+49 (0)89 1891 7360
email@iitr.de
Datenschutzkonzept
Kostenloser Datenschutz Schnell-CheckTermin vereinbaren
Download Handbuch "Datenschutz 1x1"Jetzt anfordern
Aufbau eines Datenschutzkonzepts
Das Datenschutzkonzepts sollte folgende Punkte beinhalten:
- Interne Verantwortlichkeiten
- Technisch-Organisatorische Maßnahmen (TOM)
- Umgang mit Betroffenenanfragen
- Verzeichnis der Verarbeitungstätigkeiten
- Auflistung von Dritt-Dienstleistern
Das Datenschutzkonzept findet Verwendung gegenüber der Aufsichtsbehörde und Kunden.
Tipp für die Praxis:
Verschaffen Sie sich einen Überblick über die Betriebsinternen Verantwortlichkeiten. (Wer kümmert sich um was im Datenschutz?). Das gilt insbesondere für die Prozesse Betroffenenrechte und Datenschutzverletzungen. Beschreiben Sie zudem die Standards der Informationssicherheit, d.h. Ihre technischen und organisatorischen Maßnahmen (TOM), legen Sie ein Verzeichnis von Drittdienstleistern an und dokumentieren Sie Ihre eigenen Datenverarbeitungstätigkeiten.
Nutzen Sie ein softwaregestütztes Datenschutzmanagementsystem, um ihr Datenschutzkonzept so zu beschreiben, dass sie Ihrer Rechenschaftspflicht entsprechen können.
Der Begriff Datenschutzkonzept ist in der DSGVO nicht definiert. Dennoch ist die Schaffung eines einheitlichen Dokuments sinnvoll, um der Rechenschaftspflicht aus DSGVO nachzukommen.
Erhalten Sie unsere kostenlose Datenschutz-Checkliste für Ihr Unternehmen
Videos rund um das Thema Datenschutz
Meldepflicht bei Datenpanne
Wann muss ich eine Datenpanne melden? Pflicht zur Meldung einer Datenschutz-Verletzung Art 33 DSGVO
Die Datenschutzgrundverordnung benennt die Verpflichtung, Datenschutzverletzungen umgehend zu melden. Unternehmen sind verpflichtet, einen entsprechenden Prozess einzuführen, der es ermöglicht, dass Datenschutzpannen hausintern gemeldet werden und dann geprüft wird, um welche Art von Datenschutzverletzung es sich handelt.
Datenschutzverletzungen werden in drei Kategorien eingeteilt: Niedrig, mittel und hoch. Gemessen werden Eintrittswahrscheinlichkeit und die Schwere der Verletzung für die Betroffenen. In der Kategorie „niedrig“ genügt es, intern zu dokumentieren. In der Kategorie „mittel“ muss die Datenschutz Aufsichtsbehörde innerhalb von 72 Stunden ab Kenntnis – informiert werden. In der Kategorie „hoch“ sind zusätzlich zur Aufsichtsbehörde auch die Betroffenen zu informieren.
Tipp für die Praxis:
Bauen Sie entsprechende Prozesse in Ihrem Unternehmen auf und üben Sie die Einhaltung dieser. Die Meldung der Datenschutzverletzung innerhalb der 72 Stunden sind eng bemessen und stellen Unternehmen oft vor große Herausforderungen. In dieser Frist müssen die hausinternen Informationen zusammengetragen, möglicherweise noch externe IT-Spezialisten hinzugezogen und eine Risikobeurteilung erstellt werden. Im Anschluss erfolgt dann die Meldung an die Aufsichtsbehörde. Damit dieser Prozess reibungslos abläuft ist es wichtig, dass Sie Ihre Beschäftigten zum Thema Datenpanne sensibilisieren und schulen.
Sie benötigen ein eLearning System, um Ihre Beschäftigten im Datenschutz zu sensibilisieren?
Videos rund um das Thema Datenschutz
Verzeichnis der Verarbeitungstätigkeiten
Wie baue ich das Verzeichnis der Verarbeitungstätigkeiten auf?
Die Datenschutzgrundverordnung verpflichtet Unternehmen, ihre Verarbeitungstätigkeiten zu erfassen. Folgende Fragen sollten Sie sich vor der Erstellung der Verarbeitungstätigkeiten stellen:
- Wer greift auf die Daten zu?
