Datenschutz

Sicherheit schafft Vertrauen

Mit einem gut organisierten Datenschutz steigern Sie die Attraktivität Ihres Unternehmens. Sie bauen Vertrauen bei Ihren Mitarbeitern, Kunden und Lieferanten auf und minimieren die Wahrscheinlichkeit wirtschaftlicher Verluste durch Imageschäden oder Geldbußen.

Wir unterstützen Sie bei der Umsetzung und Aufrechterhaltung einer Ihrem Unternehmen angepassten Datenschutzorganisation.

Nach Art. 37 DSGVO besteht seit dem 25. Mai 2018 in bestimmten Fallkonstellationen die Pflicht, einen Datenschutzbeauftragten zu benennen. Der Verantwortliche hat die Kontaktdaten des Datenschutzbeauftragten nicht nur zu veröffentlichen, sondern auch der Aufsichtsbehörde mitzuteilen.

Wann sind Unternehmen verpflichtet einen Datenschutzbeauftragten zu benennen?

  • Regelmäßig sind mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. (§38 Abs.1 BDSG-neu)
  • Es ist eine Datenschutz-Folgeabschätzung durchzuführen. ( §38 Abs.1 BDSG-neu in Verbindung mit Art. 35 DSGVO) Die Liste der Verarbeitungstätigkeiten für die zwingend eine DSFA durchzuführen ist, finden Sie hier.
  • Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet. (§38 Abs.1 BDSG-neu)
    In diese Gruppe gehören insbesondere Wirtschaftsauskunftsdateien, Adresshändler sowie Markt- und Meinungsforschungsinstitute.
  • Verantwortlicher ist eine öffentliche Stelle oder Behörde (Art.37 Abs. 1a DSGVO) (Auch, wenn Sie als nicht-öffentliche Stelle hoheitliche Aufgaben einer öffentlichen Stelle übernehmen.)
  • Die Kerntätigkeit besteht in der umfangreichen oder systematischen Überwachung von betroffenen Personen. (Art. 37 Abs. 1b DSGVO)
    Achtung: Überwachung meint nicht nur Videoüberwachung, Detekteien und private Sicherheitsunternehmen, sondern z.B. auch die Nachverfolgung des Surfverhaltens im Internet oder des Kaufverhaltens durch ein Treueprogramm.
  • Die Kerntätigkeit umfasst die umfangreiche Verarbeitung besonderer Kategorien von Daten oder strafrechtlicher Verurteilungen. (Art. 37 Abs. 1c DSGVO)

Interner oder Externer Datenschutzbeauftragter?

Sie haben die Möglichkeit, einen internen oder externen Datenschutzbauftragten zu benennen. Der Vorteil eines internen Datenschutzbeauftragten ist, dass dieser das Unternehmen und Geschäftsabläufe kennt. Allerdings besteht hier die Gefahr der Betriebsblindheit.
Demgegenüber bietet ein externer Datenschutzbeauftragter den Vorteil, dass dieser von außen objektiv auf das Unternehmen blicken und so unbefangen den Datenschutz einbringen kann. Außerdem genießt der externen Datenschutzbeauftragten, anders als der interne Datenschutzbeauftragte, keinen besonderen Kündigungsschutz. Zudem bringt er oftmals eine größere Fachkunde und mehr Erfahrung mit. Diese sind im Hinblick auf die steigenden Anforderungen an die Position des Datenschutzbeauftragten selbst, aber auch wegen der nach der DSGVO hinzukommenden erforderlichen Nachweis- und Rechenschaftspflichten für Unternehmen nicht zu unterschätzende Faktoren.

Welche Voraussetzungen muss ein Datenschutzbeauftragter erfüllen?

  • berufliche Qualifikation
  • Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
  • die Fähigkeit zur Erfüllung der Aufgaben nach Artikel 39 DSGVO

Was macht ein Datenschutzbeauftragter?

