2. Ihr externer Datenschutzbeauftragter
Als externer Datenschutzbeauftragter möchte ich Ihnen den Datenschutz in Ihren Unternehmen, Betrieben, Kanzleien, Apotheken, medizinischen Praxen oder Vereinen vereinfachen und erleichtern.
Ziel der neuen Datenschutz-Grundverordnung (DSGVO) war und ist die Vereinheitlichung des Datenschutzrechts und die Festlegung von Datenschutzstandards in der EU. Ebenso zählen hierzu die Kontrollrechte und die Verschärfung von Strafen und Pflichten bei der Verarbeitung von personenbezogenen Daten. Aufgrund der neuen EU-Regel sind öffentliche Einrichtungen und nicht öffentliche, wie z.B. Unternehmen, Betriebe, Kanzleien, Apotheken, medizinischen Praxen oder Vereine verpflichtet, die rechtlichen Datenschutzbestimmungen der EU umzusetzen und einzuhalten.
2.2. Ab wann ist die Bestellung eines Datenschutzbeauftragten pflichtig und freiwillig
2.2.1. Bestellpflicht
Haben Sie als Verantwortlicher Ihrer Praxis, Kanzlei, Ihres Unternehmens, Handel/Handwerks -Betriebes oder Vereins mindestens 20 Personen beschäftigt, die sich in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten befassen, sind Sie nach BDSG § 38 und DSGVO Art 37-39 verpflichtet einen Datenschutzbeauftragten zu benennen und der Aufsichtsbehörde des jeweiligen Bundeslandes zu melden. Laut GDD sollte ebenso beachtet werden, ob der Mindestwert von 20 Personen über einen Zeitraum von einem Jahr erreicht wurde, bzw. im Rahmen einer vorausschauenden Betrachtung erreicht werden wird. „Sich in der Regel ständig mit personenbezogenen Daten zu beschäftigen“ bedeutet nicht zwangsläufig, dass der Umgang mit personenbezogenen Daten den Kern der Tätigkeit des Beschäftigten bildet, wie dies z.B. bei Mitarbeitern der Personalabteilung der Fall ist. Ausreichend ist vielmehr, dass im Rahmen der konkreten Tätigkeit auch mit personenbezogenen Daten umgegangen wird. Dies ist bereits bei Anbindung an Kommunikationssysteme wie z.B. Outlook und/oder Zugriff auf unternehmenseigene Adressverzeichnisse der Fall. Solche Mitarbeiter sind im Hinblick auf die Benennungspflicht ebenso mitzuzählen, wie Mitarbeiter, die keine weiteren Kompetenzen haben, als sich nur personenbezogene Daten anzeigen zu lassen.
Unabhängig von der oben genannten Anzahl der Person muss auch dann ein Datenschutzbeauftragter bestellt und gemeldet werden, wenn der Verantwortliche Verarbeitungen von personenbezogenen Daten vornimmt,
- die der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.
- die zum Zwecke der Übermittlung oder Markt- und Meinungsforschung dienen. Darunter fallen insbesondere Wirtschaftsauskunfteien, Adresshändler sowie Markt- und Meinungsforschungsinstitute.
- die Kerntätigkeit der Verantwortlichen besteht in der umfangreichen oder systematischen Überwachung von betroffenen Personen (Art. 37 Abs. 1 Buchst. b DSGVO). Überwachung meint nicht nur Videoüberwachung, Detekteien und private Sicherheitsunternehmen, sondern z.B. auch die Nachverfolgung des Surfverhaltens im Internet oder des Kaufverhaltens durch ein Treueprogramm.
- die Kerntätigkeit der Verantwortlichen umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen (Art. 37 Abs. 1 Buchst. c DSGVO).
2.2.2. Freiwillige Bestellung
Alle Unternehmen oder Einrichtungen, die nicht der oben genannten Bestellpflichten unterliegen, können selbst entscheiden, ob Sie lieber einen nach Art. 37 Abs. 4 DSGVO freiwillig bestellten Datenschutzbeauftragten einsetzen wollen oder selbst die DSGVO umsetzen, mit allen Konsequenzen, die bei Fehlern drohen. Entscheidendes Argument für eine Benennung auch ohne Pflicht ist, dass Datenschutzbeauftragte einen zentralen Beitrag zur Gewährleistung von Datenschutzkonformität und damit zur Vermeidung von Unternehmensrisiken darstellen.
