THE SAFER SERVICE

FOR YOUR SECRETS

EXTERNE

DATENSCHUTZ-

BEAUFTRAGUNG

EXTERNE
DATENSCHUTZBEAUFTRAGUNG

Sie haben wenig Zeit für das Thema Datenschutz?

Mit einem externen Datenschutzbeauftragten sind Sie auf der sicheren Seite. documentus Bayern stellt Ihnen externe Datenschutzbeauftragte und -auditoren zur Seite. Unsere zertifizierten Experten führen Sie durch alle wichtigen Grundlagen und Neuerungen, sodass Ihr Unternehmen schnell und einfach DSGVO sicher wird.

MEHRWERT UND SICHERHEIT.

DER DOCUMENTUS DATENSCHUTZ.

1

FAKTENCHECK

  • Einführendes Gespräch mit der Geschäftsleitung

  • Ist-Analyse

  • Datenschutzstandards bewerten

2

UMSETZUNG

  • Maßnahmen planen und priorisieren

  • Umsetzungsplan überwachen Mitarbeiter sensibilisieren

3

BETREUUNG

  • Prüfen und umsetzen aktueller Entwicklungen

  • Jahresbericht erstellen

  • Ansprechpartner für Mitarbeiter sein

  • Hilfe im Beschwerde-Fall

Ihre

Vorteile

Ein externer Datenschutzbeauftragter hat einen objektiven Blick auf Ihr Unternehmen.

  • Ihre Mitarbeiter können sich aufs Kerngeschäft konzentrieren.
  • Sie haben einen sicheren Ansprechpartner, auch bei Urlaub oder Krankheit.
  • Keine Schulungskosten. Wir bilden unsere Datenschutzbeauftragten regelmäßig weiter.
  • Sie profitieren von unserer 30-jährigen Erfahrung als Marktführer in der Auftragsverarbeitung.
  • Wir reden nicht nur, sondern nehmen Sie auch bei der Umsetzung an die Hand.
Documentus Unterseiten Datenschutz Externe Datenschutzbeauftragte Vorteile

AUFGABEN DES

DATENSCHUTZ-

BEAUFTRAGTEN

VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN
GEM. ART. 30 DSGVO

Jede Verarbeitungstätigkeit von personenbezogenen Daten (z.B. Debitorenbuchhaltung, Lohnbuchhaltung, Urlaubsplanung, etc.) muss gemäß den Vorgaben des Art. 30, Abs. 1 und 2 DSGVO dokumentiert werden und anschließend mittels Risikoanalyse bewertet werden.

AUFTRAGSVERARBEITUNGSVERTRÄGE
GEM. 28 DSGVO

Werden Verarbeitungstätigkeiten von personenbezogenen Daten (z.B. Aktenvernichtung, Archivierung, Digitalisierung, IT, Marketing) an externe im Auftrag vergeben, so muss ein Auftragsverarbeitungs-vertrag gem. den Vorgaben aus Art. 28, Abs. 3 u. 9 DSGVO erstellt und geschlossen werden.

INFORMATIONSPFLICHTEN
GEM. ART. 13 UND 14 DSGVO

… z.B. gegenüber: Mitarbeiter, Lieferanten, Interessenten, Bewerber, Kunden, etc.. Diese Dokumentationen können z.B. für intern als Aushang oder im Intranet, oder für extern als Datenschutzerklärung auf der Homepage zur Verfügung gestellt werden. Der Inhalt ist gem. den Vorgaben aus Art 13, Abs. 1 und 2 DSGVO und Art. 14, Abs. 1 und 2 DSGVO zu gestalten.

ERSTELLEN VON DOKUMENTEN

z.B.: Richtlinien, Inhalt und Form eines Cookie-Banners, Vertraulich-keits-/Verschwiegenheitsvereinbarung für Mitarbeiter und/oder Administratoren, Homeofficevereinbarung, Verpflichtungs-erklärungen, Geheimhaltungsvereinbarung für Geschäftspartner, Datenschutzjahresbericht, Formular zur Einwilligung der Bildrechte.

