Pragmatisch & lösungsorientiert

Datenschutz schützt die Menschen davor, dass Ihre personenbezogenen Daten vor missbraucht werden und sorgt dafür, dass Menschen die Kontrolle über ihre Daten behalten.

Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen – z. B. Name, E-Mail oder IP-Adresse.

Dazu zählen sensible Daten wie Gesundheitsinformationen, religiöse Überzeugungen, politische Meinungen oder biometrische Daten.

Ein externer Datenschutzbeauftragter berät das Unternehmen, überwacht die Einhaltung der DSGVO und unterstützt bei der Dokumentation und Kommunikation mit Behörden.

TOM steht für „technische und organisatorische Maßnahmen“ sichern personenbezogene Daten gegen unbefugten Zugriff, Verlust oder Manipulation. Beispiele für technische Maßnahmen: Verschlüsselung von Daten (z. B. TLS, AES), Passwortschutz und Zwei-Faktor-Authentifizierung, Firewalls und Virenschutz Beispiele für organisatorische Maßnahmen: Schulungen für Mitarbeitende zum Datenschutz, Richtlinien für den sicheren Umgang mit Daten, Löschkonzepte und Aufbewahrungsfristen

Es drohen Bußgelder von bis zu 10 Mio. € oder 2 % des Jahresumsatzes sowie Reputationsschäden und Vertrauensverlust. Das ist der kleinere Bußgeldrahmen. Der größere Bußgeldrahmen droht Bußgelder von bis zu 20 Mio. € oder 4 % des Jahresumsatzes.

Ein Auftragsverarbeitungsvertrag (AVV) regelt die datenschutzkonforme Zusammenarbeit zwischen Verantwortlichen und Auftragsverarbeitern.

Ein berechtigtes Interesse ist ein rechtlicher Grund für die Datenverarbeitung, wenn es die Interessen der betroffenen Person nicht überwiegt. Es braucht hierfür eine schriftliche Abwägung und Begründung.

Betroffenenrechte sind die Rechte von Personen auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch.

Ein Datenschutzbeauftragter ist erforderlich, wenn z. B. regelmäßig mindestens 20 Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind, bei der Verarbeitung besonderer Kategorien personenbezogener Daten, wenn die Kerntätigkeit die umfangreiche, regelmäßige und systematische Überwachung von Personen ist, aufgrund spezieller Gesetze oder wenn hohe Risiken für Rechte und Freiheiten der Betroffenen durch die Datenverarbeitung entstehen.

Ein externer Datenschutzbeauftragter ist eine außenstehende Person, die kein Mitarbeiter des Unternehmens ist und mit dem Datenschutzmanagement sowie der Überwachung der Einhaltung datenschutzrechtlicher Vorschriften innerhalb einer Firma beauftragt wird.

Die Aufgaben eines Datenschutzbeauftragten sind in Art. 39 DSGVO definiert und umfassen die folgenden vier Aspekte:

• Unterrichtung und Beratung der Verantwortlichen und deren Beschäftigten hinsichtlich einer datenschutzkonformen Verarbeitung unter Berücksichtigung der DSGVO
• Überwachung der Einhaltung der DSGVO einschließlich der Sensibilisierung und Schulung von Mitarbeitenden im Umgang mit personenbezogenen Daten
• Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO sowie die Überwachung der ordnungsgemäßen Umsetzung
• Zusammenarbeit mit Aufsichtsbehörden; insbesondere als Anlaufstelle bei Fragen zu Verarbeitungs-Vorgängen fungieren

Die Notwendigkeit zur Benennung eines Datenschutzbeauftragten ergibt sich aus Art. 37 Abs. 1 DSGVO und § 38 BDSG (neu). Demnach benötigt ein Unternehmen einen Datenschutzbeauftragten, wenn:

• mehr als 20 Personen im Unternehmen regelmäßig personenbezogene Daten verarbeiten
• personenbezogene Daten verarbeitet werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen
• personenbezogene Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden
• das Unternehmen einer Behörde oder öffentlichen Stelle angehört
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund Ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen
• Daten besonderer Kategorien gemäß Art. 9 DSGVO oder personenbezogene Daten über strafrechtliche Verurteilungen bzw. Straftaten gemäß Art. 10 DSGVO verarbeitet werden

Art. 37 DSGVO gibt folgendes vor:

„Der Datenschutzbeauftragte wird auf Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“

Die Grundvoraussetzung zur Erfüllung der Aufgaben eines Datenschutzbeauftragten ist eine ausreichende, nachweisbare Fachkunde (gemäß §40 Abs. 6 BDSG (neu) und Artikel 37 Abs. 5 DSGVO). Der erforderliche Umfang hängt davon ab wie hoch das jeweilige Datenschutz-Niveau des Unternehmens ist, für das der Datenschutzbeauftragte tätig werden soll.

