externer Datenschutzbeauftragter (eDSB) (DSGVO)
Datenschutz schaffen ✔︎ Vertrauen gewinnen ✔︎ Konform sein ✔︎
Datenschutz in Unternehmen ist angesichts der fortschreitenden Globalisierung und Digitalisierung nicht länger nur eine freiwillige Option, sondern eine gesetzliche Pflicht – und zwar in doppelter Hinsicht:
Zum einen schreibt das Bundesdatenschutzgesetz (BDSG) einen Datenschutzbeauftragten für Unternehmen vor. Allerdings nur für Unternehmen, in denen zehn oder mehr Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Zum anderen schafft ein Datenschutzbeauftragter (DSB) Vertrauen bei Kunden, Partnern und Dienstleistern. Eine Investition in den Datenschutz ist damit mehr als die Absicherung möglicher Risiken, sondern zugleich eine notwendige und sinnvolle Investition in die Reputation des Unternehmens.
Sind Unternehmen dazu verpflichtet, einen Datenschutzbeauftragten zu bestellen, haben sie die Wahl: Entweder sie bestimmen einen internen Mitarbeiter und schulen diesen entsprechend oder sie entscheiden sich für externen Datenschutz und machen sich das Know-how und die Erfahrung eines externen Datenschutzspezialisten wie der Iberl Consulting & Training - DatenschutzConsulting zunutze.
Datenschutz stellt hohe Anforderungen:
Den geforderten Datenschutz intern abzubilden, fällt vielen Unternehmen schwer. Denn um seine Aufgaben sachgerecht wahrzunehmen, muss der Datenschutzbeauftragte über spezielle Fachkenntnisse zum Datenschutz, zu den genutzten Verarbeitungen und zu allen Datenflüssen verfügen (Verbindungswege zwischen den einzelnen Stellen, intern/extern).
Datenschutzexperte:
Als experte für Datenschutz unterstütze ich Ihr Unternehmen als externer Datenschutzbeauftragter bei der Errichtung und Aufrechterhaltung einer Ihrem Unternehmenszweck angemessenen Datenschutzorganisation unter Berücksichtigung aller relevanten Gesetze.
Dazu gehören unter anderem die folgenden Aufgaben und Tätigkeiten:
- Prüfung der Verfahren zur Information Ihrer Kunden bei erstmaliger Erhebung von personenbezogenen Daten.
- Prüfung der Zulässigkeit der Verfahren zur Erhebung und Verarbeitung personenbezogener Daten Ihrer Kunden und Lieferanten (Vorabkontrolle).
- Prüfung der Verfahren zur Erhebung und Verarbeitung Ihrer Beschäftigtendaten (Personalakten, Zeiterfassung, Bewerbermanagement).
- Prüfung der Verfahren zur Berichtigung, Sperrung und Löschung gespeicherter personenbezogener Daten.
- Prüfung der Verfahren im Bereich Marketing und Vertrieb mit Einhaltung von Informationspflichten gegenüber Betroffenen und Werbewidersprüchen.
- Prüfung der getroffenen technischen und organisatorischen Maßnahmen (§ 9 Bundesdatenschutzgesetz) zum Datenschutz.
- Schulung Ihrer mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter hinsichtlich der relevanten Bestimmungen des Bundesdatenschutzgesetzes.
- Regelung des Verfahrens zur Verpflichtung Ihrer mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter auf das Datengeheimnis (§ 5 Bundesdatenschutzgesetz).
- Prüfung der bei Auftragsdatenverarbeitungen seitens Ihrer Auftragnehmer (Dienstleister) getroffenen technischen und organisatorischen Maßnahmen (§ 9 Bundesdatenschutzgesetz) zum Datenschutz.
- Erstellung der notwendigen Verträge zur Auftragsdatenverarbeitung.
- Schaffung der Konformität bei internationalen Datenschutz (EU/EWR/Drittländer)
- Prüfung vorhandener und zukünftiger Videoüberwachungen in öffentlich und nicht-öffentlich zugänglichen Bereichen.
- Führung von Übersichten über die verarbeiteten personenbezogenen Daten und die zu ihrer Verarbeitung eingesetzten Datenverarbeitungsanlagen (interne Verarbeitungsübersichten, öffentliches Verfahrensverzeichnis).
- Überprüfung der Webseite / Webshop und des Datenschutzhinweises
- Erstellung von jährlichen Tätigkeitsberichten zum Nachweis eines wirkungsvollen Datenschutzes zur Information an die Geschäftsführung bzw. den Vorstand.
- Bearbeitung von Anfragen Ihrer Kunden oder Lieferanten oder internen Stellen aus Ihrem Unternehmen zum Datenschutz.
Warum einen externen Datenschutzbeauftragten ? (eDSB) (DSGVO)
und warum die Iberl Consulting & Training - DatenschutzConsulting!
Kennt die gesetzlichen Regelungen zum Datenschutz und kann diese umgehend anwenden und interpretieren ✔︎
Ist bereits mehrfach und fortlaufend zu verschiedensten Datenschutz-Themen geschult bzw. zertifiziert ✔︎
Hat langjährige Erfahrung im Bereich Datenschutz, auch aus unterschiedlichen Branchen ✔︎
Kann auch komplexe Fragestellungen zum Datenschutz beantworten und verfügt über ein internes Netzwerk ✔︎
Ist ohne Einarbeitungszeit sofort einsatzbereit, bringt sämtliche benötigte Vorlagedokumente mit ✔︎
Reagiert selbständig auf gesetzliche oder technische Neuerungen und informiert dementsprechend ✔︎
Die Bearbeitung von Aufgaben aus dem Bereich Datenschutz konkurriert nicht mit anderen Arbeitsaufgaben, festgelegte Antwortzeiten auf Anfragen, feste Stellvertreterregelung ✔︎
Ist im Unternehmen als externer Dienstleister neutral und unabhängig, kann daher selbst bei festgefahrenen Positionen vermitteln ✔︎
Ergebnisse oder Empfehlungen sind fundiert und „haben Gewicht“ ✔︎
Nimmt eigenverantwortlich und regelmäßig an Schulungen, Fortbildungen, Kongressen usw. teil ✔︎
Kann mit den Verantwortlichen im Unternehmen und wichtigen Stellen außerhalb umgehen ✔︎
Ist Aufgrund seiner Erfahrung im Datenschutz als kompetenter Ansprechpartner anerkannt ✔︎
Pflegt gute Kontakte zu Landesämter für Datenschutzaufsicht ✔︎
Stellung und Integration als Datenschutzbeauftragter in der Hierarchie im Unternehmen!