- Auf welche Daten wird zugegriffen?
- Wie erfolgt der Zugriff?
- Wann werden die Daten gelöscht?
Die Beantwortung dieser Fragen dient zum einen der internen Transparenz und Steuerung der Datenschutzprozesse und zum anderen der Beschreibung ihrer Kernverarbeitungstätigkeiten für einen außenstehenden Dritten. Dies könnte beispielsweise ein Mitarbeiter der Aufsichtsbehörde sein.
Tipp für die Praxis
Verschaffen Sie sich einen Überblick über ihre Kernverarbeitungstätigkeiten. Beginnen Sie anschließend in kleinen Schritten das Thema zu adressieren. Nehmen Sie sich zunächst die zehn Kernverarbeitungstätigkeiten vor uns beschreiben Sie diese. Arbeiten Sie sich weiterhin in Zehnerschritten von innen nach außen vor, bis Sie alle Tätigkeiten beschrieben haben.
Nutzen Sie ein softwaregestütztes Datenschutzmanagementsystem, um ihre Verarbeitungstätigkeiten so zu beschreiben, dass sie Ihrer Rechenschaftspflicht entsprechen können.
Videos rund um das Thema Datenschutz
Datenschutz für Arztpraxen und Kliniken
- Externer Datenschutzbeauftragter
- Datenschutzmanagement-System
- Onlineschulungen für Mitarbeiter
Datenschutz in der Arztpraxis – brauchen Ärzte einen Datenschutzbeauftragten?
Daten über die eigene Gesundheit sind sensibel zu handhaben. Dies spiegelt sich von jeher wider in der ärztlichen Schweigepflicht. Im Rahmen der Möglichkeiten elektronischer Datenverarbeitung drängt sich von Patientenseite her immer mehr das Bedürfnis auf, die eigenen Patientendaten besonders zu schützen. Niedergelassene Ärzte in Deutschland müssen generell die Bestimmungen des Bundesdatenschutzgesetzes für den nicht-öffentlichen Bereich beachten. Im Folgenden wird die Frage untersucht, inwieweit in Arztpraxen die Ernennung eines eigenen Datenschutzbeauftragten erforderlich ist.
Namhafte Kunden vertrauen auf
Datenschutzlösungen von IITR
Namhafte Kunden vertrauen auf
Datenschutzlösungen von IITR
Mitgliedschaften
Wann muss man überhaupt einen Datenschutzbeauftragten beschäftigen?
Gemäß § 4f BDSG müssen öffentlich und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit einen Beauftragten für den Datenschutz schriftlich bestellen. Gemäß § 4f Abs. 1 S. 3 BDSG gilt dies im Grundsatz nicht, wenn weniger als 10 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, was bei den meisten Arztpraxen der Fall sein dürfte.
Datenschutzbeauftragter ist auch nötig, wenn die Datenverarbeitung einer Vorabkontrolle unterliegt
Allerdings haben nicht-öffentliche Stellen unabhängig von der Anzahl der Arbeitnehmer gemäß § 4f Abs. 1 S. 6 BDSG einen Datenschutzbeauftragten zu bestellen, wenn die Verarbeitung der personenbezogenen Daten einer Vorabkontrolle im Sinne von § 4d Abs. 5 BDSG unterliegt. Unter Vorabkontrolle im Sinne der genannten Norm ist eine Prüfung vor Beginn der Verarbeitung zu verstehen. Auf diese wird, um den Rahmen nicht zu sprengen, an dieser Stelle nicht eingegangen. Es muss nur festgestellt werden, ob eine solche durchzuführen ist, damit bestimmt werden kann, ob deswegen auch die Bestellung eines Datenschutzbeauftragten nötig ist.
Welche Verarbeitungen unterliegen einer Vorabkontrolle nach § 4d Absatz 5 BDSG?
Daten unterliegen nach dieser Norm einer Vorabkontrolle, wenn automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.
Eine Vorabkontrolle ist nach dieser Vorschrift insbesondere dann durchzuführen, wenn besondere Arten personenbezogener Daten im Sinne des § 3 Abs. 9 BDSG verarbeitet werden. In diesem werden als besondere personenbezogene Daten die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, die Gewerkschaftszugehörigkeit sowie Daten über die Gesundheit oder das Sexualleben genannt. Gesundheitliche Daten in diesem Sinne sind alle Angaben, welche die körperlichen und geistigen Zustände und Bewertungen eines Menschen einschließlich seines Verhaltens betreffen.
