Datenschutz-ABC

Die wichtigsten Fragen und Antworten

Im Internet gibt es viel rund um das Thema Datenschutz zu lesen. Und es gibt viele selbsternannte Experten, die gerne mit Fachbegriffen um sich schmeißen. Daher haben wir es uns zur Aufgabe gemacht, Sie bereits hier über wichtigste Punkte aufzuklären. Aber lesen Sie selbst!

EU-Datenschutz Grundverordnung

Allgemeines

Datenschutz-Verletzungen

Datenschutzbeauftragter

Wer ist betroffen?

Es sind nur Apotheken, Makler, Steuerberater, Anwaltskanzleien oder Arztpraxen betroffen? Das ist ein Irrtum. Die DSGVO gilt für jede Person oder Organisation, die personenbezogene Daten automatisiert (PC, Notebook, Handy, Videokamera) oder nicht automatisiert in einer strukturierten Ablage (zum Beispiel Papier-Karteikartensystem) verarbeitet oder weitergibt. Es ist jedes Unternehmen – unabhängig von der Größe und Branche – betroffen. Die Vorschriften sind von einem Einzelunternehmer genauso einzuhalten wie von einem Konzern.

Wer ist verantwortlich?

Nach Artikel 4 Abs. 7 ist der Verantwortliche die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche ist insoweit zum Beispiel der Vorstand, der Geschäftsführer oder die Unternehmensleitung. Dieser ist für die Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO verantwortlich. Insoweit hat er die Rechtmäßigkeit der von ihm verantworteten Verarbeitungen personenbezogener Daten zu gewährleisten. Bestehen hinsichtlich einer bestimmten Verarbeitung mehrere Verantwortliche („gemeinsam Verantwortliche“), sind die Bestimmungen des Art. 26 DSGVO zu beachten.

Wer haftet?

Die Haftung auf Schadenersatz nach Artikel 82 DSGVO trifft den Verantwortlichen und nicht den Datenschutzbeauftragten. Ein denkbarer Ansatzpunkt für die eventuelle Haftung des Datenschutzbeauftragten kann in der möglichen Falschberatung oder dem nicht ordnungsgemäßen Ausüben der Überwachungsaufgabe des Datenschutzbeauftragten liegen.

Was ändert sich?
Erweiterte Informationspflichten
Recht auf Datenübertragbarkeit
Erweiterte Dokumentations- und Nachweispflichten
Risikoorientierter Datenschutz
Datenschutzfolgenabschätzung
Privacy by Design (Datenschutz durch Technikgestaltung)
Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellung)
Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
Höhere Bußgelder
Erweiterte Haftung für Verantwortliche und Auftragsverarbeiter (Dienstleister)

Was das alles ist, können Sie unter „Allgemeines“ nachlesen.

Was sind personenbezogene Daten?
Personenbezogene Daten sind zum Beispiel:
● Vertragsdaten
● Abrechnungs- / Leistungsdaten
● Bankdaten
● Mitarbeiterdaten (Gehalt, Beurteilungen)
● Videoaufzeichnungen
● Gesundheitsdaten beziehungsweise Rezeptdaten

Aber ebenso Daten, mit denen eine Person identifiziert werden kann, wie:
● Telefonnummer
● Kundennummer
● Mitarbeiternummer
● E-Mail-Adresse
● IP-Nummer
● Versicherungsnummer

