Nach Artikel 37 der europäischen Datenschutz-Grundverordnung (DSGVO) ist ein Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn mehr als 9 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

 

Der Datenschutzbeauftragte im Unternehmen:

Er wirkt auf die Einhaltung der gesetzlichen Vorschriften hin. Das sind im Detail folgende Aufgaben:

  • Mitwirkung beim Aufbau gesetzeskonformer Verfahrensanweisungen,
  • Unterstützung bei der Erstellung des Datenschutzkonzeptes,
  • Pflege des Verarbeitungsverzeichnisses (Art. 30 DSGVO),
  • Vorabkontrolle von neuen Datenverarbeitungsverfahren (nach DSGVO: Datenschutz-Folgenabschätzung, Artikel 35)
  • datenschutzgerechte Beratung bei der Beschaffung von Systemen, die personenbezogene Daten verarbeiten,
  • Mitwirkung bei Verträgen zum Datenaustausch, auch und gerade ins Ausland,
  • Empfehlungen zur Archivierung von Daten, Unterlagen und E-Mails,
  • Beantwortung interner und externer Anfragen zum Thema Datenschutz,
  • Sensibilisierung und Schulung der Mitarbeiter zum Thema „Schutz personen­bezogener Daten“,
  • Kommunikation und Zusammenarbeit mit der Aufsichtsbehörde,
  • Regelmäßige Datenschutzberichte an die GL.

 

Bevor die eigentliche Tätigkeit beginnt, werden folgende Dinge durchgeführt:

  • Übergabe und Prüfung der Dokumente (Datenschutzkonzept, Verzeichnisse, Verfahrensdokumentationen, …)
  • Festlegung des Vorabaufwands (Bestandsaufnahme, Prüfung der Verfahrensanweisungen, Prüfung der technischen und organisatorischen Maßnahmen, Prüfung vorhandener Auftragsdatenverarbeitungen, …)

 

Ein externer Datenschutzbeauftragter bietet vor allem folgende Vorteile:
  • keine Aus- und Weiterbildungskosten für das Unternehmen,
  • keine Zeit- oder Interessenkollisionen mit anderen Aufgaben im Unternehmen,
  • gute Planbarkeit durch feste Zeiten und fixe Kosten.

Einen ausführlichen Vergleich zwischen internem und externem Datenschutzbeauftragten finden Sie hier.

 

Für Unternehmen, die aufgrund ihrer Größe nicht verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, kann das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO z.B. als zeitlich begrenztes Projekt erstellt werden. Nach der Fertigstellung kann das Unternehmen die weitere Pflege selbst durchführen, oder Änderungen werden wieder als Einzelprojekte vorgenommen.