MELDUNG DATENSCHUTZPANNE
GEM. ART. 33 UND 34 DSGVO

Im Falle einer Verletztung des Schutzes personenbezogener Daten muss eine Systematik vorgehalten werden können, welche die Meldung der Verletzung binnen 72 Stunden an die Aufsichtsbehörde garantiert. Die Meldung ist gem. den Vorgaben aus Art. 33, Abs. 3 DSGVO zu dokumentieren und zu übermitteln. Ebenso muss die betroffene Personen gem. Art. 34 DSGVO benachrichtigt werden.

DATENSCHUTZMANAGEMENTSYSTEM (DSMS)

Datenschutzorganisation, Software oder Ordnerstruktur

DATENSCHUTZAUDIT BEI GESCHÄFTSPARTNER

Überprüfung Ihrer Unterauftragnehmer auf Einhaltung der Maßnahmen zur Sicherheit in der Verarbeitung (TOMs).

TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN
GEM. ART. 32 DSGVO

Dokumentation von …


1. Vertraulichkeit
a. Zutrittskontrolle
b. Zugangskontrolle
c. Zugriffskontrolle
d. Pseudonymisierung
e. Trennungskontrolle

2. Integrität
a. Weitergabekontrolle
b. Eingabekontrolle

3. Verfügbarkeit und Belastbarkeit
a. Verfügbarkeitskontrolle

4. Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen
a. Incident-Response-Management
b. Datenschutzfreundliche Voreinstellung
c. Auftragskontrolle
d. Datenschutz-Management

und anschließender Bewertung ob ein angemessenes Schutzniveau hergestellt ist, bis hin zum IT-Quickcheck.

BETROFFENENANFRAGEN
GEM. ART. 15 DSGVO

Jede betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbe-zogene Daten verarbeiten. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf Informatio-nen gem. Art. 15, Abs. 1 DSGVO. Diese Anfrage ist systematisch zu dokumentieren.

DATENSCHUTZFOLGENABSCHÄTZUNG (DSFA)
GEM.  ART. 35 DSGVO

Wird eine Verarbeitungstätigkeit mit einem hohen Risiko für die Rechte natürlicher Personen bewertet, oder steht diese Verarbei-tungstätigkeit auf einer „Blacklist“ der Aufsichtsbehörde, bzw. es handelt sich bei den zu verarbeitenden Daten um besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. religiöse-, biometrische-, genetische Daten) so muss eine Daten-schutzfolgenabschätzung gem. den Vorgaben des Art. 35, Abs. 7 DSGVO durchgeführt werden. Geht aus der DSFA hervor, dass die Verarbeitung ein hohes Risiko zur Folge hätte, muss die Aufsichts-behörde vor der Verarbeitung konsultiert werden. Die Konsultation muss gemäß den Vorgaben des Art. 36, Abs. 3 DSGVO erfolgen.

VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN
GEM. ART. 30 DSGVO

TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN
GEM. ART. 32 DSGVO

Jede Verarbeitungstätigkeit von personenbezogenen Daten (z.B. Debitorenbuchhaltung, Lohnbuchhaltung, Urlaubsplanung, etc.) muss gemäß den Vorgaben des Art. 30, Abs. 1 und 2 DSGVO dokumentiert werden und anschließend mittels Risikoanalyse bewertet werden.

AUFTRAGSVERARBEITUNGSVERTRÄGE
GEM. 28 DSGVO

Werden Verarbeitungstätigkeiten von personenbezogenen Daten (z.B. Aktenvernichtung, Archivierung, Digitalisierung, IT, Marketing) an externe im Auftrag vergeben, so muss ein Auftragsverarbeitungs-vertrag gem. den Vorgaben aus Art. 28, Abs. 3 u. 9 DSGVO erstellt und geschlossen werden.

