Bestellung zum Datenschutzbeauftragten

Betrieblicher Datenschutz

In jedem Unternehmen, in jedem nicht privaten Zusammenschluss gleich welcher Rechtsform, in welchem Privatpersonen beschäftigt werden und/oder private Kunden existieren, werden im Regelfall auch personenbezogene Daten erhoben, die nach der DSGVO zwingend geschützt werden müssen. In Abhängigkeit vom Umfang der Verarbeitung und der Art der personenbezogenen Daten benötigen Sie einen internen oder externen betrieblichen Datenschutzbeauftragten. Auch wenn Sie keinen externen Datenschutzbeauftragten brauchen, ist der sog. Verantwortliche gleichwohl für die Umsetzung der DSGVO zuständig und kann dies mittels eines internen Datenschutzbeauftragten oder Datenschutzkoordinators abbilden.

Datenschutz ist sowohl in der Theorie als auch in der Praxis ein höchst komplexes Thema und erfordert daher in ganz unterschiedlichen Bereichen eines Unternehmens eine kontinuierliche und planmäßige Umsetzung der gesetzlichen Vorgaben aus der Datenschutzgrundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) und den jeweiligen Landesdatenschutzgesetzen. Deshalb bündeln wir in unserem Unternehmen technische und juristische Kompetenzen, um unsere Kunden umfassend beraten zu können.

Die Implementierung eines effektiven Datenschutzsystems ist nicht allein Sache des Verantwortlichen eines Unternehmens, sondern setzt Engagement und Loyalität aller Mitarbeiter voraus, die mit personenbezogenen Daten in einem Unternehmen umgehen. Da Datenschutz kein einmaliger Vorgang sondern einer steten Fortentwicklung unterworfen ist, die höchste Sensibilität und Aufmerksamkeit aller Mitarbeiter erfordert, müssen die einzelnen Prozessabläufe und Instrumente des Datenschutzes nicht nur etabliert, sondern aus Überzeugung und Verantwortung auf allen Ebenen gelebt werden.

Unabhängig von allen gesetzlichen Vorgaben erwarten auch die Kunden/Mandanten/Patienten und Beschäftigte sowie Geschäftspartner von Ihnen, dass Sie in der Lage sind, die Ihnen anvertrauten personenbezogenen Daten auch tatsächlich geheim zu halten. Diesem Vertrauen gerecht zu werden, ist schon heute ein Qualitätsmerkmal und wird in der Zukunft eine immer bedeutendere Rolle einnehmen.

Die JANUS Datenschutz GmbH können Sie als externen Datenschutzbeauftragten (DSB) für Ihr Unternehmen bestellen. Unser Anspruch besteht darin, mit Ihnen unter Beachtung der gesetzlichen Vorgaben eine individuelle Konzeption für Ihr Unternehmen zu entwickeln, die dem Datenschutz zwar gerecht wird, aber auch gleichzeitig einen praktikablen Lösungsansatz im Umgang mit personenbezogenen Daten bietet.

Was versteht man unter personenbezogenen Daten im Sinne der DSGVO?

Seit 25. Mai 2018 gilt die neue Datenschutzgrundverordnung. Seither herrscht Beunruhigung in vielen kleinen und mittelständischen Unternehmen (KMU). Es geht um den  § 38 BDSG (Datenschutzbeauftragte nichtöffentlicher Stellen). Darin ist unter anderem festgeschrieben, dass Unternehmen einen Datenschutzbeauftragten brauchen, wenn sie mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Der Bundestag brachte am 27.06.2010 die entlastende Änderung auf dem Weg, nach der diese Zahl von 10 auf 20 Personen, welche sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, erhöht werden soll. Der Bundesrat hat am 20.09.2019 dem vom Bundestag zuvor verabschiedeten Gesetz zugestimmt. Nach Veröffentlichung im Bundesgesetzblatt wird es dann einen Tag nach Verkündung in Kraft treten. 

Hierbei darf allerdings nicht übersehen werden, dass das nationale Gesetz, § 38 BDSG, nur die europäische Regelung in Art. 37 Abs. 1 DSGVO ergänzt und demzufolge diese ebenfalls zu beachten ist. 

Nach Art. 37 Abs. 1 DSGVO sollen neben den Behörden und öffentlichen auch nicht öffentliche Verantwortliche und Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragten verpflichtet sein, soweit ihre Kerntätigkeit in der Durchführung umfangreicher, regelmäßiger und systematischer Überwachungen von betroffenen Personen besteht. Der Begriff der Kerntätigkeit eines Verantwortlichen bezieht sich auf die „Haupttätigkeiten“ und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Als „Kerntätigkeit“ lassen sich die wichtigsten Arbeitsabläufe eines Verantwortlichen oder Auftragsverarbeiters bezeichnen, die zur Erreichung der (wirtschaftlichen) Ziele erforderlich sind.

