Externe Datenschutzbeauftragte

Profitieren Sie von:
Langjähriger Erfahrung im Datenschutzrecht als Rechtsanwältin
Individueller Beratung und Betreuung
Transparenter und fairer Preisgestaltung

Gerne begleite ich Sie bei der Umsetzung der datenschutzrechtlichen Anforderungen in Ihrem Unternehmen, sei es als externe Datenschutzbeauftragte oder für die Datenschutz- Compliance in Ihrem Unternehmen.

Profitieren Sie von meiner langjährigen Erfahrung im Datenschutzrecht. Fordern Sie ein individuell auf Sie zugeschnittenes Angebot an, bei einer transparenten und fairen Preisgestaltung.

Leistungen

Als externe Datenschutzbeauftragte übernehme ich die Überprüfung und Begleitung von Datenschutzmaßnahmen und berate die Geschäftsleitung in Bezug auf die Einhaltung der gesetzlichen Datenschutzvorgaben. Bei Bedarf übernehme ich die Korrespondenz mit der Aufsichtsbehörde sowie alle weiteren notwendigen Aufgaben.

Datenschutz-Compliance ist für jedes Unternehmen wichtig. Gerne übernehme ich hierzu die Beratung und unterstütze Sie bei der Entwicklung von betrieblichen Richtlinien, wie beispielsweise einer Homeoffice-Richtlinie, eines Social-Media-Guideline oder einer Richtlinie zur Nutzung von Internet und Email. Lassen Sie sich bei dem Aufbau eines Datenschutzmanagementsystems unterstützen. Sofern keine Tätigkeit als externe Datenschutzbeauftragte vorliegt, werden Beratungen ausschließlich über die Rechtsanwaltskanzlei Ströbel erbracht.

Gerne übernehme ich die Überprüfung der Datenschutzbelange für Ihr Unternehmen und unterstütze Sie bei der Ermittlung von datenschutzrechtliche Risikostellen. Hierzu gehört auch die Durchführung von Datenschutz- Folgenabschätzungen (Art. 35 DSGVO).

Jedes Unternehmen muss der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachkommen. Als externe Datenschutzbeauftragte übernehme ich die hierzu erforderliche Datenschutzdokumentation, die Erstellung und Pflege von Ihrem Verarbeitungsverzeichnis (Art. 30 DSGVO) und die Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).

Gehen Sie kein datenschutzrechtliches Risiko ein und lassen Sie konkrete Marketing-, Werbe- und Vertriebsmaßnahmen im Hinblick auf den Datenschutz von mir überprüfen. Auch übernehme ich die datenschutzrechtliche Machbarkeit neuer Geschäftsmodelle, die Erstellung der Datenschutzerklärung auf Ihrer Webseite sowie die Überprüfung und Erstellung von datenschutzrelevanten Verträgen, Texten, Formularen, Auftragsverarbeitungsverträgen und vieles mehr.

Ich verfüge über eine langjährige Erfahrung in der Durchführung von Schulungen und Workshops. Gerne führe ich in Ihrem Unternehmen Schulungen zur Sensibilisierung Ihre Mitarbeiter bezüglich des Umgangs mit personenbezogenen Daten im Hinblick auf die Erfordernisse des Datenschutzes durch.

Melanie Ströbel, Externe Datenschutzbeauftragte und Rechtsanwältin

Melanie Ströbel studierte Rechtswissenschaften an der Universität Heidelberg und der Alma Mater Universität Bologna (Italien). 2012 bis 2022 war Sie Partnerin in der Kanzlei Loewenheim Rechtsanwälte. 2022 gründete Sie die Rechtsanwaltskanzlei Ströbel mit den Schwerpunkten Datenschutz- und Onlinerecht in Frankfurt am Main.

2020 gründete sie die Firma Datenschutz Ströbel, in der sie als Spezialistin im Datenschutz und als externe Datenschutzbeauftragte tätig ist.