Erweiterte Informationspflichten
Die Kunden, Mandanten und Patienten sind zu informieren, ob und wie ihre Daten vom Unternehmen verarbeitet werden. Die Information hat nach Artikel 12 DSGVO in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu erfolgen.
Recht auf Datenübertragbarkeit
Die neue Regelung soll dem Einzelnen einen Anspruch bieten, seine personenbezogenen Daten von einer verantwortlichen Stelle (Unternehmen) auf die andere zu übertragen. Der Gesetzgeber hatte wohl den Schutz des freien Verkehrs personenbezogener Daten und der besseren Kontrolle über die eigenen Daten vor Augen. Die betroffene Person soll nach Artikel 20 DSGVO seine Daten – wenn erwünscht – in einem „strukturierten, gängigen und maschinenlesbaren Format erhalten“.
Erweiterte Dokumentations- und Nachweispflichten
In Art. 5 Abs. 2 DSGVO ist vorgeschrieben, dass das Unternehmen die Einhaltung der Datenschutzgrundsätze nachweisen können muss. Mit Art. 24 Abs. 1 DSGVO wurde die Nachweisverpflichtung auf die gesamte DSGVO-konforme Datenverarbeitung ausgeweitet. Die erforderlichen Maßnahmen sind zu überprüfen und zu kontrollieren. Bei zukünftigen Streitfällen wird die Nachweisverpflichtung zur Beweislastumkehr führen. Das heißt: Der verantwortliche Unternehmer hat nachzuweisen, dass die datenschutzrechtlichen Regeln eingehalten wurden.
Risikoorientierter Datenschutz
An mehreren Stellen der DSGVO werden Maßnahmen in Abhängigkeit zu den Risiken, die eine Datenverarbeitung für die betroffenen Personen haben kann, gefordert. Insoweit und aufgrund der gestiegenen Bußgeldrisiken sollte ein Datenschutz-Management-System in den Unternehmen eingeführt werden.
Datenschutzfolgenabschätzung
Eine Datenschutzfolgenabschätzung ist durchzuführen, wenn eine Datenverarbeitung voraussichtlich zu hohen Risiken für die betroffenen Personen führt. Indizien hierfür sind zum Beispiel: neue Technologien, große Datenmengen, besonders sensible Daten, wie beispielweise Gesundheitsdaten, Profiling, öffentliche Überwachung durch Videoanlagen. Zusätzlich ist eine von den Datenschutzaufsichtsbehörden veröffentlichte Liste mit relevanten Verarbeitungstätigkeiten zu berücksichtigen. Die eventuell erforderliche Datenschutzfolgenabschätzung hat folgendes zu enthalten:

1. Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
2. Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung
3. Risikobewertung
4. Geplante Maßnahmen zur Risikoreduzierung
5. Bei hohem Restrisiko ist die Datenschutzaufsichtsbehörde zu konsultieren

Privacy by Design (Datenschutz durch Technikgestaltung)
Der Datenschutz ist zu jedem Zeitpunkt zu gewährleisten. Die entsprechenden technischen und organisatorischen Schutzmaßnahmen sind bereits bei der Entwicklung von Produkten und IT-Anwendungen zu berücksichtigen.
Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellung)
Ziel ist es, die personenbezogene Daten durch Voreinstellungen beziehungsweise Werkseinstellungen automatisch zu schützen, ohne, dass der Betroffene aktiv entsprechende Einstellungen vornehmen muss. Es ist insbesondere der Grundsatz der Datensparsamkeit zu berücksichtigen.
Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
Nach Art. 4 Nr. 12 liegt eine Datenschutzverletzung vor, wenn der Sachverhalt unter anderem zur Vernichtung, zum Verlust oder zur Veränderung, oder zur unbefugten Weitergabe von personenbezogenen Daten führt. Das verantwortliche Unternehmen hat die Datenschutzverletzung unverzüglich und möglichst binnen 72 Stunden der Aufsichtsbehörde zu melden.
Bußgelder
Der Bußgeldrahmen hat sich mit bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes erhöht. Die DSGVO enthält Kriterien zur Bußgeldbemessung. Hieran sollten sich die Unternehmen bei der Umsetzung der datenschutzrechtlichen Anforderungen orientieren.
Erweiterte Haftung für Verantwortliche und Auftragsverarbeiter (Dienstleister)
Die DSGVO sieht in Artikel 82 deutlich weitergehende Schadenersatzansprüche vor, inklusive Nennung sowohl materieller als auch immaterieller Schäden. Insgesamt entsteht durch die DSGVO ein erheblicher Mehraufwand für die Unternehmen, da neue Prozesse und Dokumentationen erforderlich sind.

… und die unangenehmen Folgen für Ihr Unternehmen
Verstößt Ihr Unternehmen gegen den Datenschutz, so kann dies zu empfindlichen Bußgeldern führen. Die möglichen Gründe dafür sind vielfältig: Vielleicht haben Sie keinen Datenschutzbeauftragten bestellt oder können die Einhaltung des Datenschutzes nicht nachweisen?

Unangenehme Folgen sind schnell da, wenn…
● die komplizierten gesetzlichen Datenschutzanforderungen nicht eingehalten werden
● die Kunden nicht ausreichend über die Datenverarbeitung informiert werden
● Unberechtigte auf die Daten zugreifen beziehungsweise die Daten sehen
● keine ordnungsgemäße Datenlöschung beziehungsweise Aktenentsorgung erfolgt
● keine ausreichende Verschlüsselung eingesetzt wird
● das Unternehmen nicht die Einhaltung der DSGVO nachweisen kann

Die Folgen sind:
● Bußgelder
● Schadenersatzansprüche, auch für immaterielle Schäden der Betroffenen (erhebliche Summen, Durchgriffshaftung auf das Privatvermögen)
● Imageschäden für das Unternehmen (Auswirkungen auf Jahre hinaus)
● Freiheitsstrafen

Wer darf Datenschutzbeauftragter werden?
Der Datenschutzbeauftragte hat nach Artikel 39 DSGVO folgende Voraussetzungen zu erfüllen:

● berufliche Qualifikation
● Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
● die Fähigkeit zur Erfüllung der Aufgaben nach Artikel 39 DSGVO.

