Datenschutzbeauftragter

EU-Datenschutz-Grundverordnung gültig ab 25.05.2018 >>> www.datenschutz-pfabe.de
(bis 28.05.18 sollen die Pflichten umgesetzt sein) Home

Es geht darum Schaden vom Unternehmen und Personen abzuwenden.
(Sie können mich gern zur Beratung nutzen und als "Datenschutzbeauftragten" ab 01.04.2018 bestellen)

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz
personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten.
Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden:
Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit,
Rechenschaftspflicht

Betrieblicher Datenschutzbeauftragter
(innerbetrieblich oder extern)

Allgemeine

§4g I 1 BDSG bestimmt, dass der Datenschutzbeauftragte auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hinwirkt.

Er analysiert und kontrolliert den Stand des Datenschutzniveaus im Unternehmen und macht der Geschäftsführung und den einzelnen Abteilungen Vorschläge zur Verbesserung oder Implementierung einer Datenschutzorganisation im Unternehmen. Der Datenschutzbeauftragte selbst hat also keine Entscheidungsgewalt sondern ist organisatorisch gemäß §4f III 1 BDSG der Geschäftsleitung unterstellt.

Aufgabenbereiche

Der Datenschutzbeauftragte hat erhebliche Verantwortung im Unternehmen. Denn mit zunehmender Komplexität der gesetzlichen Regelungen steigt der Aufgabenbereich ständig. Und bei Verstößen gegen Datenschutzbestimmungen – auch wenn sie aus bloßer Unkenntnis geschehen sind – drohen Schadensersatzforderungen der Betroffenen und Ordnungsgelder der Aufsichtsbehörden. Nicht zu reden vom Imageschaden für das Unternehmen.

Einhaltung der Datenschutzreglungen

Der Datenschutzbeauftragte hat sämtliche Datenschutzregelungen und deren Auslegung durch aktuelle Gerichtsentscheidungen zu befasse.

Überwachung der Datenverarbeitungsprogramme

Schwerpunkt der Tätigkeit ist die Überwachung der Datenverarbeitungsprogramme. Datenschutzverstöße sind dadurch bereits im Vorfeld vermeidbar.

Der Datenschutzbeauftragte ist dazu bereits rechtzeitig vor Einführung neuer Programme zu informieren, damit er Gelegenheit hat, eine entsprechende Stellungnahme abzugeben. Da Datenverarbeitung grundsätzlich nur zulässig ist, wenn sie erforderlich ist, d.h. das mildeste Mittel zur Erreichung des gewünschten Zwecks darstellt, ist es wichtig, dass der Datenschutzbeauftragte neben umfassenden rechtliche Kenntnissen auch Kenntnis der technischen Umsetzungen hat.

Aufgabenbereich

Die Kontrollkompetenz erstreckt auf alle Abteilungen und Bereiche, in denen personenbezogenen Daten verarbeitet werden oder könnten.

Der Datenschutzbeauftragte erstellt Gutachten, hat Verträge mit Dienstleistern zu prüfen, Betriebsvereinbarungen und Unternehmensrichtlinien zu entwerfen, Auskünfte zu erteilen und mit Behörden zu kommunizieren.

Prüfung der einzelnen Datensicherungsmaßnahmen, §9 BDSG
Kontrolle der Protokolldaten, §31 BDSG
Prüfung und Kontrolle der Auftragsdatenverarbeitung, §11 BDSG
Bearbeitung von Auskunftsersuchen Betroffener, §§34, 35 BDSG
Prüfung der Zulässigkeit der Übermittlung in Drittstaaten, §§4b, 4c BDSG
Prüfung der Videoüberwachung in öffentlich zugänglichen Bereichen, §6b BDSG und am Arbeitsplatz, § 32 BDSG
Prüfung der Regelungen zur Mitarbeiterkontrolle
Rechtmäßigkeit der Profilbildung, §6a BDSG
Datennutzung zum Marketing und Kundenwerbung, §28 BDSG, §7 UWG

Schulungen der Mitarbeiter

Datenschutz und Datensicherheit kann nur effizient im Unternehmen gehandhabt werden, wenn die Mitarbeiter informiert und qualifiziert sind. Dazu ist es erforderlich, dass Mitarbeiter, die mit personenbezogenen Daten arbeiten, entsprechend sensibilisiert werden. Diese Aufgabe ist in §4g Abs. 1 Satz 2 Nr. 3 BDSG dem Datenschutzbeauftragten aufgeführt.

Verfahrensverzeichnis

Der Datenschutzbeauftragte führt das Verfahrensverzeichnis gemäß §4g II BDSG über die Art und Umfang der Datenverarbeitung im Unternehmen. Konkret handelt es sich dabei um die meldepflichtigen Informationen i.S.d. §4e Satz 1 Nrn. 1-8 BDSG, die der Datenschutzbeauftragte jedermann verfügbar machen muss.

Zwar bestimmt §4g II 1 BDSG, dass die erforderlichen Informationen dem Datenschutzbeauftragten vom Unternehmen zur Verfügung gestellt werden müssen. In der Praxis ist es aber oft so, dass der Datenschutzbeauftragte diese Informationen erst durch Anfordern von Informationen aus den unterschiedlichen Abteilungen selbst zusammentragen und ständig aktualisieren muss.

Vorabkontrolle

Weitere originäre Aufgabe des Datenschutzbeauftragten ist die Vorabkontrolle bei „Verfahren automatisierter Verarbeitungen“ i.S.d. §4d V BDSG, wenn dadurch besondere Risiken drohen. Dies ist regelmäßig der Fall bei Daten besonderer Art nach §3 IX BDSG (etwa ethnische Herkunft, Gesundheit, Sexualleben, Religion, politische Ansichten) und dann, wenn die Datenverarbeitung zur Bewertung der Persönlichkeit des Betroffenen geeignet ist.

Das sind etwa Verfahren der Personalverwaltung, Telefondatenerfassung (Mitarbeiter und Kunden), Videoüberwachung oder Kundenbetreuung (etwa Bildung von Persönlichkeitsprofilen, Warndateien von Versicherungen).

Haftung bei Fehlern- Risiken für das Unternehmen und die Geschäftsleitung

Die formal schwache Stellung des Datenschutzbeauftragten verleitet manches Unternehmen, die Position bewusst intern mit einer Person zu besetzen, von der keine Probleme zu erwarten sind und die eher geneigt ist, kritische Verfahren im Zweifel durchzuwinken. Eine solche Haltung kann aber für das Unternehmen und die Geschäftsleitung selbst erhebliche nachteilige Auswirkungen haben.

Denn das Unternehmen ist für Verstöße gegen Datenschutzbestimmungen nach §43 BDSG selbst verantwortlich. Hierbei sind Ordnungsgelder bis 300.000,- EUR oder darüber hinaus möglich. Unternehmen können sich im Falle von Datenschutzverstößen auch nicht dadurch freizeichnen, dass der Datenschutzbeauftragte falsch oder ungenügend beraten hat.

Die Geschäftsleitung haftet im Innenverhältnis unmittelbar selbst gegenüber dem Unternehmen gemäß §93 I 1 AktG bzw. §43 GmbHG, wenn nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt wird.

Beschluss des Düsseldorfer Kreises, der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich:
Mindestanforderungen, die an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz.
Die Geschäftsleitung muss dies bei der Wahl des Datenschutzbeauftrageten berücksichtigen und dokumentieren.

umfassende Kenntnisse und Fähigkeiten sämtlicher relevanten gesetzlichen Bestimmungen zum Datenschutz sowie zur Datensicherheit und deren konkrete Umsetzung im Unternehmen (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

Die Geschäftsleitung hat sich vor Auswahl zu versichern und zu dokumentieren, dass der Kandidat solche Spezialkenntnisse hat,
um seiner Sorgfaltspflicht gerecht zu werden.

Ab 10 Personen (intern und extern), welche mit der Be- und Verarbeitung von Daten beschäftigt sind bzw. Kenntnise daraus erhalten ist ein Datzenschutzbeauftragter (DSB) zu bestellen.
In dieser "Bestellung" sind das Aufgabengebiet und die Konditionen beschrieben.
Vorteile eines externen DSB:
- eigenverantwortlich in der Qualifizierung
- Vertragskündigung möglich
- Haftungsübernahme bei Falschberatung
- breiter Erfahrungsschatz
- kostengünstiger

In Unternehmen bis 9 der oben genannten Personen, ist ein Datenschutzbeauftragter nicht Pflicht. Diese Funktion begleitet in dem Fall der Geschäftsführer.

Links:

Sächsischer Datenschutzbeauftragter
Bundesbeauftragte für Datenschutz
Bundesdatenschutzgesetz
Google-Hackerstatistik-Suche
http://www.landtag.sachsen.de/de/landtag/landesbeauftragte/der-saechsische-datenschutzbeauftragte-99.cshtml
https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf%3F__blob%3DpublicationFile%26v%3D24
https://www.datenschutz.org/
https://www.ihk-bonn.de/fileadmin/dokumente/Downloads/Recht_und_Steuern/IT-Recht_Datenschutz/Der_betriebliche_Datenschutzbeauftragte.pdf
https://www.ihk-muenchen.de/ihk/documents/Recht-Steuern/datenschutzbeauftragter.pdf
https://www.leipzig.ihk.de/mediathek/Betrieblicher%20Datenschutzbeauftragter.pdf
http://www.itseccity.de/
https://www.rdp-law.de/themen/datenschutzbeauftragter-externer-datenschutzbeauftragter.html

Verfahrensverzeichnis nach DSGVO (ab dem 25. Mai 2018)

Das gehört ins vorgeschriebene Verfahrensverzeichnis (DSGVO) bei Verantwortlichen

Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen,
des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
Zwecke der Verarbeitung
Kategorien betroffener Personen und der Kategorien personenbezogener Daten
Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch
offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentierung geeigneter
Garantien für den Datenschutz
wenn möglich, vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Das gehört ins vorgeschriebene Verfahrensverzeichnis (DSGVO) bei Auftragsverarbeitern

den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der
Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters
und eines etwaigen Datenschutzbeauftragten,
die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
sowie die Dokumentierung geeigneter Garantien für den Datenschutz,
wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM).

Verfahrensverzeichnis bis zur Umsetzung der DSGVO (bis 25. Mai 2018)

Das gehört ins Verfahrensverzeichnis (nach BDSG)

In das Verfahrensverzeichnis müssen folgende Angaben aufgenommen werden:

der handelsrechtlich korrekte Name des Unternehmens
Angaben über den Inhaber oder Geschäftsleiter des Unternehmens sowie den IT-Leiter
die Anschrift des Unternehmens
die einzelnen Zwecke der Datenerhebung und -verwendung, also die verschiedenen Verfahren der Datenverwendung
eine gattungsmäßige Beschreibung der Personen, deren Daten verwendet werden (beispielsweise Interessenten), und der von ihnen erhobenen und zu verwendenden Daten
die möglichen Empfänger, denen die Daten mitgeteilt werden sollen
die Frist, in denen die Daten mit Rücksicht auf gesetzliche Vorschriften wieder gelöscht werden sollen
eine geplante Datenübermittlung in Drittstaaten, also in Länder außerhalb der EU und des EWR
eine allgemeine Beschreibung, die es ermöglicht zu beurteilen, ob die Datensicherheitsmaßnahmen (Datensicherung) angemessen sind