Kontakt

* Hinweise zum Datenschutz finden Sie hier

Datenschutz Ströbel

Melanie Ströbel
Kronberger Straße 40
60323 Frankfurt am Main
Tel.: 01573 769 4440

info@datenschutz-stroebel.de

Datenschutz: Wissen und News

Hier finden Sie meine neusten Beiträge rund um das Thema Datenschutz:

Viele Unternehmen, Vereine und Behörden nutzen Facebook für die Öffentlichkeitsarbeit, um Informationen über aktuelle Ereignisse oder Veranstaltungen  zu verbreiten.  Der Betrieb von Facebook-Pages ist jedoch mit einigen datenschutzrechtlichen Problematiken verbunden. Diese wurden nun von einer „Task Force Facebook-Fanpages“ der unabhängigen Datenschutzaufsichtsbehörde des Bundes und der Länder (DSK) analysiert.  Die Task Force kam zum Urteil, dass es gegenwärtig nicht möglich ist, Facebook-Pages in datenschutzkonformer Weise zu betreiben.

Nutzung von Cookies und ähnlichen Technologien durch Facebook

Facebook sammelt über Cookies und andere Technologien Nutzer*innen- und Besucher*innendaten, die teilweise den Seiten- Betreibern für statistische Auswertungen zur Verfügung gestellt werden. Auch  benutzt Facebook Daten für eigene Zwecke. U.a. werden von Facebook  umfangreiche Nutzerprofile erstellt, die für individualisierte Werbung genutzt werden. Hier ergibt sich bereits das erste datenschutzrechtliche Problem: Für jede Verarbeitung von personenbezogenen Daten ist eine Rechtsgrundlage erforderlich. Die DSK stellt in ihrem Gutachten fest, dass die von Facebook bereitgestellte Einwilligung nicht den gesetzlichen Anforderungen erfüllt. So wurde der von Facebook verwendete Einwilligungsbanner für den Einsatz von Cookies als nicht ausreichend erachtet, da die hier erteilten Informationen nicht den gesetzlichen Anforderungen an eine informierte Einwilligung genügen.

Gemeinsame Verantwortlichkeit des Seitenbetreibers und Facebook

Bereits 2018 stellte der EuGH fest, dass zwischen Facebook und dem Betreiber einer Facebook-Fanpage eine gemeinsame datenschutzrechtliche Verantwortung besteht. Gemeinsam Verantwortliche sind verpflichtet, eine Vereinbarung zu schließen, in der in transparenter Form festgelegt ist, wer welche datenschutzrechtliche Verpflichtungen nach der DSGVO erfüllt. Über die tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen müssen die betroffenen Personen dann informiert werden. Facebook hat im Laufe der letzten Jahre mehrfach an dieser Vereinbarung Änderungen vorgenommen, jedoch skizzieren die dort enthaltenen Informationen lediglich den Leistungsumfang der sog. Seiten-Insights. Nach dem nun vorliegenden Gutachten der DSK wird diese Vereinbarung weiterhin als unzureichenden eingestuft. Die Betreiber von Fanpages sind als Verantwortliche jedoch verpflichtet, die datenschutzrechtlichen Grundsätze nach Art. 5 Abs. 1 DSGVO einzuhalten und diese auch nachzuweisen. Zu den Datenschutzgrundsätzen gehört, dass personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet und diese für festgelegte, eindeutige und legitime Zwecke erhoben und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. Diesem Grundsatz kann derzeit jedoch mangels hinreichender Information über die Verarbeitung der personenbezogenen Daten der Nutzer*innen und Besucher*innen der Webseite nicht nachgekommen werden. Aus den oben genannten Gründen stellt das Betreiben einer Facebook-Fanpage derzeit einen Verstoß gegen datenschutzrechtliche Vorschriften dar.

Muss die Facebook-Fanpage abgeschaltet werden?

Mittlerweile gibt es viele Äußerungen zu dem Gutachten der DSK. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat in seinem Artikel „Facebook-Seiten von öffentlichen Stellen“ die öffentlichen Stellen in Hessen aufgefordert, keine neuen Facebook-Seiten zu erstellen und für Facebook-Seiten, die bereits betrieben werden, Alternativen zu finden. Jedem Unternehmen, das eine Facebook-Fanpage betreibt, ist daher aus datenschutzrechtlichen Gesichtspunkten zu raten, sich ebenfalls nach einer Alternative umzusehen.

Im Januar 2022 erging ein Urteil des LG München (Urteil vom 20.1.22 AZ: 3 O 17493/20), in dem einem Besucher einer Webseite Schmerzensgeld in Höhe von 100 € zugesprochen wurde, weil auf der besuchten Webseite Schriftarten von Google (Google Fonts) eingebunden waren.

