zum Impressum-Datenschutzerklärung, zur Homepage

EU-Datenschutz-Grundverordnung gültig ab 25.05.2018
(bis 28.05.18 sollen die Pflichten umgesetzt sein)

Es geht darum Schaden vom Unternehmen und Personen abzuwenden.
(Sie können mich gern zur Beratung nutzen und als "Datenschutzbeauftragten" ab 01.04.2018 bestellen)

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz
personenbezogener Daten (
Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten.
Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden:
Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit,
Rechenschaftspflicht

Betrieblicher Datenschutzbeauftragter
(innerbetrieblich oder extern)

Allgemeine

§4g I 1 BDSG bestimmt, dass der Datenschutzbeauftragte auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hinwirkt.

Er analysiert und kontrolliert den Stand des Datenschutzniveaus im Unternehmen und macht der Geschäftsführung und den einzelnen Abteilungen Vorschläge zur Verbesserung oder Implementierung einer Datenschutzorganisation im Unternehmen. Der Datenschutzbeauftragte selbst hat also keine Entscheidungsgewalt sondern ist organisatorisch gemäß §4f III 1 BDSG der Geschäftsleitung unterstellt.

Aufgabenbereiche

Der Datenschutzbeauftragte hat erhebliche Verantwortung im Unternehmen. Denn mit zunehmender Komplexität der gesetzlichen Regelungen steigt der Aufgabenbereich ständig. Und bei Verstößen gegen Datenschutzbestimmungen – auch wenn sie aus bloßer Unkenntnis geschehen sind – drohen Schadensersatzforderungen der Betroffenen und Ordnungsgelder der Aufsichtsbehörden. Nicht zu reden vom Imageschaden für das Unternehmen.

Einhaltung der Datenschutzreglungen

Der Datenschutzbeauftragte hat sämtliche Datenschutzregelungen und deren Auslegung durch aktuelle Gerichtsentscheidungen zu befasse.

Überwachung der Datenverarbeitungsprogramme

Schwerpunkt der Tätigkeit ist die Überwachung der Datenverarbeitungsprogramme. Datenschutzverstöße sind dadurch bereits im Vorfeld vermeidbar.

Der Datenschutzbeauftragte ist dazu bereits rechtzeitig vor Einführung neuer Programme zu informieren, damit er Gelegenheit hat, eine entsprechende Stellungnahme abzugeben. Da Datenverarbeitung grundsätzlich nur zulässig ist, wenn sie erforderlich ist, d.h. das mildeste Mittel zur Erreichung des gewünschten Zwecks darstellt, ist es wichtig, dass der Datenschutzbeauftragte neben umfassenden rechtliche Kenntnissen auch Kenntnis der technischen Umsetzungen hat.

Aufgabenbereich

Die Kontrollkompetenz erstreckt auf alle Abteilungen und Bereiche, in denen personenbezogenen Daten verarbeitet werden oder könnten.

Der Datenschutzbeauftragte erstellt Gutachten, hat Verträge mit Dienstleistern zu prüfen, Betriebsvereinbarungen und Unternehmensrichtlinien zu entwerfen, Auskünfte zu erteilen und mit Behörden zu kommunizieren.

  • Prüfung der einzelnen Datensicherungsmaßnahmen, §9 BDSG
  • Kontrolle der Protokolldaten, §31 BDSG
  • Prüfung und Kontrolle der Auftragsdatenverarbeitung, §11 BDSG
  • Bearbeitung von Auskunftsersuchen Betroffener, §§34, 35 BDSG
  • Prüfung der Zulässigkeit der Übermittlung in Drittstaaten, §§4b, 4c BDSG
  • Prüfung der Videoüberwachung in öffentlich zugänglichen Bereichen, §6b BDSG und am Arbeitsplatz, § 32 BDSG
  • Prüfung der Regelungen zur Mitarbeiterkontrolle
  • Rechtmäßigkeit der Profilbildung, §6a BDSG
  • Datennutzung zum Marketing und Kundenwerbung, §28 BDSG, §7 UWG

Schulungen der Mitarbeiter

Datenschutz und Datensicherheit kann nur effizient im Unternehmen gehandhabt werden, wenn die Mitarbeiter informiert und qualifiziert sind. Dazu ist es erforderlich, dass Mitarbeiter, die mit personenbezogenen Daten arbeiten, entsprechend sensibilisiert werden. Diese Aufgabe ist in §4g Abs. 1 Satz 2 Nr.  3 BDSG dem Datenschutzbeauftragten aufgeführt.

Verfahrensverzeichnis

Der Datenschutzbeauftragte führt das Verfahrensverzeichnis gemäß §4g II BDSG über die Art und Umfang der Datenverarbeitung im Unternehmen. Konkret handelt es sich dabei um die meldepflichtigen Informationen i.S.d. §4e Satz 1 Nrn. 1-8 BDSG, die der Datenschutzbeauftragte jedermann verfügbar machen muss.

Zwar bestimmt §4g II 1 BDSG, dass die erforderlichen Informationen dem Datenschutzbeauftragten vom Unternehmen zur Verfügung gestellt werden müssen. In der Praxis ist es aber oft so, dass der Datenschutzbeauftragte diese Informationen erst durch Anfordern von Informationen aus den unterschiedlichen Abteilungen selbst zusammentragen und ständig aktualisieren muss.

Vorabkontrolle

Weitere originäre Aufgabe des Datenschutzbeauftragten ist die Vorabkontrolle bei „Verfahren automatisierter Verarbeitungen“ i.S.d. §4d V BDSG, wenn dadurch besondere Risiken drohen. Dies ist regelmäßig der Fall bei Daten besonderer Art nach §3 IX BDSG (etwa ethnische Herkunft, Gesundheit, Sexualleben, Religion, politische Ansichten) und dann, wenn die Datenverarbeitung zur Bewertung der Persönlichkeit des Betroffenen geeignet ist.

