xDSB München

Pragmatische Datenschutz-Beratung für Ihr Unternehmen.
Externer geprüfter Datenschutzbeauftragter.

Warum Wir Ihren DSB stellen

Wird sind interdisziplinäre Experten in mehr Bereichen als nur Datenschutz.



Die meisten externen Datenschutzbeauftragten sind Juristen und kennen somit nur das Gesetz.
Da sich die DSGVO vor allem an der Verarbeitung personenbezogener Daten in Unternehmen betrachtet,
ist es natürlich am Wichtigsten sich die digitalen Prozesse im Unternehmen anzusehen.
Sie sehen, hier kommt ein Experte für Prozesse ins Spiel.

Unsere Unternehmen haben ihren Schwerpunkt in der Beratung von Unternehmen und den Menschen und Prozessen. 
So können wir aus unternehmerischer Sicht helfen den besten Weg zu gehen und damit den Datenschutz für Ihr Unternehmen ins richtige Licht rücken. Wir erklären auf Augenhöhe welche Informationen für Sie als Geschäftsführer und Entscheider wichtig sind – so sparen Sie Zeit und Energie, um sich mit dem Wichtigsten zu beschäftigen.


Erste Aufgaben des DSB bei Ihnen

Gemeinsam erstellen

Die wichtigsten Dokumente für die Erfüllung der Anforderungen der DSGVO müssen Sie nicht alleine erstellen.
Mit guten Vorlagen und viel Erfahrung kommen wir schnell gemeinsam zu einem guten Ergebnis. Die eigenen TOM, AV-Verträge und Verfahren, sowie notwenige Dokumentationen sind für Sie dann keine Hürde mehr...

Unterlagen prüfen

Verschiedene Dokumente sind vielleicht schon vorhanden – hier bringen wir schnell und effizient Licht ins Dunkel.
Wir prüfen gemeinsam AV-Verträge mit Dienstleistern und vervollständigen, was noch fehlt, um Sie rechtlich abzusichern ...

Digitale Welten prüfen

Website- bzw. Digital-Check:
Datenschutzerklärung, Newsletter mit Double-Opt-In, Kontakt-Formulare, Cookie-Warnung bzw. Cookie-Consent-Tools, SSL-Verschlüsselung, signierte und verschlüsselte Mails (S/MIME). Bring Your Own Device BYOD-Lösungen, Berechtigungs-, Lösch-, Freigabe-Konzepte. Backup und Wiederherstellungskonzepte für die Sicherheit und Integrität Ihrer IT-Infrastruktur. Was ist Stand der Technik und was müssen Sie als Geschäftsführer wissen?

Mitarbeiter schulen

Ein Unternehmen besteht nicht aus Regeln und Dokumenten, sondern in erster Linie aus Menschen.
Diese Mitarbeiter müssen mit einer Awareness-Schulung auf Datenschutz im täglichen Alltag sensibilisiert werden, um so selbst in ihrer Arbeitswelt die richtigen Entscheidungen zu treffen...

Unsere Datenschutz-Berater & Datenschutzbeauftragten

Philip Essinger, Dipl.-Ing. (FH)

geprüfter Datenschutzbeauftragter,
Datenschutzberater TÜV Süd (Sec-IT)

Erfahrungen mit IT-Sicherheit und Datenschutz:
6 Jahre Datenschutzbeauftragter verschiedener mittelständischer Firmen aus den Bereichen:
Neue Medien, Medizin, Immobilien, Tech.
20 Jahre Erfahrung mit 400+ digitalen Projekten.
15 Jahre Geschäftsführer der Digital-Agentur happy pixel GmbH.
Verantwortlich für Sicherheit und Datenschutz bei Projekten mit: Deutsche Post AG,  ACCOR HOTELS, Biogen, uvm.

Patrick M. Petzka

geprüfter Datenschutzbeauftragter
zertifizierter Compliance Officer 


Berater, Dozent, Autor, Verleger und Firmengründer. Sowohl als Experte in der Firmenberatung als auch auf Augenhöhe mit den Unternehmern als Geschäftsführer eines Verlagen und einer Management-Beratung.


Datenschutz Management

Überblick über Datenschutz-Strukturen im mittelständischen Unternehmen


Bei der ganzheitlichen Datenschutzberatung werden IT-Sicherheitsrisiken
und Abmahnrisiken gleichermaßen berücksichtigt.

Die eingehende externe Untersuchung startet zunächst mit der Außenwirkung,
bevor der Check sich nach innen richtet, zu den internen Abläufen.
Der Schwerpunkt der Betrachtung liegt natürlich auf der DSGVO bzw. GDPR.
Wir als Team sind allerdings auch Experten für den Aufbau eines ISMS (Informations-Sicherheits-Management-Systems).

Checkliste DSGVO

Damit ein klares Verständnis herrscht über den Terminus der Datenschützer,
haben wir hier einige Begriffe und deren Erklärung zusammengestellt. 

  • Auftragsverarbeitungsverträge (AVV)
    Dieser Vertrag regelt mit Ihren Dienstleistern den Umgang mit personenbezogene Daten aus Ihrem Business, z.B. Newsletter-Adresse, E-Mail-Provider, also welche Daten er bekommt, wie sie verarbeitet werden und zu welchem Zweck und natürlich auch wie sie gelöscht werden. Jeder Dienstleister der weisungsgebunden in Ihrem Auftrag personenbezogene Daten verarbeitet, muss einen AVV abschließen. Das Versäumnis kann mit EUR 5.000 bis 10.000 Bußgeld belegt werden.
  • Technisch-organisatorische Maßnahmen (TOM)
    Diese Dokumentation beschreibt wie Ihr Unternehmen technisch und organisatorisch aufgestellt ist und unsere Datenschützer erklären welche Basis vorhanden sein muss, um der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz gerecht zu werden.
  • Verfahren & Verfahrensverzeichnis (VVZ)
    In diesem Verzeichnis werden Ihre Prozesse bzw. Abläufe in Verfahren beschrieben. Wir haben eine große Erfahrung in der Analyse solcher Prozesse im Unternehmen und können Sie bei der Dokumentation pragmatisch ans Ziel führen. 
  • Weitere wichtige Dokumente, die Unternehmen beschreiben sollte bzw. für die DSGVO grundlegend sind:
    u.a. Richtlinien, Mitarbeitervereinbarungen, Arbeitsanweisungen, Datenschutzerklärung der Website.
    Um rechtlich und unternehmerisch vor Fehlentscheidungen abgesichert zu sein, sollten Sie einen Überblick über die Standards der Vertragswerke für Mitarbeiter, IT-Richtlinien und die Datenschutzerklärung der Internetseite, sowie der wichtigsten Abläufe bei Kundenanfragen bezüglich Auskunftsrecht haben. Wir unterstützen gerne hier einen schnellen Überblick zu bekommen.

Fragen an den Datenschutzbeauftragten

Wer braucht einen Datenschutzbeauftragten? Bzw. ab wie vielen Mitarbeiten benötigt ein Unternehmen einen DSB?

Die DSGVO selber regelt die genaue Anzahl der Mitarbeiter nicht, weil davon ausgegangen wird, dass jedes Unternehmen einen Datenschutzbeauftragten verpflichtet.


In Deutschland wurde allerdings eine Verpflichtung festgelegt, dass Unternehmen mit 20 Mitarbeitern, die regelmäßig mit der Verarbeitung von personenbezogenen Daten zu tun haben, einen Datenschutzbeauftragten bestellen / benennen müssen (die Schwelle lag am Anfang bei 10 Personen). Benennen bedeutet, dass der DSB bei der Aufsichtsbehörde benannt – also gemeldet werden muss.

Das bedeutet jedoch nicht, dass Unternehmen mit unter 20 Mitarbeiter keinen Datenschutz machen müssen oder von den anderen Pflichten
(-> siehe unten FAQs zur DSGVO) befreit sind, ganz im Gegenteil, die DSGVO gilt für Jeden und jedes Unternehmen mit Firmensitz in der EU.

Was machen Unternehmen mit
unter 20 Mitarbeitern?

Für alle Kleinunternehmen (<20 Mitarbeiter)
oder Unternehmen, die nur in der Buchhaltung und Auftragsverwaltung mit personenbezogenen Daten in Berührung kommen gilt, dass der Geschäftsführer alleinig in die Haftung für den Datenschutz genommen wird.

Der Geschäftsführer muss sich um alle Belange der DSGVO, Datenschutz und Datensicherheit kümmern und ist dazu verpflichtet der Verordnung in allen Punkten nachzukommen. Hier gilt der alte Spruch: "Unwissenheit, schützt nicht vor dem Gesetz!".
Das bedeutet auch diese Firmen sollten sich zumindest von einem Datenschutzberater einen Check machen lassen und sich zu den relevanten Datenschutz-Themen beraten lassen.

Was macht ein Datenschutzbeauftragter?

Die Funktion und Aufgaben des Datenschutzbeauftragten ergeben sich unmittelbar aus dem Gesetz, wie folgt... (Auszug)


• Unterrichtung, Schulungen und Beratung hinsichtlich der Datenschutzpflichten

• Beratung Betroffener hinsichtlich Datenschutzfragen und Betroffenenrechte

• Beratung bei der Datenschutzfolgeabschätzung

(Pflicht des Verantwortlichen zur Konsultation gemäß Art. 35 Abs.2 DSGVO)

• Überwachung auf Einhaltung DSGVO und anderer Rechtsvorschriften für Ihr Unternehmen

• Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter 

Welcher Mitarbeiter darf nicht Datenschutzbeauftragter werden?

Design out of the box

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Nam erat libero, bibendum in libero tempor, luctus volutpat ligula. Integer fringilla porttitor pretium. Nam erat felis, iaculis id justo ut, ullamcorper feugiat elit. Proin vel lectus auctor, porttitor ligula vitae, convallis leo. In eget massa elit.

Wer darf Datenschutzbeauftragter sein?

Ob ein Mitarbeiter Datenschutzbeauftragter im eigenen Unternehmen sein darf hängt primär von zwei Punkten ab:


1. Gibt es einen Interessenkonflikt im Tätigkeitsumfeld des Mitarbeiters?
2. Ist die notwendige Fachkunde beim Mitarbeiter vorhanden?


Im BDSG (Bundesdatenschutzgesetz) unter § 4f Abs. 2 steht dazu:
Nur wer zum Zeitpunkt der Bestellung über die erforderliche Fachkunde und Zuverlässigkeit verfügt darf zum Datenschutzbeauftragten bestellt werden.

Aber was bedeutet Zuverlässigkeit im Sinne des BDSG bzw. der DSGVO?
Unter Zuverlässigkeit ist keine klare Definition von Gesetzgeber, allerdings haben die ersten Jahre der Umsetzung der DSGVO und die Zusammenarbeit mit den Aufsichtsbehörden gezeigt, das die wichtigsten Merkmale für Zuverlässigkeit folgende Kriterien fordern:
- Schweige- oder Geheimnispflichten
- keine Interessenkollisionen mit Aufgaben oder anderen Abteilungen

Wer darf nicht
Datenschutzbeauftragter werden?

Das Thema Interessenkonflikt als Ausschlusskriterium hier in einigen Beispielen:

Der IT-Leiter als Datenschutzbeauftragter hätte einen täglichen Konflikt weil er interne Kontrollen zur IT-Sicherheit und zu Nutzerrechten anstellen muss, aber diese Konzepte selber einbringt und auch im Unternhemen dafür verantwortlich ist. 

Vertretungsberechtigte Person des Unternehmens, also z.B. den Geschäftsführer einer GmbH.
Auch die Geschäftsleitung kommt aufgrund der Interessenkollision nicht als Datenschutzbeauftragter in Betracht, da er sicherlich alles für sein Unternehmen einbringt aber unter Umständen Datenschutzthemen nicht die nötige Priorität einräumt.

Auch die Leitung der Personalabteilung kommt unter diesen Gesichtspunkten nicht als Datenschutzbeauftragter in Betracht – auch wenn hierüber noch Diskussionen herrschen.

