Mein Leistungsangebot umfasst die vollständige Übernahme der Datenschutzbeauftragten-Funktion gemäß Art. 37–39 DSGVO. Die nachfolgenden Leistungsbereiche beschreiben die gesetzlich definierten Aufgaben und deren praktische Umsetzung für Ihre Organisation. Jede Leistung wird mit einem klaren Bezug zur gesetzlichen Grundlage und dem konkreten Mehrwert für Ihren Mandanten beschrieben.
Bestellung als externer Datenschutzbeauftragter
Die Bestellung eines Datenschutzbeauftragten ist nach Art. 37 DSGVO für bestimmte Verantwortliche und Auftragsverarbeiter verpflichtend. Öffentliche Stellen müssen grundsätzlich immer einen DSB benennen. Für private Unternehmen gilt die Pflicht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind (§ 38 BDSG), oder wenn Kerntätigkeiten in der umfangreichen Verarbeitung besonderer Datenkategorien bestehen.
Art. 37 DSGVO, § 38 BDSG, § 5 HDSIG
Die Bestellung erfolgt schriftlich und muss der zuständigen Aufsichtsbehörde gemeldet werden. Der DSB muss über das notwendige Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis verfügen.
Als externer DSB bringe ich nachgewiesene Fachkompetenz und Unabhängigkeit mit. Die Bestellung ist rechtssicher dokumentiert und bei der Aufsichtsbehörde gemeldet.
Stellung des Datenschutzbeauftragten
Art. 38 DSGVO regelt die Stellung des Datenschutzbeauftragten innerhalb der Organisation. Er ist frühzeitig in alle datenschutzrelevanten Fragen einzubinden und muss bei der Erfüllung seiner Aufgaben unterstützt werden.
Art. 38 DSGVO
Der DSB berichtet unmittelbar an die höchste Managementebene und ist weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Die direkte Berichtslinie zur Geschäftsführung oder Behördenleitung stellt sicher, dass Datenschutzthemen auf Entscheidungsebene behandelt werden.
Kernaufgaben des Datenschutzbeauftragten
Art. 39 DSGVO definiert die Mindestaufgaben des Datenschutzbeauftragten: Unterrichtung und Beratung, Überwachung der Einhaltung der DSGVO, Beratung zur Datenschutz-Folgenabschätzung, Zusammenarbeit mit der Aufsichtsbehörde sowie Anlaufstelle für die Aufsichtsbehörde.
Art. 39 DSGVO
Diese Aufgaben bilden den Kern meiner täglichen Tätigkeit. Ich überwache systematisch die Verarbeitungstätigkeiten, berate bei Neuvorhaben und stehe als Ansprechpartner für alle datenschutzrechtlichen Fragen zur Verfügung.
Kontinuierliche Begleitung statt reaktiver Problemlösung. Datenschutz wird als integraler Bestandteil der Organisationskultur etabliert.
Datenschutz-Folgenabschätzung (DSFA)
Eine Datenschutz-Folgenabschätzung (DSFA) ist durchzuführen, wenn eine Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Typische Anwendungsfälle sind Videoüberwachung, umfangreiche Profilbildung oder die Verarbeitung besonderer Datenkategorien.
Art. 35 DSGVO, Blacklist der Aufsichtsbehörden
Die DSFA ist ein strukturierter Prozess zur Risikoidentifikation und -minderung. Sie dokumentiert, dass der Verantwortliche die Risiken einer Verarbeitung systematisch bewertet hat.
Ich begleite den gesamten DSFA-Prozess, von der Notwendigkeitsprüfung über die Risikoanalyse bis zur Dokumentation und ggf. Konsultation der Aufsichtsbehörde.
Meldepflicht bei Datenschutzvorfällen – 72-Stunden-Regel
Bei einer Verletzung des Schutzes personenbezogener Daten (Datenpanne) muss der Verantwortliche diese unverzüglich, möglichst binnen 72 Stunden nach Bekanntwerden, der zuständigen Aufsichtsbehörde melden – sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Art. 33 DSGVO, Art. 34 DSGVO (Benachrichtigung Betroffener)
Die 72-Stunden-Frist beginnt ab dem Zeitpunkt, zu dem der Verantwortliche von der Verletzung Kenntnis erlangt. Eine verspätete oder unterlassene Meldung kann zu erheblichen Bußgeldern führen.
Im Ernstfall bin ich als externer DSB sofort erreichbar und begleite den gesamten Meldeprozess – von der Erstbewertung über die Meldung bis zur Dokumentation und ggf. Benachrichtigung der Betroffenen.
Zusammenarbeit mit Aufsichtsbehörden
Der Datenschutzbeauftragte fungiert nach Art. 39 Abs. 1 lit. e DSGVO als Anlaufstelle für die Aufsichtsbehörde. Er kooperiert mit dieser und ist Ansprechpartner bei Prüfungen, Anfragen und Beschwerden.
Art. 39 DSGVO, Art. 57, 58 DSGVO
In Hessen ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) die zuständige Aufsichtsbehörde für öffentliche Stellen. Für private Unternehmen ist der HBDI ebenfalls zuständig, sofern sie ihren Sitz in Hessen haben.
Ich kenne die Arbeitsweise und Erwartungen der Aufsichtsbehörden und kann Mandanten optimal auf Prüfungen und Anfragen vorbereiten.
Jährlicher Tätigkeitsbericht
Öffentliche Stellen sind nach § 23 HDSIG verpflichtet, einen jährlichen Tätigkeitsbericht des Datenschutzbeauftragten zu erstellen. Dieser dokumentiert die durchgeführten Maßnahmen und gibt einen Überblick über den Stand des Datenschutzes in der Organisation.
§ 23 HDSIG, Art. 39 DSGVO
Der Tätigkeitsbericht dient der Rechenschaftspflicht gegenüber der Leitungsebene und der Aufsichtsbehörde. Er ist ein wichtiges Instrument zur kontinuierlichen Verbesserung des Datenschutzniveaus.
Ich erstelle den jährlichen Tätigkeitsbericht als strukturiertes Dokument, das den gesetzlichen Anforderungen entspricht und gleichzeitig als Steuerungsinstrument für die Datenschutzorganisation dient.
Erstgespräch vereinbaren
Ich analysiere Ihren Datenschutzbedarf und erarbeite eine rechtssichere Lösung.