Ein gewisses Grundwissen zum Thema Datenschutz und IT sollte in jedem Fall vorhanden sein. Des Weiteren ist eine Qualifizierung in Form einer Schulung sinnvoll. Diese wird von verschiedenen Institutionen (bspw. TÜV, IHK, …) als Zertifikats-Lehrgang angeboten.

Ein Datenschutzbeauftragter sollte außerdem weitere Faktoren wie Zuverlässigkeit, Verschwiegenheit und Unabhängigkeit aufweisen. Es ist wichtig, dass ein neutraler Standpunkt vertreten werden kann, weshalb sich diese Position für Geschäftsführung und Mitarbeitende in leitender Rolle (bspw. IT-Leitung) nicht eignet.

Auch sollten organisatorische Fähigkeiten vorhanden sein, da der Aufgabenbereich eines Datenschutzbeauftragten sehr vielfältig ist und gewisse Arbeitsabläufe strengstens dokumentiert werden müssen, um einer Überprüfung durch eine Aufsichtsbehörde standzuhalten.

Unabhängig davon ob Sie sich für einen externen oder internen Datenschutzbeauftragten entscheiden: Die Anforderungen sind identisch.

Einen externen Datenschutzbeauftragten zu benennen spart zumeist Zeit und auch Geld. Denn ein externer Dienstleister verfügt bereits über entsprechende fachliche Qualifikationen, die ein interner Mitarbeiter erst noch erwerben müsste.

Wir haben alle relevanten Vorteile für Sie auf einen Blick zusammengefasst:

• fachliche Qualifikationen und oftmals langjährige Erfahrung
• neutrale Sicht auf das Unternehmen und somit unparteiische Vorgehensweise
• kein Sonderkündigungsschutz
• interne Mitarbeitende können sich weiterhin auf ihren zugeteilten Aufgabenbereich konzentrieren
• alle Kosten auf einen Blick, so dass keine weiteren Schulungen oder Arbeitszeiten eingeplant werden müssen

Gemäß Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO besteht für Unternehmen eine Rechenschafts- und Nachweispflicht bezüglich der Einhaltung der Datenschutzgrundverordnung. Des Weiteren besteht die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (siehe Art. 30 DSGVO). Diese Verpflichtung besteht immer - unabhängig davon, ob ein Datenschutzbeauftragter bestellt werden muss.

Um die Verwaltung des Datenschutzmanagements zu erleichtern, empfiehlt sich die Verwendung einer Datenschutz-Software bzw. eines Datenschutz-Tools.

Diese Variante bietet den klaren Vorteil, dass Sie sämtliche Datenschutz-Dokumentationen gebündelt und somit jederzeit griffbereit haben. Besonders Prüfungen durch Aufsichtsbehörden werden so vereinfacht.

Wir empfehlen die Verwendung unseres Datenschutz-Tools, welches wir bei allen unseren Kunden im Einsatz haben. Überzeugen Sie sich von der Qualität unserer Software, indem Sie die kostenlose Testversion herunterladen.

Wir informieren unsere Kunden regelmäßig über den aktuellen Stand und dokumentieren diesen in unserem Datenschutzbericht.

Dieser bietet eine umfangreiche Übersicht aller bislang erfolgten und nicht erfolgten Maßnahmen die getroffen wurden, um den Anforderungen der DSGVO inklusive der Nachweispflichten nachzukommen.

Dieser Jahresbericht wird in einem Vor-Ort oder Onlinetermin besprochen und dokumentiert.

Ferner erhalten Sie von uns umfangreiche Vorlagen (z.B. für die Datenschutz-Pflichtinformationen und -Erklärung) sowie für unterschiedlichste Prozesse und interne Richtlinien.

Damit Sie sich bereits vorab ein Bild von unserer Arbeit machen können, haben wir in unserem Blog unseren letzten Datenschutzbericht zur Vorschau veröffentlicht.