Datenschutz FAQ…

Ein Datenschutzbeauftragter ist eine Person, die innerhalb eines Unternehmens oder einer Organisation für die Einhaltung der Datenschutzgesetze verantwortlich ist. Der Datenschutzbeauftragte (DSB) ist eine zentrale Anlaufstelle für Fragen und Anliegen zum Thema Datenschutz. Er ist nicht weisungsbefugt sondern hat eine beratende Funktion.
Der Datenschutzbeauftragte muss über eine besondere Ausbildung und Qualifikation in den Bereichen Datenschutz und IT-Sicherheit verfügen. Er soll sicherstellen, dass personenbezogene Daten innerhalb des Unternehmens oder der Organisation rechtmäßig und gemäß den Datenschutzgesetzen verarbeitet werden. Der DSB berät das Unternehmen oder die Organisation hinsichtlich datenschutzrechtlicher Fragestellungen und ist Ansprechpartner für Kunden, Mitarbeiter und Aufsichtsbehörden.
Die Bestellung eines Datenschutzbeauftragten ist in vielen Fällen gesetzlich vorgeschrieben, insbesondere wenn ein Unternehmen personenbezogene Daten in größeren Mengen verarbeitet oder bestimmte Branchen betroffen sind.

Zu den Aufgaben des Datenschutzbeauftragten gehören unter anderem:

• Überwachung der Einhaltung der Datenschutzgesetze
• Beratung und Schulung von Mitarbeitern zum Thema Datenschutz
• Prüfung und Bewertung von Datenschutz-Folgenabschätzungen
• Zusammenarbeit mit der Aufsichtsbehörde bei Datenschutzverletzungen
• Ansprechpartner für Kunden und Betroffene bei Fragen zum Datenschutz

In Deutschland muss ein Datenschutzbeauftragter bestellt werden, wenn eine der folgenden Voraussetzungen erfüllt ist:

• Regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang. Dies gilt insbesondere für Unternehmen, die Kamerabildüberwachung, Tracking-Systeme oder ähnliche Technologien einsetzen.
• Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO oder von strafrechtlichen Verurteilungen und Straftaten gemäß Art. 10 DSGVO. Dies betrifft unter anderem Gesundheitsdaten, biometrische Daten oder Daten zu politischen Überzeugungen.
• Datenverarbeitung als Kerngeschäft. Unternehmen, deren Kerngeschäft die Verarbeitung von personenbezogenen Daten ist, müssen ebenfalls einen Datenschutzbeauftragten bestellen.
• Unternehmen mit mehr als 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten.

Es ist wichtig zu beachten, dass diese Voraussetzungen nicht nur für Unternehmen in Deutschland gelten, sondern auch für Unternehmen, die personenbezogene Daten von Personen in Deutschland verarbeiten, unabhängig von ihrem Sitz oder ihrer Geschäftstätigkeit.

Die Bestellung eines Datenschutzbeauftragten ist in der Regel eine gesetzliche Verpflichtung. Unternehmen, die gegen diese Verpflichtung verstoßen, können mit empfindlichen Bußgeldern belegt werden.

Es gibt verschiedene Arten von Datenschutzbeauftragten, je nachdem, wer sie bestellt und für welche Art der Datenverarbeitung sie zuständig sind:

• Interne Datenschutzbeauftragte: Dies sind Mitarbeiter des Unternehmens, die vom Unternehmen selbst bestellt werden und für die Überwachung der Datenverarbeitung innerhalb des Unternehmens verantwortlich sind. Interne Datenschutzbeauftragte können in Vollzeit oder Teilzeit arbeiten. Teilzeit DSB haben in der Regel andere Aufgaben innerhalb des Unternehmens. Interne DSB müssen ebenso wie externe DSB über die notwendige fachliche Qualifikation verfügen und müssen unabhängig von anderen Geschäftsprozessen im Unternehmen sein, aus denen sich ggf. Interessenkonflikte ergeben könnten. Daher können bspw. IT-Mitarbeiter oder die Geschäftsführung selbst nicht interne DSB eines Unternehmens sein.
• Externe Datenschutzbeauftragte: Dies sind Datenschutzexperten, die von Unternehmen oder Organisationen beauftragt werden, um sie bei der Erfüllung ihrer datenschutzrechtlichen Pflichten zu unterstützen. Externe Datenschutzbeauftragte arbeiten in der Regel auf Honorarbasis und haben in der Regel eine hohe Expertise in datenschutzrechtlichen Fragen.
• Behördliche Datenschutzbeauftragte: Behördliche Datenschutzbeauftragte werden von staatlichen oder öffentlichen Stellen bestellt und sind für die Überwachung der Datenverarbeitung in diesen Organisationen verantwortlich. Sie arbeiten eng mit der Aufsichtsbehörde für den Datenschutz zusammen und sind für die Umsetzung von Datenschutzrichtlinien und -vorschriften verantwortlich.
• Gemeinsame Datenschutzbeauftragte: Dies sind Datenschutzbeauftragte, die von mehreren Unternehmen oder Organisationen gemeinsam bestellt werden. Gemeinsame Datenschutzbeauftragte können in verschiedenen Branchen wie z.B. im Gesundheitswesen oder bei Banken eingesetzt werden, um die Einhaltung von Datenschutzvorschriften und die Koordination zwischen verschiedenen Unternehmen sicherzustellen

In Deutschland kann grundsätzlich jede natürliche Person zum Datenschutzbeauftragten bestellt werden, solange sie die erforderliche Fachkunde und Zuverlässigkeit aufweist. Allerdings gibt es einige Einschränkungen und Vorgaben, wer Datenschutzbeauftragter sein kann:

• Unabhängigkeit: Datenschutzbeauftragte müssen unabhängig von anderen Geschäftsprozessen im Unternehmen sein und dürfen keine Interessenkonflikte haben.
• Fachkunde: Datenschutzbeauftragte müssen über die erforderliche Fachkunde verfügen, um die Einhaltung der Datenschutzgesetze und -vorschriften zu überwachen und Empfehlungen zur Verbesserung der Datenschutzpraktiken zu geben. Datenschutzbeauftragte müssen sich regelmäßig über neue Entwicklungen im Bereich Datenschutz informieren und ihr Fachwissen auf dem neuesten Stand halten.
• Zuverlässigkeit: Datenschutzbeauftragte müssen als vertrauenswürdig und zuverlässig angesehen werden, da sie Zugang zu vertraulichen und sensiblen Daten haben.
• Konfliktfreiheit: Es dürfen keine Interessenkonflikte bestehen, die die Unabhängigkeit des Datenschutzbeauftragten beeinträchtigen könnten. Insbesondere sollten Datenschutzbeauftragte nicht gleichzeitig Leiter einer Abteilung sein, die für die Verarbeitung personenbezogener Daten verantwortlich ist.
• Verfügbarkeit: Datenschutzbeauftragte sollten in der Lage sein, ihre Aufgaben im Unternehmen regelmäßig und zeitnah wahrzunehmen.

Als Unternehmen sollten Sie einen Datenschutzbeauftragten haben, weil die Überwachung des Datenschutzes eine wichtige Verantwortung ist, die ernst genommen werden muss. Hier sind einige Gründe, warum ein Datenschutzbeauftragter von Vorteil sein kann:

• Gesetzliche Anforderungen: In vielen Ländern ist es gesetzlich vorgeschrieben, einen Datenschutzbeauftragten zu haben, wenn bestimmte Kriterien erfüllt sind, wie z.B. die Verarbeitung großer Mengen an personenbezogenen Daten.
• Datenschutz-Compliance: Ein Datenschutzbeauftragter kann dazu beitragen, dass Ihr Unternehmen die geltenden Datenschutzgesetze und -richtlinien einhält.
• Reputation: Ein Datenschutzbeauftragter kann dazu beitragen, dass Ihr Unternehmen ein positives Image aufrechterhält, indem es sicherstellt, dass personenbezogene Daten angemessen geschützt werden.
• Risikominimierung: Ein Datenschutzbeauftragter kann helfen, potenzielle Datenschutzrisiken zu erkennen und zu bewerten und Maßnahmen zu ergreifen, um diese Risiken zu minimieren.
• Mitarbeiter-Schulung: Ein Datenschutzbeauftragter kann Schulungen für das Management und die Mitarbeiter durchführen, um sicherzustellen, dass alle mit dem Umgang mit personenbezogenen Daten vertraut sind und die geltenden Datenschutzrichtlinien einhalten.

Insgesamt kann ein Datenschutzbeauftragter Ihnen als Unternehmen helfen, sicherzustellen, dass personenbezogene Daten angemessen geschützt werden, und dass Ihr Unternehmen die geltenden Datenschutzgesetze und -richtlinien einhält.

Die Bestellung eines externen Datenschutzbeauftragten kann für Unternehmen und Organisationen eine Reihe von Vorteilen bieten, darunter:

• Fachkompetenz: Ein externer Datenschutzbeauftragter verfügt in der Regel über eine spezialisierte Ausbildung und langjährige Erfahrung im Bereich Datenschutz. Dadurch kann er Unternehmen bei der Umsetzung der Datenschutzanforderungen unterstützen und sicherstellen, dass sie den gesetzlichen Vorschriften entsprechen.
• Unabhängigkeit: Ein externer Datenschutzbeauftragter ist unabhängig von internen Weisungen und Vorgaben des Unternehmens. Dadurch wird sichergestellt, dass die Datenschutzbelange objektiv und unvoreingenommen betrachtet und umgesetzt werden.
• Kosteneffizienz: Ein externer Datenschutzbeauftragter arbeitet in der Regel auf Honorarbasis und wird nur für die tatsächlich geleistete Arbeit bezahlt. Unternehmen können dadurch Kosten sparen, da sie keinen festangestellten Datenschutzbeauftragten benötigen und die Kosten für die Weiterbildung und Schulung des Personals reduziert werden.
• Erreichbarkeit: Ein externer Datenschutzbeauftragter kann jederzeit erreichbar sein und schnell auf Anfragen oder Probleme reagieren. Dies kann besonders wichtig sein, wenn Unternehmen keine interne Person mit entsprechenden Fachkenntnissen haben.
• Flexibilität: Ein externer Datenschutzbeauftragter kann je nach Bedarf eingesetzt werden. Unternehmen können die Dienstleistungen des Datenschutzbeauftragten in Anspruch nehmen, wenn sie ihn benötigen, und müssen ihn nicht dauerhaft beschäftigen.
• Haftungsrisiko: Im Falle von Verstößen gegen den Datenschutz haftet in der Regel der Datenschutzbeauftragte. Durch die Bestellung eines externen Datenschutzbeauftragten können Unternehmen das Haftungsrisiko reduzieren, da der externe Datenschutzbeauftragte für die Einhaltung der Datenschutzgesetze verantwortlich ist.

Zusammenfassend lässt sich sagen, dass die Bestellung eines externen Datenschutzbeauftragten für Unternehmen und Organisationen eine effektive Möglichkeit darstellt, den Datenschutz zu gewährleisten und das Haftungsrisiko zu reduzieren, während gleichzeitig Kosten gespart werden können.

Ja, Datenschutzbeauftragte müssen gemäß Artikel 37 Absatz 7 der Datenschutz-Grundverordnung (DSGVO) bei der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Diese Meldung muss innerhalb von zehn Tagen nach der Bestellung oder Entlassung des Datenschutzbeauftragten erfolgen.

