free simple site templates

xDSB München

Pragmatische Datenschutz-Beratung für Ihr Unternehmen.
Externer geprüfter Datenschutzbeauftragter.

Warum bin ich Ihr Datenschutzbeauftragter?

Der Digital-Experte hilft Ihnen beim Datenschutz!
Die meisten externen Datenschutzbeauftragten sind Juristen und kennen nur das Gesetz. Da sich die DSGVO vorallem an der Verarbeitung personenbezogener Daten in Unternehmen interessiert, ist es natürlich am Wichtigsten sich die digitalen Prozesse im Unternehmen anzusehen. 
Sie sehen hier kommt ein Digital-Experte ins Spiel.

Was zeichnet mich als Digital-Experten aus:
- über 18 Jahre Erfahrung mit über 400 digitalen Projekten
- 15 Jahre Geschäftsführer der Digital-Agentur happy pixel
- verantwortlich für Sicherheit und Datenschutz bei Kunden wie: Deutsche Post AG, DTM, ACCOR HOTELS, 20th Century Fox

Meine Fachkunde als Datenschutzbeauftragter habe ich natürlich auch mit einer Fachkundeprüfung bestanden und kann so auch Ihre Themen rund um die DSGVO betreuen.
Somit können Sie mich auch als Ihren offiziellen Datenschutzbeauftragten nach Art. 37 bei der Aufsichtsbehörde benennen.

Wichtig ist immer das Netzwerk für den optimalen Wissensaustausch, darum arbeite ich auch als Datenschutz-Berater und Datenschutzbeauftrager in München und Umgebung für die Sektion Sec-IT für den TÜV SÜD und die msecure GmbH.

FAQs zu Datenschutzbeauftrager

Fragen und Antworten rund um das Thema Datenschutzbeauftragter:
Was macht ein Datenschutzbeauftragter? Wann braucht man einen Datenschutzbeauftragten?
Wer braucht einen Datenschutzbeauftragten? Ist es besser einen internen Datenschutzbeauftragten (DSB) oder externen Datenschutzbeauftragten (xDSB) zu benennen?

Wer braucht einen Datenschutzbeauftragten? Bzw. ab wie vielen Mitarbeiten benötigt ein Unternehmen einen DSB?

Die DSGVO selber regelt die genaue Anzahl der Mitarbeiter nicht, weil davon ausgegangen wird, dass jedes Unternehmen einen Datenschutzbeauftragten verpflichtet.
In Deutschland wurde allerdings eine Verpflichtung festgelegt, dass Unternehmen mit
20 Mitarbeitern, die regelmäßig mit der Verarbeitung von personenbezogenen Daten zu tun haben, einen Datenschutzbeauftragten bestellenbenennen müssen (die Schwelle lag am Anfang bei 10 Personen). Benennen bedeutet, dass der DSB bei der Aufsichtsbehörde benannt – also gemeldet werden muss.
Das bedeutet jedoch nicht, dass Unternehmen unter 20 Mitarbeiter keinen Datenschutz machen müssen oder von den anderen Pflichten (-> siehe FAQ zur DSGVO) befreit sind, ganz im Gegenteil, die DSGVO gilt für Jeden und jedes Unternehmen mit Dienstleistungen und/oder Firmensitz in der EU.

Was machen Unternehmen mit unter 20 Mitarbeitern?

Für alle Kleinunternehmen (<20 Mitarbeiter) oder Unternehmen, die nur in der Buchhaltung und Auftragsverwaltung mit personenbezogenen Daten in Berührung kommen gilt, dass der Geschäftsführer alleinig in die Haftung für den Datenschutz genommen wird. Der Geschäftsführer muss sich um alle Belange der DSGVO, Datenschutz und Datensicherheit kümmern und ist dazu verpflichtet der Verordnung in allen Punkten nachzukommen. Hier gilt der alte Spruch: "Unwissenheit, schützt nicht vor dem Gesetz!". Das bedeutet auch diese Firmen sollten sich zumindest von einem Datenschutzberater einen Check machen lassen und sich zu den relevanten Datenschutz-Themen beraten lassen.