Die Daten, welche ein Arzt jeglicher Fachrichtung in seinem Verarbeitungssystems aufnimmt, sind damit gesundheitliche Daten im Sinne dieser Vorschrift und damit besondere personenbezogene Daten, so dass nach § 4d Abs. 5 BDSG eine Vorabkontrolle nötig ist. Diese Bewertung ist im Sinne des Gesetzes, denn die Erhebung, Speicherung und Nutzung von Gesundheitsdaten betrifft den Betroffenen in einem sehr sensiblen Persönlichkeitsbereich.
Nach § 4d Abs. 5 S. 2 2. Halbsatz BDSG gibt es jedoch Ausnahmen, nach welchen eine Vorabkontrolle entfällt. Diese entfällt nach dem Wortlaut des Gesetzes, wenn entweder eine gesetzliche Verpflichtung zur Datenerhebung vorliegt, der Betroffene seine Einwilligung gegeben hat oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
Damit muss an dieser Stelle geprüft werden, ob einer dieser Ausnahmetatbestände für den Fall der Arztpraxis vorliegt:
Auch wenn die Normen des BDSG den Arzt zur Erhebung etc. von Daten ermächtigen, korrespondiert diesem keine gesetzliche Verpflichtung. Der Arzt ist zwar im Verhältnis zum Patienten zur Dokumentation verpflichtet. Diese Verpflichtung ergibt sich aus § 10 MBO, der Berufsordnung der Ärzte. Die Bestimmung dieser Berufsordnung begründet jedoch keine gesetzliche Verpflichtung des Arztes, die Daten der Patienten elektronisch zu verarbeiten. Der erste Ausnahmetatbestand, nach dem eine Vorabkontrolle entfallen würde, ist damit nicht einschlägig.
Eine Vorabkontrolle kann auch dann entfallen, wenn alle Patienten ihre Einwilligung in die Datenverarbeitung geben. Damit können zwar Ärzte, die eine neue Praxis gründen ab dem ersten Patienten, der zur Behandlung erscheint, über das Einholen einer Einwilligungserklärung das Erfordernis eines Datenschutzbeauftragten umgehen, da so das Erfordernis einer Vorabkontrolle entfallen würde. Zu beachten wäre dabei aber, dass es sich, da es um besondere Arten personenbezogener Daten geht, um eine genaue Einwilligungserklärung handeln muss. In einer bereits bestehenden Praxis existieren jedoch in den meisten Fällen bereits Datenbestände ohne eingeholte Einwilligung. Dann ist diese Umgehung der Vorabkontrolle jedoch nicht möglich.
Der letzte Ausnahmetatbestand ist für Arztpraxen nicht einschlägig, da besondere Arten personenbezogener Daten im Sinne von § 3 Abs. 9 BDSG vorliegen. Nach dem Willen des Gesetzgebers sind die bereits genannten Erlaubnistatbestände als leges speciales zu verstehen, so dass in diesem besonderen Fall ein Rückgriff auf die Geschäftsbeziehung im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG nicht zuzulassen ist. Zudem ist mit der wohl herrschenden Meinung davon auszugehen, dass eine elektronische Erfassung und Verarbeitung von Patientendaten nicht erforderlich im Sinne von § 28 Abs. 1 S. 1 Nr. 1 BDSG ist (dies richtet sich vielmehr nach § 28 Abs. 6 ff. BDSG, der indes im Rahmen von § 4d Abs. 5 S. 2 2. Halbsatz BDSG mangels Verweis keine Berücksichtigung findet).
Damit greift vorliegend kein Erlaubnistatbestand ein, der eine Vorabkontrolle entfallen lassen würde. Im Rückschluss muss nach § 4f Abs. 1 BDSG für die Arztpraxis ein Datenschutzbeauftragter bestellt werden.
Gründet man eine neue Praxis und baut einen neuen Patientenstamm auf, kommt auch die Möglichkeit der Einholung einer Einwilligungserklärung in Betracht. Hierbei ist insbesondere § 4a Abs. 3 BDSG zu beachten, der an die Einwilligungserklärung in die Erhebung, Verarbeitung und Nutzung von Patientendaten besondere Voraussetzungen knüpft.
Fazit
Grundsätzlich braucht nach derzeit geltender Rechtslage jede bestehende Arztpraxis, die Patientendaten elektronisch verarbeitet, ohne bei jedem Patienten eine datenschutzrechtliche Einwilligungserklärung eingeholt zu haben, einen Datenschutzbeauftragten. Wird kein Datenschutzbeauftragter bestellt müsste dies zu Abmahnungen durch die Aufsichtsbehörde und zur Erhebung von Bußgeldern führen.
Jetzt Angebot einholen
Datenschutz für Steuerberater
Datenschutz für Steuerberater 2022
Zahlreiche namhafte Unternehmen vertrauen auf Datenschutzlösungen von IITR
Über 2.500 Kunden vertrauen auf Datenschutzlösungen von IITR
Auszeichnungen
Unsere Datenschutz-Kit-Produkte
Eine Leistungsübersicht zur schnellen Einordnung
- Externer Datenschutzbeauftragter
- Datenschutzmanagementsystem
- Ausführlicher Datenschutz-Leitfaden
- Umfassende Datenschutz-Vorlagen
- Datenschutz News und Updates
- Datenschutz-Webinare
- Datenschutz-Fragestunden
- eLearning Basispaket
- eLearning Komplettpaket
- Umfassender Webseiten-Check
- Beratungsleistungen
- Jährliches Datenschutz-Audit
- Individuelles Onboarding
- Fester Ansprechpartner
- Kosten
Basis
Kleine Unternehmen bis 20 Beschäftigte
Ohne inkludiertes Beratungskontingent
- 590,-€/1 Jahr • 1.170,-€/3 Jahre
Aktiv
Kleine Unternehmen bis 20 Beschäftigte
Zugriff auf alle eLearning Module
- 890,-€/1 Jahr • 1.980,-€/3 Jahre
Plus
Unternehmen bis 50 Beschäftigte
inklusive Beratungskontingent
& Datenschutz-Audit
- 290,-€/Monat
beinhaltet nicht beinhaltet zubuchbar
Ihre Vorteile
Datenschutzbetreuung durch IITR
- Komplettlösung für Ihre Kanzlei
- Externer Datenschutzbeauftragter
- Zertifiziertes Datenschutzmanagementsystem
- Einfache Bedienbarkeit
- Erleichterung Ihres Arbeitsalltags
- Kompetente Beratung durch Experten
- Onlineschulungen für Ihre Mitarbeiter
100 Tage sorgenfrei testen
Überzeugen Sie sich von uns und unseren Leistungen. Sie können in den ersten 100 Tagen vom Vertrag zurücktreten, sofern Sie mit unseren Datenschutzlösungen nicht zufrieden sind. Die Garantie zählt für alle Datenschutz-Kit Pakete.
Datenschutz in Steuerberatungskanzleien
Diesem folgend, dürfen Steuerberater keinerlei Daten veröffentlichen oder weitergeben, die ihnen im Zuge ihrer Berufstätigkeit bekannt geworden sind – mit Ausnahme der ausdrücklichen Zustimmung des Mandanten. Doch im Umgang mit personenbezogenen Informationen sowie dem Datenschutz sind für diesen Berufsstand noch weitere gesetzliche Regelungen relevant:
- Datenschutzgrundverordnung (DSGVO)
- Bundesdatenschutzgesetz (BDSG)
- Berufsrecht der Steuerberater (StBerG, DVStB, BOStB)
- Strafgesetzbuch (StGB): § 203, Verletzung von Privatgeheimnissen
Wie gestaltet sich der Datenschutz für Steuerberater?
Dies ist meist die wichtigste Frage, die sich für Steuerberater im Zusammenhang mit dem Datenschutz stellt. Denn im Zuge der klassischen Steuerberatungstätigkeiten wie der Erstellung von Jahresabschlüssen o. ä. sind Sie Ihrem Mandanten gegenüber nicht weisungsgebunden. Daraus lässt sich schließen, dass die Vorgaben zur Auftragsverarbeitung nach Art. 28 DSGVO für Sie nicht zutreffen – denn die Datenverarbeitung erfolgt ausschließlich im Umfang Ihrer Tätigkeit als Steuerberater und nicht darüber hinaus. Selbst für die ergänzende Lohn- und Gehaltsabrechnung Ihrer Mandanten sind Sie dem Bundesdatenschutzgesetz nicht unterworfen. Der Grund: Die Verschwiegenheitspflicht nach StBerG hat in diesen Fällen stets Vorrang – und diese verbietet bereits jegliche Weitergabe personenbezogener Daten.