Die Aufsichtsbehörden benötigen diese Informationen, um sicherzustellen, dass Unternehmen und Organisationen einen Datenschutzbeauftragten benannt haben, wenn dies gesetzlich vorgeschrieben ist. Die Meldepflicht dient auch dazu, den Datenschutzbeauftragten als Ansprechpartner für die Aufsichtsbehörde zu identifizieren, insbesondere wenn es um Fragen der Datenschutz-Compliance oder um die Meldung von Datenschutzverletzungen geht.

Es ist wichtig zu beachten, dass die Meldepflicht auch dann besteht, wenn ein externer Datenschutzbeauftragter bestellt wird. Die Verantwortung für die Meldung des Datenschutzbeauftragten liegt in der Regel bei der Geschäftsführung oder dem Vorstand des Unternehmens oder der Organisation.

Bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) können unterschiedliche Sanktionen und Strafen verhängt werden. Die Höhe der Strafen hängt von der Schwere und Art des Verstoßes sowie von verschiedenen anderen Faktoren ab.

Im Allgemeinen können folgende Sanktionen verhängt werden:

• Verwarnungen und Anordnungen zur Abhilfe: Die Aufsichtsbehörde kann eine schriftliche Warnung aussprechen und den Verantwortlichen dazu anhalten, den Datenschutzverstoß zu beheben.
• Geldbußen: Bei Verstößen gegen die DSGVO können Geldbußen verhängt werden, die bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes des Unternehmens betragen können, je nachdem, welcher Wert höher ist.
• Untersagungen: Die Aufsichtsbehörde kann die weitere Verarbeitung personenbezogener Daten untersagen, wenn ein Unternehmen gegen die DSGVO verstößt.
• Schadenersatzansprüche: Personen, deren Datenschutzrechte verletzt wurden, können Schadenersatzansprüche gegen das Unternehmen geltend machen, das den Verstoß begangen hat.
• Strafrechtliche Sanktionen: In besonders schweren Fällen kann auch ein Strafverfahren eingeleitet werden, das zu Geld- oder Freiheitsstrafen führen kann.

Es ist wichtig zu beachten, dass die DSGVO eine strenge Regulierung des Datenschutzes vorsieht und Verstöße daher ernsthaft geahndet werden können. Unternehmen sollten daher sicherstellen, dass sie die Anforderungen der DSGVO einhalten, um Verstöße und damit verbundene Strafen zu vermeiden.

Ein Datenschutzmanagementsystem (DSMS) oder ein Datenschutzkonzept ist ein Rahmenwerk, das Unternehmen und Organisationen bei der Entwicklung, Implementierung und Aufrechterhaltung von Datenschutzmaßnahmen unterstützt. Ein DSMS oder ein Datenschutzkonzept kann dazu beitragen, Datenschutzrisiken zu minimieren und die Einhaltung der Datenschutzgesetze sicherzustellen.

Ein DSMS oder ein Datenschutzkonzept hat folgende Vorteile:

• Erfüllung gesetzlicher Anforderungen: Ein DSMS oder ein Datenschutzkonzept ist eine Möglichkeit für Unternehmen, ihre Verpflichtungen gemäß der Datenschutz-Grundverordnung (DSGVO) und anderen Datenschutzgesetzen zu erfüllen.
• Minimierung von Datenschutzrisiken: Durch die Implementierung eines DSMS oder eines Datenschutzkonzepts können Unternehmen ihre Datenschutzrisiken identifizieren und geeignete Maßnahmen ergreifen, um diese Risiken zu minimieren.
• Schaffung von Vertrauen: Durch die Implementierung eines DSMS oder eines Datenschutzkonzepts können Unternehmen das Vertrauen ihrer Kunden, Geschäftspartner und anderer Stakeholder stärken, da sie zeigen, dass sie sich um den Schutz personenbezogener Daten bemühen.
• Effektive Zusammenarbeit: Ein DSMS oder ein Datenschutzkonzept kann dazu beitragen, dass das Unternehmen und seine Mitarbeiter effektiver und effizienter zusammenarbeiten, um Datenschutzmaßnahmen umzusetzen und Datenschutzverletzungen zu vermeiden.
• Risikobasierte Planung: Durch die Implementierung eines DSMS oder eines Datenschutzkonzepts können Unternehmen ihre Datenschutzmaßnahmen auf der Grundlage einer Risikoanalyse planen und umsetzen. Dadurch können sie ihre Ressourcen gezielter einsetzen und ihre Datenschutzmaßnahmen optimieren.

Insgesamt kann die Implementierung eines DSMS oder eines Datenschutzkonzepts dazu beitragen, die Datenschutzpraktiken eines Unternehmens zu verbessern, Datenschutzrisiken zu minimieren und das Vertrauen der Kunden und anderer Stakeholder zu stärken.

Ein Verfahrensverzeichnis ist ein zentrales Dokument im Rahmen des Datenschutzmanagements in Unternehmen oder Organisationen. Es enthält eine Übersicht über alle Verfahren und Prozesse, bei denen personenbezogene Daten verarbeitet werden.

Das Verfahrensverzeichnis muss alle Verarbeitungstätigkeiten aufführen, die im Unternehmen oder der Organisation durchgeführt werden, wie z.B. die Verarbeitung von Kundendaten, Mitarbeiterdaten oder Lieferantendaten. Es muss Angaben darüber enthalten, wer für die Verarbeitung verantwortlich ist, welche Daten verarbeitet werden, zu welchem Zweck und auf welcher Rechtsgrundlage die Verarbeitung erfolgt, wer auf die Daten zugreifen kann und wie lange die Daten gespeichert werden.

Das Verfahrensverzeichnis ist ein wichtiges Instrument zur Erfüllung der Informationspflichten nach Art. 30 der Datenschutz-Grundverordnung (DSGVO). Unternehmen und Organisationen müssen das Verfahrensverzeichnis jederzeit auf Anfrage der Aufsichtsbehörde vorlegen können. Es dient auch als Grundlage für die Durchführung von Datenschutz-Folgenabschätzungen.

Insgesamt ist das Verfahrensverzeichnis ein wesentlicher Bestandteil des Datenschutzmanagements und trägt dazu bei, dass Unternehmen und Organisationen einen Überblick über ihre Verarbeitungstätigkeiten haben und datenschutzrechtliche Anforderungen erfüllen können.

Die Auftragsverarbeitung bezeichnet die Situation, in der ein Unternehmen oder eine Organisation die Verarbeitung personenbezogener Daten an einen Auftragsverarbeiter (auch Auftragnehmer genannt) auslagert. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten im Auftrag des Auftraggebers und ist dabei an dessen Weisungen gebunden.

Die Auftragsverarbeitung ist in der Datenschutz-Grundverordnung (DSGVO) geregelt und betrifft alle Fälle, in denen ein Auftraggeber personenbezogene Daten an einen Dritten weitergibt, der diese Daten in seinem Namen und nach seinen Vorgaben verarbeitet. Typische Beispiele für die Auftragsverarbeitung sind:

• Ein Unternehmen beauftragt einen externen IT-Dienstleister mit der Wartung und Pflege seiner IT-Systeme, einschließlich der Verarbeitung von personenbezogenen Daten im Rahmen dieser Dienstleistungen.
• Ein Unternehmen outsourct seine Lohnabrechnung an einen externen Dienstleister, der im Auftrag des Unternehmens personenbezogene Daten von Mitarbeitern verarbeitet.
• Ein Krankenhaus gibt die Patientendaten an ein externes Labor weiter, das im Auftrag des Krankenhauses Laboruntersuchungen durchführt.
• Ein Versicherungsunternehmen beauftragt einen externen Sachverständigen mit der Schadensbegutachtung und -regulierung, wobei personenbezogene Daten von Kunden verarbeitet werden.
• Ein Unternehmen beauftragt einen Call-Center zur Ansprache von Kunden.

Bei der Auftragsverarbeitung bleibt der Auftraggeber weiterhin für den Schutz der personenbezogenen Daten verantwortlich und muss sicherstellen, dass der Auftragsverarbeiter die Datenschutzvorschriften einhält. Hierzu schließt der Auftraggeber mit dem Auftragsverarbeiter einen Vertrag zur Auftragsverarbeitung ab, der die datenschutzrechtlichen Anforderungen regelt. Der Vertrag muss unter anderem Angaben über den Zweck und die Art der Verarbeitung, die Art der personenbezogenen Daten, die betroffenen Personen und die Dauer der Verarbeitung enthalten.

Insgesamt bietet die Auftragsverarbeitung eine Möglichkeit für Unternehmen und Organisationen, bestimmte Aufgaben an spezialisierte Dienstleister auszulagern, während sie gleichzeitig sicherstellen, dass die personenbezogenen Daten angemessen geschützt werden.

Nicht jede Verarbeitung personenbezogener Daten durch Dritte qualifiziert als Auftragsverarbeitung. Wenn der Dritte die personenbezogenen Daten für eigene Zwecke und unter eigenem Namen verarbeitet, handelt es sich nicht um eine Auftragsverarbeitung, sondern um eine eigenständige Verantwortlichkeit für den Datenschutz. Einige Beispiele dafür sind:

• Eine Marketingagentur, die personenbezogene Daten für eigene Zwecke sammelt und verarbeitet, um Kampagnen für ihre Kunden durchzuführen.
• Ein Unternehmen, das personenbezogene Daten von Mitarbeitern oder Kunden an eine Tochtergesellschaft oder ein verbundenes Unternehmen weitergibt, um sie für eigene Zwecke zu verarbeiten.
• Ein Online-Shop, der personenbezogene Daten von Kunden an einen Zahlungsabwickler weitergibt, der die Daten für eigene Zwecke verarbeitet.
• Die Verarbeitung von Lohndaten durch einen Steuerberater.

In diesen Fällen muss der Dritte als eigener Verantwortlicher für den Datenschutz agieren und alle gesetzlichen Anforderungen erfüllen. Der Datenschutzvertrag zur Auftragsverarbeitung ist in diesen Fällen nicht geeignet und es müssen andere rechtliche Grundlagen für die Datenübermittlung gefunden werden, wie zum Beispiel die Einwilligung der betroffenen Personen oder die Erfüllung eines Vertrags.

Eine Datenschutzerklärung ist eine schriftliche Erklärung, die Informationen darüber enthält, wie eine Organisation personenbezogene Daten verarbeitet und schützt. Eine Datenschutzerklärung muss transparent und leicht verständlich sein, damit betroffene Personen wissen, welche personenbezogenen Daten gesammelt, wie sie verwendet und geschützt werden. Eine Datenschutzerklärung ist insbesondere bei Online-Diensten und Webseiten erforderlich, bei denen personenbezogene Daten von Nutzern erfasst werden.

In der Datenschutzerklärung sollten folgende Informationen enthalten sein:

• Welche personenbezogenen Daten werden gesammelt (z.B. Name, Adresse, E-Mail-Adresse, IP-Adresse usw.)?
• Wie werden die personenbezogenen Daten verwendet (z.B. für die Verarbeitung von Bestellungen, für die Kundenbetreuung, für Werbezwecke usw.)?
• Wer hat Zugriff auf die personenbezogenen Daten (z.B. Mitarbeiter, Drittanbieter, Auftragsverarbeiter usw.)?
• Wie werden die personenbezogenen Daten geschützt (z.B. durch technische und organisatorische Maßnahmen)?
• Wie lange werden die personenbezogenen Daten aufbewahrt?
• Welche Rechte haben betroffene Personen in Bezug auf ihre personenbezogenen Daten (z.B. Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung usw.)?

Eine Datenschutzerklärung ist in vielen Ländern gesetzlich vorgeschrieben, insbesondere seit der Einführung der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union.