FAQs

Allgemeine Informationen (FAQs) zum Thema betrieblicher Datenschutz:

Was sind personenbezogene Daten?

Personenbezogene Daten sind gem. Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Beispiele sind: Namen, Anschriften, E-Mail-Adressen, Telefonnummern, Geburtsdaten, Versicherungsdaten, Kontodaten, biometrische Daten, Standortdaten, Gesundheitsdaten, IP-Adressen etc.

Wann benötigen Sie einen Datenschutzbeauftragten (DSB)?

Nach den neuen Datenschutzvorschriften, die ab 25. Mai 2018 gelten, benötigen Sie einen Datenschutzbeauftragten, wenn

  • Sie als Behörde oder öffentliche Stelle die Datenverarbeitung durchführen, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit. a DSGVO) oder
    a
  • Ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b DSGVO) oder
    b
  • Ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht (Art. 37 Abs. 1 lit. c DSGVO) oder
    c
  • Sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen (§ 38 Abs. 1 BDSG) oder
    d
  • Sie Verarbeitungen personenbezogener Daten vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder
    e
  • Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Weshalb sollten Sie einen externen Datenschutzbeauftragten benennen?

Die Benennung eines externen Datenschutzbeauftragten kann aus folgenden Gründen empfehlenswert sein:

  • Vermeidung innerbetrieblicher Interessenskonflikte

Vermeiden Sie innerbetriebliche Interessenskonflikte, die ausschließlich zu Lasten der Produktivität Ihres Unternehmens gehen. Bei der Bestimmung eines Datenschutzbeauftragten müssen innerhalb der Belegschaft mögliche Interessenskonflikte berücksichtigt und vermieden werden. Daher dürfen beispielsweise Mitarbeiter aus den Bereichen

  • Geschäftsführung
  • IT-Abteilung
  • Lohn-/Personalabteilung
  • Marketing & Vertrieb

nicht als Datenschutzbeauftragte benannt werden, da sie sich praktisch selbst überwachen müssten und daher einem Interessenskonflikt unterliegen.

Die Benennung eines externen Datenschutzbeauftragten, der nicht zum Unternehmen gehört, ist ausdrücklich gem. Art. 37 Abs. 6 DSGVO erlaubt.

  • Höhere Produktivität und Kosteneffizienz, da keine fachliche Doppelbelastung für Mitarbeiter

Häufig muss ein/e Beschäftigte/r die Aufgaben des Datenschutzbeauftragten zusätzlich zu den eigentlichen Kernaufgaben übernehmen. Das führt zu einer erheblichen Doppelbelastung des/r Beschäftigten, da zusätzlich zum Tagesgeschäft noch die Einarbeitung in die neue, äußerst umfangreiche Datenschutzthematik hinzukommt. Dies wiederum geht zu Lasten der Produktivität des/r Mitarbeiters/in, da wertvolle Arbeitszeit für Datenschutzbelange „geopfert“ werden muss.

Überlassen Sie diese Tätigkeit einem spezialisierten externen Datenschutzbeauftragten, damit Sie und Ihre Mitarbeiter sich voll und ganz auf Ihr Kerngeschäft konzentrieren können.

  • Kein verlängerter Kündigungsschutz aufgrund der Stellung als Datenschutzbeauftragter

Interne Datenschutzbeauftragte können nach §§ 38 Abs. 2, 6 Abs. 4 S. 1 BDSG i.V.m. § 626 BGB ohne Einhaltung einer Kündigungsfrist nur aus wichtigem Grund gekündigt werden. Nach Ende der Tätigkeit als interner Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses nach § 6 Abs. 4 S. 3 BDSG innerhalb eines Jahres unzulässig. Eine Ausnahme stellt wiederum nur die Kündigung aus wichtigem Grund dar.

Die Verträge mit einem externen Datenschutzbeauftragten hingegen sind binnen üblicher Fristen kündbar.

  • Keine zusätzlichen Fortbildungskosten

Da der Datenschutzbeauftragte gemäß § 5 Abs. 3 BDSG, Art. 37 Abs. 5 DSGVO über Fachwissen und Zuverlässigkeit auf dem Gebiet des Datenschutzrechts verfügen muss, muss er eine entsprechende Ausbildung durchlaufen und darf nach eigenem Ermessen Fortbildungsveranstaltungen besuchen.

Nach Art. 38 Abs. 2 DSGVO müssen dem Datenschutzbeauftragten zudem zur Erfüllung seiner Aufgaben – soweit erforderlich – „Ressourcen und Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen“ zur Verfügung gestellt werden.

Hierunter fallen zum einen z. B. die Anschaffung von Spezialsoftware zur Erfüllung der Aufgaben oder auch umfangreicher Fachliteratur. Zum anderen werden davon aber auch die finanziellen Mittel zur Erhaltung des Fachwissens erfasst.

Externe Datenschutzbeauftragte tragen diese Kosten selbst.

Welche Strafen drohen, wenn – trotz Pflicht – ein Datenschutzbeauftragter nicht oder nicht ordnungsgemäß benannt wird?

Gemäß Art. 83 Abs. 4 DSGVO drohen in derartigen Fällen Bußgelder in Höhe von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Konzerns oder bis zu 10 Millionen Euro.

Wie gehen Sie mit einem Datenschutzvorfall um?

Sollte sich in Ihrem Unternehmen ein Datenschutzvorfall ereignen, gilt es, zügig zu handeln. Die DSGVO gibt dabei vor, was zu tun ist.

Nach Art. 33 Abs. 1 DSGVO ist ein Datenschutzvorfall der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden. Diese Meldung muss mindestens folgende Informationen enthalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Der Frist von 72 Stunden beginnt am Folgetag nach Feststellung des Datenschutzvorfalls an zu laufen. Bereits eine hinreichende Wahrscheinlichkeit ohne endgültige Gewissheit vom Datenschutzvorfall löst die Frist aus. Wochenend- und Feiertage werden wie Wochentage mitgezählt.

Die Meldepflicht entfällt, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Diese Beurteilung muss für jeden Einzelfall individuell erfolgen und dokumentiert werden.

Bei einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen ist gemäß Art. 34 Abs. 1 DSGVO der Betroffene unverzüglich über den Datenschutzvorfall zu benachrichtigen. Diese Pflicht entfällt, wenn:

  • Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
  • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht,
  • dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Beispiele für Datenschutzvorfälle sind: unrechtmäßige Übermittlung (Versand einer E-Mail an falschen Adressaten), Verlust oder Diebstahl von Dokumenten oder Speichermedien, die personenbezogene Daten enthalten, Datenpannen durch Angriffe auf das IT-System, unbeabsichtige Änderung oder Löschung von personenbezogenen Daten, Veröffentlichung von personenbezogenen Daten im Internet durch technische Fehler

Warum sollten Sie netvocat® GmbH beauftragen?

Wir sind ein Unternehmen, das sich auf die Beratung von Unternehmen, Freiberuflern und öffentlichen Einrichtungen im Bereich des Datenschutzes spezialisiert hat und über entsprechende Erfahrung und Fachkunde auch als externe Datenschutzbeauftragte verfügt.