Externe Datenschutzbeauftragte

Rechtsanwälte mit TÜV-Zertifizierung

Externer DSB

Rechtsanwälte mit TÜV-Zertifizierung

Angebot anfordern

Datenschutzbeauftragter für Ihr Unternehmen

Wenn Sie eine persönliche Beratung genauso schätzen, wie belastbare Aussagen und ein tiefes Verständnis für Ihre Geschäftsprozesse, dann sind Sie bei uns genau richtig.

Wir freuen uns auf Ihre Nachricht und melden uns kurzfristig zurück, um Ihren Bedarf zu besprechen. Sie erhalten dann ein auf Ihr Unternehmen zugeschnittenes Angebot.

Wie ist Ihr Unternehmen organisiert?

Gibt oder gab es bereits einen Datenschutzbeauftragten?

12 + 10 =

Beratung ist Vertrauenssache

Die Tätigkeit als externer Datenschutzbeauftragter ist seit 2010 unser Geschäft. Und das verstehen wir genauso gut, wie die Anforderungen der Unternehmen an praxistaugliche Lösungen und eine solide Datenschutz-Compliance. Lernen Sie unser Team kennen. 

Rechtsanwälte

Rechtsanwälte mit fundierter Expertise im Datenschutz-, Online- und Vertriebsrecht. 

TÜV-Zertifizierung

Datenschutzbeauftragte mit TÜV-zertifizierter Fachkunde.

Erfahrung

Langjährige Beratung und Prüfung, u.a. durch Tätigkeit in Datenschutz-Aufsichtsbehörden.

Praktisch

Praxistaugliche DSGVO-Konzepte, modernes eLearning für Ihre Beschäftigten. 

Verständlich

Wir erklären auch Kompliziertes so einfach wie möglich – ohne zu vereinfachen. 

Digital

Unmittelbare und schnelle Kommunikation – per E-Mail, Private-Cloud, Telefon & Co.

"Die Datenschutzkanzlei begleitet uns nun schon seit einigen Jahren bei der Gestaltung der Datenschutzprozesse in der Verlagsgruppe. Wir schätzen die kompetente und zielführende Art, mit der unser Datenschutzbeauftragter und sein Team uns beraten und die verschiedenen Interessen in den Blick nehmen. Ein Vorteil ist, dass wir auch bei Rechtsfragen zu unseren digitalen Geschäftsmodellen fundierten Rat bekommen. "

Christian Röpke
Chief Digital Officer der ZEIT-Verlagsgruppe

"Gerade als Online-Marktplatz hatten wir schon etwas Respekt vor den Herausforderungen des Datenschutzes. Aber David konnte uns hervorragend durch den Dschungel des Datenschutzes navigieren und unsere Abläufe datenschutzkonform gestalten."

Cécile Wickmann
Gründerin und CEO von REBELLE

So arbeiten wir zusammen

Wir setzen auf einen Mix aus standardisierten Leistungen und persönlicher Betreuung. In der Beratung als Rechtsanwälte und Datenschutzbeauftragte befassen wir uns täglich mit Fragen rund um Datenverarbeitung, Datenschutz-Management und Risikoeinschätzungen. Unsere Erfahrung ist Ihr Vorteil.  

Angebot und Vertrag

Wenn wir Ihren Bedarf geklärt haben, erhalten Sie ein verbindliches Angebot. Die Höhe der monatlichen Pauschale hängt von der Größe Ihres Unternehmens und dem Umfang der Datenverarbeitung ab. Idealerweise lernen wir uns persönlich kennen, bevor Sie sich entscheiden. Sobald der Beratervertrag geschlossen ist, kann die Benennung zum Datenschutzbeauftragten erfolgen. 

Analyse und Setup

Zu Beginn lernen wir Sie und Ihr Unternehmen kennen. Im Rahmen der Bestandsaufnahme stellen wir das bestehende Datenschutzniveau fest und schaffen die Basis für die laufende Beratung und den Aufbau Ihres Datenschutz-Managements.  Mit unseren ausgereiften Konzepten unterstützen wir Sie bei der Umsetzung der DSGVO-Vorgaben. Damit haben Sie die gesetzlichen Anforderungen jederzeit nachweisbar im Griff.

Analyse und Setup

Zu Beginn lernen wir Sie und Ihr Unternehmen kennen. Im Rahmen der Bestandsaufnahme stellen wir das bestehende Datenschutzniveau fest und schaffen die Basis für die laufende Beratung und den Aufbau Ihres Datenschutz-Managements.  Mit unseren ausgereiften Konzepten unterstützen wir Sie bei der Umsetzung der DSGVO-Vorgaben. Damit haben Sie die gesetzlichen Anforderungen jederzeit nachweisbar im Griff.