Unter dem Begriff Google Fonts werden von Google Schriftarten für die freie Verwendung für Webseiten zur Verfügung gestellt. Die Einbindung der Schriftarten ist relativ einfach und die meisten Baukastensysteme für Webseiten haben Google Fonts bereits integriert. Hier heißt es: „Aufpassen!“. Denn sofern Google Fonts nicht „lokal“ auf der Webseite eingebunden ist, also auf dem eigenen Server gespeichert wurde, erfolgt mit dem Aufruf der Webseite eine Serververbindung zu Google LLC in den USA und personenbezogene Daten des Besuchers, wie beispielsweise seine IP-Adresse, werden in die USA übermittelt. Die USA gilt derzeit im Hinblick auf den Datenschutz als unsicheres Drittland. Da im oben genannten Urteil vom Webseitenbetreiber keine weiteren Schutzmaßnahmen im Hinblick auf den Datenfluss getroffen wurde, was praktisch wohl auch nicht möglich gewesen wäre, da der Datenfluss bereits mit dem ersten Aufruf der Seite an Google geht, stufte das Gericht im genannten Urteil die Datenverarbeitung als rechtswidrig ein. Das verhängte Schmerzensgeld in Höhe von 100 € sind auf den ersten Blick nicht viel, jedoch gibt es zu bedenken, dass es sich hier nur um einen Besucher der Webseite handelt. Wie viele Besucher haben Sie auf Ihrer Webseite? Multiplizieren Sie diese Zahl mit 100 € und so mancher Unternehmen bekommt einen Schrecken.

Was haben Sie also zu tun?

Wenn Sie Google Fonts verwenden, überprüfen Sie, wie diese auf Ihrer Webseite eingebunden sind. Denken Sie daran, dass Sie die gewählte Schrift lokal einbinden und damit datenschutzkonform verwenden können.

Nach dem Austritt des Vereinigten Königreichs Großbritanniens (GB) aus der Europäischen Union (EU) sollten Unternehmen überprüfen, ob sie Anpassungen Ihrer datenschutzrechtlichen Verträge mit Dienstleistern aus GB vornehmen müssen.

Im Hinblick auf den Datenaustausch zwischen der EU und GB gilt nach dem Brexit noch bis zum 30.6.21 eine Übergangsfrist. GB wird – aus datenschutzrechtlicher Perspektive – danach innerhalb dieser Überbrückungsfrist weiterhin wie ein EU- Mitgliedsstaat angesehen. Anschließend gilt GB als sog. Drittland. Sofern ein Datenfluss in ein Drittland erfolgt, muss sichergestellt werden, dass das Schutzniveau im Hinblick auf die personenbezogenen Daten dem Datenschutzniveau der Datenschutzgrundverordnung (DSGVO) entspricht. Die DSGVO bietet hierfür verschiedene Optionen an, wie einen Angemessenheitsbeschluss der EU- Kommission, Datenschutzverträge und verbindliche interne Datenschutzvorschriften (sog. Binding Corporate Rules).

In einer Pressemitteilung der Europäischen Kommission vom 19.2.2021 wurde bekannt gegeben, dass die Kommission das Verfahren zur Annahme von zwei Angemessenheitsbeschlüssen eingeleitet hat. Für die Annahme der Beschlussentwürfe bedarf es noch einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA) und der Zustimmung der einzelnen Mitgliedstaaten.

Sofern die Angemessenheitsbeschlüsse angenommen werden, würde dies den Datentransfer nach GB erleichtern, da keine weiteren Garantien für den Datenfluss im Hinblick auf die notwendig wären. Weiter würde der Angemessenheitsbeschluss die derzeit herrschende Rechtsunsicherheit für die Zeit nach der Übergangslösung beenden. Es bleibt somit spannend, ob die Angemessenheitsbeschlüsse angenommen werden. Unternehmen sollten daher die Entwicklung weiterhin verfolgen und entsprechende Vorkehrungen treffen.

Als Startup wird oftmals der Datenschutz für das eigene Unternehmen vernachlässigt. Für den Datenschutz spielt es keine Rolle, ob Sie als Einzelunternehmer/in tätig sind oder eine andere Unternehmensform für Ihr Startup gewählt haben. Auch als Einzelunternehmer/in verarbeiten Sie personenbezogene Daten, die unter die DSGVO und das BDSG fallen. Eine Verarbeitung von personenbezogenen Daten liegt beispielsweise vor, wenn Sie die Kontaktdaten (Name, Email, Telefonnummer) von Ihren Ansprechpartnern im Adressbuch speichern.