Was macht ein Datenschutzbeauftragter?

Die Funktion und Aufgaben des Datenschutzbeauftragten ergeben sich unmittelbar aus dem Gesetz:
- Unterrichtung und Beratung hinsichtlich der Datenschutzpflichten
  
(Verantwortlicher, Auftragsverarbeiter, Beschäftigte)
- Beratung Betroffener hinsichtlich Datenschutzfragen/-rechte
- Beratung bei der Datenschutzfolgeabschätzung
  
(Pflicht des Verantwortlichen zur Konsultation gemäß Art. 35 Abs.2 DSGVO)
- Überwachung auf Einhaltung DSGVO und anderer Rechtsvorschriften
- Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
- Zusammenarbeit mit der Aufsichtsbehörde

Welcher Mitarbeiter darf nicht Datenschutzbeauftragter werden?

Oder anders gefragt: Wer darf Datenschutzbeauftragter sein?
Ob ein Mitarbeiter Datenschutzbeauftragter im eigenen Unternehmen sein darf hängt primär von zwei Punkten ab:
1. Gibt es einen Interessenskonflikt im Tättikeitsumfeld des Mitarbeiters?
2. Ist die notwendige Fachkunde beim Mitarbeiter vorhanden?


Im BDSG (Bundesdatenschutzgesetz) unter § 4f Abs. 2 steht dazu:
Nur wer zum Zeitpunkt der Bestellung über die erforderliche Fachkunde und Zuverlässigkeit verfügt darf zum Datenschutzbeauftragten bestellt werden.

Aber was bedeutet Zuverlässigkeit und was ist Fachkunde im Sinne des BDSG bzw. der DSGVO?
Unter Zuverlässigkeit ist keine klare Definition von Gesetzgeber, allerdings haben die ersten Jahre der Umsetzung der DSGVO und die Zusammenarbeit mit den Aufsichtsbehörden gezeigt, das die wichtigsten Merkmale für Zuverlässigkeit folgende Kriterien fordern:
- Schweige- oder Geheimnispflichten 
- keine Interessenkollisionen mit anderen Personen, Abteilungen


Beispiele hierfür:
Der IT-Leiter als Datenschutzbeauftragter hätte einen täglichen Konflikt weil er interne Kontrollen zur IT-Sicherheit und zu Nutzerrechten anstellen muss, aber diese Konzepte selber einbringt und auch im Unternhemen dafür verantwortlich ist. Der Interessenskonflikt liegt in dieser und ähnlichen Situationen wohl direkt auf der Hand.
Gleiches gilt auch für die vertretungsberechtigte Person des Unternehmens, also z.B. den Geschäftsführer einer GmbH. Auch dieser kommt aufgrund der Interessenkollision nicht als Datenschutzbeauftragter in Betracht, da er sicherlich alles für sein Unternehmen einbringt aber unter Umständen Datenschutzthemen nicht die nötige Priorität einräumt.
Auch die Leitung der Personalabteilung kommt unter diesen Gesichtspunkten nicht als Datenschutzbeauftragter in Betracht – auch wenn hierüber noch Diskussionen herrschen.
In umstrittenen Fällen ist es sicherlich sinnvoll eine Anfrage diesbezüglich bei der zuständigen Aufsichtsbehörde zu stellen oder einen Datenschutzberater zur Unterstützung zu holen.

Kommen wir zur nötigen Fachkunde:
Externe Datenschutzbeauftragte werden einer Datenschutz-Ausbildung und einer Fachkundeprüfung unterzogen. Für interne Datenschutzbeauftrage gibt es auch Schulungen mit Fachkundeprüfung, aber es ist für betriebliche Datenschutzbeauftrage tatsächlich keine Pflicht eine Fachkundeprüfung abzulegen – allerdings ist es natürlich eine Frage der Haftung. Wenn ein Mitarbeiter als interner DSB bestellt wird und er keine Ausbildung und keine Fachkunde besitzt, ist dies natürlich die Entscheidung des Geschäftsführers. Nun dürfen Sie raten wer damit auch verantwortlich ist, wenn es auf Grund von Unwissenheit zu Fehlentscheidungen kommt... Sie!