INFORMATIONSPFLICHTEN
GEM. ART. 13 UND 14 DSGVO

… z.B. gegenüber: Mitarbeiter, Lieferanten, Interessenten, Bewerber, Kunden, etc.. Diese Dokumentationen können z.B. für intern als Aushang oder im Intranet, oder für extern als Datenschutzerklärung auf der Homepage zur Verfügung gestellt werden. Der Inhalt ist gem. den Vorgaben aus Art 13, Abs. 1 und 2 DSGVO und Art. 14, Abs. 1 und 2 DSGVO zu gestalten.

ERSTELLEN VON DOKUMENTEN

z.B.: Richtlinien, Inhalt und Form eines Cookie-Banners, Vertraulich-keits-/Verschwiegenheitsvereinbarung für Mitarbeiter und/oder Administratoren, Homeofficevereinbarung, Verpflichtungs-erklärungen, Geheimhaltungsvereinbarung für Geschäftspartner, Datenschutzjahresbericht, Formular zur Einwilligung der Bildrechte.

MELDUNG DATENSCHUTZPANNE
GEM. ART. 33 UND 34 DSGVO

Im Falle einer Verletztung des Schutzes personenbezogener Daten muss eine Systematik vorgehalten werden können, welche die Meldung der Verletzung binnen 72 Stunden an die Aufsichtsbehörde garantiert. Die Meldung ist gem. den Vorgaben aus Art. 33, Abs. 3 DSGVO zu dokumentieren und zu übermitteln. Ebenso muss die betroffene Personen gem. Art. 34 DSGVO benachrichtigt werden.

DATENSCHUTZMANAGEMENTSYSTEM (DSMS)

Datenschutzorganisation, Software oder Ordnerstruktur

DATENSCHUTZAUDIT BEI GESCHÄFTSPARTNER

Überprüfung Ihrer Unterauftragnehmer auf Einhaltung der Maßnahmen zur Sicherheit in der Verarbeitung (TOMs).

Dokumentation von …


1. Vertraulichkeit
a. Zutrittskontrolle
b. Zugangskontrolle
c. Zugriffskontrolle
d. Pseudonymisierung
e. Trennungskontrolle

2. Integrität
a. Weitergabekontrolle
b. Eingabekontrolle

3. Verfügbarkeit und Belastbarkeit
a. Verfügbarkeitskontrolle

4. Regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen
a. Incident-Response-Management
b. Datenschutzfreundliche Voreinstellung
c. Auftragskontrolle
d. Datenschutz-Management

und anschließender Bewertung ob ein angemessenes Schutzniveau hergestellt ist, bis hin zum IT-Quickcheck.

BETROFFENENANFRAGEN
GEM. ART. 15 DSGVO

Jede betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbe-zogene Daten verarbeiten. Ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf Informatio-nen gem. Art. 15, Abs. 1 DSGVO. Diese Anfrage ist systematisch zu dokumentieren.

DATENSCHUTZFOLGENABSCHÄTZUNG (DSFA)
GEM.  ART. 35 DSGVO

Wird eine Verarbeitungstätigkeit mit einem hohen Risiko für die Rechte natürlicher Personen bewertet, oder steht diese Verarbei-tungstätigkeit auf einer „Blacklist“ der Aufsichtsbehörde, bzw. es handelt sich bei den zu verarbeitenden Daten um besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. religiöse-, biometrische-, genetische Daten) so muss eine Daten-schutzfolgenabschätzung gem. den Vorgaben des Art. 35, Abs. 7 DSGVO durchgeführt werden. Geht aus der DSFA hervor, dass die Verarbeitung ein hohes Risiko zur Folge hätte, muss die Aufsichts-behörde vor der Verarbeitung konsultiert werden. Die Konsultation muss gemäß den Vorgaben des Art. 36, Abs. 3 DSGVO erfolgen.

