CompliantDesk

DSGVO für den Mittelstand

Externer Datenschutzbeauftragter

DSGVOArt. 37-39 DSGVO

Viele Unternehmen müssen einen Datenschutzbeauftragten benennen. In Deutschland gilt nach § 38 BDSG zusätzlich eine Schwelle ab 20 Personen, die ständig mit automatisierter Verarbeitung befasst sind - oft lohnt sich eine externe Lösung.

Worum geht es?

Art. 37 DSGVO verpflichtet zur Benennung eines Datenschutzbeauftragten unter anderem bei umfangreicher Verarbeitung besonderer Datenkategorien oder umfangreicher, regelmäßiger Überwachung. Das deutsche Recht geht in § 38 BDSG weiter: Sind in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist ein Datenschutzbeauftragter zu benennen. Seine Aufgaben nach Art. 39 DSGVO reichen von der Beratung und Überwachung bis zur Zusammenarbeit mit der Aufsichtsbehörde. Ein interner Beauftragter genießt besonderen Kündigungsschutz und darf keinem Interessenkonflikt unterliegen - ein externer Datenschutzbeauftragter bringt dagegen Fachkunde ohne diese internen Bindungen und meist zu kalkulierbaren Kosten mit.

Das müssen Sie konkret tun

  • Prüfung, ob nach Art. 37 DSGVO oder § 38 BDSG eine Benennungspflicht besteht
  • Benennung einer Person mit der erforderlichen beruflichen Qualifikation und Fachkunde
  • Einbindung des Beauftragten in alle Datenschutzfragen ohne Interessenkonflikt
  • Veröffentlichung und Mitteilung der Kontaktdaten an die Aufsichtsbehörde
  • Sicherstellung von Unabhängigkeit, Berichtsweg und ausreichenden Ressourcen

So setzen Sie es mit CompliantDesk um

  • Beschäftigtenzahl mit automatisierter Verarbeitung über das Mitarbeiter-Modul belegen
  • Benennung und Kontaktdaten als Dokument revisionssicher ablegen
  • Dem Beauftragten Lesezugriff auf VVT, TOM und Risiko-Register geben
  • Datenschutzaufgaben, Audits und Berichte über das Kalender-Modul strukturieren
  • Maßnahmen aus den Empfehlungen des Beauftragten im Kontroll-Modul nachverfolgen

Typische Fehler

Die deutsche 20-Personen-Schwelle aus § 38 BDSG übersehen
Einen internen Beauftragten benennen, der zugleich über die Verarbeitung entscheidet
Die Kontaktdaten des Beauftragten nicht an die Aufsichtsbehörde melden
Den Beauftragten nur formal benennen, aber nicht in Prozesse einbinden

Häufig gestellte Fragen

Ab wann muss ich einen Datenschutzbeauftragten benennen?

In Deutschland besteht eine Benennungspflicht unter anderem dann, wenn in der Regel mindestens 20 Personen ständig mit automatisierter Verarbeitung beschäftigt sind (§ 38 BDSG). Unabhängig davon kann die Pflicht aus Art. 37 DSGVO bei umfangreicher Verarbeitung besonderer Daten greifen.

Lohnt sich ein externer Datenschutzbeauftragter?

Häufig ja: Ein externer Beauftragter bringt spezialisierte Fachkunde, unterliegt keinem internen Interessenkonflikt und entfällt nicht durch den besonderen Kündigungsschutz interner Beauftragter. Die Kosten sind meist klar kalkulierbar.

Datenschutz nachweisbar im Griff

CompliantDesk führt VVT, TOM, AVV, Löschkonzept und Datenpannen in einem Datenschutz-Managementsystem zusammen - dokumentiert, versioniert und prüfungsfest.

Demo buchen Alle DSGVO-Themen