Schließlich sollen alle Verantwortlichen und Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragen verpflichtet sein, deren Kerntätigkeit in der Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO liegt. In Art. 9 Abs. 1 DSGVO heißt es wörtlich:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Aus vorstehenden Gründen kommt es nicht allein darauf an, wie viele Mitarbeiter sich mit der automatisierten Datenverarbeitung personenbezogener Daten befassen, sondern die anderen genannten Kriterien können ebenfalls dazu führen, dass ein Datenschutzbeauftragter zwingend zu bestellen ist.

Wer ist der Verantwortliche für die Einhaltung aller Datenschutzbestimmungen im Sinne des Art. 4 Abs. 7 DSGVO?

Dazu gehören unter folgende Aufgaben und Tätigkeiten:

  • Prüfung der Verfahren zur Information Ihrer Kunden bei erstmaliger Erhebung von personenbezogenen Daten.
  • Prüfung der Zulässigkeit der Verfahren zur Erhebung und Verarbeitung personenbezogener Daten Ihrer Kunden und Lieferanten (Vorabkontrolle).
  • Prüfung der Verfahren zur Erhebung und Verarbeitung Ihrer Beschäftigtendaten (Personalakten, Zeiterfassung, Bewerbermanagement).
  • Prüfung der Verfahren im Bereich Marketing und Vertrieb mit Einhaltung von Informationspflichten gegenüber Betroffenen und Werbewidersprüchen.
  • Prüfung der Verfahren zur Berichtigung, Sperrung und Löschung gespeicherter personenbezogener Daten.
  • Prüfung der getroffenen technischen und organisatorischen Maßnahmen (§ 9 Bundesdatenschutzgesetz) zum Datenschutz.Schulung Ihrer mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter hinsichtlich der relevanten Bestimmungen des Bundesdatenschutzgesetzes.
  • Regelung des Verfahrens zur Verpflichtung Ihrer mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter auf das Datengeheimnis (§ 5 Bundesdatenschutzgesetz).
  • Prüfung der bei Auftragsdatenverarbeitungen seitens Ihrer Auftragnehmer (Dienstleister) getroffenen technischen und organisatorischen Maßnahmen (§ 9 Bundesdatenschutzgesetz) zum Datenschutz.
  • Prüfung von Videoüberwachungen in öffentlich und nicht-öffentlich zugänglichen Bereichen.Führung von Übersichten über die verarbeiteten personenbezogenen Daten und die zu ihrer Verarbeitung eingesetzten Datenverarbeitungsanlagen (interne Verarbeitungsübersichten, öffentliches Verfahrensverzeichnis).
  • Erstellung von jährlichen Tätigkeitsberichten zum Nachweis eines wirkungsvollen Datenschutzes.
  • Bearbeitung von Anfragen Ihrer Kunden oder Lieferanten oder internen Stellen aus Ihrem Unternehmen zum Datenschutz.
Was ist eine Verarbeitung im Sinne des Art. 4 Abs. 2 DSGVO?
  • Regelungen zur Zutrittskontrolle (Gebäudesicherheit)
  • Regelungen zur Zugangskontrolle (verschlossene Türen)
  • Regelungen zur Zugriffskontrolle (verschlossene Schränke)
  • Regelungen zur Weitergabekontrolle
  • Regelungen zur Eingabekontrolle
  • Regelungen zur Verfügbarkeitskontrolle
Wie werden personenbezogene Daten rechtmäßig im Sinne des Art. 5 DSGVO verarbeitet?
  • EDV/System Administration Vertretung Regelung
  • Netzpläne
  • Berechtigungskonzept
  • Software Übersicht
  • Dokumentation über EDV-Einrichtung
  • Virenschutzkonzept
  • Passwortkonzept
  • Firewallkonzept
  • Systemkonfiguration
  • Mobile Devices
  • Datensicherungskonzept
  • Verschlüsslungskonzept
Was gehört in ein Verarbeitungsverzeichnis und wer muss dies im Sinne der DSGVO aufstellen?

Eine Verpflichtung zur Meldung besteht dann, wenn mit einer hinreichenden Wahrscheinlichkeit angenommen werden kann, dass eine Datenschutzverletzung aufgetreten ist. Dies bedeutet, dass es zwar mehr als einen vagen Anfangsverdacht geben muss, dass bspw. eine unbefugte Datenweitergabe stattgefunden hat, eine vollständige Aufarbeitung aber nicht abgewartet werden darf.

Was sind übliche Zwecke der Verarbeitung im Sinne des Art. 30 Abs. 1 b DSGVO?

Die 72 Stunden zählen ab 0:00 Uhr des Folgetages, an dem die Datenschutzverletzung im Unternehmen festgestellt wurde. Dies bedeutet bspw., dass bei einer Verletzung, die am Donnerstag um 16:00 Uhr festgestellt wird, die Frist am Donnerstag/Freitag um 0:00 Uhr beginnt und am Sonntag um 23:59 Uhr endet. Wichtig ist dabei, dass bei der Berechnung auch Wochenenden und Feiertage mitgezählt und nicht nur Arbeitstage beachtet werden müssen.

Was versteht man unter einem Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO und welchen Mindestinhalt muss dieser haben?

