich und jährlich überprüfen;
  • eine Datenverarbeitungsvereinbarung erstellen und mit diese mit Drittparteien abstimmen;
  • Datenschutzerklärungen, Cookie-Richtlinien und andere Datenschutzrichtlinien erstellen und aktualisieren;
  • Mitarbeiter an der Datenverarbeitung schulen;
  • Prüfungen durchführen, um die Einhaltung sicherzustellen.

 

 

Qualifikationen für Datenschutzbeauftragte

Es gibt keine genauen im Gesetz niedergeschriebene Qualifikationen. Aber das Gesetz sagt: „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualitäten und insbesondere seines Fachwissens über Datenschutzgesetze und -praktiken ernannt.” Datenschutzbeauftragte sollten mindestens 30-60 Stunden geschult werden, um das Gesetz und seine Anforderungen zu verstehen. Sie können Ihren Datenschutzbeauftragten z.B. an folgenden Stellen schulen lassen:

 

  1. IAPP-Zertifizierungen
  2. TÜV in Deutschland
  3. IT-Governance in Großbritannien

 

Da es keine genauen Kriterien gibt, schlagen wir vor, dass Ihnen eine angemessene Schulung oder Zertifizierung für eine bestimmte Anzahl von Stunden helfen sollte. Wenn Ihr Datenschutzbeauftragter von Beruf Rechtsanwalt ist, würde dies die Ausbildung erleichtern.

Was kann eine Firma tun, um ihren DSB zu unterstützen?

Sie müssen sicherstellen, dass:

 

  • der DSB in alle Fragen des Datenschutzes eng und zeitnah eingebunden ist;
  • der DSB an die oberste Führungsebene, also Vorstand, Ihres Unternehmens berichtet;
  • der DSB unabhängig arbeitet und für die Ausübung seiner Aufgaben nicht entlassen oder bestraft wird;
  • Sie angemessene Ressourcen (ausreichend Zeit, finanzielle Mittel, Infrastruktur und gegebenenfalls Personal) zur Verfügung stellen, damit der DSB seinen Verpflichtungen im Zusammenhang mit dem DSGVO nachkommen und seinen Fachkenntnisstand aufrechterhalten kann;
  • Sie dem DSB angemessenen Zugang zu personenbezogenen Daten und Verarbeitungstätigkeiten gewähren;
  • Sie dem DSB angemessenen Zugang zu anderen Diensten innerhalb Ihres Unternehmens geben, so dass dieser wesentliche Unterstützung, Anregungen oder Informationen erhalten kann;
  • Sie bei der Durchführung einer DPIA den Rat Ihres DSB einholen und
  • Sie die Details Ihres DSB als Teil Ihrer Verarbeitungsprozesse erfassen.

 

Dies zeigt, wie wichtig der Datenschutzbeauftragte für Ihre Organisation ist und dass Sie ihn ausreichend unterstützen müssen, damit er seine Aufgabe selbständig wahrnehmen kann. Dazu gehört auch, dass Ihr DSB, wie oben bereits erwähnt, an die oberste Führungsebene berichtet. Dies bedeutet nicht, dass der DSB auf dieser Ebene geführt werden muss. Aber er muss direkten Zugang haben, um Führungskräfte, die Entscheidungen über die Verarbeitung personenbezogener Daten treffen, zu beraten.

 

Top 10 Praktiken für die Einstellung eines DSB

 

Als Verantwortliche/r für die Datenverarbeitung oder als Auftragsdatenverarbeitende/r sind die folgenden Vorgehensweisen für die Einstellung eines Datenschutzbeauftragten empfehlenswert:

 

  1. Datenschutzbeauftragte finden Sie in LinkedIn & Facebook Groups mit dem Suchbegriff “DSGVO” für Gruppen;
  2. Die IAPP hat eigene Gruppen, in denen Sie 40.000 verschiedene Datenschutzexperten finden können;
  3. Konferenzen zum Thema DSGVO wie Gipfeltreffen und Versammlungen sind ein guter Ort, um solche Datenschutzbeauftragten zu finden;
  4. Beauftragen Sie einen DSB oder einen auf diesem Gebiet spezialisierten Rechtsanwalt;
  5. Stellen Sie sicher, dass Ihr DSB Ihre IT-Infrastruktur und Ihre Anwendung versteht;
  6. Sie können einen externen DSB bestellen, der also kein fester Mitarbeiter Ihrer Firma ist;
  7. Ein DSB sollte über große Führungs- und Verhandlungsfähigkeiten verfügen und ein umfassendes Verständnis für die eigene Firma, die Betroffenen (Kunden) und das Gesetz haben;
  8. Viele Experten geben Tutorials und Inhalte zum Thema DSGVO. Wenn Sie planen, einen externen DSB zu beauftragen, dann sehen Sie sich dessen Webinare, Blogs und öffentliche Profile an;
  9. Machen Sie Ihre Due Diligence und fragen Sie nach mindestens 3 Referenzen von ihren bisherigen Kunden. Wenn Sie jemanden intern einstellen, dann fragen Sie den direkten Vorgesetzten;
  10. Wenn Sie einen externen DSB einstellen, stellen Sie sicher, dass Sie mit jemandem zusammenarbeiten, der nicht zu viele Mandanten hat. Wenn ein DSB viele Mandanten hat, finden ihre Fragen möglicherweise kein Gehör, wenn Sie sie nicht auf der Grundlage von Paketen bezahlen.