FRAGEN UND

ANTWORTEN

Sie brauchen einen Datenschutzbeauftragten, um datenschutzkonform arbeiten zu können und die Gesetzesvorgaben aus der DSGVO umzusetzen. Wenn Sie einen Datenschutzbeauftragten stellen müssen, dies aber nicht tun, so drohen Ihnen Strafen, da Ihnen das Wissen und die Expertise fehlt, Datenschutzbestimmungen in Ihrem Unternehmen umzusetzen. Im Moment können Bußgelder von bis zu 20.000.000 € oder 4% des weltweiten Firmenumsatzes verhängt werden. Unter Umständen haften die Verantwortlichen bzw. die Geschäftsleitung mit Ihrem Privatvermögen (Organisationsverschulden).

Laut DSGVO ist ein Datenschutzbeauftragter Pflicht, wenn Sie mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt haben. Unabhängig von der Mitarbeiterzahl müssen Sie einen Datenschutzbeauftragten stellen, wenn Sie die Verarbeitung personenbezogener Daten geschäftsmäßig zum Zweck der Übermittlung, oder für Zwecke der Markt- oder Meinungsforschung betreiben oder die Verarbeitung einer Datenschutz-Folgeabschätzung nach Art 35 EU-DSGVO unterliegt.

Der Datenschutzbeauftragte hat die Pflicht, die Verantwortlichen bzw. die Geschäftsführung auf Einhaltung und Umsetzung aller Gesetzesvorgaben der EU-DSGVO zu unterrichten und zu beraten. Außerdem überwacht der Datenschutzbeauftragte die Durchführung der Datenschutzfolgeabschätzung und erstellt Jahresberichte. Eine weitere wichtige Aufgabe ist die Sensibilisierung und Schulung der Mitarbeiter auf Risiken und Fehlverhalten.

Ein Datenschutzbeauftragter bringt eine bestimmte berufliche Qualifikation mit, ist also beispielsweise Kaufmann/Kauffrau oder Jurist/Juristin. Der Datenschutzbeauftragte ist mit Datenschutzthemen vertraut bzw. hat ein Grundverständnis für Datenschutz spezifische Themen. Dazu kommt Fachwissen des Datenschutzrechtes, sowie die Datenschutzpraxis. Zertifizierte Datenschutzbeauftragte haben einen Kurs bei einem Bildungsinstitut (TÜV, Dekra usw.) absolviert und ein Zertifikat erhalten. Ein Datenschutzbeauftragter braucht die Fähigkeit zur Aufgabenerfüllung nach Art. 39 EUDSGVO.

Wir legen großen Wert darauf, dass unsere Datenschutzbeauftragten eine externe Schulung besuchen und sich somit durch eine Prüfung zum Datenschutzbeauftragten zertifizieren. In unserem Fall sind alle unsere Datenschutzbeauftragten TÜV zertifiziert. Wir greifen auf eine langjährige Erfahrung in der Auftragsverarbeitung / Aktenvernichtung zurück. Unsere Datenschutzbeauftragten halten sich durch regelmäßige Schulungen und durch Mitgliedschaften in diversen Fachverbänden auf dem neuesten Wissensstand und werden durch die Datenschutzämter ständig mit Informationen versorgt. Das Thema Datenschutz verlangt von Ihnen eine ständige Fort- und Weiterbildung, die wir durch regelmäßige Seminare fördern. Das Fachpersonal von documentus Bayern ist daher mit allen aktuellen Datenschutzthemen und Gesetzen im Datenschutz bestens vertraut.

Da der Datenschutz in den letzten Jahren vielen Änderungen unterworfen war und die DSGVO richtigerweise davon ausgeht, dass das einmal erworbene Fachwissen nicht ausreicht, befinden sich Datenschutzbeauftragte in einem ständigen Weiterbildungsprozess.