Sofern Sie eine Datenschutzpanne in Thüringen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit zu nutzen. Das Formular finden Sie unter: https://www.tlfdi.de/tlfdi/wir/infomaterial-mustervordrucke/mustervordrucke/

Sofern Sie eine Datenschutzpanne in Bayern melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular beim Bayrischen Landesamt für Datenschutzaufsicht zu nutzen. Das Formular finden Sie unter: https://www.lda.bayern.de/de/datenpanne.html

Sofern Sie eine Datenschutzpanne in Hessen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular des Hessischen Landesbeauftragten für Datenschutz und Informationsfreiheit zu nutzen. Das Formular finden Sie unter: https://datenschutz.hessen.de/service/beschwerde

Sofern Sie eine Datenschutzpanne in Sachsen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular des Sächsischen Datenschutzbeauftragten zu nutzen. Das Formular finden Sie unter: https://www.saechsdsb.de/meldung-datenschutzverstoss

Sofern Sie eine Datenschutzpanne in Sachsen-Anhalt melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular des Landesbeauftragten für Datenschutz Sachsen-Anhalt zu nutzen. Das Formular finden Sie unter: https://datenschutz.sachsen-anhalt.de/service/online-formulare/datenschutzverletzung/?no_cache=1

Sofern Sie eine Datenschutzpanne in Baden-Württemberg melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online -Formular des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg zu nutzen. Das Formular finden Sie unter: https://www.baden-wuerttemberg.datenschutz.de/datenpanne-melden/

Sofern Sie eine Datenschutzpanne in Berlin melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular des Berliner Beauftragten für Datenschutz und Informationsfreiheit zu nutzen. Das Formular finden Sie unter: https://www.datenschutz-berlin.de/wirtschaft-und-verwaltung/meldung-einer-datenpanne/datenpannenformular

Sofern Sie eine Datenschutzpanne im Saarland melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular der Landesbeauftragten für Datenschutz und Informationsfreiheit Saarland zu nutzen. Das Formular finden Sie unter: https://www.datenschutz.saarland.de/online-dienste/meldung-datenpanne

Sofern Sie eine Datenschutzpanne in Niedersachsen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular der Landesbeauftragten für Datenschutz zu nutzen. Das Formular finden Sie unter: https://www.navo.niedersachsen.de/navo2/portal/csend/8915/fileget/dsbeschwerdeformular.html

Sofern Sie eine Datenschutzpanne in Brandenburg melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular der Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht zu nutzen. Das Formular finden Sie unter: https://www.lda.brandenburg.de/lda/de/service/formulare-und-musterschreiben/meldung-einer-datenschutzverletzung/

Sofern Sie eine Datenschutzpanne in Mecklenburg-Vorpommern melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Mecklenburg-Vorpommern zu nutzen. Das Formular finden Sie unter: https://www.datenschutz-mv.de/kontakt/meldung-einer-datenpanne/

Sofern Sie eine Datenschutzpanne in Nordrhein-Westfalen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen zu nutzen. Das Formular finden Sie unter: https://www.ldi.nrw.de/mainmenu_Aktuelles/Formulare-und-Meldungen/Inhalt2/Meldeformular—Verletzung-des-Schutzes-personenbezogener-Daten/Meldeformular—Verletzungen-des-Schutzes-personenbezogener-Daten.html

Sofern Sie eine Datenschutzpanne in Schleswig-Holstein melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Formular der Landesbeauftragten für Datenschutz Schleswig-Holstein zu nutzen. Das Formular finden Sie unter: https://www.datenschutzzentrum.de/meldungen/

Sofern Sie eine Datenschutzpanne in Hamburg melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zu nutzen. Das Formular finden Sie unter: https://datenschutz-hamburg.de/meldung-databreach

Sofern Sie eine Datenschutzpanne in Bremen melden müssen, empfehlen wir nach Rücksprache mit ihrem Datenschutzbeauftragten das Online – Formular der Landesbeauftragten für Datenschutz und Informationsfreiheit zu nutzen. Das Formular finden Sie unter: https://www.datenschutz.bremen.de/wir_ueber_uns/online_meldungen/beschwerdeformular-15253

Wann benötigt man einen Auftragsverarbeitungsvertrag im Sinne des Art. 28 DSGVO und wann nicht?

Die Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder haben sich auf ein Konzept zur Verhängung von Bußgeldern verständigt. Es sieht folgende Berechnungsschritte vor:

Die Bußgeldzumessung gegen Unternehmen erfolgt in fünf Schritten. Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (1.), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt (2.), dann ein wirtschaftlicher Grundwert ermittelt (3.), dieser Grundwert mittels eines von der Schwere der Tatumstände abhängigen Faktors multipliziert (4.) und abschließend der unter 4. ermittelte Wert anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände angepasst (5.).

Weitere Informationen finden Sie unter: https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf

Was versteht man unter einer wirksamen Einwilligung im Sinne der Art. 6 Abs. 1 lit. a und Art. 7 DSGVO?

Da die Datenschutzgrundverordnung in allen Ländern der Europäischen Union gilt, wurden Bußgelder in allen Ländern verhangen. Einen aktuellen Überblick finden Sie unter www.dsgvo-portal.de.