Externer Datenschutzbeauftragter nach DSGVO deutschlandweit
Du hast ein kleines oder mittelständisches Unternehmen und interessierst dich für eine wirtschaftliche und solide Absicherung im Bereich Datenschutz?
Für viele Online-Händler und mittelständige Unternehmen empfiehlt sich die Bestellung eines Datenschutz-Experten als externen Datenschutzbeauftragten. Der Händlerbund unterstützen dich neutral, preisbewusst und mit hoher Fachexpertise. Wir empfehlen dir nur die Leistungen, die wirklich deinen Bedürfnissen entsprechen – und du erfüllst mit uns zielgenau deine Datenschutzanforderungen.
Der Händlerbund stellt dir einen externen Datenschutzbeauftragten, der die Unternehmensführung berät und die Erfüllung aller datenschutzrechtlichen Belange in deinem Unternehmen überwacht. Unser "Datenschutz Pro"-Paket ab 290,90 Euro* pro Monat beinhaltet u.a.:
- Stellung einer bzw. eines Datenschutzbeauftragten
- Unterrichtung und Beratung der Unternehmensführung
- Datenpannenprozess sowie Anlaufstelle bei möglichen Datenpannen
- Datenschutzschulungen für dich und dein Team inkl. Zertifikat (digital)
- DSGVO-konforme Datenschutzerklärung u.v.m.
Allgemeine Informationen zum Datenschutzbeauftragten
Der Schutz personenbezogener Daten spielt besonders im Internet und im E-Commerce eine übergeordnete Rolle. In einigen Fällen verlangt der Gesetzgeber sogar die Bereitstellung eines Datenschutzbeauftragten. Wer den Datenschutz auf die leichte Schulter nimmt, kann schnell ins Fadenkreuz findiger Abmahnanwälte geraten.
Besonders wenn sich die gesetzlichen Bestimmungen im Datenschutz ändern, müssen Online-Händler und Website-Betreiber nachziehen, um den aktuellen Bestimmungen gerecht zu werden. In manchen Fällen kann ein Verstoß gegen das BDSG (Bundesdatenschutzgesetz) sowie gegen die Datenschutzgrundverordnung (DSGVO) vorliegen und die Verhängung eines Bußgeldes zur Folge haben.
Kostenloser Quick-Check vom Anwalt
Du hast mehr als 10 Mitarbeiter und willst endlich Sicherheit bei Datenschutzfragen? Unser Quick-Check gibt einen Kurzüberblick über die typischsten Datenschutz-Fehler. Jetzt kostenlosen Termin vereinbaren!
Was ist ein Datenschutzbeauftragter?
Ein Datenschutzbeauftragter soll sicherstellen, dass ein Unternehmen oder eine öffentliche Stelle, sämtliche Datenschutzvorschriften kennt und beachtet. Er wird vom jeweiligen Unternehmen bestellt und kann sowohl eine natürliche als auch eine juristische Person sein. Die gesetzlichen Regelungen zum Datenschutzbeauftragten finden sich in den Artikeln 37 bis 39 Datenschutzgrundverordnung der Europäischen Union (DSGVO). Ergänzt werden diese Vorschriften durch das deutsche Bundesdatenschutzgesetz (BDSG).
Was ist ein externer Datenschutzbeauftragter (externer DSB)?
Ein externer Datenschutzbeauftragter ist im Gegensatz zum internen Datenschutzexperten kein Mitarbeiter des jeweiligen Unternehmens, sondern ein externer Dienstleister, der vom Unternehmen als verantwortliche Person für den betrieblichen Datenschutz beauftragt wird. Seine Aufgabe ist die Einhaltung datenschutzrechtlicher Vorschriften im Unternehmen. Dieses ist bei der Bestellung des Datenschutzbeauftragten frei und kann selbst entscheiden, ob es sich für einen internen oder externen DSB entscheidet.
Ich habe schon eine Datenschutzerklärung, reicht diese nicht aus?