Was kostet ein Datenschutzbeauftragter?

Diese Frage hängt natürlich von ein paar Faktoren ab und ist somit nicht pauschal zu beantworten. Trotzdem gibt es natürlich Monatspauschalen (in der Regel €300,- für Ihren bei der Aufsichtsbehörde benannten Datenschutzbeauftragten inklusive einer Beratungsstunde für Ad-hoc Themen). Die Erfahrungswerte für einen Datenschutz Check-up Ihres Unternehmens liegt bei 0,5 bis 4 Tagessätze je nach Unternehmensgröße. Der Aufwand für die Erstellung der nötigen Dokumente für Ihr Unternehmen ist sehr stark von der Zeit abhängig, die mein Ansprechpartner im Ubnternhemen für den Datenschutz hat – hat er keine Zeit, dann übernehme ich gerne, nur dann kommen natürlich auch mehr Tagessätze zusammen.

Mehr Fragen? Individuelles Angebot?

Gerne zeige ich Ihnen mein Vorgehen im Konkreten und wir finden auch zusammen zu einem sinnvollen Weg für Ihren Unternehmensdatenschutz.
Lassen Sie uns dazu telefonieren!

Datenschutz im Unternehmen

Überblick über Datenschutzthemen
bei mittelständischen Unternehmen.

Bei der ganzheitlichen Datenschutzberatung werden IT-Sicherheitsrisiken und Abmahnrisiken gleichermaßen berücksichtigt.
Die eingehende externe Untersuchung startet zunächst mit der Außenwirkung,
bevor der Check sich nach innen richtet, zu den internen Abläufen.
Der Schwerpunkt der Betrachtung liegt natürlich auf der DSGVO bzw. GDPR.

  • Auftragsverarbeitungsverträge (AVV) – Gemeinsames Erstellen von sogenannten AVV, also Auftragsverarbeitungsverträgen zum kontrollierten und vertraglich geregelten Austausch von personenbezogenen Daten mit Ihren Dienstleistern und Kunden. Prüfen von bestehenden AVV.
  • Technisch-organisatorische Maßnahmen (TOM) – IT-Sicherheit und gute Kenntnisse im Internetbereich bringen uns gemeinsam schnell zu einem pragmatischen Ergebnis, wie Ihr Unternehmen technisch und organisatorisch aufgestellt sein muss, um der Datenschutzgrundverordnung und dem Bundesdatenschutzgesetz gerecht zu werden.
  • Verfahren & Verfahrensverzeichnis (VVZ) – Erfahrung in den Abläufen von mittelständischen Unternehmen und in der Analyse von Prozessen im Unternehmen führen uns schnell ans Ziel, die Verfahren im Unternehmen DSGVO-konform zu beschreiben.
  • Richtlinien, Mitarbeitervereinbarungen, Arbeitsanweisungen, Datenschutzerklärung der Website – Um Um rechtlich und unternehmerisch vor Fehlentscheidungen abgesichert zu sein, sollten Sie einen Überblick über die Standards der Vertragswerke für Mitarbeiter, IT-Richtlinien und die Datenschutzerklärung der Internetseite, sowie der wichtigsten Abläufe bei Kundenanfragen bezüglich Auskunftsrecht haben.
  • Technische Lösungen und Begrifflichkeiten, die Ihnen den Alltag erleichtern, sollten keine Fremdbegriffe mehr für Sie sein – wie z.B. Cookie Consent, BYOD, WhatsApp-Verbot, DOI,...

Hilfe?

Wenn jetzt noch mehr Verwirrung als vorher herrscht sollten, dann ist kurzer Telefontermin bestimmt der beste Weg, um schnell einen Gesamtüberblick zu bekommen.

Dienstleistungen für Sie

Gemeinsam erstellen

Die wichtigsten Dokumente für die Erfüllung der Anforderungen der DSGVO müssen Sie nicht alleine erstellen. Mit guten Mustern und viel Erfahrung kommen wir schnell gemeinsam zu einem guten Ergebnis. Die eigenen TOM, AV-Verträge und Verfahren, sowie notwenige Mitarbeiterverpflichtungen sind für Sie dann keine Hürde mehr...

