Externer Datenschutzbeauftragter

Datenschutz ist inzwischen in allen Bereichen der IT ein Thema geworden. Seit Mai 2018 gilt die EU-DSGVO, die u.a. bei Verstössen auch wesentlich höhere Strafrahmen als bisher mit sich brachte.

Bis 17.10.2024 mussten die Mitgliedsstaaten die EU-Richtlinie über Maßnahmen für ein gemeinsames hohes Cybersicherheitsniveau in der EU, genannt NIS2-Richtlinie in nationales Recht übertragen. In Deutschland erfolgt dies über das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz.

Aktueller Stand
  • Gesetzgebungsverfahren: Der Bundestag hat den Entwurf am 13. November 2025 verabschiedet; die Zustimmung des Bundesrates steht noch aus.
  • Umsetzung: Das Gesetz soll Ende 2025 oder Anfang 2026 in Kraft treten.
  • Fristüberschreitung: Die ursprüngliche Frist für die Umsetzung war der 17. Oktober 2024, die Deutschland verpasst hat. 
Was das Gesetz bedeutet
  • Betroffene Unternehmen: Voraussichtlich etwa 29.850 Unternehmen und Behörden werden betroffen sein.
  • Neue Pflichten: Unternehmen müssen strengere Sicherheitsanforderungen erfüllen, Risikobewertungen durchführen, Notfallpläne erstellen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) über Vorfälle informieren.
  • Meldepflichten: Nach einem Cyberangriff müssen die Betroffenen das BSI binnen 24 Stunden informieren und innerhalb von 72 Stunden einen Zwischenbericht abgeben. Ein Abschlussbericht muss innerhalb eines Monats erfolgen.
  • BSI-Befugnisse: Das BSI erhält stärkere Aufsichtsbefugnisse und kann bei Verstößen Bußgelder verhängen. 

Dies gibt Ihnen jetzt eine letzte Gelegenheit, zu prüfen, ob Sie ggf. betroffen sind. In diesem Fall sind umfangreiche Anforderungen zu erfüllen, deren Umsetzung gesetzlich vorgeschrieben ist und Verstösse empfindlich geahndet werden.

Wir beraten Sie gerne zu diesem Thema und auch zu vielen weiteren Fragen aus dem Bereich Datenschutz wie z.B. DSFA, ISMS, Datenverarbeitung im Auftrag, Homeoffice, Emailsicherheit uvm.

Wer muss einen Datenschutzbeauftragten benennen?

In Art. 37 Abs. 1 lit. b EU-DSGVO ist folgendes festgelegt: Nicht-öffentliche Stellen müssen einen Datenschutzbeauftragten benennen, wenn ihre Kerntätigkeit in Verarbeitungsvorgängen besteht, die gemessen an Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen erforderlich machen oder wenn die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten bzw. Daten über strafrechtliche Verurteilungen und Straftaten besteht (Art. 37 Abs. 1 lit. c DSGVO, Art. 9, 10 DSGVO). In § 38 Abs. 1 S. 1 BDSG-neu wird diese Benennungspflicht ergänzt. Hier wird festgelegt, dass ein Datenschutzbeauftragter auch dann zu benennen ist, wenn bei dem Verantwortlichen bzw. Auftragsverarbeiter ständig mindestens zwanzig Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO für Verarbeitungen durchgeführt werden muss oder Verarbeitungen geschäftsmäßig dem Zweck der anonymisierten Übermittlung dienen oder für Zwecke der Markt und Meinungsforschung erfolgen.

Jetzt sollte Sie sich folgende Frage für Sie stellen:

Haben Sie den vorhergehenden Artikel verstanden? Falls nicht sollten Sie bereits jetzt darüber nachdenken mit uns zu sprechen.

 

Wie gehen wir vor?

Ganz einfach: wir treffen uns kostenlos und unverbindlich bei einer Tasse Kaffee zu einem ersten Austausch und stellen den Handlungsbedarf fest. Danach erhalten Sie von uns entweder direkt ein Angebot oder wir bitten Sie in komplexen Umgebungen um einen vor-Ort-Termin.

Einfach, unkompliziert und für Sie ohne finanziellen Aufwand.

 

Datenschutzbeauftragter Koblenz
BvD-Logo
Fritz!
MailStore_Logo
FSAS Service Partner