Website- und Onlineshop-Betreiber sind laut § 13 Digitale-Dienste-Gesetz (DDG) sowie der DSGVO verpflichtet, Nutzer über die geltenden Datenschutzbestimmungen sowie ihre Rechte zu informieren und unter anderem auszuweisen, welche Daten erhoben werden. Die Notwendigkeit eines Datenschutzbeauftragten ist unabhängig von der Bereitstellung der Datenschutzerklärung. Wurde ein Datenschutzbeauftragter bestellt, sind er und seine Kontaktdaten in der Datenschutzerklärung anzugeben.
Vorteile unseres Datenschutz-Pakets:
- Spezialisierter externer Datenschutzbeauftragter
- Kompetente Beratung zum Thema Datenschutz
- Datenschutzschulungen
- Transparente Kosten
- Für Händlerbund-Mitglieder und Nicht-Mitglieder
- Egal ob Hamburg, München oder Berlin - deutschlandweit
Wissenswertes zum Thema Datenschutzbeauftragter
Wann ist ein Datenschutzbeauftragter nach der DSGVO erforderlich?
Jedes Unternehmen darf einen Datenschutzbeauftragten bestellen. Dies kann sinnvoll sein, um teure Fehler zu vermeiden und das Vertrauen potenzieller Kunden zu gewinnen. Es ist jedoch nicht jedes Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet. Welche Unternehmen einen Datenschutzbeauftragten brauchen, ergibt sich aus Art. 37 DSGVO.
- Behörden und öffentliche Stellen haben immer einen Datenschutzbeauftragten.
- Unternehmen, deren Kerntätigkeit "in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen" (Art. 37 Absatz 1 b DSGVO) sind zur Bestellung eines Datenschutzbeauftragten verpflichtet. Mit diesem etwas sperrigen Satz sind alle Unternehmen gemeint, deren Kernbereich die Verarbeitung von Daten ist. Das Gesetz enthält keine genaue Abgrenzung, weshalb allgemeingültige Aussagen schwierig sind. Ein Marktforschungsunternehmen braucht sicherlich einen Datenschutzbeauftragten. Ein Unternehmen, das lediglich Personaldaten verwaltet, dagegen nicht. Bei den meisten Unternehmen muss im Einzelfall abgewogen werden, inwieweit die Voraussetzung erfüllt ist.
- Unternehmen, die mit Daten besonderer Kategorien arbeiten, brauchen ebenfalls einen Datenschutzbeauftragten. Die besonderen Kategorien ergeben sich aus Art. 9 DSGVO. Dazu gehören beispielsweise Daten über die ethnische Herkunft, die Gewerkschaftszugehörigkeit und die sexuellen Orientierung.
Artikel 38 Absatz 1 BDSG ergänzt die DSGVO. Hiernach sind weitere Unternehmen zur Benennung eines Datenschutzbeauftragten verpflichtet.
- Unternehmen, in denen "in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen", brauchen einen Datenschutzbeauftragten. Hierbei kommt es auf die Haupttätigkeit der jeweiligen Personen an. Wenn ein Mitarbeiter nur ausnahmsweise in einem relevanten Bereich unterstützend tätig ist, zählt er nicht zu den 20 Personen. Es ist auch irrelevant, ob die Zahl kurzzeitig überschritten wird, weil beispielsweise ein neuer Mitarbeiter eingearbeitet wird. Sollte sich die Anzahl der mit der Verarbeitung von Daten beschäftigten Personen jedoch über einen längeren Zeitraum im Grenzbereich befinden, ist die Bestellung eine Datenschutzbeauftragten auf jeden Fall empfehlenswert.
- Auch wenn eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO notwendig ist, muss ein Datenschutzbeauftragter bestellt werden. Dies ist immer dann der Fall, wenn die Form der Verarbeitung mit einem besonderen Risiko behaftet ist. Ein Beispiel dafür ist die Verwendung einer neuen Technologie.
Brauche ich für meine Website einen Datenschutzbeauftragten?
Wenn du als Privatperson oder Kleinunternehmer eine Website betreibst, brauchst du in der Regel keinen Datenschutzbeauftragten. Anders ist dies, wenn du beispielsweise einen großen Online-Handel oder ein Unternehmen betreibst, bei dem mehr als 20 Mitarbeiter personenbezogene Daten verarbeiten. In seltenen Fällen ist eine Datenschutz-Folgenabwägung und damit ein Datenschutzbeauftragter notwendig.
Brauchen Vereine einen Datenschutzbeauftragten?
Für Vereine gelten die gleichen Voraussetzungen wie für Unternehmen. Wenn das Kerngeschäft des Vereins, die Verarbeitung personenbezogener Daten ist oder mehr als 20 Personen ständig personenbezogene Daten verarbeiten, braucht er einen Datenschutzbeauftragten.
Wie wird der Datenschutzbeauftragte bestellt?
Der Datenschutzbeauftragte muss gem. Art. 37 DSGVO vom Unternehmen benannt werden. Es kann eine interne Person mit der Aufgabe betraut werden. Alternativ ist auch ein Vertragsschluss mit einem externen Datenschutzbeauftragten möglich. In jedem Fall muss der Datenschutzbeauftragte in der Datenschutzerklärung genannt und der Aufsichtsbehörde mitgeteilt werden.
Welche Qualifikation muss ein Datenschutzbeauftragter haben?
Es gibt keine spezielle Berufsausbildung zum Datenschutzbeauftragten. Die benannte Person muss jedoch die in Art. 37 Absatz 5 DSGVO genannten Voraussetzungen erfüllen.
- Berufliche Qualifikation
- Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
- Fähigkeit zur Erfüllung seiner Aufgaben
Die Wahl des Datenschutzbeauftragten muss gegebenenfalls den Datenschutzbehörden erklärt werden. Dies ist leichter, wenn der Datenschutzbeauftragte seine Kenntnisse beispielsweise durch ein Zertifikat vom TÜV oder der IHK nachweisen kann. Wichtig ist darüber hinaus, dass die Benennung zu keinem Interessenkonflikt führt. Ein Geschäftsführer ist deshalb als Datenschutzbeauftragter ungeeignet.
Welche Vor- und Nachteile hat ein interner oder ein externer Datenschutzbeauftragter?
Die Wahl des Datenschutzbeauftragten hängt von den Bedürfnissen und den Möglichkeiten des Unternehmens ab. Ein interner Datenschutzbeauftragter muss durch die neue Aufgabe eventuell einen Teil seiner bisherigen Arbeit abgeben und das Unternehmen muss in der Regel zudem eine Schulung finanzieren. Vorteilhaft ist, dass eine interne Person das Unternehmen kennt und meist leicht mit den betroffenen Kollegen ins Gespräch kommt.
Ein externer Datenschutzexperte braucht dagegen zu Beginn seiner Tätigkeit meist etwas mehr Zeit für jede Aufgabe, da er häufig nicht so tief in den Arbeitsabläufen drin steckt, wie ein interner DSB. Auch fallen mit der Beauftragung eines externen Datenschutzbeauftragten zusätzliche wiederkehrende Kosten an. Hier sollte aber berücksichtigt werden, dass ein interner Datenschutzbeauftragter in der Zeit seiner datenschutzrechtlichen Tätigkeit auch nicht seine sonstigen Aufgaben wahrnehmen kann. Hier muss jedes Unternehmen für sich selbst entscheiden, welche Variante "günstiger" ist. Der besondere Vorteil eines externen Datenschutzbeauftragten ist vor allem, dass sich das Unternehmen eine sehr gut ausgebildete und erfahrene Person wählen kann, wodurch der Datenschutzbeauftragte nicht nur der gesetzlichen Pflicht genüge tut, sondern tatsächlich einen echten Mehrwert für das Unternehmen darstellt.
Welche Aufgaben und Pflichten hat ein Datenschutzbeauftragter nach DSGVO?
Die Aufgaben und Pflichten des Datenschutzbeauftragten sind in Artikel 39 DSGVO festgelegt.