Der Datenschutzbeauftragte dient gewissermaßen der Selbstkontrolle des Verantwortlichen. Er soll durch Beratung und Überwachung einen effektiven Schutz personenbezogener Daten sicherstellen. Um diese Kontrolle zu gewährleisten, ist er bei der Erfüllung seiner Aufgaben weisungsfrei. Er ist aber auch nicht weisungsbefugt, d. h. er trifft keine selbstständigen Entscheidungen über die Umsetzung des Datenschutzes. Vielmehr bleibt der Verantwortliche seinem Namen entsprechend für die Einhaltung der datenschutzrechtlichen Pflichten verantwortlich.

Die genauen Aufgaben eines Datenschutzbeauftragten stehen in Art. 39 DSGVO. Kurz zusammengefasst hat der Datenschutzbeauftragte folgende Aufgaben:

  • den Verantwortlichen, den Auftragsverarbeiter und die Mitarbeiter unterrichten und beraten
  • die Einhaltung der DSGVO bzw. des BDSG neu überwachen
  • die Strategien des Auftragsverarbeiters zum Schutz von personenbezogenen Daten überprüfen
  • Mitarbeiter schulen
  • bei einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO beratend agieren
  • mit der Aufsichtsbehörde zusammenarbeiten sowie als Ansprechpartner für diese fungieren

Was ist unter dem Begriff „Personen“ zu verstehen?

Das Wort „Personen“ soll deutlich machen, dass aus datenschutzrechtlicher Sicht allein die Anzahl der, mit der automatisierten Verarbeitung personenbezogener Daten Beschäftigten entscheidend ist. Es sind also beispielsweise hinzuzurechnen: Geschäftsführer, Inhaber, Voll- und Teilzeitkräfte, Leiharbeitnehmer, Auszubildende, Praktikanten sowie Beschäftigte in Telearbeit.

Was bedeutet „ständig“ und „in der Regel“?

„In der Regel“ soll unterstreichen, dass gewisse Schwankungen in der Anzahl der Personen, die automatisiert Daten verarbeiten, unbeachtlich sind, wenn „in der Regel“ die Anzahl unter 10 Personen bleibt. Entscheidend ist der auf ein Jahr zu betrachtende, durchschnittliche Personalbestand.

„Ständig“ soll klarstellen, dass Personen, die nur gelegentlich, z. B. als Urlaubsvertretung, mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, nicht mitgezählt werden. Maßgeblich ist demnach, dass die Datenverarbeitung zu den (arbeitsvertraglich/weisungsgemäß) zugeordneten Aufgaben zählt und nicht nur ausnahmsweise und ohne dauerhafte Zuordnung erfolgt.

Was bedeutet „automatisiert“?

Eine automatisierte Datenverarbeitung liegt vor, wenn für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von der Person Datenverarbeitungsanlagen wie z. B. PCs, Tablets oder Smartphones eingesetzt werden.
Beschäftigte, die mit anderen (z.B. technischen/handwerklichen) Aufgaben betraut sind und keine automatisierte Datenverarbeitung durchführen, sind nicht zu berücksichtigen. (z.B. angestellte Handwerker, Reinigungskräfte, LKW-Fahrer, Monteure, Lager-Mitarbeiter, Arbeiter an Produktionsstätten und auf Baustellen etc., die ihre Aufträge intern nur auf Papier bekommen) Bekommen sie ihre Aufträge via Smartphone oder Tablet, sind sie hinzuzuzählen. Trainer, Betreuer und Übungsleiter in Vereinen verfügen auch zumeist über Namens- oder Adresslisten ihrer jeweiligen Mannschaften oder Gruppen, die sie auch nutzen. Soweit dies ohne technische Geräte (z.B. Smartphones) geschieht, ist auch in diesen Fällen nicht von einer automatisierten Datenverarbeitung auszugehen.

Was sind hoheitliche Aufgaben?

Unter hoheitlichen Aufgaben sind Tätigkeiten zu verstehen, die kraft öffentlichen Rechts zu erfüllen sind. (z.B. AU/HU)