DPO als Service
DPO als Service
Ein benannter, unabhängiger Datenschutzbeauftragter für Büros, deren Akten zu sensibel für Improvisation und zu klein für eine Vollzeitstelle sind — arbeitend auf der Plattform, auf der Ihre Nachweise bereits leben.
Eine Geldwäschepraxis ist konstruktionsbedingt ein Datenschutz-Grenzfall: Ausweisdokumente, UBO-Strukturen, Screening-Ergebnisse, Verdachtsakten — vieles davon strafrechtsnah im Sinne von Art. 10 DSGVO. Genau dieses Profil macht den Datenschutzbeauftragten von optional zu geprüft. Wir stellen den Beauftragten.
Wann ein DPO aufhört, optional zu sein
Art. 37 DSGVO verlangt einen DSB, wenn die Kerntätigkeit in umfangreicher regelmäßiger und systematischer Überwachung besteht — oder in umfangreicher Verarbeitung besonderer Kategorien oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10).
Die Compliance-Akte eines Verpflichteten ist genau das: fortlaufendes Screening gegen Sanktions- und PEP-Listen, Negativmedien-Prüfungen, Transaktionsüberwachung, Verdachtsaufzeichnungen — strafrechtsnah ihrem Wesen nach. Aufsichten legen 'umfangreich' weit aus, wo die Verarbeitung intensiv statt bloß voluminös ist.
Selbst wo die Benennung wohl freiwillig ist, ändert sie Ihre Position: Die Behörde trifft ein professionelles Gegenüber statt eines improvisierenden Büroleiters.
Was Ihr externer DPO tatsächlich tut
Benennung & Registrierung
Formell nach Art. 37 benannt, bei der Aufsichtsbehörde registriert (in Belgien die GBA/APD), als Ihr Art.-38(4)-Kontaktpunkt für Betroffene veröffentlicht.
Verzeichnis der Verarbeitungen
Das Art.-30-Verzeichnis aufgebaut und gepflegt an Ihren realen Tätigkeiten — mit den AML-Rechtsgrundlagen je Datenkategorie, keine kopierten Vorlagen.
DSFA, wo sie greift
Datenschutz-Folgenabschätzungen (Art. 35) für Verarbeitungen mit echtem Risiko: Screening-Pipelines, Portal-Identitätsflüsse, Überwachungslogik.
Verletzungsreaktion, auf der Uhr
Bewertung und Meldung von Datenschutzverletzungen im 72-Stunden-Fenster (Arts. 33–34), mit laufend belegter Zeitleiste.
Betroffenenanfragen
Auskunft, Berichtigung und Löschung binnen Monatsfrist — einschließlich der heiklen Ausnahme, wo SAR-bezogene Daten auf das Offenlegungsverbot treffen.
Schulung & Sensibilisierung
Personalunterweisung zu den DSGVO-Pflichten, die im Alltag eines Verpflichteten wirklich auftreten, eingebettet in Ihren bestehenden AML-Schulungszyklus.
Unabhängigkeit ist der ganze Punkt
Art. 38 DSGVO verlangt einen DSB, der an die höchste Leitungsebene berichtet, keine Weisungen zu seinen Aufgaben erhält und keine kollidierende Funktion innehat. Im kleinen Büro ist, wer die Akten am besten kennt, meist auch dafür verantwortlich — genau der Konflikt, den Art. 38(6) verbietet.
Ein externer DPO löst den Konflikt strukturell. Unserer kommt mit geladenem Branchenkontext: Wir wissen, wie eine notarielle Urkundenakte, ein UBO-Auszug und ein goAML-Export aussehen — weil wir die Plattform bauen, auf der sie leben.
Im Umfang
- Formelle DPO-Benennung, Behördenregistrierung und der öffentliche Kontaktpunkt
- Verarbeitungsverzeichnis, gebunden an Ihre tatsächlichen AML-Datenflüsse
- DSFA-Erstellung und -Prüfung für risikoreiche Verarbeitungen
- Verletzungstriage, 72-Stunden-Meldungen und Betroffenenkommunikation
- Anfragenannahme und -beantwortung, mit beherrschter AML/Tipping-off-Grenze
- Aufbewahrungspläne, die die fünfjährige AML-Pflicht mit der Speicherbegrenzung versöhnen
- Jährliche Datenschutzprüfung mit leitungsreifem Bericht
Bewusst außerhalb des Umfangs
- Wir sind nicht Ihre Kanzlei: Streitverfahren, Vertragsentwürfe und Rechtsgutachten bleiben beim Anwalt
- Wir treffen keine Leitungsentscheidungen — der DSB berät und überwacht; der Verantwortliche entscheidet
- Wir ersetzen Ihren AMLCO nicht: Geldwäsche-Compliance ist eine eigene benannte Rolle
- Keine Vertretung in Verfahren vor der Behörde über die gesetzliche DSB-Rolle hinaus
Der DPO arbeitet in Ihrem Nachweis, nicht daneben
Sceaus Datenschutz-Arbeitsbereich ist die Arbeitsfläche des DPO: Verarbeitungsverzeichnis, Aufbewahrungspläne, Anfragefristen und Verletzungsuhren leben neben den AML-Akten, die sie beschreiben. Ratschläge landen als Registereinträge, nicht als E-Mail-Anhänge — zur Prüfung ist die Datenschutzhaltung so beweisbar wie die AML-Haltung.
Wie es läuft
1 · Bestandsaufnahme
Eine strukturierte Aufnahme kartiert Ihre Verarbeitungen, Dokumentation und Lücken — typischerweise zwei Wochen bis zur unterzeichneten Benennung und eingereichten Registrierung.
2 · Fester Rhythmus
Monatliche Durchsicht von Anfragen, Vorfällen und Verzeichnisänderungen; Quartalsprüfung an der Akte; sofortige Verfügbarkeit bei Verletzungen.
3 · Der Jahresabschluss
Ein jährlicher Datenschutzbericht, den Ihre Leitung unterschreibt, Ihr Versicherer schätzt und Ihre Aufsicht wiedererkennt.
Die ehrliche Grenze
DPO als Service ist eine gesetzliche Funktion nach Arts. 37–39 DSGVO, keine anwaltliche Beratung unter Berufsgeheimnis. Braucht eine Sache den Anwalt, sagen wir es und übergeben sauber.
Der Verantwortliche bleibt der Verantwortliche: Die Verarbeitungsentscheidungen liegen bei Ihrem Büro. Wir garantieren, dass diese Entscheidungen informiert, dokumentiert und verteidigbar sind.
Primärquellen
Sprechen Sie mit uns über das DPO-Mandat
Buchen Sie eine 30-Minuten-Demo: Wir onboarden live einen Testkunden, lösen einen Screening-Treffer aus und exportieren Ihr erstes Prüfungsdossier — Ihr Beruf, Ihr Land, Ihre Aufsicht.
Demo buchen