Fachanwaltskanzlei für IT-Recht und externe Datenschutzbeauftragte
→ Jetzt anrufen:  (0‍30) 7‍9 7‍8 4‍6 8‍6

Externe Datenschutzbeauftragte

Wann muss ein Datenschutzbeauftragter bestellt werden?
Nutzen Sie zur Prüfung diesen Fragenkatalog...

Frage: Sind in Ihrem Unternehmen oder Verein mindestens 20 Personen damit beschäftigt, personenbezogene Daten automatisiert zu verarbeiten?

Hinweis: Eine automatisierte Verarbeitung von Daten liegt immer dann vor, wenn jemand am PC, Laptop oder sonst mit einem EDV-Gerät mit Daten von Menschen umgeht. Es kommt nicht darauf an, ob die Personen für ihre Tätigkeit bezahlt werden.

Wenn ja, brauchen Sie auf jeden Fall einen Datenschutzbeauftragten (§ 38 BDSG)

Allein die Beschäftigtenzahl ist jedoch nicht entscheidend dafür, ob Sie einen Datenschutzbeauftragten brauchen.

Frage: Verarbeiten Sie in Ihrem Unternehmen oder Verein Daten der folgenden Art und gehört dies zu Ihrer Kerntätigkeit:

  • Daten zum Sexualleben oder zur sexuellen Orientierung?
  • Gesundheitsdaten?
  • Genetische Daten (Daten zu den ererbten oder erworbenen genetischen Eigenschaften der betroffenen Person)? 
  • Daten, aus denen die rassische oder ethnische Herkunft hervorgeht?
  • Daten, aus denen politische Meinungen hervorgehen?
  • Daten, aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen?
  • Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht?
  • Daten über strafrechtliche Verurteilungen oder Straftaten?
Hinweis: In Personalunterlagen sind aufgrund der Kirchensteuerangaben immer auch Daten enthalten, aus denen die religiöse Überzeugung hervorgeht.

Hinweis: Zu der Kerntätigkeit gehört die Verarbeitung bestimmter Daten dann, wenn der Zweck des Unternehmens oder Vereins sonst nicht erreicht werden kann.

Wenn ja, brauchen Sie auf jeden Fall einen Datenschutzbeauftragten (§ 38 BDSG) und zwar völlig unabhängig davon, wieviele Beschäftigte Sie haben.

Frage: Gehört es zur Kerntätigkeit Ihres Unternehmens oder Vereins, Personen in umfangreicher Weise regelmäßig und systematisch zu überwachen?

Wenn ja, brauchen Sie auf jeden Fall einen Datenschutzbeauftragten (§ 38 BDSG) und zwar völlig unabhängig davon, wieviele Beschäftigte Sie haben.

Auch wenn keine gesetzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, kann gem. Art. 37 Abs. 4 DSGVO freiwillig ein Datenschutzbeauftragter bestellt werden.

Vorteile: Völlig unabhängig davon, ob eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht oder nicht, muss der Datenschutz in einem Unternehmen oder Verein beachtet werden. Verantwortlich dafür ist der „Verantwortliche“, also die Leitung des Unternehmens oder den Vorsitzenden des Vereins. Diesen fehlt häufig die notwendige Fachkenntnis. Ein Datenschutzbeauftragter unterstützt die Unternehmensleistung bzw. den Vereinsvorsitzenden bei der Einhaltung des Datenschutzes.

Was ist eine externe Datenschutzbeauftragte?

Es ist ein externer Dienstleister, der von einem Unternehmen als verantwortliche Person für den betrieblichen Datenschutz benannt wird. Es handelt sich also – anders als bei einem betrieblichen Datenschutzbeauftragten – nicht um einen Mitarbeiter des Unternehmens. 

Welche Vorteile hat eine externe Datenschutzbeauftragte?

Ihre Mitarbeiter stehen Ihnen mit ihrer vollen Arbeitsleistung weiterhin zur Verfügung.

Sie müssen keinen Mitarbeiter Ihres Unternehmens für diese Tätigkeit freistellen, ausbilden und weiterbilden lassen.

Es steht Ihnen vom ersten Tag an eine kompetente datenschutzrechtliche Beraterin mit ihrem Wissen zur Seite.

Welche Anforderungen muss eine Datenschutzbeauftragte erfüllen?...
Sie muss gem. Art. 37 Abs. 5 DSGVO die notwendige berufliche Qualifikation haben und Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis aufweisen.

Sie muss zudem die Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben mitbringen.

Der Datenschutzbeauftragten obliegen gem. Art. 39 DSGVO zumindest folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Art. 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.
  • Die Datenschutzbeauftragte trägt bei der Erfüllung ihrer Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei sie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Was ist eine Datenschutz-Folgeabschätzung?...
Mit der DSGVO wurde das Instrument der Datenschutz-Folgenabschätzung eingeführt (Art. 35 EU-DSGVO). Dabei handelt es sich um die Pflicht des Verantwortlichen, vor Beginn einer geplanten Datenverarbeitung eine Abschätzung der Folgen vorzunehmen und zu dokumentieren. 

Grundsätzlich ist die Datenschutz-Folgenabschätzung immer dann durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Darüber hinaus ist sie zwingend durchzuführen, wenn eines der in Art. 35 EU-DSGVO in Abs. 3 bestimmten Regelbeispiele vorliegt. 

Eine Folgenabschätzung ist also stets durchzuführen:

a) bei systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO und

c) bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Darüberhinaus müssen Aufsichtsbehörden in ihrem Zuständigkeitsbereich eine Liste aufstellen und veröffentlichen, die Verarbeitungsvorgänge aufzeigt, bei denen eine Datenschutz-Folgenabschätzung zwingend durchgeführt werden muss (Blacklist). Daneben steht es ihnen offen, auch eine Liste von Verarbeitungsvorgängen zu veröffentlichen, welche dieser explizit nicht bedürfen (Whitelist). Sofern das Unternehmen einen Datenschutzbeauftragten benannt hat, ist dessen Rat einzuholen.

Der Berliner Beauftragte für Datenschutz- und Informationssicherheit hat z.B auf seiner Homepage www.datenschutz-berlin.de eine Liste von Verarbeitungsvorgängen gem. Art. 35 Abs. 4 DSGVO herausgegeben, für die eine Folgeabschätzung im nicht öffentlichen Bereich vorzunehmen ist.

Dies ist z.B. der Fall, bei der Verarbeitung von Daten geschäftsunfähiger oder beschränkt geschäftsfähiger Betroffener, bei dem Einsatz neuer Technologien oder biometrischer Verfahren, bei einem Datentransfer in Länder außerhalb der EU/EWR, bei einer Datenverarbeitung, welche Betroffene an der Rechtsausübung hindern.