Datenschutzbeauftragter Check – Ab wann ist dieser Pflicht nach der DSGVO / BDSG (neu)?


Sie können hier prüfen ob Sie einen Datenschutzbeauftragten für Ihr Unternehmen benötigen.

1. Sind Sie eine Behörde oder öffentliche Stelle (mit Ausnahme von Gerichten)?



Hinweis:
Behörde bedeutet „der gesamte öffentliche Bereich“ (Bergt in: Kühling/Büchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 37 DS-GVO Rdnr. 16). Soweit Gerichte in ihrer justiziellen Tätigkeit arbeiten, sind sie von der Pflicht allerdings ausgenommen.


2. Liegt Ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen beinhalten?



Hinweis:
Kerntätigkeit“ bedeutet, dass es die Haupttätigkeit sein muss. „Umfangreiche, regelmäße und systematische Überwachung“ liegt z.B. vor bei Auskunfteien, Detekteien, Bewachungsunternehmen, Personal- oder Partnervermittlungen, zielgruppenorientierten Online-Vermarktern, bei großen Videoüberwachungsmaßnahmen oder verfolgenden E-Mail-Maßnahmen (Bergt in: Kühling/Büchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 37 DS-GVO Rdnrn. 20, 23).


3. Liegt Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DS-GVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten?



Hinweis:
Kerntätigkeit“ bedeutet, dass es die Haupttätigkeit sein muss. Besondere Kategorien von Daten sind die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung (vgl. Art. 9 Abs. 1 DS-GVO). Wegen der Gesundheitsdaten sind hiervon Arztpraxen oder auch Erotik-Spielzeughändler betroffen. Bei Einzel-Praxen bzw. kleinen Gewerben soll allerdings wegen des geringen Umfangs keine Pflicht zur Bestellung eines Datenschutzbeauftragten bestehen. Das gleiche gelte für kleine Einzel-Anwaltskanzleien (Bergt in: Kühling/Büchner, DS-GVO/BDSG, 2. Aufl. 2018, Art. 37 DS-GVO Rdnr. 24).


4. Sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten bei Ihnen beschäftigt?



Hinweis:
Bei den 10 Personen ist es unerheblich, ob es sich um Vollzeit- oder Teilzeitkräfte handelt. Ebenso zählen freie Mitarbeiter, Leiharbeitnehmer, Praktikanten, Auszubildende und Volontäre dazu. Betrachtungszeitraum ist hier ein Jahr (vgl. Kühling/Sackmann in: Kühling/Büchner, DS-GVO/BDSG, 2. Aufl. 2018, § 38 BDSG Rdnr. 9). Eine automatisierte Verarbeitung liegt schon beim Abruf von E-Mails vor, hat also eine geringe Schwelle.


5. Führen Sie Verarbeitungstätigkeiten durch, für die eine Datenschutz-Folgeabschätzung nach Art. 35 DS-GVO zu erstellen ist?



Hinweis:
Erfüllt Ihre Datenverarbeitung zwei dieser nachfolgenden Kriterien ist i.d.R. eine Datenschutz-Folgeabschätzung durchzuführen:

  • Vertrauliche oder höchst persönliche Daten
  • Daten zu schutzbedürftigen Betroffenen
  • Datenverarbeitung in großem Umfang
  • Systematische Überwachung
  • Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen
  • Bewerten oder Einstufen (Scoring)
  • Abgleichen oder Zusammenführen von Datensätzen
  • Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung
  • Betroffene werden an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert


6. Verarbeiten Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung?



Hinweis:
Die Geschäftsmäßigkeit setzt keine Gewinnerzielungsabsicht voraus, sondern nur eine Wiederholungsabsicht und eine Anlage zur Datenverarbeitung auf eine gewisse Dauer. Auch der rein interne Gebrauch von Daten zum Zwecke der Markt- und Meinungsforschung ist erfasst (vgl. Kühling/Sackmann in: Kühling/Büchner, DS-GVO/BDSG, 2. Aufl. 2018, § 38 BDSG Rdnrn. 14ff.).




Haftungshinweis:

Für die Richtigkeit, Vollständigkeit und Aktualität des Ergebnisses können wir keine Gewähr übernehmen. Es handelt sich nur um eine unverbindliche Einschätzung.