 

Sollte ich einen externen oder internen DSB einstellen?

 

Interner vs. externer DSB
Grundsätzlich kann ein Unternehmen einen DSB sowohl intern durch Zuordnung der Rolle zu einem Mitarbeiter als auch extern in der Person eines Dienstleisters ernennen. Das entscheidende Kriterium sollte immer die notwendige Sachkenntnis und Zuverlässigkeit sein, die ein DSB benötigt, um die beabsichtigten Aufgaben richtig erfüllen zu können. Doch was unterscheidet einen internen von einem externen DSB? Wir möchten die Unterschiede anhand wesentlicher Aspekte wie Kompetenz, Haftung und Kündigungsschutz erläutern. Damit Sie die Kosten eines internen und externen DSB direkt vergleichen können, zeigen wir Ihnen anhand einer fiktiven Kalkulation, wie die Investitionen Ihres Unternehmens in den Datenschutz strukturiert sein könnten.

 

Interner DSB

Wenn Sie einen betrieblichen DSB beauftragen, übergibt der Geschäftsführer die Aufgabe des DSB an einen Mitarbeiter des Unternehmens. Erfüllt ein interner Mitarbeiter alle notwendigen Voraussetzungen, kann er zum internen DSB ernannt werden. Nach der Benennung internen DSB steht der Arbeitnehmer unter Kündigungsschutz und hat Rechte auf weitere Ansprüche, wie z.B. eigene Ausrüstung oder Ausbildung.

 

Externer DSB
Im Gegensatz zum internen DSB steht der externe DSB Ihrem Unternehmen als Dienstleister zur Verfügung. Oft sind externe Datenschutzbeauftragte durch ihre Spezialisierung Experten auf ihrem Fachgebiet. Mit einer transparenten Kostenstruktur, vertraglich vereinbarten Preisen und einer variablen Vertragslaufzeit kümmert sich der externe DSB schnell und effizient um Ihr Geschäft und schützt Sie so vor hohen Bußgeldern.

 

Unterschiede zwischen externem und internem DSB
Zunächst lassen sich interne und externe DSBe hinsichtlich der anfallenden Kosten unterscheiden. Hierbei müssen für interne DSBe neben dem regulären Gehalt auch die Aus- und Weiterbildung sowie die Beschaffung von Literatur vom Unternehmen bezahlt werden. Dagegen profitiert Ihr Unternehmen von der transparenten Kostenstruktur bei einem externen DSB, da alle Leistungen und Kosten vertraglich festgelegt sind.

 

In Bezug auf die Kompetenz muss ein interner DSB zunächst zeit- und kostenintensive Weiterbildungsmaßnahmen durchlaufen, um sich das Fachwissen anzueignen, wenn er nicht bereits auf diesem Gebiet spezialisiert ist. Ein externer DSB hingegen kann von Beginn der Zusammenarbeit an zertifiziertes und sofort abrufbares Know-how vorweisen. Im Gegensatz dazu hat der interne DSB jedoch Vorteile bei der Ausbildung, da die Arbeitsabläufe in der Regel bereits bekannt sind, während sich ein externer DSB erst mit den Arbeitsabläufen und Prozessen vertraut machen muss.

 

Bereits bei der Benennung eines betrieblichen Datenschutzbeauftragten sollte eine mögliche, spätere Kündigung berücksichtigt werden. Ein interner DSB unterliegt einem besonderen Kündigungsschutz, der mit der Position des Betriebsrats vergleichbar ist. Die Beauftragung des externen Datenschutzbeauftragten kann jedoch fristgerecht beendet werden.

 

Dies möchten wir Ihnen anhand einer Tabelle näher erläutern:

 

ThemenInterner DSBExterner DSB
KostenNeben dem regulären Gehalt müssen die Kosten für Aus- und Weiterbildung sowie den Erwerb von Literatur vom Unternehmen getragen werdenTransparente Kostenstruktur durch vertraglich vereinbarte Preise
KompetenzenZeitaufwändige und komplexe Weiterbildungsmaßnahmen zur Erlangung des FachwissensZertifiziertes, vorhandenes und sofort abrufbares Know-how
DatenkontrolleAlle Daten bleiben im UnternehmenAlle Daten und das Unternehmensverständnis verbleiben bei einem externen DSB

 

Zeitliche Bindung 100 % Engagement für das ProjektTeilweise projektbezogen und höchstwahrscheinlich mit vielen anderen Unternehmen verbunden

 

Zeit, das Unternehmen zu verstehen Es wird nicht lange dauern, das Geschäft und den Prozess zu verstehen, da der interne DPO ein Teil des Unternehmens warEs braucht Zeit, bis ein externer DSB das Unternehmen versteht und meistens so, als würden Sie für ein Audit bezahlen

 

ReaktionszeitViel schneller, da bereits Teil des UnternehmensWesentlich langsamer, da der externe DSB nicht Teil des Unternehmens war

 

Kündigung des ArbeitsvertragesEin interner DSB ist gesetzlich geschützt. Grundsätzlich können Sie ihm nicht kündigen.Ein externer DSB kann nach Blick in die Vertragsbedingungen und -fristen relativ einfach ersetzt werden

 

Wie viel kostet ein DSB?

