Externe Datenschutzbeauftragte

Profitieren Sie von:
Langjähriger Erfahrung im Datenschutzrecht als Rechtsanwältin
Individueller Beratung und Betreuung
Transparenter und fairer Preisgestaltung

Gerne begleite ich Sie bei der Umsetzung der datenschutzrechtlichen Anforderungen in Ihrem Unternehmen, sei es als externe Datenschutzbeauftragte oder für die Datenschutz- Compliance in Ihrem Unternehmen.

Profitieren Sie von meiner langjährigen Erfahrung im Datenschutzrecht. Fordern Sie ein individuell auf Sie zugeschnittenes Angebot an, bei einer transparenten und fairen Preisgestaltung.

Leistungen

Als externe Datenschutzbeauftragte übernehme ich die Überprüfung und Begleitung von Datenschutzmaßnahmen und berate die Geschäftsleitung in Bezug auf die Einhaltung der gesetzlichen Datenschutzvorgaben. Bei Bedarf übernehme ich die Korrespondenz mit der Aufsichtsbehörde sowie alle weiteren notwendigen Aufgaben.

Datenschutz-Compliance ist für jedes Unternehmen wichtig. Gerne übernehme ich hierzu die Beratung und unterstütze Sie bei der Entwicklung von betrieblichen Richtlinien, wie beispielsweise einer Homeoffice-Richtlinie, eines Social-Media-Guideline oder einer Richtlinie zur Nutzung von Internet und Email. Lassen Sie sich bei dem Aufbau eines Datenschutzmanagementsystems unterstützen.

Gerne übernehme ich die Überprüfung der Datenschutzbelange für Ihr Unternehmen und unterstütze Sie bei der Ermittlung von datenschutzrechtliche Risikostellen. Hierzu gehört auch die Durchführung von Datenschutz- Folgenabschätzungen (Art. 35 DSGVO).

Jedes Unternehmen muss der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachkommen. Als externe Datenschutzbeauftragte übernehme ich die hierzu erforderliche Datenschutzdokumentation, die Erstellung und Pflege von Ihrem Verarbeitungsverzeichnis (Art. 30 DSGVO) und die Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).

Gehen Sie kein datenschutzrechtliches Risiko ein und lassen Sie konkrete Marketing-, Werbe- und Vertriebsmaßnahmen im Hinblick auf den Datenschutz von mir überprüfen. Auch übernehme ich die datenschutzrechtliche Machbarkeit neuer Geschäftsmodelle, die Erstellung der Datenschutzerklärung auf Ihrer Webseite sowie die Überprüfung und Erstellung von datenschutzrelevanten Verträgen, Texten, Formularen, Auftragsverarbeitungsverträgen und vieles mehr.

Ich verfüge über eine langjährige Erfahrung in der Durchführung von Schulungen und Workshops. Gerne führe ich in Ihrem Unternehmen Schulungen zur Sensibilisierung Ihre Mitarbeiter bezüglich des Umgangs mit personenbezogenen Daten im Hinblick auf die Erfordernisse des Datenschutzes durch.

Melanie Ströbel, Externe Datenschutzbeauftragte und Rechtsanwältin

Melanie Ströbel studierte Rechtswissenschaften an der Universität Heidelberg und der Alma Mater Universität Bologna (Italien). 2012 gründete sie zusammen mit ihren Partnern die in Frankfurt ansässige Kanzlei Loewenheim Rechtsanwälte. Ihre Schwerpunkte liegen im E-Commerce, Datenschutz, IT- Recht und IP- Recht sowie im Vertragsrecht und der Vertragsgestaltung.

2020 gründete sie die Firma Datenschutz Ströbel, in der sie als Spezialistin im Datenschutz und als externe Datenschutzbeauftragte tätig ist.

Kontakt

* Hinweise zum Datenschutz finden Sie hier

Datenschutz Ströbel

Melanie Ströbel
Kronberger Straße 40
60323 Frankfurt am Main
Tel.: 01573 769 4440

info@datenschutz-stroebel.de

Datenschutz: Wissen und News

Hier finden Sie meine neusten Beiträge rund um das Thema Datenschutz:

Nach dem Austritt des Vereinigten Königreichs Großbritanniens (GB) aus der Europäischen Union (EU) sollten Unternehmen überprüfen, ob sie Anpassungen Ihrer datenschutzrechtlichen Verträge mit Dienstleistern aus GB vornehmen müssen.

Im Hinblick auf den Datenaustausch zwischen der EU und GB gilt nach dem Brexit noch bis zum 30.6.21 eine Übergangsfrist. GB wird – aus datenschutzrechtlicher Perspektive – danach innerhalb dieser Überbrückungsfrist weiterhin wie ein EU- Mitgliedsstaat angesehen. Anschließend gilt GB als sog. Drittland. Sofern ein Datenfluss in ein Drittland erfolgt, muss sichergestellt werden, dass das Schutzniveau im Hinblick auf die personenbezogenen Daten dem Datenschutzniveau der Datenschutzgrundverordnung (DSGVO) entspricht. Die DSGVO bietet hierfür verschiedene Optionen an, wie einen Angemessenheitsbeschluss der EU- Kommission, Datenschutzverträge und verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules).