Das sind etwa Verfahren der Personalverwaltung, Telefondatenerfassung (Mitarbeiter und Kunden), Videoüberwachung oder Kundenbetreuung (etwa Bildung von Persönlichkeitsprofilen, Warndateien von Versicherungen).

Haftung bei Fehlern- Risiken für das Unternehmen und die Geschäftsleitung

Die formal schwache Stellung des Datenschutzbeauftragten verleitet manches Unternehmen, die Position bewusst intern mit einer Person zu besetzen, von der keine Probleme zu erwarten sind und die eher geneigt ist, kritische Verfahren im Zweifel durchzuwinken. Eine solche Haltung kann aber für das Unternehmen und die Geschäftsleitung selbst erhebliche nachteilige Auswirkungen haben.

Denn das Unternehmen ist für Verstöße gegen Datenschutzbestimmungen nach §43 BDSG selbst verantwortlich. Hierbei sind Ordnungsgelder bis 300.000,- EUR oder darüber hinaus möglich. Unternehmen können sich im Falle von Datenschutzverstößen auch nicht dadurch freizeichnen, dass der Datenschutzbeauftragte falsch oder ungenügend beraten hat.

Die Geschäftsleitung haftet im Innenverhältnis unmittelbar selbst gegenüber dem Unternehmen gemäß §93 I 1 AktG bzw. §43 GmbHG, wenn nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt wird.

Beschluss des Düsseldorfer Kreises, der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich: 
Mindestanforderungen, die an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz.
Die Geschäftsleitung muss dies bei der Wahl des Datenschutzbeauftrageten berücksichtigen und dokumentieren.

  • umfassende Kenntnisse und Fähigkeiten sämtlicher relevanten gesetzlichen Bestimmungen zum Datenschutz sowie zur Datensicherheit und deren konkrete Umsetzung im Unternehmen (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

Die Geschäftsleitung hat sich vor Auswahl zu versichern und zu dokumentieren, dass der Kandidat solche Spezialkenntnisse hat,
um seiner Sorgfaltspflicht  gerecht zu werden.

Ab 10 Personen (intern und extern), welche mit der Be- und Verarbeitung von Daten beschäftigt sind bzw. Kenntnise daraus erhalten ist ein Datzenschutzbeauftragter (DSB) zu bestellen.
In dieser "Bestellung" sind das Aufgabengebiet und die Konditionen beschrieben.
Vorteile eines externen DSB:
- eigenverantwortlich in der Qualifizierung
- Vertragskündigung möglich
- Haftungsübernahme bei Falschberatung
- breiter Erfahrungsschatz
- kostengünstiger

In Unternehmen bis 9 der oben genannten Personen, ist ein Datenschutzbeauftragter nicht Pflicht. Diese Funktion begleitet in dem Fall der Geschäftsführer.

 Links:

Sächsischer Datenschutzbeauftragter 
Bundesbeauftragte für Datenschutz   
Bundesdatenschutzgesetz
Google-Hackerstatistik-Suche
http://www.landtag.sachsen.de/de/landtag/landesbeauftragte/der-saechsische-datenschutzbeauftragte-99.cshtml
https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf%3F__blob%3DpublicationFile%26v%3D24
https://www.datenschutz.org/
https://www.ihk-bonn.de/fileadmin/dokumente/Downloads/Recht_und_Steuern/IT-Recht_Datenschutz/Der_betriebliche_Datenschutzbeauftragte.pdf  
https://www.ihk-muenchen.de/ihk/documents/Recht-Steuern/datenschutzbeauftragter.pdf 
https://www.leipzig.ihk.de/mediathek/Betrieblicher%20Datenschutzbeauftragter.pdf
http://www.itseccity.de/

https://www.rdp-law.de/themen/datenschutzbeauftragter-externer-datenschutzbeauftragter.html

 

Verfahrensverzeichnis nach DSGVO (ab dem 25. Mai 2018)

Das gehört ins vorgeschriebene Verfahrensverzeichnis (DSGVO) bei Verantwortlichen

Das gehört ins vorgeschriebene Verfahrensverzeichnis (DSGVO) bei Auftragsverarbeitern

Verfahrensverzeichnis bis zur Umsetzung der DSGVO (bis 25. Mai 2018)

Das gehört ins Verfahrensverzeichnis (nach BDSG)

In das Verfahrensverzeichnis müssen folgende Angaben aufgenommen werden:

  1. der handelsrechtlich korrekte Name des Unternehmens
  2. Angaben über den Inhaber oder Geschäftsleiter des Unternehmens sowie den IT-Leiter
  3. die Anschrift des Unternehmens
  4. die einzelnen Zwecke der Datenerhebung und -verwendung, also die verschiedenen Verfahren der Datenverwendung
  5. eine gattungsmäßige Beschreibung der Personen, deren Daten verwendet werden (beispielsweise Interessenten), und der von ihnen erhobenen und zu verwendenden Daten
  6. die möglichen Empfänger, denen die Daten mitgeteilt werden sollen
  7. die Frist, in denen die Daten mit Rücksicht auf gesetzliche Vorschriften wieder gelöscht werden sollen
  8. eine geplante Datenübermittlung in Drittstaaten, also in Länder außerhalb der EU und des EWR
  9. eine allgemeine Beschreibung, die es ermöglicht zu beurteilen, ob die Datensicherheitsmaßnahmen (Datensicherung) angemessen sind