Mitarbeiterschulung

Die Schulung der Beschäftigten ist ein wichtiger Baustein Ihres Datenschutzes. Dank unserer eigenen eLearning-Plattform können wir auch große Teilnehmerzahlen schnell und flexibel bewältigen. Je nach Bedarf führen wir ergänzende Workshops und Vertiefungsschulungen durch – bei Ihnen oder bei uns. 

Laufende Betreuung

Ihr Datenschutzbeauftragter ist für Sie da und begleitet Ihre Datenschutzthemen. Die übliche Beratung per Telefon und E-Mail ist über die Pauschale abgedeckt. Rechtliche Stellungnahmen, Vertragsgestaltungen, Vertretung gegenüber Aufsichtsbehörden etc. werden nach Aufwand zu vereinbarten Stundensätzen abgerechnet. Selbstverständlich besprechen wir mit Ihnen stets im Vorwege, mit welchen Kosten Sie zu rechnen haben.

Laufende Betreuung

Ihr Datenschutzbeauftragter ist für Sie da und begleitet Ihre Datenschutzthemen. Die übliche Beratung per Telefon und E-Mail ist über die Pauschale abgedeckt. Rechtliche Stellungnahmen, Vertragsgestaltungen, Vertretung gegenüber Aufsichtsbehörden etc. werden nach Aufwand zu vereinbarten Stundensätzen abgerechnet. Selbstverständlich besprechen wir mit Ihnen stets im Vorwege, mit welchen Kosten Sie zu rechnen haben.

Häufige Fragen zum Datenschutzbeauftragten

Wann muss ein Datenschutzbeauftragter benannt werden?

Eine generelle Pflicht zur Benennung eines Datenschutzbeauftragten besteht gemäß Art. 37 Abs. 1 DSGVO für Verantwortliche und Auftragsverarbeiter nur, wenn:

  • Ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Die Datenverarbeitung stellt in diesen Fällen also nicht nur eine unterstützende Randfunktion dar (wie etwa bei der Gehaltsabrechnung), sondern ist wesentliche Voraussetzung für die Haupttätigkeit.
  • Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht. Inwieweit eine „umfangreiche Verarbeitung“ vorliegt, richtet sich vor allem nach der Anzahl der betroffenen Personen, dem Umfang und der Verschiedenartigkeit sowie der geographischen Erstreckung der erhobenen Daten.

Diese Einschränkung der Benennungspflicht wird allerdings für deutsche Unternehmen keine praktische Relevanz erlangen, da Art. 37 Abs. 4 Satz 2 DSGVO eine Öffnungsklausel für die Mitgliedstaaten enthält. Gemäß § 38 Abs. 1 BDSG wird die erweiterte Benennungspflicht beibehalten. Danach musste ein Datenschutzbeauftragter zunächst benannt werden, wenn in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt waren. Diese Grenze wurde im Zuge des zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2.DSAnpUG) angehoben und auf 20 Personen erhöht.

Zudem bestimmt § 38 Abs. 1 Satz 2 BDSG eine Benennungspflicht, und zwar unabhängig von der Anzahl der Beschäftigten, wenn der Verantwortliche oder der Auftragsverarbeiter:

  • Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Sofern ein Unternehmen nach eingehender Prüfung zu der Einschätzung gelangt, keine Pflicht zur Ernennung eines Datenschutzbeauftragten zu haben, sollten die Grundlagen dieser Entscheidung genau dokumentiert werden (Rechenschaftspflicht).

Eine freiwillige Ernennung bleibt weiterhin möglich. Allerdings gilt in diesem Fall gemäß § 38 Abs. 2 BDSG nicht der erweiterte Kündigungsschutz.

Was gilt für Konzerne und Unternehmensgruppen?

Die Bestellung eines Konzerndatenschutzbeauftragten ist gemäß Art. 37 Abs. 2 DSGVO ausdrücklich möglich. Voraussetzung ist lediglich, dass der Datenschutzbeauftragte von jeder Niederlassung erreicht werden kann. Auch bei international tätigen Konzernen sollte der Datenschutzbeauftragte deshalb seinen Sitz in einer Niederlassung innerhalb der EU haben.

Was sind die Aufgaben des Datenschutzbeauftragten?

Der Datenschutzbeauftragte wirkt auf die Einhaltung der Datenschutzgesetze hin und ist der erste Ansprechpartner im Unternehmen, wenn es um Fragen zur Verarbeitung personenbezogener Daten geht.

Art. 37 Abs. 1 DSGVO zählt folgende Aufgaben des Datenschutzbeauftragten auf:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  • Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Art. 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Welche Voraussetzungen muss der Datenschutzbeauftragte erfüllen?

Zum Datenschutzbeauftragten kann nur bestellt werden, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt.