In einer Pressemitteilung der Europäischen Kommission vom 19.2.2021 wurde bekannt gegeben, dass die Kommission das Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen eingeleitet hat. Für die Annahme der Beschlussentwürfe bedarf es noch einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und der Zustimmung der einzelnen Mitgliedstaaten.

Sofern die Angemessenheitsbeschlüsse angenommen werden, würde dies den Datentransfer nach GB erleichtern, da keine weiteren Garantien für den Datenfluss im Hinblick auf die notwendig wären. Weiter würde der Angemessenheitsbeschluss die derzeit herrschende Rechtsunsicherheit für die Zeit nach der Übergangslösung beenden. Es bleibt somit spannend, ob die Angemessenheitsbeschlüsse angenommen werden. Unternehmen sollten daher die Entwicklung weiterhin verfolgen und entsprechende Vorkehrungen treffen.

Als Startup wird oftmals der Datenschutz für das eigene Unternehmen vernachlässigt. Für den Datenschutz spielt es keine Rolle, ob Sie als Einzelunternehmer/in tätig sind oder eine andere Unternehmensform für Ihr Startup gewählt haben. Auch als Einzelunternehmer/in verarbeiten Sie personenbezogene Daten, die unter die DSGVO und das BDSG fallen. Eine Verarbeitung von personenbezogenen Daten liegt beispielsweise vor, wenn Sie die Kontaktdaten (Name, Email, Telefonnummer) von Ihren Ansprechpartnern im Adressbuch speichern.

Als Unternehmer sind Sie dafür verantwortlich, dass die datenschutzrechtlichen Grundsätze eingehalten werden. Es trifft Sie hier die sogenannte Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO. Der Nachweis ist anhand einer entsprechenden Dokumentation zu führen. Für diese Dokumentation sollten Sie ein „Verzeichnis von Verarbeitungstätigkeiten“ nach Art. 30 DSGVO anlegen. Das Verfahrensverzeichnis ist in Tabellenform zu führen, und muss folgende Punk enthalten (Art. 30 DSGVO):

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. die Zwecke der Verarbeitung;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Absatz 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.

Auf Anfrage der Aufsichtsbehörde müssen Sie das Verfahrensverzeichnis vorlegen. Ist man bei einer entsprechenden Anfrage nicht in der Lage, ein Verfahrensverzeichnis vorzulegen, droht ein Bußgeld. Beginnen Sie also rechtzeitig ein entsprechendes Verfahrensverzeichnis zu erstellen und dieses auch immer auf dem aktuellen Stand zu halten.

Als Startup sollten Sie sich frühzeitig mit dem Thema Datenschutz befassen, denn die gesetzlichen Vorgaben zum Datenschutz trifft Sie genauso, wie ein bereits etabliertes Unternehmen. Regelungen, die eingehalten werden müssen, findet man in der Datenschutzgrundverordnung (DSGVO), im Bundesdatenschutzgesetz (BDSG) und in den Datenschutzregelungen der einzelnen Bundesländer.

Mittlerweile ist es Standard, relativ schnell mit einer Unternehmensseite online zu gehen, um zumindest eine Visitenkarte des neu gegründeten Unternehmens im Internet präsentieren zu können. Bereits hier gibt es die ersten Stolpersteine. So benötigt jede Webseite eine Datenschutzerklärung. Diese kann jedoch nicht willkürlich von einer anderen Webseite kopiert werden. Die Datenschutzerklärung ist nämlich davon abhängig, welche Daten tatsächlich auf der Webseite erhoben und verarbeitet werden. Jede Webseite hat ihre eigene Struktur und verwendet unterschiedliche Plug-Ins, Cookies oder Tracking- Tools, so dass der Betreiber der Webseite erst überprüfen muss, wie seine Webseite tatsächlich aufgebaut ist. Erst anhand dieser Informationen ist es möglich, eine geeignete Datenschutzerklärung zu erstellen.

Jede Datenschutzerklärung ist somit individuell zu erstellen. Als Betreiber einer Webseite sollte man sich deshalb vorher genau überlegen, welche Plug-Ins, Cookies oder Tracking- Tools tatsächlich benötigt werden. Je nachdem, welche Tools zum Einsatz kommen, müssen zudem auch Einwilligungen des Users zur Verarbeitung seiner personenbezogenen Daten eingeholt werden.  Zu berücksichtigen ist, dass die Einwilligung vor der Datenerhebung und -verarbeitung vorliegen muss. Das einwilligungsbedürftige Tracking- Tool darf also auch erst nach der erteilten Einwilligung tracken und nicht bereits dann, wenn die Webseite lediglich aufgerufen wird.

