Der Datenschutzbeauftragte2018-09-10T21:10:40+00:00

Der Datenschutzbeauftragte

Nach Artikel 37 Absatz 1 DSGVO ist ein betrieblicher Datenschutzbeauftragter unter bestimmten Bedingungen zu benennen:

  • wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird. Ausnahme sind die Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.
  • wenn die Verarbeitung der personenbezogenen Daten in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund  ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen,
  • oder wenn die Verarbeitung in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 besteht,
  • oder wenn die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Beispiele für eine Bestellpflicht nach Art. 37 Abs. 1 lit. b DSGVO sind: Auskunfteien, Detekteien, Versicherungsunternehmen und wenn Unternehmen Marketing auf Basis detaillierter Kunden- und Interessentenprofile betreiben. Weiterhin Krankenhäuser, Labors die genetische Untersuchungen durchführen, Beratungsstellen wie Pro Familia und Dienstleister im biometrischen ID- Management.

Bennennung des Datenschutzbeauftragten in Unternehmensgruppen

Eine Unternehmensgruppe (Konzern) darf einen gemeinsamen Datenschutzbeauftragten benennen, wenn der DSB von jeder Niederlassung aus leicht zu erreichen ist. Zählen zum Konzern auch nicht EU ansässige Unternehmen, muss der Datenschutzbeauftragte seinen Sitz in einer Niederlassung haben die sich in der europäischen Union befindet.

Bennenung eines Datenschutzbeauftragten in Verbänden oder anderen Vereinigungen

Verbände und andere Vereinigungen welche die Kategorien von Verantwortlichen und Auftragsverarbeitern vertreten, müssen einen DSB benennen falls es in der Union oder der Mitgliedsstaaten vorgeschrieben ist. Der Datenschutzbeauftragte darf in diesen Fällen die Verantwortlichen oder Auftragsverarbeiter vertreten.

Benennung des Datenschutzbeauftragten

Die Benennung eines Datenschutzbeauftragten erfolgt auf Grundlage seiner beruflichen Qualifikation, seines Fachwissens und der Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben. Er kann sowohl intern als auch extern benannt werden. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die  Kontaktdaten des DSB und teilt diese Daten der Aufsichtsbehörde mit.

Aufgrund einer Öffnungsklausel im Artikel 37 DSGVO greift bei der Benennung des Datenschutzbeauftragten in Deutschland der §38 Bundesdatenschutzgesetz (BDSG).

Dieser besagt, dass eine nichtöffentliche Stelle einen Datenschutzbeauftragten benennen muß, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Oder der Verantwortliche oder Auftragsverarbeiter eine Verarbeitung vornehmen, die einer Datenschutzfolgenabschätzung nach Artikel 35 DSGVO unterliegt. (unabhängig von der Anzahl der verarbeitenden Personen)

Weiterhin wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.  (unabhängig von der Anzahl der verarbeitenden Personen)

Stellung des Datenschutzbeauftragten im Unternehmen

Nach Artikel 38 DSGVO haben der Verantwortliche und der Auftragsverarbeiter dafür Sorge zu Tragen, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Sie unterstützen den Datenschutzbeauftragten , indem sie die für die Erfüllung seiner Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung zu stellen.

Der Datenschutzbeauftragte ist in der Erfüllung seiner Aufgaben weisungsfrei und berichtet unmittelbar an die höchste Managementebene. Er darf in der Erfüllung seiner Aufgaben weder abberufen oder benachteiligt werden.

Betroffenen Personen dürfen den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer  personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß Datenschutzgrundverordnungden zu Rate ziehen. Ist der Datenschutzbeauftragte intern benannt worden darf er zusätzlich andere Aufgaben und Pflichten wahrnehmen. Außerdem darf es nicht zu Interessenkonflikten kommen. Ein Geschäftsführer oder der Leiter der IT Abteilung darf nicht zum DSB benannt werden.

Der intern benannte Datenschutzbeauftragte unterliegt ab dem Zeitpunkt seiner Benennung einem erweiterten Kündigungsschutz. Im BDSG wird in §38 Abs. 2  festgelegt, dass unter anderem die Regelungen aus §6 Abs. 4 für die Abberufung Datenschutzbeauftragter öffentlicher Stellen auch für die nicht-öffentlichen Stellen gelten.

Aufgaben des Datenschutzbeauftragten

Die DSGVO hat im Artikel 39 „Aufgaben des DSB“ eine Mindestanforderung der Aufgaben gestellt.

  • Unterrichtung und Beratung des Verantwortlichen/Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich der Pflichten nach DSGVO/ BDSG und sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten
  • Überwachung der Einhaltung der DSGVO/ BDSG  und sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten
  • Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an den  Verarbeitungsvorgängen beteiligte Mitarbeiter
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Beratung im Zusammenhang mit der Datenschutz- Folgeabschätzung und Überwachung ihrer Durchführung gem. Artikel 35

Datenschutz in der betrieblichen Praxis

Herangehensweise und Aufbau einer  Datenschutzorganisation

Checklisten helfen bei der Umsetzung der Verodnungen und Datenschutzvorschriften im Unternehemen. Stellen Sie sich folgende Fragen:

  • Werden in Ihrem Unternehmen personenbezogene Daten automatisiert verarbeitet?
  • Unterliegt Ihr Unternehmen den Vorschriften des BDSG?
  • Sind die notwendigen Gesetze verfügbar, ansonsten sollten Sie diese ausdrucken oder bestellen?
  • Gibt es Regelungen, die die Zuständigkeit und die Verantwortlichkeit für die Datenverarbeitung festlegen?
  • Bestehen zwischen der Tätigkeit als Datenschutzbeauftragter und den weiteren Tätigkeiten Interessenskonflikte?
  • Besitzt der Datenschutzbeauftragte die notwendige Fachkunde und Zuverlässigkeit?
  • Wurde die Benennung des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde mitgeteilt?
  • Besteht für den Datenschutzbeauftragten eine Stellenbeschreibung?
  • Wird der Datenschutzbeauftragte durch die Geschäftsführung hinreichend unterstützt?
  • Ist der Datenschutzbeauftragte mit den zur Erfüllung seiner Aufgaben erforderlichen Mitteln ausgestattet?
  • Ist der Datenschutzbeauftragte der Geschäftsführung direkt unterstellt?
  • Wird der Datenschutzbeauftragte rechtzeitig über Vorhaben und Projekte, die auch personenbezogene Daten berühren, informiert, dass er die Gelegenheit hat, Datenschutzaspekte mit einzubringen oder eine Datenschutz- Folgeabschätzung durchzuführen?
  • Wurden alle Mitarbeiter, wie auch firmenfremdes Personal, die mit personenbezogenen Daten arbeiten, zur Einhaltung des Datengeheimnisses  verpflichtet?
  • Sind Mitarbeiter, die personenbezogene Daten verarbeiten, durch Datenschutzschulungen auf datenschutzgerechtes Verhalten an ihrem Arbeitsplatz geschult worden?
  • Ist sichergestellt, dass bei der Erhebung die Zwecke, für die die Daten genutzt oder verarbeitet werden sollen, festgelegt werden?
  • Ist den Mitarbeitern bewusst, dass sie besondere Arten personenbezogener Daten nur unter bestimmten Voraussetzungen erheben, verarbeiten und/oder nutzen dürfen?
  • Werden im Unternehmen Verfahren zur automatisierten  Einzelfallentscheidung (z.B. in Form von Scoring-Verfahren) eingesetzt?
  • Wird der Datenschutzbeauftragte durch die Geschäftsführung unterstützt?
  • Liegen für die Fälle, in denen bei Wartungs- oder Fernwartungsarbeiten die  Zugriffsmöglichkeit auf personenbezogene Daten nicht völlig ausge-  schlossen werden kann, schriftliche Vereinbarungen zum Datenschutz mit  dem Dienstleister vor (AV)?
  • Ist bei der Übermittlung personenbezogener Daten in Staaten außerhalb  der Europäischen Union sichergestellt, dass die besonderen Anforderungen eingehalten werden?
  • Werden in öffentlich zugänglichen Bereichen des Unternehmens Videokameras zur Überwachung eingesetzt?
  • Liegen, soweit für die Verarbeitung personenbezogener Daten Einwilligungen der Betroffenen erforderlich sind, diese vor?
  • Werden Auskunftsersuchen der Betroffenen nach den gesetzlichen Vorgaben bearbeitet?
  • Können berechtigte Ansprüche der Betroffenen auf Berichtigung, Sperrung  oder Löschung berücksichtigt werden?
  • Werden bei Datenpannen gesetzliche Informationspflichten gegenüber den Betroffenen eingehalten (72 Std.)?

Alle datenschutzrelevanten Unterlagen, sollten Sie in einem Order mit verschiedenen notwendigen Zugriffsbeerechtigungen speichern. Sodass der Berechtigte jederzeit Zugriff auf die Dokumente hat.

Beispiel für den Aufbau der Ordnerstruktur:

  1. Datenschutzordner inklusive Verzeichnis der Verarbeitungstätigkeiten, indem die einzelnen Prozesse abgelegt werden.
  2. Verpflichtungen (z.B. Geheimhaltungsverpflichtungen der Mitarbeiter)
  3. Technik
  4. Auftragsverarbeitung (Auftragsverarbeitungsverträge mit anderen Unternehmen)
  5. Gesetze (DSGVO, BDSG, TMG, TKG etc.)
  6. Kundenservice (Vorlagen zum Schreiben an Kunden, die Ihre Rechte geltend machen)
  7. Berichte
  8. Datenschutzfolgenabschätzung

Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 DSGVO  ist der Verantwortliche und Auftragsverarbeiter  verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

Dieses sollte mindestens die folgenden Punkte enthalten:

  • Name des Verantwortlichen
  • Name des Vertreter der Verantwortlichen  sowie des Datenschutzbeauftragten
  • Kontaktdaten des Verantwortlichen
  • Datensicherheitsbeschreibung
  • Löschkonzept für jedes einzelne Verfahren
  • Name der Datenverarbeitung (des Prozesses)
  • Konkreter Zweck der Datenverarbeitung
  • Kategorien betroffener Personen, deren  Daten verarbeitet werden (Mitarbeiter, Kunde usw.)
  • Kategorien personenbezogener Daten die verarbeitet werden
  • Kategorien von Empfängern denen die personenbezogenen Daten mitgeteilt werden
  • Drittländer, an die die Daten weitergegeben werden, unter Angabe des konkreten Drittlands

Hier ein Beispiel für einen angelegten Prozess im Verzeichnis der Verarbeitungstätigkeiten:

Bewerbermanagement
Titel
Der Datenschutzbeauftragte
Artikel Name
Der Datenschutzbeauftragte
Beschreibung
Nach Artikel 37 Absatz 1 DSGVO ist ein betrieblicher Datenschutzbeauftragter unter bestimmten Bedingungen zu benennen
Autor
Name
DSB24
Logo
DJH Digital Marketing & Design erstellt professionelle Webseiten und Shops
DSB24 verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Wenn Sie auf der Seite weitersurfen stimmen Sie der Cookie-Nutzung zu. Ich stimme zu