Umsetzung der Datenschutzgrundverordnung

Datenschutz (k)ein notwendiges Übel?!?

Die EU-Datenschutzgrundverordnung(DSGVO) oder GDPR genannt wurde am am 25.05.18 „scharf“ geschaltet. Verstöße sollen mit Bußgeldern belegt werden die auch abschrecken.

Datenschutz geht uns alle an, privat wie auch geschäftlich. Selbst das 1-Personen-Unternehmen muss die Bestimmungen der DSGVO einhalten, wie auch der Großkonzern. Sonst drohen empfindliche Bußgelder, je nach Unternehmensgröße bis zu 20.000.000 € oder 4 % des weltweiten Jahresumsatzes.

Die Benennung eines Datenschutzbeauftragten ist nach der neuen Regelung bereits ab mehr als neun Mitarbeitern Pflicht, wenn diese regelmäßig personenbezogenen Daten verarbeiten. Manche Aufsichtsbehörden sehen schon das vorhanden sein von mehr als neun persönlich zuordenbaren E-Mail-Adressen als Grund für eine Benennung.

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer Person z. B. Vorname & Nachname von Ansprechpartnern, Mitarbeitern, Geschäftspartnern, IP-Adressen, KFZ-Kennzeichen, Konto-Nummern, Telefonnummern, E-Mail-Adressen.

Der Datenschutzbeauftragte muss nach der neuen Regelung, spätestens ab Mai 2018, der zuständigen Aufsichtsbehörde gemeldet werden. Hierdurch hat die Aufsichtsbehörde es sehr einfach, herauszufinden, wer seiner Meldungs- bzw. Benennungspflicht noch nicht nachgekommen ist. Eine fehlende Benennung des Datenschutzbeauftragten ist bußgeldbewehrt und kann bis zu 50.000 € kosten. Die Datenschutzbehörden finanzieren sich übrigens über ihre Bußgelder selbst. Die bayrische Datenschutzaufsicht in Ansbach ist eine der aktivsten in Deutschland. Der Tätigkeitsbericht kann auf ihrer Webseite heruntergeladen werden.

Bei der Bestellung eines Datenschutzbeauftragten müssen mehrere Bedingungen berücksichtigt werden. Er muss die erforderliche datenschutzrechtliche Fachkunde und Kenntnisse auf dem Gebiet der Datenverarbeitung und Informationstechnik besitzen. Zudem wird eine erforderliche Zuverlässigkeit und eine sorgfältige und gründliche Arbeitsweise, Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit vorausgesetzt.

Ungeeignet per Verordnung für die Benennung zum Datenschutzbeauftragten sind Inhaber, Vorstände, Geschäftsführer und sonstige gesetzlich oder verfassungsmäßig berufene Vertreter des Unternehmens, auch Personen die Aufgaben des IT-Leiters und des Personalleiters sowie Aufgaben in Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung personenbezogener Daten

innehaben. Der vorhandene externe IT-Dienstleister scheidet aufgrund von Interessenkonflikten auch aus. Auch Rechtsanwälte können Interessenskonflikten unterliegen, wenn sie bereits das Unternehmen in anderen Fragen anwaltlich vertreten. Aus Gründen von Interessenkollisionen sind auch Benennungen von engen Verwandten zu vermeiden. Wird einer der vorgenannten Personen benannt, gilt die Benennung als unwirksam.

Bei ordentlicher Benennung gibt es zwei Möglichkeiten, intern oder extern. Der externe Datenschutzbeauftragte ist meist schneller und qualifizierter, kann auf bestehende Unterlagen zurückgreifen, kostengünstiger und unterliegt nicht dem Sonderkündigungsrecht wie der interne Beauftragte. Allerdings muss sich der externe zu Anfang erst in die Unternehmensabläufe eindenken. Da der Datenschutzbeauftragte direkt der Geschäftsleitung unterstellt wird, besteht bei einem externen auch keine Gefahr mögliche Missgunst innerhalb der Belegschaft aufkommen zu lassen. Der externe Beauftragte stößt oft auf eine bessere Akzeptanz beim Betriebsrat. Der externe DS-Beauftragte kann unter Umständen auch für Fehler haftbar gemacht werden.

Nur mit der Benennung ist es allerdings nicht getan, die neuen Regelungen müssen auch im Unternehmen umgesetzt werden. Das ist ein Aufgabengebiet des Datenschutzbeauftragten, er hat auf die Einhaltung der Regelungen der Datenschutzgesetze und Verordnungen hinzuwirken. Zu seinen Aufgaben zählen z. B. formelle Aufgaben, Prozessoptimierung, Dokumentierung von Verfahren, Prüfungen von technisch- und organisatorischen Maßnahmen, Schulung von Mitarbeitern, Beratung und Mitwirkungspflicht, Überwachungsaufgaben u.v.m.

Eine der wichtigsten Aufgaben ist allerdings die Auskunft gegenüber Betroffenen, deren Rechte wurden mit der DSGVO ausgeweitet. Eine betroffene Person kann nun auch vom Unternehmen verlangen, dass die Daten zu einem anderen Unternehmen in einem maschinenlesbaren Format transferiert werden, weil er die Kundenbeziehung nicht mehr aufrechterhalten möchte. Auch der Kontakt mit Aufsichtsbehörden läuft über den Datenschutzbeauftragten.

Das Thema Datenschutz sollte im Unternehmen fest verankert sein und kann gegenüber Mitbewerbern ein Wettbewerbsvorteil bedeuten. Zudem bewirkt gelebter Datenschutz auch mehr Datensicherheit, weil beide Bereiche einander überschneiden und ergänzen. Diese bekommen im Zuge der Digitalisierung einen immer höheren Stellenwert.

EU-Verordnung

Am 25. Mai 2018 wurde die EU-Datenschutz-Grundverordnung (EU-DSGVO) 2016/679 unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union. Ziel der Verordnung ist ein gleichwertiges Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in allen Mitgliedstaaten.

Das Datenschutz-Anpassungs- und Umsetzungsgesetz EU, im folgenden BDSG neu, wird angewendet auf öffentliche Stellen sowie natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts, im Gesetz nichtöffentliche Stellen genannt (§ 1 BDSG neu). Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Expertenwissen direkt verfügbar

Die Sartoris GmbH & Co. KG bietet Ihnen Expertenwissen aus dem Bereich Datenschutz & Datensicherheit. Unsere Mischung aus technischem, betriebswirtschaftlichen und juristischem Know-how fließt zu Ihrem Vorteil in unsere Projekte und Unternehmungen ein. Wir verfügen über Wissen, welches Ihnen langfristig Mehrwerte bietet. Diese Stärken erlauben es uns, Ihnen ein juristisches Thema praxisnah und verständlich zu vermitteln.