Wichtig ist hierbei ein gutes Netzwerk. Beispielsweise sind Datenschutzbeauftragte Mitglied in diversen Fachverbänden. Eine fachspezifische, themengerechte Schulung pro Jahr ist erforderlich. Bildungsinstitute wie der TÜV, die Dekra oder weitere unabhängige Institute bieten solche fachspezifischen Schulungen wie z.B. IT für Datenschutzbeauftragte an. Es werden Foren, Veranstaltungen und Kongresse zu diversen Datenschutzthemen angeboten. Außerdem erfolgt eine ständige Informationsversorgung der Datenschutzbeauftragten durch die Landesämter für Datenschutz.

Ein Datenschutzbeauftragter von extern hat die Pflicht, immer unmittelbar an die höchste Managementebene bzw. die Geschäftsführung zu berichten. Die Geschäftsführung behält dabei immer die Verantwortung, der Datenschutzbeauftragte ist lediglich beratend tätig. Er spricht Empfehlungen zur Umsetzung der DSGVO aus.

Die Geschäftsführung hat dabei eine Unterstützungspflicht, muss also dem Datenschutzbeauftragten Ressourcen und Strukturen zur Verfügung stellen, die ihn unterstützen, seiner Pflicht ordnungsgemäß nachgehen zu können. Dazu gehört auch die Erhaltung des Fachwissens. Bei einem externen Datenschutzbeauftragten steht die Geschäftsleitung nicht in der Pflicht, für Schulungen aufzukommen oder Ressourcen zur Verfügung zu stellen. Sie müssen dem Datenschutzbeauftragten jedoch Zugang zu allen wichtigen Bereichen (personenbezogene Daten und Verarbeitungsvorgänge) gewähren. Auch wenn ein Datenschutzbeauftragter extern agiert, ist er an die Geheimhaltungspflicht gebunden.

Datenschutzbeauftragte dürfen nicht wegen der Erfüllung ihrer Aufgaben benachteiligt oder abberufen werden, Art. 38 Abs. 3 DSGVO. Dies gilt ebenfalls nur bei einer internen Stellung.

Die Kontaktdaten des Datenschutzbeauftragten müssen durch die verantwortliche Stelle (Geschäftsführung) nach Art. 37. Abs. 7 DSGVO nicht nur veröffentlicht, sondern auch gemeldet werden. Diese Meldung erfolgt an die Aufsichtsbehörde. In Bayern ist das das Bayerische Landesamt für Datenschutzaufsicht, kurz BayLDA. Die Meldung kann online unter www.lda.bayern.de/de/dsb-meldung erfolgen.

Nein. Ein Datenschutzbeauftragter pro Gesellschaft bzw. pro Unternehmen genügt. Ein Konzern bzw. eine Unternehmensgruppe kann gemäß Artikel 37, Absatz 2 DSGVO sogar einen gemeinsamen Datenschutzbeauftragten ernennen.

Ein externer Datenschutzbeauftragter hat immer einen neutralen, objektiven Blick auf Ihr Unternehmen. Da er von außen kommt, wird dem Datenschutzbeauftragten von extern sehr vieles auffallen, was ein interner Mitarbeiter ggf. übersehen hätte oder worüber nicht mehr nachgedacht wird, da es Routine geworden ist.

Der interne Datenschutzbeauftragte unterliegt einem besonderen Kündigungsschutz und muss sich mit allen Aufgaben eines Datenschutzbeauftragten vertraut machen und Sie müssen diesen regelmäßig schulen. Ein externer Datenschutzbeauftragter ist bereits geschult und im besten Fall sogar zertifiziert. Er beschäftigt sich täglich mit den aktuellen Bestimmungen und ist auf dem neuesten Wissensstand.

Ein interner Datenschutzbeauftragter kann Urlaub nehmen oder durch Krankheit ausfallen. Der externe Datenschutzbeauftragte ist greifbar, wann Sie ihn brauchen und wird in Krankheit oder im Urlaub vertreten.

