Wann brauche ich einen Datenschutzbeauftragten?

Wenn Sie mehr als 9 Personen mit der EDV-gestützten Verarbeitung von personenbezogenen Daten beschäftigen, oder besondere Arten personenbezogener Daten laut Art.9 der DSGVO verarbeiten. Dem Wortlaut nach sind diese Daten Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, sowie genetische und biometrische Daten.

Was sind personenbezogene Daten?

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener). Beispiel: Adresse, Kontoverbindung, Kfz-Kennzeichen, IP-Adresse, usw...

Wer kann Datenschutzbeauftragter werden?

Das Gesetz verlangt von ihm die erforderliche Fachkunde und Zuverlässigkeit. Gerade an seine Fachkunde werden hohe Anforderungen gestellt! Das Landgericht Ulm stellt u.a zur Fachkunde fest: Er muss die Vorschriften der Datenschutzgesetze des Bundes und der Länder und alle anderen den Datenschutz betreffenden Rechtsvorschriften anwenden können. Er ist Computerexperte. Er hat Organisationstalent. Er muss zuverlässig sein und darf nicht im Konflikt mit anderen Tätigkeiten im Betrieb stehen. Daher schließen sich folgende Gruppen aus: Geschäftführung, Verwandtschaft, Personalleiter, EDV Leiter, externe IT Systembetreuer/Dienstleister.

Was ist ein Verzeichnis der Verarbeitungtätigkeit?

Es umfasst u.a. folgende Angaben: Name der verantwortlichen Stelle; Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen; Anschrift der verantwortlichen Stelle; Zweckbestimmungen der Datenerhebung, -erarbeitung oder -nutzung; eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien; Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können; Regelfristen für die Löschung der Daten; eine geplante Datenübermittlung in Drittstaaten. Das interne Verfahrensverzeichnis hat zusätzlich zu dem öffentlichen Verfahrensverzeichniseine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind. Dies sind u. a. technische und organisatorische Maßnahmen wie: Unbefugte daran gehindert werden die Räume der technischen Anlagen zu betreten (Zutrittskontrolle); verhindert wird, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle); gewährleistet wird, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden (Verfügbarkeitskontrolle).

Was passiert, wenn ich die Vorschriften nicht umsetze?

In Art.83 der DSGVO sind die Bußgeldvorschriften geregelt, sie können bei Fehlen der Dokumentationen und/oder des Datenschutzbeauftragten bis zu 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, oder bis zu 20 Mil. Euro betragen. Bei vorsätzlicher Handlung kann auch eine Freiheitsstrafe bis zu 2 Jahren festgelegt werden.

Wer prüft die Einhaltung des Datenschutzes?

Die Behörden (Landesbeauftragte für Datenschutz und Informationsfreiheit) können auch ohne Anfangsverdacht die Einhaltung der Bestimmungen prüfen.

Ich habe weniger als 10 Personen, betrifft mich dann die DSVGO?

Ja, Sie müssen die Dokumentationen erstellen und Maßnahmen beschreiben, wie der Datenschutz gem. Art.32 DSGVO, sichergestellt wird. Weiterhin muss die Geschäftsführung die Aufgaben des Datenschutzbeauftragten anderweitig sicherstellen.

Was prüft die Aufsichtsbehörde?

- Ist ein Datenschutzbeauftragter vorhanden?

- Werden die Grundregeln der Auftragsdatenverarbeitung beachtet (Art.28 der DSGVO)?

- Sind die vorgeschriebenen Verfahrensverzeichnisse vorhanden (Art.30 der DSGVO)?

- Hat der Datenschutzbeauftragte die entsprechende Fachkunde und Zuverlässigkeit (Art.37 der DSGVO)?

- Sind die wichtigen organisatorischen und technische Maßnahmen beschrieben und werden diese beachtet (Art.24 der DSGVO)?

- Ist die Verpflichtung auf das Datengeheimnis richtig erfolgt (Art.32 der DSGVO)?

- Ist die Internetpräsenz Datenschutzkonform (Unterrichtung über Datenschutz, Verwendung von Cookies, Veröffentlichung personenbezogener Daten, ...)

Welche Vorteile bietet die Bestellung eines Externen Datenschutzbeauftragten gegenüber der Bestellung eines eigenen Internen Datenschutzbeauftragten?

- Konfliktfreie Ausübung der Tätigkeit als Externer Datenschutzbeauftragter, da nicht in die Hierarchie des Unternehmens eingebunden.Der Externe Datenschutzbeauftragte prüft nicht betriebsblind.Er unterliegt dem geprüften Unternehmen keiner besonderen Kündigungsfrist.

- Erforderliche Fachkunde und Zuverlässigkeit gem. Art.37 DSGVO sind gewährleistet auch durch ständige Schulung und Weiterbildung, daher Spezialisierung auf diesem Gebiet.Schnelle und effektive Prüfung, da Spezialisierung auf dem Gebiet des Datenschutzes.

- Keine Fehlzeiten der Mitarbeiter im Unternehmen, da diese nicht durch zusätzliche Aufgaben für Tätigkeit als Interner Datenschutzbeauftragter belegt werden.

- Synergie-Effekte durch Mehrfachtätigkeit des Externen Datenschutzbeauftragten in verschiedenen Unternehmen. Kosten lassen sich eingrenzen und sind planbar.

- Keine jährlichen Kosten für Schulung und Ausbildung zum Internen Datenschutzbeauftragten.