Über die DSGVO
Datenschutz-Grundverordnung (DSGVO)
Inhaltsverzeichnis
Die Datenschutz-Grundverordnung, oder kurz die DSGVO, ist seit dem 25. Mai 2018 in Kraft und das wohl meistdiskutierteste Gesetz des letzten Jahres. Die DSGVO regelt den Umgang mit personenbezogenen Daten durch Unternehmen und öffentliche Stellen EU-weit. Die Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten und zum freien Verkehr dieser Daten. Die DSGVO schützt somit die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf den Schutz ihrer personenbezogenen Daten. (natürliche Person = der Mensch in seiner Rolle als Rechtssubjekt, d. h. als Träger von Rechten und Pflichten. Gegensatz zur natürlichen Person ist die juristische Person, also Körperschaften, Vereine und Gesellschaften)
Somit ist jeder, der personenbezogene Daten nicht nur für strikt persönliche Zwecke verarbeitet, vom Reglungsbereich der Verordnung betroffen. Auch Vereine, Stiftungen, Einzelunternehmer usw. müssen sich an die DSGVO halten.
Doch was schreibt die DSGVO eigentlich genau vor? Was sind personenbezogene Daten? Welche rechtlichen Grundsätze gibt es? Was ist ein Datenschutzbeauftragter? Sie werden wahrscheinlich vieler solcher Fragen haben, doch Bergjan & Oettel möchte ein wenig Licht in Ihr Dunkel bringen und präsentiert Ihnen nachfolgend eine grobe Übersicht über die DSGVO.
Für genauere Fragen kontaktieren Sie uns doch einfach und wir kommen gerne für ein kostenloses Erstgespräch und einen kostenlosen DSGVO-Check bei Ihnen vorbei.
Was sind personenbezogene Daten laut DSGVO?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Personenbezogene Daten sind somit z.B. Adressen (auch IP-Adressen und E-Mail-Adressen), Namen (auch Benutzernamen), Geburtsdatum, Einkommen, Beruf, Kfz-Kennzeichen, Konto- oder Versicherungsnummer usw.
Besondere Kategorien von personenbezogenen Daten
Ergänzend zu den normalen personenbezogenen Daten, gibt es noch besondere Kategorien von personenbezogenen Daten, die einen höheren Schutz bedürfen. Unter dieser Kategorie fallen alle Daten, aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Sobald Sie solche besonderen Kategorien von personenbezogenen Daten verarbeiten, sollten Sie sich auf jeden Fall professionell unterstützen lassen.
Grundsätze der Verarbeitung
Für den Umgang mit personenbezogenen Daten schreibt die DSGVO insgesamt sieben Grundsätze vor:
Personenbezogene Daten müssen auf rechtmäßige und anständige Weise und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“)
Die erhobenen personenbezogene Daten müssen dem Zweck angemessen, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)
Die personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“)
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“)
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Was genau diese technischen und organisatorischen Maßnahmen bedeuten, wird weiter unten erläutert.
Der für die Datenverarbeitung Verantwortliche ist für die Einhaltung dieser Grundsätze verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). Wie genau sich diese Rechenschaftspflicht gestaltet, wird im weiteren Verlauf dargelegt.
Rechtfertigungsgründe
Nachdem die Grundsätze bereits beleuchtet wurden, wollen wir nun noch auf die Rechtfertigungsgründe eingehen. Denn die DSGVO besagt, dass die Verarbeitung von personenbezogenen Daten grundsätzlich verboten ist, es sei denn, einer der nachfolgenden Rechtfertigungsgründe liegt vor. Es handelt sich also um ein sog. Verbot mit Erlaubnisvorbehalt.
Somit ist die Verarbeitung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
-
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
-
Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
-
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt;
-
Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
-
Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
-
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Diese rechtliche Verpflichtung muss sich aus EU-Recht ergeben oder aus dem Recht des Heimatsstaates des Datenverarbeiters. So verpflichtet zum Beispiel das Geldwäschegesetz (GWG) Banken, Versicherungen und Finanzdienstleister zur Erhebung und Speicherung von Daten und zu Auskünften an Behörden.
Bei dem Begriff des berechtigten Interesses handelt es sich um einen unbestimmten Rechtsbegriff. Das bedeutet, dass der tatsächliche Gehalt durch Auslegung zu ermitteln ist. Bei der Beurteilung, ob ein solches berechtigtes Interesse vorliegt, sollte auf jeden Fall eine fachkundige Person herangezogen werden.
Verzeichnis von Verarbeitungstätigkeiten
Die DSGVO hat das sog. Verzeichnis von Verarbeitungstätigkeiten als neue Pflicht eingeführt. Damit wird man dazu verpflichtet, eine schriftliche Dokumentation über Verfahren zu führen, bei denen personenbezogene Daten verarbeitet werden.
Dabei müssen wesentliche Angaben zur Datenverarbeitung aufgeführt werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Auf Anfrage ist es der Aufsichtsbehörde vollständig zur Verfügung zu stellen.
Bei der Erstellung eines solchen Verzeichnisses sollten Sie unbedingt fachmännische Hilfe in Anspruch nehmen.
Auftragsverarbeiter
Die DSGVO erlaubt es Unternehmen, andere Unternehmen damit zu beauftragen, personenbezogene Daten im Auftrag zu verarbeiten. Auftragsverarbeitung liegt also oftmals vor, sobald ein Unternehmen (Auftraggeber) sich eines Dritten (Auftragnehmer) zur Datenverarbeitung bedient. Die Frage, ob eine solche vorliegt, ist von erheblicher Bedeutung für die Absicherung der Rechtsmäßigkeit der Datenverarbeitung, denn mit Auftragsverarbeitern müssen sogenannte Auftragsverarbeitungsverträge geschlossen werden. Für das Vorliegen einer Auftragsverarbeitung spricht, wenn:
-
dem Auftragnehmer die Entscheidungsbefugnis über die Daten fehlt.
-
der Auftragnehmer mit der Datenverarbeitung keine eigenen Geschäftszwecke verfolgt.
-
der Auftragnehmer einem ausdrücklichen Nutzungsverbot in Bezug auf die zu verarbeitenden Daten unterliegt.
-
der Auftrag auf die Durchführung einer Datenverarbeitung gerichtet ist, die aber nach außen hin vom Auftraggeber verantwortet wird.
-
der Auftragnehmer im Zusammenhang mit der Auftragsverarbeitung in keinerlei vertraglichen Beziehungen zu den von der Datenverarbeitung Betroffenen steht.
Eine solche Auftragsverarbeitung liegt zum Beispiel regelmäßig vor bei:
-
Telefonmarketing und andere Callcenter-Leistungen, soweit nicht vom Unternehmen selbst durchgeführt.
-
externer Datenhaltung, insbesondere beim teilweisen oder gesamten Outsourcing eines Rechenzentrums.
-
Implementierung neuer IT-Systeme mit Migration bestehender Datenbanken durch den Auftragnehmer.
-
Nutzung von Cloudsystemen zur Personal- oder Kundenverwaltung.
-
externe Druckdienstleistung.
-
manuellem oder elektronischem Archivierungsservice.
-
Aktenvernichtung, Vernichtung von Datenträgern.
Technische und Organisatorische Maßnahmen
Die technischen und organisatorischen Maßnahmen, kurz TOMs, sollen die Sicherheit der Verarbeitung garantieren. Dabei gilt der Grundsatz, je mehr Daten verarbeitet werden und je sensibler diese Daten sind, desto mehr Schutz muss nachgewiesen werden können.
Nachweisen kann man die TOMs, indem man diese gut dokumentiert. Dabei sollten folgende Punkte in Betracht gezogen werden.
- Übertragungskontrolle
- Zugangskontrolle
Wie stellen Sie die Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte sicher?
- Datenträgerkontrolle
Wie verhindern Sie das unbefugte Lesen, Kopieren, Verändern oder Löschen von Datenträgern?
- Speicherkontrolle
Wie verhindern Sie die unbefugte Eingabe von personenbezogenen Daten sowie die unbefugte Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten?
- Benutzerkontrolle
Wie verhindern Sie die Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte?
- Zugriffskontrolle
Wie gewährleisten Sie, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den personenbezogenen Daten Zugang haben, die ihre Zugangsberechtigung umfasst?
- Eingabekontrolle
Wie gewährleisten Sie, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind?
- Transportkontrolle
Wie gewährleisten Sie, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden?
- Wiederherstellbarkeit
Wie gewährleisten Sie, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können?
- Zuverlässigkeit
Wie gewährleisten Sie, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden?
- Datenintegrität
Wie gewährleisten Sie, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können?
- Auftragskontrolle
Wie gewährleisten Sie, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können?
-
Verfügbarkeitskontrolle
Wie gewährleisten Sie, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind? - Trennbarkeit
Wie gewährleisten Sie, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können?
Wie gewährleisten Sie, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden?
Bei der Dokumentation der TOMs ist es ratsam, fachmännische Hilfe in Anspruch zu nehmen.
Betroffenenrechte
Informationspflicht (art. 13 DSGVO)
Die DSGVO schreibt vor, dass betroffene Personen über bestimmte Dinge informiert werden müssen, sobald personenbezogene Daten bei/von ihnen erhoben werden.
Unternehmen sind somit dazu verpflichtet, der betroffenen Person direkt zum Zeitpunkt der Erhebung ihrer Daten Folgendes mitzuteilen:
- den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
- die Kontaktdaten des Datenschutzbeauftragten;
- die Zwecke, für welche die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
=> Die Rechtsgrundlage ist meist Art. 6 DSGVO, in dem die bereits erläuterte Rechtmäßigkeit der Verarbeitung geregelt ist. Aber auch landesspezifische Gesetze wie z.B. Steuergesetze oder Meldegesetze könnten hier genannt werden.
- Nutzung von Cloudsystemen zur Personal- oder Kundenverwaltung;
- wenn die Verarbeitung auf der Wahrung von berechtigten Interessen des Verantwortlichen beruht (siehe Abs. 1.4, f.), so müssen diese berechtigten Interessen genannt werden;
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
=>Hier müssten dann z.B. die eventuell relevanten Auftragsverarbeiter (siehe Abs. 1.5) genannt werden.
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln;
=> Dies wird demnach nur notwendig, sobald personenbezogene Daten in ein Land außerhalb der EU übermittelt werden.
- die Dauer, für welche die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; (genaueres dazu unter 2.2 – 2.7)
- das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte.
Auskunftsrecht der betroffenen Person (Art. 15 DSGVO)
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten.
Recht auf Berichtigung (Art. 16 DSGVO)
Betroffene Personen haben weiter das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.
Recht auf Löschung (Art. 17 DSGVO)
Die betroffene Person hat ebenso das Recht, zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Es sei denn, das Unternehmen kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, welche die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Des Weiteren sind Unternehmen auch dazu verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Die betroffene Person legt Widerspruch gegen die Verarbeitung ein
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Der Betroffene hat in bestimmten Fällen weiterhin das Recht eine Einschränkung der Verarbeitung seiner personenbezogenen Daten zu verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Unternehmen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln.
Widerspruchsrecht (Art. 21 DSGVO)
Natürlich besteht für die betroffene Person auch ein Widerspruchsrecht. Die betroffene Person hat somit das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen. Danach ist es dem Unternehmen grundsätzlich untersagt, die betreffenden personenbezogenen Daten zu verarbeiten. Es sei denn, das Unternehmen kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, welche die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Datenschutz-Folgeabschätzung
Wann muss eine Datenschutz-Folgeabschätzung durchgeführt werden?
Die DSGVO schreibt bei Verarbeitungen, insbesondere bei Verwendung neuer Technologien oder wenn die Art, der Umfang, die Umstände und der Zweck der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellen, eine Datenschutz-Folgeabschätzung vor.
Eine Datenschutz-Folgeabschätzung ist gemäß der DSGVO besonders notwendig bei:
- systematischer und umfassender Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen.
- umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten.
- systematischer weiträumiger Überwachung öffentlich zugänglicher Bereiche.
Ergänzend haben die Aufsichtsbehörden bzw. die Landesdatenschutzbeauftragten Listen von Verarbeitungsvorgängen erstellt, für die eine Datenschutz-Folgeabschätzung verpflichtet sind.
Wie muss eine Datenschutz-Folgeabschätzung durchgeführt werden?
Die DSGVO gibt in puncto Durchführung genauere Anweisungen. Wichtig ist, dass bei der Durchführung einer Datenschutz-Folgeabschätzung der Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, eingeholt werden muss. Was den Inhalt der Datenschutz-Folgeabschätzung betrifft, muss Folgendes enthalten sein:
Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden. Dabei soll den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen werden.
Für die Einschätzung, ob eine Datenschutz-Folgenabschätzung vorgenommen werden muss und besonders für die Durchführung dieser Abschätzung ist fachmännische und professionelle Hilfe empfehlenswert.
Datenschutzbeauftragter
Funktion und Stellung eines Datenschutzbeauftragten?
Ein Datenschutzbeauftragter ist gewöhnlich eine natürliche Person, die von einer Organisation benannt und bei der zuständigen Behörde gemeldet wird, um die Einhaltung des Datenschutzrechts sicherzustellen und zu überwachen. Ein Datenschutzbeauftragter ist somit vor allem eine unabhängige Kontrollinstanz.
Somit muss er sich nicht alleinig um den gesamten Datenschutz in einer Organisation kümmern, sondern ist dazu berechtigt Aufgaben zu delegieren. Die Verantwortung für diese Aufgaben und deren Ergebnisse bleibt letztendlich jedoch beim Datenschutzbeauftragten.
Ein Datenschutzbeauftragter kann entweder intern oder extern benannt werden. Bei der internen Variante benennt das Unternehmen einen der Mitarbeiter als Datenschutzbeauftragten, bei der externen Variante wendet sich das Unternehmen an einen Dienstleister und lässt sich einen fachkundigen Datenschutzbeauftragten stellen.
Doch Achtung: Die Benennung des Datenschutzbeauftragten kann nicht willkürlich geschehen. Gemäß Art. 37 Abs. 5 DSGVO wird ein Datenschutzbeauftragter auf der Grundlage seiner beruflichen und fachlichen Qualifikationen und Kompetenzen auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis benannt. Diese Qualifikationen und Kompetenzen des Datenschutzbeauftragten müssen auch nachgewiesen werden können. Ebenso müssen Interessenskonflikte vermieden werden. Dementsprechend sollte intern nicht unbedingt der IT-Verantwortliche oder jemand aus der Geschäftsführung zum Datenschutzbeauftragten benannt werden.
Der Datenschutzbeauftragte ist direkt der höchsten Managementebene unterstellt, darf aber nicht aufgrund seiner Tätigkeit benachteiligt werden und ist in der Erfüllung seiner Aufgaben weisungsungebunden.
Der Datenschutzbeauftragte ist an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
Art des Datenschutzbeauftragten | Pro | Contra | |
---|---|---|---|
Externer Datenschutzbeauftragter |
Besitzt bereits alle notwendigen Fachkenntnisse und Qualifikationen | Braucht eine gewisse Zeit, um sich in die internen Geschäftsprozesse und Strukturen einzuarbeiten | |
Entlastet die Geschäftsführung und die Mitarbeiter | |||
Übernimmt großteils die Verantwortung für den Datenschutz im Unternehmen | |||
Kaum Gefahr von Interessenskonflikten | |||
Interner Datenschutzbeauftragter | Kennt die internen Geschäftsprozesse und Strukturen bereits | Extra Belastung neben der eigentlichen Arbeit | |
Datenschutz nur ein ‚Nebenbei-Projekt‘ | |||
Ausbildung zum Datenschutzbeauftragten | |||
Hohe Gefahr von Interessenskonflikten |
Funktion und Stellung eines Datenschutzbeauftragten?
Die DSGVO sieht für den Datenschutzbeauftragten folgende wichtige Aufgaben vor:
Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
Der Datenschutzbeauftragte sensibilisiert und schult Mitarbeiter.
Der Datenschutzbeauftragte ist der direkte und erste Ansprechpartner für Aufsichtsbehörden und Betroffene.
Der Datenschutzbeauftragte arbeitet mit der Aufsichtsbehörde zusammen.
Der Datenschutzbeauftragte berät und unterstützt – auf Anfrage – bei der Durchführung der Datenschutz-Folgeabschätzung.
Der Datenschutzbeauftragte ist direkter Ansprechpartner für die Geschäftsführung und alle Mitarbeiter, sobald es um personenbezogene Daten geht.
Wann ist laut DSGVO ein Datenschutzbeauftragter erforderlich?
Ein Datenschutzbeauftragter kann aus mehreren Gründen erforderlich und verpflichtend sein.
Unternehmensgröße:
Haben mindestens 20 Personen im Unternehmen (inkl. Teilzeitangestellten, Auszubildende, Mini-Jobber etc. und Geschäftsführung) regelmäßig mit Datenverarbeitung zu tun, besteht die Pflicht einen Datenschutzbeauftragten zu benennen. Die Einschätzung, ob dieser Tatbestand nun wirklich zutrifft, sollte am besten von einer fachkundigen Person vorgenommen werden.
Geschäftsfeld:
Sobald die Kerntätigkeit des Unternehmen darin besteht, besondere Kategorien von personenbezogenen Daten verarbeitet werden (Daten über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit, Straftaten, strafrechtliche Verurteilungen oder Sexualleben) und/oder eine Datenschutz-Folgeabschätzung verpflichtend ist, ist unabhängig von der Personenanzahl auch ein Datenschutzbeauftragter zu benennen.
Außerdem ist ein Datenschutzbeauftragter erforderlich, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Gleiches gilt für Unternehmen, deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Die Einschätzung, ob dies auf ein Unternehmen nun wirklich zutrifft, sollte am besten von einer fachkundigen Person vorgenommen werden.
Freiwillige Benennung eines Datenschutzbeauftragten:
Doch auch wenn keine gesetzliche Verpflichtung besteht, kann es nichtsdestotrotz sinnvoll sein, einen Datenschutzbeauftragten zu benennen. Denn viele kleine und mittelständische Unternehmen kennen sich kaum mit der DSGVO aus, kennen die zahlreichen Dokumentations-, Auskunfts- und Nachweispflichten kaum oder gar nicht und sind so oftmals mit der DSGVO überfordert. In solchen Fällen kann ein fachkundiger und freiwillig benannter Datenschutzbeauftragter die Anpassung an die DSGVO vornehmen und für Sicherheit sorgen. Ebenso kann sich die Geschäftsführung dann wieder auf das Wesentliche konzentrieren, denn der Datenschutzbeauftragte kümmert sich um die lästigen Fragen rund um Verarbeitungsverzeichnis, Dokumentation, Betroffenenrechte usw.
Mögliche Bußgelder
Neben möglichen Schadensersatzforderungen können die Datenschutzaufsichtsbehörden auch Sanktionen verhängen, wenn die Pflichten der DSGVO gar nicht oder ungenügend eingehalten werden. Die DSGVO sieht als höchstes Bußgeld 20.000.000 Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes vor.
Wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen sind.
DSGVO-Compliance: Was muss ich als Unternehmen vorweisen können?
Um die gesamte Thematik herunterzubrechen, wird Ihnen hier kurz und knackig eine Übersicht über die notwendigen Dokumentationen gegeben.
Nach der DSGVO gibt es folgende fakultative Dokumentationspflichten:
ein Verzeichnis von Verarbeitungstätigkeiten
eine Dokumentation der technischen und organisatorischen Maßnahmen
ein Verzeichnis der Auftragsverarbeiter und die Verträge mit diesen Auftragsverarbeitern
die Dokumentation von eventuellen Datenschutz-Folgenabschätzungen
Neben diesen Pflichtdokumenten ist es aber ebenso ratsam eine unternehmensinterne Datenschutzrichtlinie anzufertigen. Denn nur mit einer solchen Richtlinie können Verhaltensanweisungen, Vorgehen in der Umsetzung der Betroffenenrechte, Vorgehen bei der Datenschutz-Folgenabschätzung und die Sicherstellung der Aktualität der Dokumentationen gewährleistet werden.