Unterlagen prüfen

Verschiedene Dokumente sind vielleicht schon vorhanden – hier bringen wir schnell und effizient Licht ins Dunkel. Wir prüfen gemeinsam AV-Verträge mit Dienstleistern und vervollständigen, was noch fehlt, um Sie rechtlich abzusichern und auf den Stand der DSGVO von 2019 zu holen...

Digitale Welten prüfen

Website- bzw. Digital-Check:
Datenschutzerklärung, Newsletter mit Double-Opt-In, Kontakt-Formulare, Cookie-Warnung bzw. Cookie-Consent-Tools, SSL-Verschlüsselung, signierte und verschlüsselte Mails (S/MIME). Bring Your Own Device BYOD-Lösungen, Berechtigungs-, Lösch-, Freigabe-Konzepte. Backup und Wiederherstellungskonzepte für die Sicherheit und Integrität Ihrer IT-Infrastruktur. Was ist Stand der Technik und was müssen Sie als Geschäftsführer wissen?

Mitarbeiter schulen

Ein Unternehmen besteht nicht aus Regeln und Dokumenten, sondern in erster Linie aus Menschen. Diese Mitarbeiter müssen mit einer Awareness-Schulung auf Datenschutz im täglichen Alltag sensibilisiert werden, um so selbst in ihrer Arbeitswelt die richtigen Entscheidungen zu treffen...

Hilfe?

Wenn jetzt noch mehr Verwirrung als vorher herrscht sollten, dann ist kurzer Telefontermin bestimmt der beste Weg, um schnell einen Gesamtüberblick zu bekommen.

FAQs zur DSGVO

Fragen und Antworten zur DSGVO im Unternehmen. Mehr aktuelle Themen und ausführliche Antworten, finden Sie in meinem Datenschutz-Erstehilfe-Blog unter: www.datenschutz-erstehilfe.de.

Was genau sind personenbezogene Daten?

Allgemeine Personendaten: Name, Geburtsdatum, Geburtsort, Postanschrift, E-Mail-Adresse, Rufnummern, usw.
Kennnummern: Sozialversicherungsnummer, Steueridentifikationsnummer, Nummer bei der Krankenkasse, Personalausweisnummer, etc.
Bankdaten: Kontostände, Kontonummern, Kreditinformationen, etc.
Körperliche Merkmale: Geschlecht, Haut-, Haar- und Augenfarbe, Statur usw.
Vermögen und Besitz: Immobilien, Fahrzeuge, Grundbucheintragungen, Kfz-Kennzeichen, usw.
Werturteile: Schul-, Hochschul- und Arbeitszeugnisse, ...
Kundendaten: Bestellungen, Adressdaten, Kontodaten, ...
Internet-Daten: IP-Adresse, Mac-Adresse, Standortdaten, ...

Neben dieser personenbezogenen Daten, gibt es noch die Verarbeitung besonderer Kategorien personenbezogener Daten (nach Art. 9) – also die "besonders schützenswerten" personenbezogenen Daten:

- Angaben über rassische sowie ethnische Herkunft
- Politische Ansichten
- Religiöse und philosophische Überzeugung
- Gewerkschaftszugehörigkeit
- Angaben zur Gesundheit
- Angaben zur Sexualität

Was ist ein AV-Vertrag?

AV-Vertrag steht für Auftragsverarbeitungsvertrag (früher Auftragsdatenverarbeitungs-vertrag). Zur Auftragsverarbeitung gehören alle Tätigkeiten, bei denen Ihr Unternehmen personenbezogene Daten für andere Unternehmen oder Personen verarbeitet und das auf Weisung des Auftraggebers. Um diese Verarbeitung von Daten klar einzugrenzen und in einen klaren Auftrag zu setzen, wird ein sogenannter AV-Vertrag abgeschlossen.
Wenn ein anderes Unternehmen für Sie bzw. Ihr Unternehmen personenbezogene Daten verarbeitet, bedarf es ebenso eines AV-Vertrages, wobei Sie dann der Auftraggeber für die Verarbeitung sind und der Auftragnehmer die sichere Verarbeitung der Daten rechtfertigen muss.
Siehe in der Skizze und Beschreibung oben auf dieser Seite >> AVV

Wann ist es sinnvoll einen DSB zu bestellen?