Nach Ansicht der LDI NRW sollte der Datenschutzbeauftragte darüber hinaus ein solides Fachwissen bezüglich IT-Systemen und IT-Sicherheitsmaßnahmen verfügen. Das erforderliche Niveau richtet sich insbesondere nach dem erforderlichen Schutz für die personenbezogenen Daten, die das Unternehmen verarbeitet. Das heißt: Je komplexer die Datenverarbeitungen sind oder je größer die Menge sensibler Daten ist, desto höhere Anforderungen sind an den Datenschutzbeauftragten zu stellen.

Was macht ein Datenschutzbeauftragter?
Der Datenschutzbeauftragte hat mindestens die Aufgaben nach Artikel 39 DSGVO. Dazu zählen:

● Unterrichtung und Beratung des Verantwortlichen (oder des Auftragsverarbeiters) und der Beschäftigten, die Verarbeitungen durchführen hinsichtlich ihrer Pflichten nach der DSGVO sowie sonstigen Datenschutzvorschriften;
● Überwachung der Einhaltung der DSGVO beziehungsweise anderer Datenschutzvorschriften, sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten, einschließlich der Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
● Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO;
● Zusammenarbeit mit der Aufsichtsbehörde;
● Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO;
● Ansprechpartner für Betroffene in allen Fragen zur Verarbeitung ihrer personenbezogenen Daten

Brauche ich einen Datenschutzbeauftragten, wenn ich weniger als 20 Mitarbeiter habe?
Die Voraussetzungen, wann ein Datenschutzbeauftragter zu benennen ist, sind sowohl in der DSGVO als auch im neuen Bundesdatenschutzgesetz geregelt. Insoweit ist grundsätzlich ein Datenschutzbeauftragter zu benennen, wenn

● mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Die Zahl der Köpfe und nicht der Stellen ist entscheidend. Teilzeitkräfte werden „voll“ mit berücksichtigt.
● eine Datenschutzfolgenabschätzung nach Artikel 35 DSGVO vorgenommen werden muss
● personenbezogene Daten für die Markt- oder Meinungsforschung verarbeitet werden
● die Kerntätigkeit in der Verarbeitung von besonderen Datenkategorien (zum Beispiel Gesundheitsdaten) liegt; zum Beispiel Hörgeräteakustiker und Optiker
● die Kerntätigkeit des Verantwortlichen (zum Beispiel Unternehmen) oder Auftragsverarbeiters (Dienstleister) in der Durchführung von umfangreichen, regelmäßigen und systematischen Überwachung von Personen liegt (zum Beispiel Überwachungsfirmen, Auskunfteien)

In den vier letztgenannten Fällen ist unabhängig von der Anzahl der Beschäftigten ein Datenschutzbeauftragter zu benennen. Aber auch ohne Pflicht zur Benennung eines Datenschutzbeauftragten begrüßt die Datenschutzaufsichtsbehörde NRW die freiwillige Benennung. Schließlich sind die Datenschutzanforderungen unabhängig von der Anzahl der Beschäftigten umzusetzen. Ohne Datenschutzbeauftragten fehlt es den Unternehmen häufig an der erforderlichen fachlichen Unterstützung.

Wie wird die Einhaltung der Datenschutzvorgaben kontrolliert?
Die Datenschutzaufsichtsbehörden haben zusätzliches Personal eingestellt. Aber auch die betroffenen Personen (Kunden, Mandanten, Patienten, Mitarbeiter und so weiter) werden aufgrund der DSGVO konkreter über die Datenverarbeitungen informiert. Zu den Informationspflichten gehört auch die Angabe eines Beschwerderechts bei der Datenschutzaufsichtsbehörde. Unzufriedene Kunden und Mitarbeiter werden erfahrungsgemäß von dieser Beschwerdemöglichkeit Gebrauch machen. Die Datenschutzaufsichtsbehörden gehen jeder Beschwerde nach und werden insoweit die Unternehmen kontrollieren. Die Anzahl der Beschwerden steigen seit 2018 kontinuierlich.
Wer muss einen Datenschutzbeauftragten haben?
Die Voraussetzungen, wann ein Datenschutzbeauftragter zwingend erforderlich ist, sind sowohl in der Datenschutzgrundverordnung als im neuen Bundesdatenschutzgesetz geregelt. Insoweit ist grundsätzlich ein Datenschutzbeauftragter zu benennen, wenn

● mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Die Zahl der Köpfe und nicht der Stellen ist entscheidend. Teilzeitkräfte werden „voll“ mit berücksichtigt.
● eine Datenschutzfolgenabschätzung nach Artikel 35 DSGVO vorgenommen werden muss.
● personenbezogene Daten für die Markt- oder Meinungsforschung verarbeitet werden.
● die Kerntätigkeit in der Verarbeitung von besonderen Datenkategorien (zum Beispiel Gesundheitsdaten) liegt, das gilt beispielsweise für Hörgeräteakustiker und Optiker.
● die Kerntätigkeit des Verantwortlichen (zum Beispiel Unternehmen) oder Auftragsverarbeiters (Dienstleister) in der Durchführung von umfangreichen, regelmäßigen und systematischen Überwachung von Personen liegt, beispielsweise Überwachungsfirmen und Auskunfteien.

In den vier letztgenannten Fällen ist unabhängig von der Anzahl der Beschäftigten ein Datenschutzbeauftragter zu benennen. Aber auch ohne Pflicht zur Benennung eines Datenschutzbeauftragten begrüßt die Datenschutzaufsichtsbehörde NRW die freiwillige Benennung. Schließlich sind die Datenschutzanforderungen von allen Unternehmen unabhängig von der Anzahl der Beschäftigten umzusetzen. Ohne Datenschutzbeauftragten fehlt es den Unternehmen häufig an der erforderlichen fachlichen Unterstützung.

Wer ernennt den Datenschutzbeauftragten?
Nach Artikel 37 DSGVO benennt der Verantwortliche (Unternehmen, Kanzlei, Apotheke oder ähnliche) und der Auftragsverarbeiter (Dienstleister) den Datenschutzbeauftragten, wenn dies erforderlich ist. Siehe hierzu: Wer muss einen Datenschutzbeauftragten haben?
Was kostet ein externer Datenschutzbeauftragter?
Die Kosten sind nicht in einem Satz oder mit einer konkreten Zahl zu beantworten und hängen von verschiedenen Faktoren ab, wie zum Beispiel:

● Größe des Unternehmens
● Ist das Unternehmen national oder international aufgestellt?
● Branche des Unternehmens
● Sensibilität der Daten

In den meisten Fällen ist die Benennung eines externen Datenschutzbeauftragten günstiger als einen bestehenden Mitarbeiter zum Datenschutzbeauftragten zu benennen. Hierzu ein Rechenbeispiel:

Eine Beauftragung von DATApro wird günstiger sein. In einem Erstgespräch können wir gerne die Kosten für Ihr Unternehmen ermitteln.

Wo muss ich einen Datenschutzbeauftragten melden?
In Artikel 37, Absatz 7 ist geregelt, dass der Verantwortliche (Unternehmen, Kanzlei, Apotheke oder ähnliche) oder der Auftragsverarbeiter (Dienstleister) die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und diese Daten der Aufsichtsbehörde mitteilt. Für Unternehmen in NRW ist der Datenschutzbeauftragte bei der LDI NRW in Düsseldorf zu melden. Hierfür ist das Meldeportal der LDI unter https://www.ldi.nrw.de/mainmenu_Aktuelles/Formulare-und-Meldungen/Inhalt2/Kontaktdaten/Meldeportal-fuer-Kontaktdaten.html zu nutzen.
Darf ein Datenschutzbeauftragter zusätzlich andere Aufgaben haben?
Der Datenschutzbeauftragte kann auch andere Aufgaben und Pflichten wahrnehmen (Art. 38 Absatz 6 Satz 1 DSGVO). Es liegt im Verantwortungsbereich des Unternehmens, dass derartige zusätzliche Aufgaben und Pflichten nicht zu einem Interessenkonflikt nach Art. 38 Absatz 6 Satz 2 DSGVO führen. Beispiele für Tätigkeitsfelder, die zu einem Interessenkonflikt führen können, sind:

 

  • Leitung eines Unternehmens
  • Leitung der IT-Abteilung
  • Leitung der Personalabteilung
Datenschutz
DATApro, Inhaber: Helmut Häck (Firmensitz: Deutschland), würde gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Datenschutz
DATApro, Inhaber: Helmut Häck (Firmensitz: Deutschland), würde gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl: