Was ist ein externer Datenschutzbeauftragter?
Dr. Kilian Schmidt
Dr. Kilian Schmidt ist Jurist, Co-Founder und CEO der Kertos GmbH und bringt zahlreiche Jahre Erfahrung in Datenschutz- und Legal Tech mit.
AUF EINEN BLICK
- Externe Datenschutzbeauftragte bieten unabhängige und spezialisierte Unterstützung bei der Einhaltung von Datenschutzvorschriften
- Sie übernehmen Aufgaben wie Schulungen, Datenschutz-Folgenabschätzungen und die Entwicklung von Richtlinien
- Externe DSB sind kosteneffizient und vermeiden Interessenkonflikte innerhalb des Unternehmens
- Kertos unterstützt Unternehmen mit Expertenwissen und maßgeschneiderten Lösungen, indem es ihnen einenen externen Datenschutzbeauftragten zur Verfügung stellt
Die Entwicklung der Rolle des Datenschutzbeauftragten in Europa
Schon vor der Verabschiedung eines EU-weit gültigen Datenschutzgesetzes wie der DSGVO waren die Aufgaben der Datenschutzbeauftragten in den verschiedenen Rechtsordnungen vorgeschrieben. In Deutschland schreibt das Bundesdatenschutzgesetz (BDSG), in Frankreich das Datenschutzgesetz (Loi Informatique et Libertes) und in Spanien das Organgesetz zum Datenschutz (LOPD) vor, dass Unternehmen Datenschutzbeauftragte bestellen müssen, um die Einhaltung der Datenschutzgesetze zu gewährleisten.
Doch erst nach dem Erlass der Datenschutz-Grundverordnung in der EU und nachdem andere Länder nachgezogen haben, wurde die Rolle der Datenschutzbeauftragten standardisiert und einheitlich definiert. Die DSGVO hat einen detaillierten Rahmen für die Bestellung von Datenschutzbeauftragten geschaffen, der ihre Aufgaben, Verantwortlichkeiten und Qualifikationen umfasst. Jetzt, wo Datenschutzbeauftragte zu einer allgemeinen Anforderung geworden sind, schätzen die Unternehmen allmählich ihre Bedeutung für die Einhaltung der Vorschriften.
Nach Artikel 37 der DSGVO sind alle Behörden verpflichtet, einen Datenschutzbeauftragten zu bestellen. “Gemäß Artikel 38 Absatz 1 der DSGVO muss der DSB “ordnungsgemäß und rechtzeitig in alle Fragen des Schutzes personenbezogener Daten einbezogen werden”, damit er die Datenschutzaufgaben in vollem Umfang wahrnehmen kann. Darüber hinaus müssen private Organisationen in den folgenden Fällen einen DSB bestellen:
- Zu ihren Hauptaufgaben gehört die regelmäßige und systematische Überwachung von Personen in großem Umfang.
- Sie verarbeiten in großem Umfang besondere Kategorien personenbezogener Daten, darunter Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen oder religiöse oder philosophische Überzeugungen hervorgehen.
Gemäß den gesetzlichen Bestimmungen kann ein Datenschutzbeauftragter extern beauftragt oder intern eingestellt werden. Für Unternehmen mit begrenzten Ressourcen können die Kosten für die Einstellung und Unterhaltung eines internen Datenschutzbeauftragten hoch sein. Daher greifen sie auf externe Datenschutzbeauftragte zurück, deren Aufgaben denen der internen Beauftragten entsprechen.
Datenschutzbeauftragter leicht gemacht
Bist du bereit, hunderte Stunden Zeit und jede Menge Aufwand in Datenschutz und Informationssicherheit zu sparen? Mache jetzt die Demo und finde heraus, ob Kertos die richtige Lösung für dein Unternehmen ist.
Der Unterschied zwischen einem internen und einem externen DSB
Der Unterschied zwischen einem internen und einem externen Datenschutzbeauftragten liegt in den Beschäftigungsbedingungen: Während ein interner Datenschutzbeauftragter ein fest angestellter Mitarbeiter ist, bietet ein externer Datenschutzbeauftragter den Unternehmen Spielraum für die Unterzeichnung von Verträgen auf Abruf.
Externe Datenschutzbeauftragte bieten auch eine unabhängige Aufsicht, die Unternehmen von internen Interessenkonflikten befreit. Während bei einer internen Lösung möglicherweise noch zertifiziertes Fachwissen erworben werden muss – die Kosten für die Ausbildung muss das Unternehmen tragen -, verfügt ein externer Datenschutzbeauftragter über bewährte Fachkenntnisse auf diesem Gebiet.
Außerdem kann nicht jeder in einem Unternehmen die Rolle des Datenschutzbeauftragten übernehmen. Diejenigen, bei denen ein Interessenkonflikt zwischen ihrer regulären Position und der Rolle des Datenschutzbeauftragten entstehen könnte – zum Beispiel Vorstandsmitglieder – sind es sicher nicht.
IT-Manager/innen, Personalleiter/innen und Marketingleiter/innen sind geeignete Profile für einen internen Datenschutzbeauftragten, aber auch sie benötigen Fachwissen im Bereich des Datenschutzrechts. Im Vergleich dazu ist ein externer Datenschutzbeauftragter ein ausgelagerter Datenschutzbeauftragter, der nicht direkt bei einem Unternehmen angestellt ist und über Fachwissen im Datenschutzrecht verfügt.
Hauptaufgaben eines externen DSB
Zu dem breiten Aufgabenfeld eines Datenschutzbeauftragten gehören vor allem die Übernahme einer Vermittlerrolle, die Funktion als Ansprechpartner für die Aufsichtsbehörde und die Bereitstellung der notwendigen Unterlagen und Informationen für die Aufsichtsbehörde, damit diese ihre Untersuchungs-, Korrektur-, Genehmigungs- und Konsultationsbefugnisse wahrnehmen kann.
Im Kern hat ein externer DSB die alleinige Aufgabe, die Einhaltung der Datenschutzbestimmungen sicherzustellen, und verfügt über keine weiteren Entscheidungsbefugnisse. DSB stellen sicher, dass die personenbezogenen Daten von Kunden, Beschäftigten, Anbietern oder anderen Personen in Übereinstimmung mit den geltenden Datenschutzbestimmungen verarbeitet werden.
Ein DSB nimmt an internen Diskussionen teil, wenn Ratschläge zu bewährten Datenschutzpraktiken erforderlich sind, um Richtlinien und Verfahren in Übereinstimmung mit den geltenden Datenschutzgesetzen und -vorschriften zu entwickeln. In Zusammenarbeit mit anderen Abteilungen, einschließlich IT, Compliance, Recht und Geschäftsbereichen, befassen sie sich mit Datenschutzproblemen, führen Datenschutzmaßnahmen ein, um die Risiken zu beseitigen, und tauschen sich über Datenschutzgrundsätze und bewährte Verfahren aus.
Der DSB berät die für die Verarbeitung Verantwortlichen darüber, ob eine Datenschutz-Folgenabschätzung (DPIA) durchgeführt werden soll, welche Methoden dabei anzuwenden sind und wann es notwendig ist, externe Ressourcen mit der Durchführung der DPIA zu beauftragen. Auf der Grundlage der Ergebnisse der Datenschutzfolgenabschätzung berät der DSB die für die Verarbeitung Verantwortlichen darüber, ob es optimal ist, den Vorgang ganz aufzugeben, oder ob die Umsetzung von Schutzmaßnahmen die Einhaltung der Vorschriften gewährleisten kann. Ihre Erkenntnisse sind zu Beginn eines neuen Projekts oder einer Initiative sowie bei Änderungen von Geschäftsprozessen, die sich auf die Datenschutzrechte von Einzelpersonen oder das Unternehmen selbst auswirken können, von unschätzbarem Wert.
Warum brauchen Unternehmen einen externen Datenschutzbeauftragten?
1. Kompetenz und aktuelles Wissen
Datenschutzbeauftragte sind multidisziplinäre Personen. Um ihre Aufgaben effektiv wahrnehmen zu können, müssen sie nicht nur über die Datenschutzbestimmungen Bescheid wissen, sondern auch über IT, Risiken, Datenmanagement und Geschäftsabläufe. Ihr Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis ist ein Muss (insbesondere hohe Kompetenz und ausgeprägtes IT-Wissen).
Die Anforderungen an ein so hohes Maß an Wissen und Fachkenntnissen machen es für Organisationen schwierig, die Stelle angemessen zu besetzen. Ein externer Datenschutzbeauftragter besteht nicht aus einer einzelnen Person, sondern aus einem Team von Spezialisten. Ihre Vertrautheit mit den neuesten Datenschutzgesetzen, Leitlinien, der Rechtsprechung und bewährten Praktiken – neben der Sicherstellung der Einhaltung der Vorschriften – ist für ein Unternehmen und seine Mitarbeiter/innen an mehreren Berührungspunkten von großem Nutzen.
Bei Datenschutzverletzungen oder bei Unternehmen, die mit einem Rufschaden konfrontiert sind, kommt es vor allem auf ihr Fachwissen an, wenn es darum geht, durch die Krise zu navigieren und die Auswirkungen abzumildern. Externe Datenschutzbeauftragte können ihnen dabei helfen, die notwendigen Schritte und Abhilfemaßnahmen zu ergreifen, um ihren Ruf und das Vertrauen ihrer Kunden zu schützen. Mit einem Team von Fachleuten, die sich mit Datenschutzfragen befassen, können Unternehmen sicherstellen, dass sie den Herausforderungen standhalten.
2. Kosten-Wirksamkeit
Die Kosten für einen internen DSB gehen über die Einstellung und das reguläre Gehalt hinaus und beinhalten zusätzliche Kosten für Schulungen, Ausfallzeiten der Mitarbeiter und Fachliteratur. Organisationen können die Gesamtsumme dieser Kosten nicht im Voraus abschätzen und bereuen sie später. Im Vergleich dazu können die Kosten für einen externen Datenschutzbeauftragten im Voraus auf der Grundlage der spezifischen Anforderungen des Unternehmens berechnet werden. Die meisten externen Datenschutzbeauftragten haben ein transparentes Preismodell, das die Organisationen in der Dienstleistungsvereinbarung festlegen können. Dieser maßgeschneiderte Ansatz führt zu erheblichen Kosteneinsparungen.
3. Unabhängigkeit und Neutralität
Es wurde genau beobachtet, dass der DSB die Aufgaben und Funktionen der Aufsichtsbehörde (z. B. einer nationalen Datenschutzbehörde) innerhalb einer Organisation verkörpert. Einfach ausgedrückt, fungiert der DSB als integraler Regulator, der die Datenschutzpraktiken überwacht. Daher sollte er eine neutrale und unabhängige Funktion haben und nicht den Weisungen der Geschäftsleitung oder den Weisungsbefugnissen unterliegen.
Die Datenschutz-Grundverordnung sieht vor, dass der DSB seine Arbeit in unabhängiger Weise ausführt. Gemäß Artikel 38 Absatz 3 ist der DSB nicht weisungsgebunden und direkt der höchsten Führungsebene unterstellt.” Das bedeutet, dass die für die Verarbeitung Verantwortlichen nicht befugt sind, den DSB anzuweisen, nach ihren Vorgaben zu handeln. So können die für die Verarbeitung Verantwortlichen beispielsweise nicht in die Entscheidung der DSB eingreifen, eine bestimmte Schlussfolgerung zu ziehen oder die Untersuchungsergebnisse einer Beschwerde zu ändern.
Der behördliche Datenschutzbeauftragte sollte der höchsten Führungsebene einer Organisation unterstellt sein, z. B. dem Vorstand. So wird sichergestellt, dass die Geschäftsführung umgehend über Datenschutzangelegenheiten informiert wird. Externe behördliche Datenschutzbeauftragte werden nicht in ihrer Autonomie beeinträchtigt, wie es bei internen behördlichen Datenschutzbeauftragten der Fall ist, wenn sie in Positionen eingesetzt werden, in denen Interessenkonflikte entstehen.
4. Flexibilität
Externe DSB sind vorgefertigte Teams, die sich schnell an die individuellen Anforderungen der Unternehmen anpassen können. Sie eignen sich am besten für Unternehmen, bei denen der Bedarf an Datenschutzaufsicht im Laufe der Zeit steigt oder sinkt. Zum Beispiel für Unternehmen mit schwankendem Arbeitsaufkommen oder saisonalen Spitzen bei der Datenverarbeitung.
Sie hilft Unternehmen auch in Szenarien, in denen Änderungen in der Regulierungslandschaft eingeführt werden, die eine umfassende interne Umstrukturierung erfordern könnten. Die Einstellung externer DSB ermöglicht es Unternehmen, ihre internen Ressourcen effizient einzusetzen. Gleichzeitig kann sich das interne Personal auf seine Kerntätigkeiten konzentrieren, während die externen DSB die Einhaltung der Vorschriften sicherstellen.
Was macht ein externer Datenschutzbeauftragter?
1. Mitarbeiterschulung
Die Wissensvermittlung und Sensibilisierung der Mitarbeiter/innen in Sachen Datenschutz ist eine der wichtigsten Komponenten, um ein Unternehmen auf Kurs zu halten. Durch enge Interaktion mit den Teammitgliedern entwickelt ein externer DSB maßgeschneiderte Schulungsprogramme, um ein ausreichendes Datenschutzbewusstsein bei ihnen sicherzustellen. Dazu gehört auch, dass die Mitarbeiter/innen über Datenschutzbestimmungen, Richtlinien und bewährte Verfahren aufgeklärt werden.