- Der Datenschutzbeauftragte muss den Auftragsverarbeiter und alle Beschäftigten, die personenbezogene Daten verarbeiten, über ihre Pflichten bezüglich des Datenschutzes unterrichten und beraten. "Unterrichten" meint das zur Verfügung stellen von Informationen und gegebenenfalls die Klärung offener Fragen. "Beraten" bezeichnet die Hilfestellung bei der Lösung konkreter Probleme.
- Er hat die Einhaltung der Datenschutzvorschriften zu überwachen. Der Wortlaut der DSGVO schließt neben der DSGVO selbst ausdrücklich alle anderen Datenschutzvorschriften der Europäischen Union und der Mitgliedstaaten ein. Diese Aufgabe ist sehr umfangreich. Selbst in einem kleinen Unternehmen werden regelmäßig von verschiedenen Personen und Abteilungen zahlreiche Daten verarbeitet. Es ist empfehlenswert die Überwachungstätigkeit zu dokumentieren. So können sowohl das Unternehmen selbst als auch die Aufsichtsbehörde überprüfen, ob der Datenschutzbeauftragte seiner Arbeit nachkommt.
- Zu seinen Aufgaben gehört auch die Bekanntmachungen neuer gesetzlicher Vorgaben und interner Richtlinien zur Arbeit mit personenbezogenen Daten. Die Organisation von Schulungen fällt dagegen in den Aufgabenbereich des Unternehmens. Da diese beiden Bereiche eng miteinander verknüpft sind, ist im Rahmen von Datenschutz-Schulungen eine enge Zusammenarbeit zwischen Unternehmen und Datenschutzbeauftragten empfehlenswert. Im Rahmen unseres DSGVO Pakets übernimmt dies auch Ihr externer Datenschutzbeauftragter vom Händlerbund.
- Der Datenschutzbeauftragte ist der Ansprechpartner für Fragen zum Datenschutz. Alle internen Personen sollten beispielsweise auf einem Beiblatt zum Vertrag seine Kontaktdaten erhalten und über sein Aufgabenfeld informiert werden. Er ist auch für die Fragen externer Personen zuständig, weshalb seine Kontaktdaten ebenfalls in der Datenschutzerklärung genannt werden müssen. Nicht zuletzt hält er auch den Kontakt zur Aufsichtsbehörde.
Der Sinn all dieser Aufgaben und Pflichten ist es, dass der Datenschutzbeauftragte seinen Zweck erfüllt: Er soll dem Unternehmen bei der Selbstkontrolle bezüglich der Einhaltung der Datenschutzvorschriften helfen. Um diese Aufgabe vollumfänglich erfüllen zu können, dürfen ihm diesbezüglich keine Weisungen erteilt werden. Alle Befugnisse dienen jedoch nur der Kontrolle. Er hat nicht das Recht, eigenständig Veränderungen einzuleiten oder den Mitarbeitern oder gar der Geschäftsführung Weisungen zu erteilen. Wenn er Missstände aufdeckt, muss er diese der Geschäftsführung melden. Diese ist für die Verbesserung der Situation zuständig. Die Maßnahmen werden jedoch wiederum vom Datenschutzbeauftragten kontrolliert.
Haftet der Datenschutzbeauftragte selbst für Datenschutzverstöße?
Die DSGVO lässt die Haftung des Datenschutzbeauftragten größtenteils offen. Viele Fragen werden derzeit diskutiert und müssen noch von der Rechtsprechung oder dem Gesetzgeber entschieden werden. Feststeht, dass im Außenverhältnis regelmäßig das Unternehmen und seine Geschäftsführer haften. Im Innenverhältnis können Unternehmen Regressansprüche gegen ihre Datenschutzbeauftragten haben. Ein solcher Anspruch kommt beispielsweise bei einer fehlerhaften Beratung in Betracht.
Was droht, wenn man keinen Datenschutzbeauftragten bestellt?
Gemäß Artikel 83 Absatz 4 Nr. 1 DSGVO können die Aufsichtsbehörden bei Missachtung der Vorschriften zum Datenschutzbeauftragten Bußgelder in Höhe von bis zu 10.000.000 Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes verhängen.
* Alle Preise netto zuzüglich gesetzliche Mehrwertsteuer. Die Mindestlaufzeit beträgt 12 Monate.