Externe Datenschutzbeauftragte (DSBs)
in Hannover, Bremen, Norddeutschland und deutschlandweit

Trennlinie

Wir sind für Sie da: Benennung eines externen Datenschutzbeauftragten (DSB)

Das bedeutet für Sie: Wir konzentrieren uns auf Ihre Datenschutzangelegenheiten, Sie können sich auf Ihren Geschäftserfolg fokussieren.

Nach dem ersten Schritt, der Einführung des Datenschutz-Management (DSMS), helfen wir Ihnen im zweiten Schritt dabei, den Prozess Datenschutz in Ihrer Organisation auch zu leben.

Wir begleiten Sie Schritt für Schritt bei allen datenschutzrechtlichen Fragen, unterstützen Sie z.B. bei der Kommunikation zum Thema Datenschutz mit Dritten und versorgen Sie mit Sensibilisierungsmaterialien für Ihre Mitarbeiter.

Wir sind für Sie in allen Situationen, in denen wir als Ihre Datenschutzberater tätig werden müssen, für Sie da.

Diese Gründe sprechen für einen externen Datenschutzbeauftragten von scope & focus...

Für einen externen Datenschutzbeauftragten (DSB) von scope & focus sprechen viele gute Gründe:

  • Unsere externen Datenschutzbeauftragten (DSBs) verfügen bereits über Fachkunde und können mit der Umsetzung des Datenschutzes in der Organisation direkt beginnen.
  • Mit unseren externen Datenschutzbeauftragten (DSBs) haben Sie planbare und transparente Kosten.
  • Unsere externen Datenschutzbeauftragten (DSBs) sind unvoreingenommen und haben keinen Interessenkonflikt.
  • Unsere externen Datenschutzbeauftragten (DSBs) können von Ihnen jederzeit abberufen werden.
  • Unsere Datenschutzbeauftragten (DSBs) verfügen alle über Stellvertreter.
  • Im Gegensatz zum internen Datenschutzbeauftragten (DSB) kein erweiterterter Kündigungsschutz.
  • Erweiterte Haftung des externen Datenschutzbeauftragten (DSB) im Vergleich zum internen Datenschutzbeauftragten (DSB).

Unterstützung von einem Team von Datenschutzspezialisten

Die Datenschutzbeauftragten (DSB) von scope & focus greifen auf das Wissen und die Fähigkeiten weiterer Spezialisten zurück, also

  • Spezialisten zur Informationssicherheit,
  • eine Rechtsabteilung,
  • ein Auditoren-Team und
  • ein Backoffice.

Wenn Sie einen Datenschutzbeauftragten (DSB) von scope & focus verpflichten, arbeiten Sie also nicht mit einem Einzelkämpfer, Sie haben im Hintergrund ein Spezialistenteam.

Individuelle Lösungen, basierend auf Datenschutz-Standards

Unsere Datenschutz-Lösungen basieren auf Datenschutz-Standards. Standards und Normen sind Best-Practices und müssen individuell auf Organisationen angewendet werden. Die Umsetzung eines Standards in einer Organisation kann sehr unterschiedlich aussehen und ist von vielen Faktoren abhängig:

  • Mitarbeiteranzahl
  • Branche
  • Bestehende Datenschutz-Kompetenz in der Organisation und
  • viele weitere Anforderungen.

Ein Datenschutzbeauftragter (DSB) von scope & focus kann aufgrund der langjährigen Firmenerfahrungen bei der Implementierung eines Datenschutz-Managementsystems (DSMS) auf viele bestehende Arbeitsmittel zurückgreifen.

Auf Wunsch können wir die folgenden ISO-Standards umsetzen:

  • ISO/IEC 27552 Informationstechnik - Sicherheitsverfahren - Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Datenschutzmanagement - Anforderungen und Leitfaden
  • DIN EN ISO/IEC 27001:2017 Informationstechnik - Sicherheitsverfahren - Informationssicherheitsmanagementsysteme - Anforderungen
  • DIN ISO 31000:2018 Risikomanagement - Leitlinien (ISO 31000:2018)
  • ISO/IEC 29134:2017 Informationstechnik - Sicherheitsverfahren - Datenschutz-Folgenabschätzung - Leitfaden

Auf Wunsch können wir folgende BSI-Standards anwenden:

  • IT-Grundschutz
  • und IDSM7 als System für KMU, entwickelt vom bayerischen IT-Sicherheitscluster e.V.

Auf Wunsch können wir den folgenden VdS-Standard anwenden:

  • VdS 10010 - VdS-Richtlinien zur Umsetzung der DSGVO - Anforderungen
Externer Datenschutzbeauftragter oder Ihr persönlicher Datenschutz-Coach

Wie läuft die Einführung des Datenschutzes in Organisationen ab?