Alles beginnt mit einführenden Gesprächen und einer Bestandsaufnahme. Ist der Datenschutz schon gut umgesetzt, wird die IST-Aufnahme schnell von statten gehen. Wenn jedoch erhebliche Mängel im Datenschutz vorhanden sind oder der Datenschutz bisher noch sehr stiefmütterlich behandelt wurde, wird die IST-Aufnahme zeitintensiver, denn das Ergebnis soll am Ende ja das gleiche sein: eine rechtskonforme Umsetzung des Datenschutzes in Ihrem Unternehmen.

Das kann von Fall zu Fall sehr unterschiedlich sein. Wir betrachten Ihr Unternehmen individuell und gehen auf alle wichtigen Punkte ein. Anhand der IST-Aufnahme werden die Datenschutzstandards bewertet und Sicherheitslücken besprochen.

n Phase 2 werden die in Phase 1 herausgearbeiteten Ergebnisse in einen Maßnahmenplan umgeschrieben. Dieser Plan wird im Unternehmen umgesetzt. Der externe Datenschutzbeauftragte überwacht die Umsetzung und ist für die Sensibilisierung Ihrer Mitarbeiter zuständig. Nach erfolgreicher Umsetzung des Planes erfolgt Phase 3.

Phase 3 steht für die laufende Betreuung. Das bedeutet, Sie erhalten, wann immer Sie es brauchen, Hilfe von einem externen Datenschutzbeauftragten. Der externe Datenschutzbeauftragte nimmt Ihnen weiter alle wichtigen Arbeitsschritte ab, z.B. die Erstellung der Jahresberichte. Oder er unterstützt Sie bei neuen Urteilen und Neuregelungen und bleibt fester Ansprechpartner für Ihr Unternehmen in allen Datenschutz-Fragen. Alle 3 Phasen zusammen gewährleisten einen einwandfreien Datenschutz.

Alle drei Phasen sind notwendig, um eine einwandfreie Betreuung im Datenschutz zu gewährleisten und bauen aufeinander auf. Ein extern bestellter Datenschutzbeauftragter betreut sie rundum. Ein Maßnahmenplan kann nicht erarbeitet werden ohne vorherige IST-Analyse. Die laufende Betreuung kann nur stattfinden, wenn der externe Datenschutzbeauftragte Vorarbeit geleistet hat und weiß, welche Maßnahmen umgesetzt wurden und wo noch Nachholbedarf besteht.

Natürlich können Sie die Beratung durch einen externen Datenschutzexperten von documentus Bayern auch einzeln nutzen. Diese ist stundenweise buchbar. Die Beratung ist dann individuell auf Ihr Unternehmen zugeschnitten. Im Anschluss an die Beratung können Sie frei entscheiden, ob Sie selbst im Datenschutz tätig werden oder Sie uns als kompetenten Partner beauftragen und einen externen Datenschutzbeauftragten von documentus Bayern bestellen möchten.

Personenbezogene Daten nach §4 DSGVO sind alle Informationen, die sich auf eine natürliche Person beziehen. Durch personenbezogene Daten können Rückschlüsse auf die Persönlichkeit erfolgen. Beispiele sind Name, Adresse, Geburtsdatum, Geschlecht, IP-Adresse, Beruf, Gehalt, Standort, Kaufverhalten usw.

Es gibt auch besondere personenbezogene Daten. Darunter fallen Informationen über die ethnische und kulturelle Herkunft, politische, religiöse und philosophische Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit. Diese Daten haben einen hohen Schutzbedarf.

Die Verarbeitung von personenbezogenen Daten erfolgt nur durch Zustimmung des Betroffenen, da er das Recht auf informationelle Selbstbestimmung hat.

KONTAKTFORMULAR

Zurück

DATENSCHUTZ CONSULTING aaS