Anders stellt sich die Sachlage in Bezug auf die Kanzlei dar: Sobald Sie Mitarbeiter beschäftigen, unterliegt die Kanzlei insbesondere den datenschutzrechtlichen Anforderungen, die deren persönlichen Informationen gesetzeskonform schützen. Wesentliche Eckpfeiler dabei sind das:
- Grundsatz der Rechtmäßigkeit
- Transparenzgebot
- Grundsatz der Zweckbindung
- Prinzip der Datenminimierung
- Grundsätze der Integrität und Vertraulichkeit
Das bedeutet: Sie dürfen beispielsweise nur in dem Umfang Daten erheben und verarbeiten, wie es für die Verwaltung Ihrer Angestellten notwendig ist. Außerdem sind Sie verpflichtet, Ihre Mitarbeiter über die konkret verwendeten Informationen in Kenntnis zu setzen.
Darüber hinaus gilt auch für Steuerberater, dass es nicht ausreicht datenschutzkonform zu agieren, sondern er muss dies jederzeit dokumentiert nachweisen können („Rechenschaftspflicht“).
Welche Daten müssen geschützt werden?
Das Datenschutzrecht regelt den Umgang mit personenbeziehbaren oder personenbezogenen Daten. Darunter fallen auch die üblicherweise im Mandatsverhältnis verarbeiteten Daten:
- Name
- Geburtsdatum
- Anschrift
- Steuernummer
- Angaben zur Lebensführung im Rahmen von Steuererklärungen
- Sozialversicherungsnummer
- Finanzdaten (Kontodaten)
Erheben Sie diese oder ähnliche Informationen von Ihren Mandanten und Angestellten oder werden Ihnen diese Daten von Dritten im Rahmen der steuerberatenden Tätigkeit zu teil, ist ein ausgefeiltes Datenschutzkonzept unverzichtbar. Dieses umfasst neben einer umfangreichen Planung auch die konkreten Maßnahmen und Kontrollen im technischen sowie organisatorischen Bereich.
Wie kann der Datenschutz beim Steuerberater organisatorisch und technisch umgesetzt werden?
Die Arbeit eines Steuerberaters ist ohne PC und Internet nicht mehr denkbar. Unterlagen zu Jahresabschlüssen und Lohnabrechnungen werden von fast allen Behörden nur noch in digitaler Form angenommen und auch die Kommunikation mit den Mandanten erfolgt meist per E-Mail. Umso wichtiger ist es, den Fokus auf ein funktionierendes Datenschutzkonzept zu legen.
Platzieren Sie Ihren Server und die Telefonanlage in einem eigenen, verschließbaren Raum, für den strenge Zutrittskontrollen gelten. Gewähren Sie lediglich befugten Personen Zutritt, die für die Wartung zuständig sind oder für ihre Aufgaben direkten Zugriff auf die Serverdaten benötigen. Nimmt Ihr digitales Equipment nicht sehr viel Platz in Anspruch, reicht auch ein separater Serverschrank, der sich sicher verschließen lässt.
Zum Thema Zugriffskontrolle empfiehlt sich ein abgestuftes Berechtigungssystem, das für jeden Nutzer spezifische Ordnerstrukturen freigibt. Damit verhindern Sie, dass Unbefugte Zugriff auf sensible Daten erlangen. Mithilfe einer eindeutigen Nutzerzuordnung sowie der Sicherung mit einem Passwort können Sie jedem Mitarbeiter sein eigenes Profil erstellen. Idealerweise erkennt der verwendete PC Inaktivität und sperrt sich nach einer voreingestellten Zeit selbstständig. So kann der Zugriff ausschließlich über eine erneute Passworteingabe erfolgen. Ändern Sie die verwendeten Passwörter alle 90 Tage – dies lässt sich auch systemseitig verpflichtend einstellen.