Die unabhängige und organisatorisch herausgehobene Stellung ist für eine wirkungsvolle Tätigkeit des Datenschutzbeauftragten von ausschlaggebender Bedeutung. Er darf bei der Wahrnehmung seiner Aufgaben nicht den Weisungen der Organisationseinheiten unterliegen, die er zu kontrollieren hat. In seiner Funktion als Datenschutzbeauftragter ist er nach § 4f Abs. 3 Satz 1 dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. Dies kann in Form einer Stabsfunktion erfolgen. Möglich ist auch eine Klarstellung der besonderen Stellung in der Hierarchie, die für alle Mitarbeiter erkennbar sein muss, z.B. im Organigramm des Unternehmens.
.
Die Unabhängigkeit des Datenschutzbeauftragten gibt ihm auch das Recht, sich nach § 4g Abs. 1 Satz 2 in Zweifelsfällen an die für die Datenschutzkontrolle bei der verantwortlichen Stelle zuständige Behörde zu wenden, um auf die Einhaltung des Bundes-datenschutzgesetzes und anderer Vorschriften über den Datenschutz hinzuwirken
Rechte und Grenzen in der Tätigkeit als Datenschutzbeauftragter (DSB)
Der Datenschutzbeauftragte hat jederzeit ein direktes Vortragsrecht bei der Leitung; dies ergibt sich daraus, dass er dieser unmittelbar unterstellt ist. Er ist über alle für seine Tätigkeit relevanten Geschehnisse in seiner Organisation umfassend und frühzeitig zu unterrichten. Dies kann geschehen durch:
Beteiligung an Leitungsbesprechungen
Beteiligung an allen Planungen, die den Umgang mit personenbezogenen Daten betreffen,
Verpflichtung aller Organisationseinheiten, den Datenschutzbeauftragten an allen datenschutzrelevanten Vorgängen zu beteiligen.
Es ist zu empfehlen, dass der Datenschutzbeauftragte in Abstimmung mit der Leitung einen Beteiligungskatalog erstellt. Dabei sollten auch Regelungen über die Art und Weise der Einbindung und deren Zeitpunkt erfolgen. Die Unabhängigkeit des Datenschutzbeauftragten wird auch dadurch gestützt, dass er in der Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei ist (§ 4f Abs. 3 Satz 2).
Der Datenschutzbeauftragte bestimmt pflichtgemäß selbst die Art und den Zeitpunkt seines Tätigwerdens. Niemand, auch nicht der Leiter der Stelle, kann ihm vorschreiben, für welche Rechtsauffassung er sich bei der Bewertung einer datenschutzrechtlichen Frage im Einzelfall entscheidet.
Wichtig!
Der Leiter der verantwortlichen Stelle kann sich aber über das Votum des Datenschutzbeauftragten hinwegsetzen, denn letztlich trägt er die Verantwortung für die Daten verarbeitende Stelle.
Erforderliche Fachkunde gemäß § 4f Abs. 2 Satz 1 BDSG
§ 4 f Abs. 2 Satz 1 BDSG legt fest, dass zum Beauftragten für den Datenschutz (DSB) nur bestellt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt.
Vor dem Hintergrund der gestiegenen Anforderungen an die Funktion des DSB müssen diese mindestens über folgende datenschutzrechtliche und technisch-organisatorische Kenntnisse verfügen:
Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG)
§ 4 f Abs. 2 Satz 1 BDSG legt fest, dass zum Beauftragten für den Datenschutz (DSB) nur bestellt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Vor dem Hintergrund der gestiegenen Anforderungen an die Funktion des DSB müssen diese mindestens über folgende datenschutzrechtliche und technisch-organisatorische Kenntnisse verfügen:
Datenschutzrecht allgemein – unabhängig von der Branche und der Größe der verantwortlichen Stelle.
Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle und umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG.
- Branchenspezifisch – abhängig von der Branche, Größe oder IT-Infrastruktur der verantwortlichen Stelle und der Sensibilität der zu verarbeitenden Daten
- Umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind,
- Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.),
- betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
- Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle)
- Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).
Branchenspezifisch
abhängig von der Branche, Größe oder IT-Infrastruktur der verantwortlichen Stelle und der Sensibilität der zu verarbeitenden Daten Umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das Unternehmen relevant sind,
Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.),
betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).
pädagogische und didaktische Kenntnisse als Datenschutzbeauftragter
- Auch muss der Datenschutzbeauftragte über pädagogische und didaktische Kenntnisse verfügen, da der Datenschutzbeauftragte die Mitarbeiter im Rahmen von Schulungsmaßnahmen mit den Datenschutzvorschriften Aufgrund seiner Aufgaben im Sinne des Bundesdatenschutzgesetzes vertraut machen muss.
Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen Kenntnisse bereits zum Zeitpunkt der Bestellung zum DSB vorliegen!
Sehen Sie sich mein Portfolio an, oder nehmen Sie mit mir Kontakt auf!