Ebenso liefert die DSGVO in Art. 57 Abs. 3 einen weiteren Grund für die Benennung eines freiwilligen Datenschutzbeauftragten, da hierdurch ein unentgeltlicher Anspruch auf Beratung durch die Aufsichtsbehörde besteht.
2.3. Meine Empfehlung an alle Verantwortlichen
Meine Empfehlung als kompetenter und erfahrener Datenschutzbeauftragter an alle Verantwortlichen, egal ob bestellpflichtig oder freiwillig; wenn Sie selbst keine Zeit oder nicht über die nötige Person oder Ressource im eigenen Unternehmen verfügen, um die Datenschutzbestimmungen entsprechend umzusetzen und zu kontrollieren, ist mein Einsatz als externer Datenschutzbeauftragter eine kostengünstige und praxisgerechte Alternative. Ebenso bin ich Ihr Ansprechpartner, der Sie auch unterstützt, wenn es um Datenschutzverletzungen geht. In bestimmten Fällen sind Sie sogar rechtlich verpflichtet, Datenschutzverletzungen an die Aufsichtsbehörde Ihres Bundeslandes zu melden.
2.4. Überschaubare und kalkulierbare Kosten für meine Dienstleistungen
Mein Datenschutzkonzept beruht auf Analyse und Projektierung. Maßnahmen zum Datenschutz, die Sie im Unternehmen schon einmal umgesetzt haben, werden von mir überprüft und ggf. ergänzt. Der Aufwand für die Umsetzung oder Überprüfung der DSGVO und BDSG für Handwerks- Handelsbetriebe oder Vereine ist gegenüber den Unternehmen, die gesetzlich verpflichtet sind einen Datenschutzbeauftragten zu benennen, überschaubar und nicht so komplex.
Seit Anfang 2018 bin ich als Datenschutzbeauftragter tätig, ebenso kann ich auf mehr als 35 Jahre lange Erfahrungen und Fachkenntnisse im Bereich IT und Management, die ich in mehreren mittelständischen Unternehmen und Softwareunternehmen ausüben durfte, zurückgreifen.
Gegenüber meinen Mitbewerbern biete ich meine Dienstleistungen als externer Datenschutzbeauftragter pro Stunde unter dem dreistelligen Preissegment an. Sehr viel Wert lege ich auch darauf, Ihnen meine Dienstleistungen bedarfsgerecht und kundenorientiert anzubieten. Ich berechne nur die Zeiten für meine Leistungen, die für Sie transparent und nachvollziehbar sind.
Ebenso möchte ich für kleine und mittelständische Unternehmen außer eine preiswerte, auch eine pragmatische Alternative sein. Warum pragmatisch, weil ich Ihnen aufgrund meiner jahrzehntelangen Erfahrungen die wesentlichen und wichtigen Schritte bei der Umsetzung der DSGVO aufzeigen und bedienen möchte. Des Weiteren müssen nach der Umsetzung der DSGVO mit Ihnen als Kunde, die nächsten Schritte und Aufgaben vereinbart werden, da die Nachweispflicht für Sie als Verantwortliche nicht am Tag der Umsetzung endet. In bestimmten Zeitzyklen oder Abschnitten sind Sie, bzw. ist der Verantwortliche weiterhin gesetzlich verpflichtet, die einmal umgesetzten Maßnahmen den aktuellen Richtlinien gemäß der DSGVO oder BDSG zu überprüfen und entsprechend zu evaluieren.
Was jeder Verantwortliche seit in Kraft treten der DSGVO vom 25. Mai 2018 noch wissen sollte, ist, dass auch die Umsetzungsfrist an diesem Tag endete. Die Aufsichtsbehörden warnen leider explizit nicht mehr auf Ihren Internetseiten, so dass die Schonfrist und die Toleranz der Datenschutzbehörden gegenüber den Verantwortlichen vorbei sind, wenn diese ihren verpflichtenden Maßnahmen zum Datenschutz bis heute nicht nachgekommen sind. Die Statista GmbH aus Hamburg und Bitkom e.V. hat im September 2021 das Ergebnis einer Umfrage zum Stand der Umsetzung der DSGVO in Deutschland im Jahr 2021 veröffentlicht. Zum Zeitpunkt der Erhebung gaben nur 45 Prozent der 502 befragten Unternehmen an, die Richtlinien der DSGVO größtenteils umgesetzt zu haben.