Ab wann ist ein Datenschutzbeauftragter nach DSGVO/BDSG (neu) Pflicht? Wie kann man Ihn bestellen und welche Aufgaben hat er?

Am 25. Mai 2018 ist es so weit: Die neue Datenschutzgrundverordnung (DSGVO) tritt in Kraft. Wer dann nicht alle Regelungen umgesetzt hat, für den kann es teuer werden, denn Datenschutzverstöße werden noch teurer als zuvor geahndet. Ein unbeliebtes Thema in vielen Unternehmen ist die Bestellung eines Datenschutzbeauftragten. Doch wer braucht überhaupt einen Datenschutzbeauftragten? Was muss er können und wie kann man ihn bestellen? Wir geben Ihnen hier einen Überblick.

Wer benötigt einen Datenschutzbeauftragten?

Gemäß Artikel 37 DSGVO benötigen alle Unternehmen einen Datenschutzbeauftragten, die personenbezogene Daten automatisiert verarbeiten. Dies bedeutet, dass auch Unternehmen darunter fallen, die von Personen beispielsweise den Namen, die E-Mail-Adresse, den Wohnort oder Standort und die Kontonummer speichern. Dazu gehören gemäß Artikel 37 Absatz 1 a) DSGVO auch Behörden und öffentliche Stellen mit Ausnahme von Gerichten. Bei kleineren privaten Unternehmen gibt es eine Ausnahme. Diese müssen dann keinen Datenschutzbeauftragten ernennen oder bestellen, wenn lediglich unter 10 Personen mit personenbezogenen Daten in Kontakt kommen. Zu den Personen gehören allerdings auch jene, die nur teilzeitbeschäftigt sind oder nur wenige Male im Unternehmen mit sensiblen Daten zu tun haben. Dabei stellt die aktuelle Gesetzesfassung klar, dass zu den Personen auch solche gehören, die keine Mitarbeiter und Arbeitnehmer sein müssen, die sich mit der Datenverarbeitung im Unternehmen beschäftigen.

Experten-Tipp: Unternehmen, bei denen sich mehrere Mitarbeiter mit personenbezogenen Daten beschäftigten, sollten auch unabhängig von der Größe des Unternehmens oder den Umfang der Mitarbeiter, die sich mit sensiblen Daten beschäftigen, einen Datenschutzbeauftragten hinzuziehen. Somit gehen sie künftigen Ungereimtheiten aus dem Weg.

Ein Datenschutzbeauftragter muss dann zwingend hinzugezogen werden, wenn eine Verarbeitung von personenbezogenen und sensiblen Daten stattfindet, bei denen es eine Datenschutz-Folgenabschätzung bedarf. Dazu gehören insbesondere Daten zur ethnischen Herkunft der Person, zum Gesundheitszustand, zur sexuellen Orientierung und zur Religionszugehörigkeit. Auch bei der Übermittlung von personenbezogenen Daten an Dritte oder für Zwecke der Marktforschung ist ein Datenschutzbeauftragter unerlässlich. Das Gleiche gilt für Unternehmen, die auf ihrem Unternehmensgelände zum Beispiel eine Videokamera installiert haben. Aufnahmen von Mitarbeitern sind grundsätzlich als sensibel zu bewerten. Auch diese Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu stellen.

Zusammenfassend gehören gemäß § 3 Abs. 1 Bundesdatenschutzgesetz folgende Informationen zu den personenbezogenen Daten:

• Name, Geburtsdatum und Alter
• Familienstand und sexuelle Neigung
• Anschrift
• Telefonnummer, E-Mail Adresse
• Kontonummer, Kreditkartennummer, Paypal-Account
• Kraftfahrzeugnummer, Kfz-Kennzeichen
• Personalausweisnummer, Krankenversicherungsdaten, Sozialversicherungsnummer
• Vorstrafen und sonstige polizeiliche Einträge
• Kundendaten und Personaldaten
• Gesundheitszustand, Krankendaten, genetische Informationen
• Zeugnisse und sonstige Werturteile

Die dabei genutzte technische Form der Datenspeicherung, wie Tonbandaufnahmen, Videos, Dokumente, Röntgenbilder, Fotos usw. ist unbedeutend. Alle diese Formen können sensible Daten von Personen enthalten.

Ein Datenschutzbeauftragter ist immer zu bestellen:
• Bei Verarbeitung von personenbezogenen, sensiblen Daten von Unternehmen ab 10 Mitarbeitern
• Von Behörden und öffentlichen Stellen
• Von Auskunfteien
• Bei Adresshandel, Markt- und Meinungsforschung

Die Bestellung eines Datenschutzbeauftragten entfällt
1. bei Nichtverwendung von sensiblen Daten
2. für private AG, wenn höchstens neun Personen mit der Datenverarbeitung von personenbezogenen Daten beschäftigt sind


Welche Änderungen treten am 25. Mai 2018 für Datenschutzbeauftragte in Kraft?

Am 25.05.2018 treten einige signifikante Änderungen im Datenschutz ein. Diese wären wie folgt:

Veröffentlichung der Kontaktdaten von Datenschutzbeauftragten

Unternehmen sind künftig verpflichtet, die Kontaktdaten ihres Datenschutzbeauftragten zu veröffentlichen. Zu den Kontaktdaten gehören insbesondere die Telefonnummer oder E-Mail-Adresse des Beauftragten. Bei Verwendung von Kundendaten müssen die Kontaktdaten auf der Webseite des Unternehmens ersichtlich veröffentlicht sowie diese gemäß Artikel 37 Abs. 7 DSGVO an die Landesdatenschutzbehörde übermittelt werden. Sollten Datenschutzverstöße vorliegen, kann diese sich dann zur Klärung einschalten. Ansonsten gilt die Veröffentlichung der Kontaktdaten für die eigenen Beschäftigten auf internen Strukturen, wie beispielsweise im Intranet.

Beratende und überwachende Funktionen

Datenschutzbeauftragte müssen gemäß der neuen Verordnung nicht nur beratende Funktionen im Unternehmen einnehmen, sondern auch überwachende. Dies bedeutet, dass diese auf den Schutz der personenbezogenen Daten im Unternehmen achtgeben müssen. In Unternehmensgruppen mit gemeinsamer Verarbeitung von personenbezogenen Daten kann ein gemeinsamer Datenschutzbeauftragter ernannt werden, wenn dieser gemäß Artikel 37 Abs. 2 DSGVO von allen zugehörigen Unternehmen zu erreichen ist.

Welche Aufgaben muss ein Datenschutzbeauftragter bewältigen?

Die Aufgaben des Datenschutzbeauftragten sind in Artikel 39 der DSGVO geregelt. Sie bestehen zum einen in der Beratung des Unternehmens zum Datenschutz und zum anderen in der Sensibilisierung und Schulung von Mitarbeitern. Es müssen gemäß Artikel 39 Absatz 1 b) DSGVO grundlegende Präventionen und Schutzmaßnahmen den Mitarbeitern vermittelt werden. Dazu gehört auch eine Sensibilisierung gegenüber den Umgang von Passwörtern, Datendiebstahl und ein sicheres Arbeiten am PC. Die Anzahl der zu absolvierenden Schulungen pro Jahr wird in der neuen Verordnung nicht festgelegt. Vielmehr hängt es auch davon ab, welche Größe das Unternehmen aufweist. Eine Firma mit nur 20 Beschäftigten benötigt nicht jede Woche eine Schulung. Ein Unternehmen mit über 1000 Mitarbeitern hingegen sollte des Öfteren Schulungen anbieten. Die Zusammenarbeit zwischen Datenschutzbeauftragten und Datenschutzbehörde ist in Artikel 39 Abs. 1 d) DSGVO vorgeschrieben. Bei Verletzung von Datenschutzbestimmungen oder bei Vorliegen von Beschwerden ist der Beauftragte verpflichtet, mit der Datenschutzbehörde zusammenzuarbeiten. Der Datenschutzbeauftragte ist zudem Ansprechpartner für interne und externe Personen, die Fragen rund um das Thema Datenschutz haben oder die von einem Datenschutzmissbrauch betroffen sind. Beispiel: Sollten sensible Daten an eine falsche Person als E-Mail weitergeleitet worden sein, so kann sich die betreffende Person beschweren. Ansprechpartner hierfür ist der Datenschutzbeauftragte.

Was muss ein Datenschutzbeauftragter können und wissen?

Ein Datenschutzbeauftragter muss einen soliden und umfangreichen Kenntnisstand hinsichtlich des Datenschutzrechts und der internen betrieblichen Strukturen samt firmeninternen technischen Datenverarbeitung besitzen. Ein solides Fachwissen sowie betriebswirtschaftliche Abläufe müssen zudem fundiert vorliegen. Eigene Mitarbeiter, die zum Datenschutzbeauftragten gemäß § 626 BGB berufen werden, müssen diesbezüglich geschult werden. Dazu gehört neben technischem Wissen auch rechtliches Hintergrundwissen zum Datenschutz. Wichtig dabei ist, dass der Datenschutzbeauftragte genauen Kenntnisstand über die Daten hat, die im Unternehmen verarbeitet werden. In der neuen Datenschutzverordnung ist nicht genau festgelegt, welchen Umfang an Wissen der Datenschutzbeauftragte haben sollte, jedoch sollte sich dieser in der firmeninternen Datenverarbeitung sehr gut auskennen. Sollte die Datenschutzbehörde zu der Ansicht kommen, dass der Beauftragte nicht ausreichend Kenntnis über die Datenspeicherung und -verarbeitung im Unternehmen besitzt oder die Zuverlässigkeit in Frage gestellt wird (BAG 22. 3. 1994 AP BetrVG 1972 § 99 Versetzung Nr. 4), so kann dies teuer werden. Bußgelder in Höhe bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes können gemäß Artikel 83 Absatz 5 und 6 DSGVO verhängt werden.

Kann jeder ein Datenschutzbeauftragter werden und wer ernennt diesen?

In einem Unternehmen ernennt der Vorsitzende oder der Chef den Datenschutzbeauftragten. Ernannt werden dürfen grundsätzlich alle Personen, die gemäß Artikel 38 Abs. 6 DSGVO nicht im Interessenkonflikt stehen und sich mit den Datenschutzregeln auskennen. Ausgeschlossen sind daher Leiter von IT-Bereichen, Personalleiter, Teamleiter, der Geschäftsführer und alle juristischen Personen (Franzen EAS B 5300 Rn. 65). Eine Ernennung muss laut DSGVO nicht schriftlich erfolgen, sollte jedoch vorgezogen werden, um später gegenüber der Datenschutzbehörde einen Nachweis zu haben.

Darf ein Datenschutzbeauftragter nebenbei auch andere Aufgaben im Unternehmen ausführen?

Datenschutzbeauftragte dürfen im Unternehmen selbst weiteren Tätigkeiten nachgehen, sofern diese nicht im Interessenkonflikt laut Artikel 38 Abs 6 DSGVO stehen. Es sollten daher keine IT-Leiter und Geschäftsleiter oder sonstige Personen, die Entscheidungen hinsichtlich der Datenschutzverarbeitung treffen können, zum Datenschutzbeauftragten ernannt werden.

Ist es besser einen internen oder externen Datenschutzbeauftragten zu bestellen?

Es ist dem Geschäftsführer freigelassen über die Art des Datenschutzbeauftragten zu entscheiden. Dieser kann extern oder aber auch intern bestellt werden. Beide Arten haben Vor- und Nachteile, die wir hier kurz aufführen:

Interner Datenschutzbeauftragter

Vorteile: Abläufe im Unternehmen und Unternehmensstrukur sind bekannt Nachteile: Mitarbeiter muss sich erst Wissen zum Datenschutz aneignen; Gefahr eines Interessenkonflikts

Externer Datenschutzbauftragter

Vorteile: Wissen über Datenschutzregeln liegt vor; Bei Klage und Beschwerden haftet der externe Datenschutzbeauftragte Nachteile: Es muss eine gründliche Einarbeitung in das Unternehmen erfolgen; Strukturen und Datenschutzverarbeitung müssen hinreichend bekannt sein

Wann ist eine Datenschutz-Folgenabschätzung gemäß DSGVO erforderlich?

Gemäß Artikel 35 Abs. 3 DSGVO muss eine Datenschutz-Folgenabschätzung durchgeführt werden, wenn 1. eine umfassende Bewertung von Daten, Aspekten und Informationen von natürlichen Personen stattfindet, die zu einer rechtswirkenden und beeinträchtigenden Entscheidung gegenüber der betroffenen Person führen kann. Dazu gehört insbesondere Profiling. 2. eine umfangreiche Datenverarbeitung gemäß Artikel 9 Abs. 1 DSGVO oder die Verarbeitung von strafrechtlichen Straftaten und Verurteilungen laut Artikel 10 DSGVO vorgenommen wird 3. öffentlich zugängliche Bereiche umfangreich systemisch überwacht werden.

Muss der Datenschutzbeauftragte ein bestimmtes Zertifikat vorlegen?

Ein Datenschutzbeauftragter ist gemäß Artikel 42 Abs. 3 DSGV nicht in der Pflicht, ein Zertifikat über seine Tätigkeit oder sein Wissen zum Datenschutz vorzulegen. Vielmehr ist es wichtig und verpflichtend, dass der Mitarbeiter regelmäßig an Schulungen zum Datenschutz teilnimmt. Diese werden zum Beispiel von der Industrie- und Handelskammer angeboten.

Besonderheiten im Umgang mit dem Datenschutz für Unternehmen

1. Verbot der Benachteiligung Mitarbeiter, die zum Datenschutzbeauftragten ernannt worden sind, dürfen gemäß § 6 Abs. 3 Satz 3 BDSG-neu nicht aufgrund der Ausführung dieser Tätigkeit benachteiligt werden. Dies bedeutet, dass eine Benachteiligung zum Beispiel dann nicht erfolgen darf, wenn der Datenschutzbeauftragte sein Arbeitspensum seiner eigentlichen Tätigkeit im Unternehmen aufgrund der Datenschutzaufgabe nicht vollständig abarbeiten kann wie Kollegen ohne zusätzliche Datenschutzaufgaben dies können.

2. Umfassender Kündigungsschutz Gemäß § 38 Abs. 2 BDSG-neu, dem Ergänzungsgesetz zum DSGVO, kann ein Datenschutzbeauftragter nur aus wichtigem Grund fristlos gekündigt werden. Allenfalls genießt dieser einen Kündigungsschutz. Nach Beeindigung der Tätigkeit als Datenschutzbeauftragter darf der Mitarbeiter gemäß § 6 Abs. 4 S. 3 BDSG-neu in einem Zeitraum von einem Jahr nicht gekündigt werden, sofern keine wichtigen Gründe vorliegen, die zu einer fristlosen Kündigung führen können.

3. Regelmäßige Fortbildung Mitarbeiter, die zum Datenschutzbeauftragten berufen worden sind, haben die Pflicht, an Schulungen und Weiterbildungsseminaren teilzunehmen. Wie oft eine Schulung im Jahr stattfinden muss, ist im DSGVO nicht verankert, jedoch hängt dies mitunter auch von der Größe des Unternehmens und von der Mitarbeiterfluktuation ab.

4. Abberufung nur bei wichtigem Grund Ein zum Datenschutz beauftragter Mitarbeiter kann nur aus wichtigem Grund vom Chef, Vorsitzendem und Geschäftsführer abberufen werden. Ein wichtiger Grund stellt zum Beispiel die Tatsache dar, dass der Beauftragte seine Pflichten zum Datenschutz nicht ernsthaft wahrnimmt oder sich weigert, an Schulungen teilzunehmen.





Kommentar schreiben

89 - Dr;ei =
Ja, ich habe die Datenschutzerklärung gelesen.
* Pflichtfeld

Bisherige Kommentare (1)

Florence Prost  (17.07.2018 08:12 Uhr):
Danke für das Impressum MFG Florence Prost Eminza
Datenschutz Vorlagen

Alle 18 Datenschutz-Vorlagen zum vergünstigen Gesamtpaket!

DSGVO - Checkliste / Überblick
Verschwiegenheit
Unternehmensrichtlinien
T.O.M. – technische und organisatorische Maßnahmen

Jetzt über 60% günstiger als Einzelkauf!



Datenschutzerklärung Generator

Datenschutzerklärung für Ihre Website kostenlos erstellen:

Analytics-Dienste
Online-Marketingdienste
Vertragsabwicklung
Kontaktaufnahme u.v.m.



Impressums-Generator
Impressum GeneratorDer Impressumsgenerator mit 100.000+ bisher generierten Impressen wurde entwickelt von Rechtsanwalt Sebastian Einbock

Auskunftsersuchen beantworten

Anfrage erhalten? Generieren Sie Ihre Musterauskunft nach DSGVO!


© 2003-2018 JuraForum.de — Alle Rechte vorbehalten. Keine Vervielfältigung, Verbreitung oder Nutzung für kommerzielle Zwecke.