Als Unternehmer sind Sie dafür verantwortlich, dass die datenschutzrechtlichen Grundsätze eingehalten werden. Es trifft Sie hier die sogenannte Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO. Der Nachweis ist anhand einer entsprechenden Dokumentation zu führen. Für diese Dokumentation sollten Sie ein „Verzeichnis von Verarbeitungstätigkeiten“ nach Art. 30 DSGVO anlegen. Das Verfahrensverzeichnis ist in Tabellenform zu führen, und muss folgende Punk enthalten (Art. 30 DSGVO):

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. die Zwecke der Verarbeitung;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Absatz 1 Unterabsatz 2 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.

Auf Anfrage der Aufsichtsbehörde müssen Sie das Verfahrensverzeichnis vorlegen. Ist man bei einer entsprechenden Anfrage nicht in der Lage, ein Verfahrensverzeichnis vorzulegen, droht ein Bußgeld. Beginnen Sie also rechtzeitig ein entsprechendes Verfahrensverzeichnis zu erstellen und dieses auch immer auf dem aktuellen Stand zu halten.

Als Startup sollten Sie sich frühzeitig mit dem Thema Datenschutz befassen, denn die gesetzlichen Vorgaben zum Datenschutz trifft Sie genauso, wie ein bereits etabliertes Unternehmen. Regelungen, die eingehalten werden müssen, findet man in der Datenschutzgrundverordnung (DSGVO), im Bundesdatenschutzgesetz (BDSG) und in den Datenschutzregelungen der einzelnen Bundesländer.

Mittlerweile ist es Standard, relativ schnell mit einer Unternehmensseite online zu gehen, um zumindest eine Visitenkarte des neu gegründeten Unternehmens im Internet präsentieren zu können. Bereits hier gibt es die ersten Stolpersteine. So benötigt jede Webseite eine Datenschutzerklärung. Diese kann jedoch nicht willkürlich von einer anderen Webseite kopiert werden. Die Datenschutzerklärung ist nämlich davon abhängig, welche Daten tatsächlich auf der Webseite erhoben und verarbeitet werden. Jede Webseite hat ihre eigene Struktur und verwendet unterschiedliche Plug-Ins, Cookies oder Tracking- Tools, so dass der Betreiber der Webseite erst überprüfen muss, wie seine Webseite tatsächlich aufgebaut ist. Erst anhand dieser Informationen ist es möglich, eine geeignete Datenschutzerklärung zu erstellen.

Jede Datenschutzerklärung ist somit individuell zu erstellen. Als Betreiber einer Webseite sollte man sich deshalb vorher genau überlegen, welche Plug-Ins, Cookies oder Tracking- Tools tatsächlich benötigt werden. Je nachdem, welche Tools zum Einsatz kommen, müssen zudem auch Einwilligungen des Users zur Verarbeitung seiner personenbezogenen Daten eingeholt werden.  Zu berücksichtigen ist, dass die Einwilligung vor der Datenerhebung und -verarbeitung vorliegen muss. Das einwilligungsbedürftige Tracking- Tool darf also auch erst nach der erteilten Einwilligung tracken und nicht bereits dann, wenn die Webseite lediglich aufgerufen wird.

Für eine rechtsichere Datenschutzerklärung sind ferner die Artikel 12 ff DSGVO zu beachten. Das Gesetz gibt vor, dass die Datenschutzerklärung in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung stehen muss. Der Betreiber der Unternehmenswebseite ist als Verantwortlicher beispielsweise verpflichtet, der betroffenen Person, also dem User, seinen Namen und seine Kontaktdaten, ggf. die Kontaktdaten seines Datenschutzbeauftragten mitzuteilen (zur Notwendigkeit eines Datenschutzbeauftragten lesen Sie meinen Artikel: Wann braucht man einen Datenschutzbeauftragten?). Ferner müssen die beabsichtigten Zwecke der Datenerhebung und die Rechtsgrundlage mitgeteilt werden. Auch muss klar sein, ob die Daten an Dritte weitergegeben werden oder ob die Daten in sogenannte Drittländer übermittelt werden.  Auch muss die Dauer der Speicherung personenbezogenen Daten offengelegt werden.

Der User ist als Betroffener in der Datenschutzerklärung auch über seine Rechte aufzuklären. So hat der Betroffene folgende Rechte:  Recht auf Auskunft, Recht auf Berichtigung oder Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Widerspruch gegen die Verarbeitung, Recht auf Datenübertragbarkeit sowie das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung seiner personenbezogenen Daten zu beschweren.