Bei Änderungen der bestehenden Datenschutzgesetze und -vorschriften führt der DSB Schulungen durch, um den Wissensstand der Beschäftigten zu aktualisieren. Durch gezielte Schulungen fördert der externe DSB das Bewusstsein für den sorgfältigen und gesetzeskonformen Umgang mit sensiblen Daten und unterstützt eine Kultur der Compliance.
2. Entwicklung von Richtlinien und Verfahren
Die DSB sind für die Erstellung und Umsetzung von Richtlinien und Verfahren zur Förderung bewährter Verfahren im Umgang mit sensiblen personenbezogenen Daten verantwortlich.
- Die Entwicklung von Richtlinien umfasst die Festlegung eines Rahmens für die rechtmäßige Erhebung, Verarbeitung, Speicherung und Löschung von Daten. Bei Änderungen von Geschäftsprozessen, Technologien oder geltenden Gesetzen überprüfen die externen Datenschutzbeauftragten die datenschutzrelevanten Dokumente des Unternehmens und nehmen gegebenenfalls entsprechende Aktualisierungen vor.
- Die Einrichtung von Verfahren für den Umgang mit Daten umfasst die Dokumentation von Datenverarbeitungsaktivitäten, die Einführung von Zugangskontrollen, um sicherzustellen, dass nur befugte Personen Zugang zu sensiblen Informationen haben, und die Beschränkung der Datenerhebung und -verarbeitung auf das, was für unternehmensspezifische Zwecke notwendig ist.
- Die Erstellung von Notfallplänen, die die Schritte im Falle einer Datenschutzverletzung oder eines Sicherheitsvorfalls beschreiben, einschließlich der Entwicklung von Strategien zur Eindämmung der Auswirkungen von Datenschutzverletzungen. Dazu gehört auch, wie in der DSGVO vorgeschrieben, die Benachrichtigung der Aufsichtsbehörden und der betroffenen Personen über den Umfang und die Art des Vorfalls.
3. Kontakt zu Aufsichtsbehörden und betroffenen Personen
Der DSB ist die zentrale Anlaufstelle zwischen der Organisation, den betroffenen Personen und den Aufsichtsbehörden. Er fungiert als Bindeglied zwischen diesen Parteien und befasst sich mit Anfragen, Bedenken oder Anträgen im Zusammenhang mit dem Datenschutz.
Die Hauptaufgabe eines DSB ist es, sicherzustellen, dass die Rechte der betroffenen Personen geachtet werden (Artikel 15 DSGVO) und dass ihre Anträge auf Auskunft, Löschung, Übertragbarkeit, Berichtigung und Einschränkung der Verarbeitung im Einklang mit den geltenden Gesetzen und Vorschriften bearbeitet werden.
Um über regulatorische Entwicklungen auf dem Laufenden zu bleiben, informieren die externen DSB über Fragen der Verarbeitung personenbezogener Daten und verfassen Antworten auf Anfragen der Aufsichtsbehörden. Die DSB beraten auch in Fragen der Zusammenarbeit mit den Aufsichtsbehörden, einschließlich der Meldung von Datenschutzverletzungen.
Kertos als mögliche Lösung für externe DSB-Dienste
Kertos bietet Lösungen für externe Datenschutzbeauftragte (DSB) und unterstützt bei Bedarf auch deinen internen Datenschutzbeauftragten bei seinen täglichen Aufgaben. Unser multidisziplinäres Team von Spezialisten verfügt über fundierte Kenntnisse und Erfahrungen mit den neuesten Datenschutzgesetzen, Leitlinien, Rechtsprechung und Best Practices.
Durch die Auslagerung deiner DSB-Funktion an uns wird jeder Interessenkonflikt beseitigt, während wir folgende Vorteile mitbringen:
- Umfassende Kenntnisse und berufliche Qualifikationen im Bereich des Datenschutzrechts und der Datenschutzpraxis,
- Die Möglichkeit, ein Datenschutz-Audit durchzuführen, bei dem wir gemeinsam deine Prozesse und Verfahren untersuchen,
- Vertrautheit mit Herausforderungen und Hindernissen, und
- Zugang zu den besten Praktiken, um die Einhaltung der Vorschriften zu erreichen und aufrechtzuerhalten,
- Sensibilisierungs- und Schulungsprogramme für Mitarbeiter.
Mach eine Demo unserer Software. Unsere Experten führen dich durch unsere Dienstleistungen und beantworten alle deine Fragen, um ein auf deine Anforderungen zugeschnittenes Angebot zu erstellen. Wenn du dich für eine Zusammenarbeit mit uns entscheidest, führen wir dein Team in unsere Plattform ein und erklären dir alle Erkenntnisse und Maßnahmen, die für die Einhaltung der einschlägigen Datenschutzgesetze und -vorschriften erforderlich sind.