 

Nach unserer Erfahrung im Gespräch mit Hunderten von Datenschutzbeauftragten hängen die durchschnittlichen Kosten für einen DSB in Europa vom Stundensatz ab. Der Datenschutzbeauftragte ohne rechtlichen Hintergrund würde etwa 100-200€ pro Stunde kosten. Wenn Ihr DSB ein Rechtsanwalt ist, dann kostet er etwa 300-500€ pro Stunde. Es gibt viele DSBe, die nach dem Stundensatz pro Jahr oder Paket pro Monat arbeiten. Wenn Sie einen externen DSB einstellen, denken Sie daran, dass wenn die Rate wirklich niedrig ist, dieser dann wahrscheinlich viele Kunden hat, so dass Sie keine individuelle Aufmerksamkeit oder Beratung erhalten.

 

Häufige Fehler, die bei der Einstellung eines DSB zu vermeiden sind

  1. Stellen Sie niemanden intern in Ihrem Unternehmen als DSB ein, wenn die Rolle einen inhärenten Interessenkonflikt aufweist. Stellen Sie beispielsweise keine Marketing- oder Kundenbetreuer als DSB ein, da diese möglicherweise voreingenommen sind. Die Arbeitsgruppe 29 schlägt vor, einen internen DSB einzustellen und einen Interessenkonflikt zu vermeiden:
    1. die Positionen ermitteln, die mit der Funktion eines DSB unvereinbar sind, und diesbezügliche interne Regeln aufzustellen, um Interessenkonflikte zu vermeiden;
    2. eine allgemeinere Erklärung über Interessenkonflikte beizufügen;
    3. erklären, dass der DSB in Bezug auf seine Funktion als DSB keinen Interessenkonflikt hat, um das Bewusstsein für diese Anforderung zu schärfen;
    4. Schutzmaßnahmen in die internen Regeln der Organisation aufnehmen und sicherstellen, dass die Stellenausschreibung für die Position des DSB oder des Dienstleistungsvertrags hinreichend genau und detailliert ist, um einen Interessenkonflikt zu vermeiden. In diesem Zusammenhang ist auch zu beachten, dass Interessenkonflikte unterschiedliche Formen annehmen können, je nachdem, ob der DSB intern oder extern rekrutiert wird.
  2. Folgende Funktionen stehen in Konflikt zueinander: Chief Executive Officer, Chief Operating Officer, Chief Financial Officer, Chief Medical Officer, Head of Marketing Department, Head of Human Resources oder Head of IT Department;
  3. Einstellung eines hauptberuflichen Datenschutzbeauftragten, wenn Sie jedoch nur einen nebenberuflichen Datenschutzbeauftragten benötigen.

Hier ist ein Beispiel für einen Terminbrief für einen DSB von ECOMPLY.io

Muster-Bestellschreiben für den DSB:

 

Frau Muster. – Datenschutzbeauftragte –

Beispiel Straße 2

23456 Musterstadt

 

Ernennung von Frau #### zum betrieblichen Datenschutzbeauftragten

Die ACME GmbH ernennt hiermit mit sofortiger Wirkung Frau Sample zur Datenschutzbeauftragten – gemäß Artikel 37 DSGVO unter Hinweis auf § 38 BDSG-neu für unser Unternehmen. Um die Ausübung dieser Rolle als Datenschutzbeauftragter zu erleichtern, berichtet er direkt an die Geschäftsleitung, insbesondere an NAME_GESCHÄFTSFÜHRUNG.

Frau Sample ist mit der Beratung und Ad-hoc-Stichprobenprüfung zur Sicherstellung der unternehmensweiten Einhaltung der Bestimmungen des DSGVO und weiterer Datenschutzbestimmungen betraut.

Konkret ergeben sich ihre Aufgaben aus der DSGVO und sind insbesondere an Artikel 39 DSGVO anzugleichen.

Frau Muster handelt ohne aufsichtsrechtliche Weisung bei der Anwendung von Fachwissen im Bereich des Datenschutzes und wird von der Geschäftsleitung bei ihren Ausführungsbemühungen unterstützt. Zu diesem Zweck kann sie sich bei Bedarf an die für unser Unternehmen zuständige Datenschutzbehörde wenden.

 

Vertretung der Geschäftsführung:

 

 

_______________________________ ______________________________

Ort, Datum  Unterschrift Geschäftsführer

 NAME_GESCHÄFTSFÜHRUNG