Bei der Erstellung einer Datenschutzerklärung muss also sorgfältig vorgegangen und alle gesetzlichen Vorgaben erfüllt werden. Nur so ist es möglich, Fallstricke im Datenschutzrecht und damit einhergehende Bußgelder zu vermeiden.

Wann Sie in Ihrem Unternehmen verpflichtet sind, einen Datenschutzbeauftragten zu benennen, ist von mehreren Faktoren abhängig. Zunächst sind die gesetzlichen Vorgaben zu beachten.

Nach dem Bundesdatenschutzgesetz (BDSG) muss ein Datenschutzbeauftragter benannt werden, wenn im Unternehmer regelmäßig mindestens 20 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG- neu). Unter „automatisierte Verarbeitung“ fällt dabei nicht nur der Einsatz von besonderer IT- Technik, sondern bereits die einfache Email- Kommunikation. Hinsichtlich der Anzahl der Mitarbeiter ist einzig die „Kopfzahl“ maßgeblich. Bei der Beurteilung, wie viele Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, sind auch Azubis, Praktikanten geringfügig Beschäftigte, Teilzeitmitarbeiter und freie Mitarbeiter zu berücksichtigen.

Unabhängig von der Zahl der Mitarbeiter besteht nach der Datenschutzgrundverordnung (DSGVO) eine Pflicht zur Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen liegt, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder die Kerntätigkeit in der Verarbeitung besonderer Arten von personenbezogenen Daten, wie beispielsweise von politischer/ religiöser Überzeugungen, Gesundheitsdaten etc. liegt.

Sofern die genannten gesetzlichen Vorgaben für Ihr Unternehmen keinen Datenschutzbeauftragten benötigen, sollten Sie den Datenschutz auf keinen Fall vernachlässigen. Ein Datenschutzbeauftragter bringt Ihnen den Vorteil, Sie auf Defizite im Datenschutz aufmerksam zu machen. Datenschutz- Compliance sollte in jedem Unternehmen ein Thema sein, denn nur so können Sie Bußgelder vermeiden. Auch als Start- Up sollten Sie Ihr Unternehmen auf rechtssichere Beine stellen und dem Datenschutz von Anfang an Beachtung schenken.

Hier finden Sie meine neusten Beiträge rund um das Thema Datenschutz:

Wann braucht man einen Datenschutzbeauftragten?

Wann Sie in Ihrem Unternehmen verpflichtet sind, einen Datenschutzbeauftragten zu benennen, ist von mehreren Faktoren abhängig. Zunächst sind die gesetzlichen Vorgaben zu beachten.

Nach dem Bundesdatenschutzgesetz (BDSG) muss ein Datenschutzbeauftragter benannt werden, wenn im Unternehmer regelmäßig mindestens 20 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG- neu). Unter „automatisierte Verarbeitung“ fällt dabei nicht nur der Einsatz von besonderer IT- Technik, sondern bereits die einfache Email- Kommunikation. Hinsichtlich der Anzahl der Mitarbeiter ist einzig die „Kopfzahl“ maßgeblich. Bei der Beurteilung, wie viele Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigt sind, sind auch Azubis, Praktikanten geringfügig Beschäftigte, Teilzeitmitarbeiter und freie Mitarbeiter zu berücksichtigen.

Unabhängig von der Zahl der Mitarbeiter besteht nach der Datenschutzgrundverordnung (DSGVO) eine Pflicht zur Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen liegt, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder die Kerntätigkeit in der Verarbeitung besonderer Arten von personenbezogenen Daten, wie beispielsweise von politischer/ religiöser Überzeugungen, Gesundheitsdaten etc. liegt.

Sofern die genannten gesetzlichen Vorgaben für Ihr Unternehmen keinen Datenschutzbeauftragten benötigen, sollten Sie den Datenschutz auf keinen Fall vernachlässigen. Ein Datenschutzbeauftragter bringt Ihnen den Vorteil, Sie auf Defizite im Datenschutz aufmerksam zu machen. Datenschutz- Compliance sollte in jedem Unternehmen ein Thema sein, denn nur so können Sie Bußgelder vermeiden. Auch als Start- Up sollten Sie Ihr Unternehmen auf rechtssichere Beine stellen und dem Datenschutz von Anfang an Beachtung schenken.