Prinzipiell ist es immer sinnvoll, einen DSB (Datenschutzbeauftragten) zu bestellen, wenn Sie auftragsbezogen personenbezogene Daten verarbeiten. Der Gesetzgeber hat die Schwelle für die Verpflichtung zu einem eigenen DSB auf 20 Mitarbeiter (lesen Sie hierzu beim BvD), die ständig mit der Verarbeitung von personenbezogenen Daten zu tun haben, angesetzt. Das bedeutet jedoch nicht, dass kleinere Unternehmen keinen Datenschutz machen müssen, sondern nur, dass sie nicht zwingend einen DSB haben müssen. Für diese Unternehmen gilt dann im weiteren, dass der Geschäftsführer für Datenschutzvergehen oder Pannen haftet. Wenn Sie das vermeiden wollen, wäre die Empfehlung, sich wenigstens entsprechend von Datenschutzexperten schulen zu lassen.
Übrigens: der DSB muss auch bei der Aufsichtsbehörde (z.B. BayLDA) gemeldet sein. 

Wann darf ich personenbezogene Daten verarbeiten?

Jede Verarbeitung personenbezogener Daten ist zunächst einmal verboten. Es sei denn, es liegt eine Einwilligung des Betroffenen vor, Sie haben einen Vertrag mit der betroffenen Person, der eine Verarbeitung rechtfertigt (hier darf die Datenspeicherung aber nur so erfolgen, wie es für die Vertragserfüllung notwendig ist) oder Sie haben nach einem Gesetz die Pflicht, die Daten zu erheben und zu speichern. Eine weitere Möglichkeit stellt das berechtigte Interesse dar, welches gut belegt und sorgfältig geprüft sein sollte. Siehe hierzu auch Art. 6 DSGVO

Wer ist bei Verstößen gegen die DSGVO verantwortlich?

Prinzipiell ist der Geschäftsführer eines Unternehmens immer verantwortlich, wenn er sich nicht rechtlich absichert und hierfür seine Mitarbeiter schult und einen Datenschutzbeauftragten an Bord holt. Generell gilt allerdings, dass der Geschäftsführer und nicht der Mitarbeiter für Datenpannen, Datenmissbrauch oder andere Verstöße gegen die DSGVO haftet.

Cookie Banner – ja oder nein?

Auf allen Internetseiten sieht man sie, die Cookie Banner. Sie fragen nach einem "Okay" oder man kann sie einfach mit einem X wegklicken, aber braucht man so einen für viele Nutzer als "sinnlos" erachteten Informationsbanner zur Verwendung von Cookies? Die EU-Cookie-Richtlinie hatte diese Informationspflicht einmal vorgesehen, bis die ePrivacy-Verordnung eine Regelung für alle Internetpräsenzen vorgibt.
Der Stand der Dinge im Herbst 2019 ist, dass es noch dauern wird, bis die ePrivacyVO fertig ist und hier klare Regelungen vorgibt. Allerdings haben die Gerichte im Sommer 2019 klar entschieden, dass der Besucher einer Website nicht nur über Cookies informiert werden soll, sondern die Möglichkeit bekommen soll, wenn diese Cookies personenbezogene Daten (z.B. IP-Adresse) an Dritte überträgt, beispielweise für ein Tracking (z.B. Google Analytics), eine explizite Einwilligung zu geben. An dieser Stelle sollte jedem klar werden, dass das auch bedeutet, dass der Besucher auch "Nein" sagen darf und dann diese Cookies technisch unterdrückt werden müssen – man spricht hier von Cookie Consent Tools. Siehe hierzu Website-Check

Mehr Infos im Datenschutz-Erstehilfe Blog
Aktuelle Themen und Hilfestellungen...