Die Fachkunde fußt auf der beruflichen Qualifikation, dem Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie auf der Eignung zur Erfüllung der oben genannten Aufgaben (Art. 37 Abs. 5 DSGVO). Dabei können bei komplexen Datenverarbeitungssystemen oder bei einer umfangreichen Verarbeitung sensibler Daten besondere Kenntnisse und Fähigkeiten erforderlich sein. Die Auswahl ist daher sorgfältig anhand der speziellen Gegebenheiten im Unternehmen zu treffen.

Mit Zuverlässigkeit ist die persönliche Integrität gemeint. Die Wahrnehmung gewisser anderer Aufgaben und Tätigkeiten kann zu einem Interessenkonflikt führen, der die Unabhängigkeit entfallen lässt (vgl. Art. 38 Abs. 6 Satz 2 DSGVO). Das kann z.B. bei einer gleichzeitigen Tätigkeit im Betriebsrat, Aufsichtsrat, in der Geschäftsführung oder auch bei Leitungsaufgaben in IT, Vertrieb, Marketing, Personal etc. der Fall sein. So hat beispielsweise das Bayerische Landesamt für Datenschutzaufsicht die Benennung eines IT-Verantwortlichen zum Datenschutzbeauftragten untersagt und mit einem Bußgeld belegt. Der Fall zeigt, dass die Aufsichtsbehörden die Unabhängigkeit des Datenschutzbeauftragten sehr ernst nehmen.

Interner oder externer Datenschutzbeauftragter?

Als Datenschutzbeauftragter kann gemäß Art. 37 Abs. 6 DSGVO sowohl ein Mitarbeiter des Unternehmens (interner Datenschutzbeauftragter) als auch ein Dritter auf Grundlage eines Dienstleistungsvertrags (externer Datenschutzbeauftragter) benannt werden.

Die Beauftragung eines externen Datenschutzbeauftragten bietet dabei einige Vorteile:

  • Durch die Auswahl eines geeigneten Dienstleisters sind Fachkunde und Zuverlässigkeit gesichert;
  • Unternehmen profitieren von der Erfahrung des Datenschutzbeauftragten aus einer Vielzahl von Mandaten mit häufig ähnlichen Herausforderungen und Fragestellungen;
  • Es entfallen die Kosten und Ausfallzeiten für die Aus- und Weiterbildung eines internen Datenschutzbeauftragten. Zudem kann der Datenschutzbeauftragte anhand des tatsächlich anfallenden Aufwands vergütet werden, was hohe Fixkosten und Bindung von Arbeitszeit vermeidet;
  • Die Verlagerung der Beratungshaftung auf den externen Datenschutzbeauftragten reduziert das Unternehmensrisiko;
  • Das Unternehmen bleibt durch den Abschluss eines Dienstvertrages mit dem externen Datenschutzbeauftragten flexibel. Gemäß § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG genießt der interne Datenschutzbeauftragte nämlich besonderen Kündigungsschutz.

Wie läuft die Zusammenarbeit mit dem Datenschutzbeauftragten?

Der Datenschutzbeauftragte muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden (Art. 38 Abs. 1 DSGVO). Dies bedeutet, dass der Datenschutzbeauftragte alle für die Einhaltung der Datenschutzvorschriften relevanten Informationen zu einem Zeitpunkt erhalten muss, der eine angemessene Bearbeitungszeit ermöglicht. Eine Einbindung bereits in der Planungsphase anstehender Datenschutzmaßnahmen kann insofern notwendig sein.

Der Verantwortliche bzw. Auftragsverarbeiter unterstützt den Datenschutzbeauftragten gemäß Art. 38 Abs. 2 DSGVO bei seinen Aufgaben durch die Bereitstellung des Zugangs zu den personenbezogenen Daten und Verarbeitungsvorgängen. Die ebenfalls erforderliche Bereitstellung der erforderlichen Ressourcen sowie die zur Erhaltung des Fachwissens erforderliche Schulungszeit betreffen hingegen primär interne Datenschutzbeauftragte. Der Datenschutzbeauftragte ist seinerseits verpflichtet, unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters über seine Arbeit Rechenschaft zu leisten (Art. 38 Abs. 3 DSGVO). Er bleibt hinsichtlich seiner Aufgaben allerdings unabhängig und ist nicht an Weisungen des Auftraggebers gebunden.

Wie erfolgt die Meldung des Datenschutzbeauftragten bei der Aufsichtsbehörde?

Verantwortliche und Auftragsverarbeiter müssen die Kontaktdaten ihres Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitteilen. Diese Pflicht ergibt sich aus Art. 37 Abs. 7 DSGVO. In der DSGVO ist aber nicht festgelegt, auf welchem Weg die Meldung erfolgen muss. Grundsätzlich kann die Meldung daher z.B. per E-Mail, Fax oder Brief erfolgen. Einige Aufsichtsbehörden stellen auf ihren Websites auch elektronische Meldeformulare bereit.