Die regelmäßige Aktualisierung von Betriebssystemen, Firewalls und Antiviren-Software gehört leider noch nicht bei allen Kanzleien zum Standard. Schließen Sie mögliche Lücken, indem Sie Ihre Soft- und Hardware stets aktuell halten. Zusätzlich ist die tägliche Sicherung wichtiger Mandanten- und Kanzleidaten unabdingbar. Speichern Sie die Tagesarbeit auf einem separaten Sicherungsmedium und bewahren Sie dieses getrennt vom übrigen System auf – am besten in einem feuerfesten Tresor.
Verschlüsselung ist ein weiterer Schritt hin zur datenschutzkonformen Steuerberatertätigkeit. Nutzen Sie beispielsweise tragbare Speichermedien wie USB-Sticks oder externe Festplatten zur Übertragung von Mandanteninformationen, sollten Sie diese mit einer guten Software verschlüsseln. So kann kein Fremder ohne weiteres Zugriff erlangen, selbst wenn der Stick verloren gehen sollte. Für E-Mails gilt ein ähnliches Prinzip: Schirmen Sie vertrauliche Daten beim E-Mail-Verkehr gegen Hackerangriffe ab. Dank Spezialsoftware gewährleisten Sie eine vertrauliche Übermittlung. Ist Ihr Mandant damit nicht einverstanden oder hat nicht die technischem Möglichkeiten, eine E-Mail-Verschlüsselung zu nutzen, halten Sie dies schriftlich in der Mandatserteilung fest, um sich abzusichern.
Trotz zunehmender Digitalisierung nehmen Papierunterlagen noch immer einen hohen Stellenwert ein. Neben der korrekten Aufbewahrung ist vor allem die Vernichtung eine häufige Datenschutzlücke bei Steuerberatern. Deshalb empfiehlt sich ein Schredder, der mindestens die Sicherheitsstufe 3 erfüllt.
Lässt sich der Einsatz von Drittanbietern – zum Beispiel für Büro-Service, IT-Wartung oder Hosting – nicht vermeiden, sollten Sie mit dem jeweiligen Dienstleister Sonderregelungen nach Art. 28 DSGVO vereinbaren (hier sind zudem etwaige Beschränkungen nach § 203 StGB zu beachten). Dazu gehören unter anderem der Ort der Datenverarbeitung sowie technische und organisatorische Mindeststandards. Außerdem sollte die Mitteilungspflicht im Datenverlustfall eindeutig geregelt sein.
Sind Steuerberater verpflichtet, einen Datenschutzbeauftragten zu bestellen?
Um möglichen Sanktionen von Seiten der Aufsichtsbehörde aus dem Weg zu gehen, empfiehlt sich ggf. die Bestellung eines Datenschutzbeauftragten. Verpflichtend ist sie insbesondere für folgende Kanzleien:
- Mehr als 20 Beschäftigte verarbeiten personenbezogene Daten elektronisch (z.B. am PC).
- Unabhängig von der Beschäftigtenanzahl ist ein Datenschutzbeauftragter zu bestellen, wenn sensible Daten (z.B. Gesundheitsdaten im Rahmen der Lohn- und Gehaltsabrechnung) in großem Umfang verarbeitet werden.
Ob der Datenschutzbeauftragte intern oder extern bestellt wird, bleibt jedem Steuerberater selbst überlassen.
Welche Anforderungen muss der Datenschutzbeauftragte für Steuerberater erfüllen?
Für die Ernennung eines Datenschutzbeauftragten in der eigenen Kanzlei gilt immer der Inkompatibilitätsgrundsatz. Das bedeutet, dass weder der Kanzleiinhaber selbst noch ein Sozius oder Partner diese Tätigkeit ausführen darf. Es ist unbedingt darauf zu achten, einen Interessenskonflikt zu vermeiden: es sollte niemand seine eigenen Entscheidungen datenschutzrechtlich überprüfen müssen.
Neben einer fachkundigen Ausbildung und Zuverlässigkeit sollte Ihr zukünftiger Datenschutzbeauftragter alle notwendigen Kenntnisse über die einschlägigen Datenschutzgesetze haben. Zusätzlich ist Wissen über alle Rechtsvorschriften gefragt, die den Datenschutz betreffen. Bestellen Sie im besten Fall einen externen Dienstleister oder Mitarbeiter für diese Aufgabe, der organisatorisch und technisch auf dem neuesten Stand ist und als Vertrauensperson fungieren kann.