Für eine rechtsichere Datenschutzerklärung sind ferner die Artikel 12 ff DSGVO zu beachten. Das Gesetz gibt vor, dass die Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung stehen muss. Der Betreiber der Unternehmenswebseite ist als Verantwortlicher beispielsweise verpflichtet, der betroffenen Person, also dem User, seinen Namen und seine Kontaktdaten, ggf. die Kontaktdaten seines Datenschutzbeauftragten mitzuteilen (zur Notwendigkeit eines Datenschutzbeauftragten lesen Sie meinen Artikel: Wann braucht man einen Datenschutzbeauftragten?). Ferner müssen die beabsichtigten Zwecke der Datenerhebung und die Rechtsgrundlage mitgeteilt werden. Auch muss klar sein, ob die Daten an Dritte weitergegeben werden oder ob die Daten in sogenannte Drittländer übermittelt werden.  Auch muss die Dauer der Speicherung personenbezogenen Daten offengelegt werden.

Der User ist als Betroffener in der Datenschutzerklärung auch über seine Rechte aufzuklären. So hat der Betroffene folgende Rechte:  Recht auf Auskunft, Recht auf Berichtigung oder Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Widerspruch gegen die Verarbeitung, Recht auf Datenübertragbarkeit sowie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung seiner personenbezogenen Daten zu beschweren.

Bei der Erstellung einer Datenschutzerklärung muss also sorgfältig vorgegangen und alle gesetzlichen Vorgaben erfüllt werden. Nur so ist es möglich, Fallstricke im Datenschutzrecht und damit einhergehende Bußgelder zu vermeiden.

Wann Sie in Ihrem Unternehmen verpflichtet sind, einen Datenschutzbeauftragten zu benennen, ist von mehreren Faktoren abhängig. Zunächst sind die gesetzlichen Vorgaben zu beachten.

Nach dem Bundesdatenschutzgesetz (BDSG) muss ein Datenschutzbeauftragter benannt werden, wenn im Unternehmer regelmäßig mindestens 20 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG- neu). Unter „automatisierte Verarbeitung“ fällt dabei nicht nur der Einsatz von besonderer IT- Technik, sondern bereits die einfache Email- Kommunikation. Hinsichtlich der Anzahl der Mitarbeiter ist einzig die „Kopfzahl“ maßgeblich. Bei der Beurteilung, wie viele Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, sind auch Azubis, Praktikanten geringfügig Beschäftigte, Teilzeitmitarbeiter und freie Mitarbeiter zu berücksichtigen.

Unabhängig von der Zahl der Mitarbeiter besteht nach der Datenschutzgrundverordnung (DSGVO) eine Pflicht zur Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen liegt, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder die Kerntätigkeit in der Verarbeitung besonderer Arten von personenbezogenen Daten, wie beispielsweise von politischer/ religiöser Überzeugungen, Gesundheitsdaten etc. liegt.

Sofern die genannten gesetzlichen Vorgaben für Ihr Unternehmen keinen Datenschutzbeauftragten benötigen, sollten Sie den Datenschutz auf keinen Fall vernachlässigen. Ein Datenschutzbeauftragter bringt Ihnen den Vorteil, Sie auf Defizite im Datenschutz aufmerksam zu machen. Datenschutz- Compliance sollte in jedem Unternehmen ein Thema sein, denn nur so können Sie Bußgelder vermeiden. Auch als Start- Up sollten Sie Ihr Unternehmen auf rechtssichere Beine stellen und dem Datenschutz von Anfang an Beachtung schenken.

Hier finden Sie meine neusten Beiträge rund um das Thema Datenschutz:

Wann braucht man einen Datenschutzbeauftragten?

Wann Sie in Ihrem Unternehmen verpflichtet sind, einen Datenschutzbeauftragten zu benennen, ist von mehreren Faktoren abhängig. Zunächst sind die gesetzlichen Vorgaben zu beachten.

Nach dem Bundesdatenschutzgesetz (BDSG) muss ein Datenschutzbeauftragter benannt werden, wenn im Unternehmer regelmäßig mindestens 20 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG- neu). Unter „automatisierte Verarbeitung“ fällt dabei nicht nur der Einsatz von besonderer IT- Technik, sondern bereits die einfache Email- Kommunikation. Hinsichtlich der Anzahl der Mitarbeiter ist einzig die „Kopfzahl“ maßgeblich. Bei der Beurteilung, wie viele Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, sind auch Azubis, Praktikanten geringfügig Beschäftigte, Teilzeitmitarbeiter und freie Mitarbeiter zu berücksichtigen.

Unabhängig von der Zahl der Mitarbeiter besteht nach der Datenschutzgrundverordnung (DSGVO) eine Pflicht zur Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen liegt, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder die Kerntätigkeit in der Verarbeitung besonderer Arten von personenbezogenen Daten, wie beispielsweise von politischer/ religiöser Überzeugungen, Gesundheitsdaten etc. liegt.

Sofern die genannten gesetzlichen Vorgaben für Ihr Unternehmen keinen Datenschutzbeauftragten benötigen, sollten Sie den Datenschutz auf keinen Fall vernachlässigen. Ein Datenschutzbeauftragter bringt Ihnen den Vorteil, Sie auf Defizite im Datenschutz aufmerksam zu machen. Datenschutz- Compliance sollte in jedem Unternehmen ein Thema sein, denn nur so können Sie Bußgelder vermeiden. Auch als Start- Up sollten Sie Ihr Unternehmen auf rechtssichere Beine stellen und dem Datenschutz von Anfang an Beachtung schenken.