Was bedeutet nötige Fachkunde?

Fachkunde und Eignung von Mitarbeitern bzw. Vorteil von externen DSBs...


Externe Datenschutzbeauftragte werden einer Datenschutz-Ausbildung und einer Fachkundeprüfung unterzogen. Für interne Datenschutzbeauftrage gibt es auch Schulungen mit Fachkundeprüfung, aber es ist für betriebliche Datenschutzbeauftrage tatsächlich keine Pflicht eine Fachkundeprüfung abzulegen – allerdings ist es natürlich eine Frage der Haftung. Wenn ein Mitarbeiter als interner DSB bestellt wird und dieser keine Ausbildung und somit auch keine Fachkunde besitzt, ist dies natürlich die Entscheidung des Geschäftsführers.
Nun dürfen Sie raten wer damit auch verantwortlich ist, wenn es auf Grund von Unwissenheit zu Fehlentscheidungen kommt... Sie!

Was kostet ein Datenschutzbeauftragter?

Erster Überblick über die Kosten...

Diese Frage hängt natürlich von ein paar Faktoren ab und ist somit nicht pauschal zu beantworten. Trotzdem gibt es natürlich Monatspauschalen (in der Regel €300,- für Ihren bei der Aufsichtsbehörde benannten Datenschutzbeauftragten inklusive einer Beratungsstunde für Ad-hoc Themen pro Monat).

Die Erfahrungswerte für einen Datenschutz-Check-up – also die erste Bestandsaufnahme Ihres Unternehmens – liegt bei 1 bis 4 Tagessätze,  je nach Unternehmensgröße.
Der Aufwand für die Erstellung der nötigen Dokumente für Ihr Unternehmen ist sehr stark von der Zeit abhängig, die mein Ansprechpartner im Unternhemen für den Datenschutz hat – hat er keine Zeit, dann übernehme ich gerne, nur dann kommen natürlich auch mehr Tagessätze zusammen.

Mehr Fragen? Individuelles Angebot?

Gerne zeige ich Ihnen mein Vorgehen im Konkreten und wir finden auch zusammen zu einem sinnvollen Weg für Ihren Unternehmensdatenschutz.
Lassen Sie uns dazu telefonieren!


FAQs zur DSGVO

Fragen und Antworten zur DSGVO im Unternehmen.
Mehr aktuelle Themen und ausführliche Antworten, finden Sie in unserem
Datenschutz-Erstehilfe-Blog unter: www.datenschutz-erstehilfe.de

Was genau sind personenbezogene Daten?

Allgemeine Personendaten: Name, Geburtsdatum, Postanschrift, E-Mail-Adresse, etc.
Kennnummern: Sozialversicherungsnummer, Steuer-ID, Personalausweisnummer, etc.
Bankdaten: Kontostände, Kontonummern, Kreditinformationen, etc.
Körperliche Merkmale: Geschlecht, Haut-, Haar- und Augenfarbe, Statur usw.
Vermögen und Besitz: Immobilien, Grundbucheintragungen, Kfz-Kennzeichen, usw.
Werturteile: Schul-, Hochschul- und Arbeitszeugnisse, ...
Kundendaten: Adressdaten, Ansprechpartner, Kontodaten, ...
Internet-Daten: IP-Adresse, Mac-Adresse, Standortdaten, ...

Neben dieser personenbezogenen Daten, gibt es noch die Verarbeitung
besonderer Kategorien personenbezogener Daten (nach Art. 9):
- Angaben über rassische sowie ethnische Herkunft
- Politische Ansichten
- Religiöse und philosophische Überzeugung
- Gewerkschaftszugehörigkeit
- Angaben zur Gesundheit
- Angaben zur Sexualität

Was ist ein AV-Vertrag?

Wann ist es sinnvoll einen DSB zu bestellen?

Wann darf ich personenbezogene Daten verarbeiten?

Wer ist bei Verstößen gegen die DSGVO verantwortlich?

Cookie Banner – ja oder nein?

Mehr Infos, aktuelle Themen und Hilfestellungen in
unserem Blog: Datenschutz-Erstehilfe.de