Die Umsetzung des gesetzlichen Datenschutzes ist kein Projekt (Anfang - Ende), es ist ein Prozess (Iterationen). Aus diesem Grund wenden wir den PDCA-Zyklus (auch Deming-Kreis) an, die Einführung umfasst dabei nur zwei Phasen des PDCA-Zyklusses (Plan-Phase und Do-Phase) und orientieren uns hierbei an dem Vorgehensmodell der ISO:

  • Kontext der Organisation bestimmen (zum Beispiel Datenschutz-Anforderungen bestimmen und räumlichen Anwendungsbereich festlegen)
  • Führung (zum Beispiel Datenschutzleitlinie erstellen, verabschieden und veröffentlichen, Governance festlegen)
  • Planung (zum Beispiel Datenschutz-Risikoanalyse durchführen, erforderliche Datenschutzmaßnahmen bestimmen)
  • Unterstützung (zum Beispiel Mitarbeitersensibilisierung planen)

Wir haben für Sie die Umsetzung der Datenschutz-Grundverordnung (DSGVO) ausführlich in einer Inforgrafik abgebildet. Wenn Sie wissen möchten, wie wir den Datenschutz in Organisationen abbilden, dann laden sich bitte die Infografik 3: Roadmap zur Umsetzung der DSGVO herunter.

Fachliche Schwerpunkte des Datenschutz-Managementsystems (DSMS)

Die folgenden 10 Domänen bilden in unseren Datenschutz-Managementsystemen (DSMS) einen Schwerpunkt:

  1. 1. Benennung eines Datenschutzbeauftragten (DSB)
  2. 2. Erstellung des Verzeichnisses der Verarbeitungstätigkeiten (VVT)
  3. 3. Aufnahme der Informationssicherheit bei der Verarbeitung personenbezogener Daten
  4. 4. Prüfung der Rechtsgrundlagen bei der Verarbeitung personenbezogener Daten
  5. 5. Prüfung der Auftragsverarbeitungen
  6. 6. Prüfung der Einhaltung der Informationspflichten nach Artt. 13 und 14 DSGVO
  7. 7. Prüfungen der Einwilligungen
  8. 8. Regelung der Wahrung der Betroffenenrechte
  9. 9. Regelung des Umgangs mit Datenschutzvorfällen
  10. 10. Mitarbeiterschulungen

Sollten Sie sich genauer dafür interessieren, welche Maßnahmen wir ergreifen, damit auch ihre Organisation datenschutzkonform sein kann, dann empfehlen wir Ihnen den Blick in die Infografik 1: 10 Punkte zur Datenschutz-Compliance nach DSGVO.

Besonderheiten des Datenschutzmanagementsystems (DSMS) von scope & focus

Auf einer eigenen Seite haben wir ihnen die Besonderheiten aufgeführt, die uns von unseren Mitbewerbern unterscheiden. Bitte beachten Sie auch diese Punkte.

Bestellen Sie uns in Hannover, Bremen, Norddeutschland oder deutschlandweit

Gerne stellen wir externe Datenschutzbeauftragte (DSBs) an unseren Standorten in Hannover und Bremen. Natürlich sind wir auch darüber hinaus gerne tätig in Norddeutschland:

  • Niedersachsen (zum Beispiel in Braunschweig, Wolfsburg, Osnabrück, Göttingen, Salzgitter, Hildesheim, Goslar, Peine, Lehrte, Delmenhorst, Wilhelmshaven)
  • Bremen, Bremerhaven
  • Hamburg
  • Schleswig-Holstein

Gerne erfüllen wir die Aufgaben des externen Datenschutzbeauftragten auch bundesweit, wenn eine Benennung unter Reisegesichtspunkten wirtschaftlich sinnvoll ist.

Sie möchten mehr Informationen zu Externen Datenschutzbeauftragten von scope & focus?

  • Sie haben Fragen zu unseren Dienstleistungen?
  • Sie wünschen ein Beratungsgespräch mit uns?
  • Sie möchten ein Angebot von uns haben?

Wir helfen gerne weiter!

Informationen zum Datenschutzbeauftragten (DSB)

Pflicht zur Benennung eines Datenschutzbeauftragten (DSB)

Hier muss zwischen öffentlichen (Unternehmen, Freie Berufe) und nicht-öffentlichen Stellen (Behörden, Kommunen) unterschieden werden. Öffentliche Stellen haben grundsätzlich einen Datenschutzbeauftragten zu bestellen.

1. Beobachtung von Betroffenen

Artikel 37 Abs. 1 lit. b) DSGVO: Eine Kerntätigkeit des Verantwortlichen ist die umfangreiche und systematische Beobachtung von Betroffenen, z. B. Detekteien, Marketing auf Basis von Kundenprofilen.

2. Verarbeitung sensibler Daten / besondere Verarbeitungen

Artikel 37 Abs. 1 lit. c) Eine Kerntätigkeit des Verantwortlichen ist die Umfangreiche Verarbeitung besonderer Kategorien von Daten (Artikel 9 DSGVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10 DSGVO).

3. Größengrenze

§ 38 Abs. 1 Satz 2 BDSG 2018: Der Verantwortliche und der Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

4. Datenschutz-Folgenabschätzung

Das BDSG-neu sieht auch noch ein weiteres Kriterium zur Bestellung vor: die Datenschutz-Folgenabschätzung. Sollte der verantwortliche einen Verarbeitungstätigkeit durchführen die einer Datenschutz-Folgenabschätzung unterliegt, so muss auch in diesem Fall größenunabhängig ein Datenschutzbeauftragter bestellt werden. Eine Datenschutz-Folgenabschätzung ist immer dann durchzuführen, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Dies ist zum Beispiel der Fall, wenn eine großflächige Videoüberwachung vorgenommen wird.

Unabhängigkeit der Benennungspflicht von der Pflicht zur Datenschutzkonformität

In der Beratungspraxis stellen wir immer wieder fest, dass von Verantwortlichen die Auffassung vertreten wird, wenn kein Datenschutzbeauftragter zu bestellen sei, muss dder Verantwortliche auch das Datenschutzgesetz nicht beachten. Diese Auffassung ist gefährlich, weil sie absolut falsch ist. Stattdessen gilt folgendes:

  • Die DSGVO (oder auch das BDSG-neu) ist durch alle Verantwortliche zu beachten und einzuhalten.
  • Ist kein Datenschutzbeauftragter zu bestellen, so sind seine Aufgaben durch die Leitung wahrzunehmen.

Eine Befreiung von der Einhaltung des Datenschutzrechts, weil der Verantwortliche keinen Datenschutzbeauftragten bestellen muss, kann aus dem Gesetz nicht entnommen werden.

Pflicht zur Meldung der Benennung und Abberufung des Datenschutzbeauftragten

Hat der Verantwortliche einen Datenschutzbeauftragten zu benennen, dann muss die Benennung oder Abberufung des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde unverzüglich gemeldet werden.

Anforderung an die Person des Datenschutzbeauftragten

Der Verantwortliche muss bei der Bestellung eines Datenschutzbeauftragten darauf achten, dass der Datenschutzbeauftragte

„auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.“ (Artikel 37 Absatz 5 DSGVO). Die Bestellung eines internen oder eines externen Datenschutzbeauftragten ist möglich.

Vor einer Bestellung sollte sich die Leitung der Organisation durch Vorlage eines Fachkundenachweises davon überzeugen, dass externe Datenschutzbeauftragte auch über die erforderliche Fachkunde verfügen. Bei internen Datenschutzbeauftragten wird diese Fachkunde meistens erst aufzubauen sein.

Aufgaben des Datenschutzbeauftragten

In Artikel 39 DSGVO werden die Aufgaben eines Datenschutzbeauftragten definiert, dies sind:

  • Unterrichtung und Beratung
  • Überwachung der Einhaltung des Datenschutzes
  • Beratung bei Datenschutz-Folgenabschätzungen
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Pflicht zur risikoorientierten Tätigkeit

Abgrenzung zum Datenschutzverantwortlichen und Datenschutzkoordinator

Die Leitung trägt die Verantwortung für die Umsetzung des Datenschutzes in der Organisation. Somit liegt die Organisationverantwortung, die Überwachung der Umsetzung und die Bereitstellung der erforderlichen Ressourcen bei der Leitung. Etwaige Bußgelder werden nicht gegen den Datenschutzbeauftragten, sondern gegen den Verantwortlichen ausgesprochen.

Die Fachabteilungen und der Datenschutzkoordinator sind dafür zuständig, dass die Anweisung der Leitung zur Umsetzung des Datenschutzes eingehalten werden. Dazu gehören zum Beispiel Einhaltung der technischen und organisatorischen Maßnahmen, Umgang mit Datenpannen, Umgang mit betroffenen Rechten oder auch die Einhaltung der Transparenzpflichten.

Stellung des Datenschutzbeauftragten

Der Datenschutzbeauftragte führt seine fachlichen Tätigkeiten generell weisungsunabhängig aus. Er muss der Leitung unmittelbar berichten können.

Damit er seine Beratungstätigkeit ausführen kann, muss er

  • frühzeitig in alle datenschutzrelevanten Vorhaben eingebunden werden,
  • bei seiner Aufgabenerfüllung unterstützt werden,
  • über ausreichende Ressourcen zur Aufgabenerfüllung verfügen,
  • seine Fachkunde erhalten können.

Der Datenschutzbeauftragte ist im Rahmen seiner Beratungstätigkeit zur Geheimhaltung verpflichtet. Er vertritt auch die Interessen der Betroffenen.

Auch unter DSGVO Kein Konzernprivileg

Genau wie unter dem BDSG-2001 kennt auch die DSGVO kein Konzernprivileg. Das bedeutet, dass jede Organisation im Konzernverbund selber prüfen muss, ob sie einen Datenschutzbeauftragten bestellen muss.

Unabhängig davon ist die Benennung eines Konzerndatenschutzbeauftragten möglich. Das Konzernprivileg ist also von der Möglichkeit der Benennung eines Konzerndatenschutzbeauftragten zu trennen.