Datenschutzrecht

Ab 25. Mai 2018 gelten die Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG 2018). Eine Übergangsfrist gibt es nicht, da die DSGVO bereits seit 2016 in Kraft ist und ab Mai 2018 wirksam ist. Die DSGVO regelt nun europaweit den Datenschutz und überlagert die Vorschriften des BDSG.

Daraus ergeben sich zahlreiche Pflichten für Ihr Unternehmen, insbesondere bei den Dokumentations- und Rechenschaftspflicht gegenüber den Datenschutz-Aufsichtsbehörden und den Auskunftsrechten der Betroffenen.

 

Neu: Umfassende Dokumentationspflicht

Sie müssen künftig jederzeit nachzuweisen können, dass Ihr Unternehmen datenschutzkonform agiert. Werden die neuen Vorschriften nicht eingehalten oder gelingt der Nachweis der Einhaltung nicht oder kommt es gar zu einem „Datenleck,“ können die Aufsichtsbehörden Verwarnungen aussprechen und Bußgelder bis zu 4 Mio. Euro verhängen.

Die Nachweispflicht gelingt in der betrieblichen Praxis nur mit einer sorgfältigen Daenschutz-Dokumentation aller datenrechtlich relevanter Vorgänge und Maßnahmen.

Nicht neu, aber nunmehr Bußgeldbewehrt ist die Pflicht der Ernennung eines Datenschutzbeauftragten. Wann Ihr Unternehmen sie tatsächlich einen Datenschutzbeauftragten benötigen, wer diese Aufgabe übernehmen kann und welche Aufgaben er nach dem Gesetzt hat, möchten wir Ihnen nachfolgend erläutern.

 

Wann muss ich einen Datenschutzbeauftragten benennen?

Das neue BDSG fordert in Art. 38 die Benennung eines Datenschutzbeauftragten, wenn in Ihrem Unternehmen „mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten" beschäftigt sind.

Die DSGVO fordert unabhängig von der Mitarbeiterzahl die Benennung eines Datenschutzbeauftragten, wenn

  • die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder
  • die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Daten, wie gesundheitsbezogene Daten (Art. 9 DSGVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) besteht.

Das heißt: Besteht die Haupttätigkeit eines Unternehmens in der Verarbeitung personenbezogener Daten müssen zwingend einen Datenschutzbeauftragten bestellt werden, unabhängig davon, wie viele Mitarbeiter beschäftigt sind. Erfasst werden unter anderem Betreiber von sozialen Netzwerken oder Adresshändler.

Die meisten Unternehmen dürften jedoch nicht unter diese Norm fallenDenn bei einem Online-Shop besteht die Haupttätigkeit im Verkauf von Waren. Die Verarbeitung seiner Kundendaten und die Analyse der Daten, um zielgerichtete Werbung zu schalten, stellt nur eine Nebentätigkeit dar.

Sanktion bei Nichtbenennung

Kommt ein Unternehmen seiner gesetzlichen Verpflichtung zur Bestellung nicht nach, drohen erhebliche Bußgelder (Art. 83 DSGVO).

 

Wer kann Datenschutzbeauftragter sein?

Der Datenschutzbeauftragte kann entweder

  • ein Beschäftigter in Ihrem Unternehmen sein, sog. interner Datenschutzbeauftragter oder
  • ein sog. externer Datenschutzbeauftragter sein, der seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllt (Art. 37 Abs. 6 DSGVO).

Meldepflicht an die Datenschutzbehörde

Da Sie eine Bestellung eines Datenschutzbeauftragten nachweisen müssen, sollte dies schriftlich erfolgen.

Nach der Ernennung sind Sie verpflichtet:

  • seine Kontaktdaten (nicht den Namen) auf der Unternehmenswebseite zu veröffentlichen und
  • den Namen und Kontaktdaten der zuständigen Landesdatenschutzbehörde mitteilen (Art. 37 Abs. 7 DSGVO).

Für die Meldung des Datenschutzbeauftragten bieten zahlreiche Aufsichtsbehörden bereits elektronische Formular an. Für das Land Mecklenburg-Vorpommern kann die Meldung hier vorgenommen werden:  https://www.datenschutz-mv.de/kontakt/Mitteilung-von-Datenschutzbeauftragten/.

 

Besondere Qualifikation und Fachkunde

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der genannten Aufgaben (Art. 37 Abs. 5 DSGVO). Die genauen Anforderungen nennt die Vorschrift jedoch nicht.

 

Welche Aufgaben hat der Datenschutzbeauftragte?

Dem Datenschutzbeauftragten, ob intern oder extern, obliegt die interne Selbstkontrolle bezüglich der Einhaltung der datenschutzrechtlichen Vorschriften. Seine Aufgabe ist es bezüglich der Datenschutzes und der Datensicherheit zu sensibilisieren, zu schulen, zu beraten und die Einhaltung der gesetzlichen Vorgaben zu überwachen.

Er ist unabhängig und weisungsfrei in Bezug auf die Erfüllung seiner Aufgaben. Ein betrieblicher DSB darf nicht gekündigt werden, was häufig ein Grund für die Beauftragung eines externen Beraters ist.

Dem Datenschutzbeauftragten obliegen unter anderem folgende gesetzliche Aufgaben (Art. 39 DSGVO):

  • Unterrichtung und Beratung hinsichtlich ihrer datenschutzrechtlichen Pflichten
  • Überwachung der Einhaltung der Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten,
  • die Sensibilisierung und Schulung der Mitarbeiter und der diesbezüglichen Überprüfungen
  • gegebenenfalls die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung (Artikel 35 DSGVO)
  • er ist Ansprechpartner der Aufsichtsbehörde sowie
  • ist Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO und
  • gegebenenfalls Beratung zu allen sonstigen Fragen.

Bei der Erfüllung dieser Aufgaben hat der Verantwortliche, also das Unternehmen, den Beauftragten zu unterstützen, indem die erforderlichen zeitlichen und finanziellen Ressourcen bspw. für die Fortbildung, Zertifizierung oder Fachliteratur bereitzustellen.

 

Checklist: Was ist zu tun?

  1. Prüfen Sie, ob Sie für Ihr Unternehmen einen Datenschutzbeauftragten bestellen müssen.
  2. Als nächstes ist zu entscheiden, ob ein Mitarbeiter für diese Aufgabe fachlich geeignet und die nötigen zeitlichen Ressourcen zur Verfügung stehen oder ob ein externer Datenschutzbeauftragter gewählt wird. Der Mitarbeiter sollte fachlich geeigneten (IT-Affinität) und natürlich willens sein, diese Aufgabe auch zu übernehmen.
  3. Gleich, wie Sie sich entscheiden, besprechen und vereinbaren Sie die Aufgaben und nehmen sie die Bestellung schriftlich vor.
  4. Melden Sie den DSB dann Ihrer Aufsichtsbehörde.
  5. Dann sind zusammen alle Verfahren Ihres Unternehmen, in denen personenbezogene Daten verarbeitet werden zu dokumentiert und zu geprüft. Hierzu wird eine sogenanntes Verzeichnis der Verarbeitungstätigkeiten (kurz Verfahrensverzeichnis oder Verarbeitungsverzeichnis) erstellt. Solche Verarbeitungsverfahren können sein: Mitarbeiter, Kunden, Lieferanten, Dienstleister, IT-Dienstleister (Provider, Hoster).
  6. Prüfen Sie, ob für jedes einzelne Verfahren ein Rechtsgrund für die Nutzung vorliegt, wie beispielsweise ein Vertrag oder eine Einwilligung des Betroffenen. Dieser Prozess ist zeitaufwendig. Geben Sie nicht auf!
  7. Prüfen und passen Sie interner Richtlinien, Verträge (AGB) und Einwilligungserklärungen an die DSGVO und das neue BDSG an.

 

Beratung im Datenschutzrecht und externer Datenschutzbeauftragter

Gern unterstützen wir Sie und Ihre Unternehmen bei der Umsetzung der DSGVO. Wir bieten unter anderem folgende Leistungen an

  • begleitende Beratung Ihres betrieblichen Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben
  • Schulung Ihrer Mitarbeiter
  • Untersützung bei der Erstellung von Verfahrensverzeichnissen
  • Tätigkeit als externer Datenschutzbeauftragter
  • rechtliche Klärung und Beratung zu datenschutzrechtliche Einzelfragen, wie bspw. die Zulässigkeit von Marketingmaßnahmen
  • Prüfung und Erstellung von Datenschutzerklärung für Ihre Webseite.

Rechtsanwältin Marion Janke (MLE) ist geprüfte Datenschutzbeauftragte (TÜV) und ist als Fachanwältin für Urheber- und Medienrecht seit 2005 umfassend im IT-Recht tätig.

Senden Sie uns unverbindlich Ihre Anfrage per E-Mail oder rufen Sie uns an:

  • Telefon: 0381 - 877 410 310
  • per E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

 

Bild: Zerbor/ Fotolia.com

 

Indem Sie diese Webseite weiter nutzen, erklären Sie sich mit der Nutzung der Cookies einverstanden. Mehr Informationen. OK!