Datenschutz-ABC
Die wichtigsten Fragen und Antworten
Im Internet gibt es viel rund um das Thema Datenschutz zu lesen. Und es gibt viele selbsternannte Experten, die gerne mit Fachbegriffen um sich schmeißen. Daher haben wir es uns zur Aufgabe gemacht, Sie bereits hier über wichtigste Punkte aufzuklären. Aber lesen Sie selbst!

EU-Datenschutz Grundverordnung

Allgemeines

Datenschutz-Verletzungen

Datenschutzbeauftragter
Wer ist betroffen?
Es sind nur Apotheken, Makler, Steuerberater, Anwaltskanzleien oder Arztpraxen betroffen? Das ist ein Irrtum. Die DSGVO gilt für jede Person oder Organisation, die personenbezogene Daten automatisiert (PC, Notebook, Handy, Videokamera) oder nicht automatisiert in einer strukturierten Ablage (zum Beispiel Papier-Karteikartensystem) verarbeitet oder weitergibt. Es ist jedes Unternehmen – unabhängig von der Größe und Branche – betroffen. Die Vorschriften sind von einem Einzelunternehmer genauso einzuhalten wie von einem Konzern.
Wer ist verantwortlich?
Nach Artikel 4 Abs. 7 ist der Verantwortliche die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche ist insoweit zum Beispiel der Vorstand, der Geschäftsführer oder die Unternehmensleitung. Dieser ist für die Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO verantwortlich. Insoweit hat er die Rechtmäßigkeit der von ihm verantworteten Verarbeitungen personenbezogener Daten zu gewährleisten. Bestehen hinsichtlich einer bestimmten Verarbeitung mehrere Verantwortliche („gemeinsam Verantwortliche“), sind die Bestimmungen des Art. 26 DSGVO zu beachten.
Wer haftet?
Die Haftung auf Schadenersatz nach Artikel 82 DSGVO trifft den Verantwortlichen und nicht den Datenschutzbeauftragten. Ein denkbarer Ansatzpunkt für die eventuelle Haftung des Datenschutzbeauftragten kann in der möglichen Falschberatung oder dem nicht ordnungsgemäßen Ausüben der Überwachungsaufgabe des Datenschutzbeauftragten liegen.
Was ändert sich?
Recht auf Datenübertragbarkeit
Erweiterte Dokumentations- und Nachweispflichten
Risikoorientierter Datenschutz
Datenschutzfolgenabschätzung
Privacy by Design (Datenschutz durch Technikgestaltung)
Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellung)
Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
Höhere Bußgelder
Erweiterte Haftung für Verantwortliche und Auftragsverarbeiter (Dienstleister)
Was das alles ist, können Sie unter „Allgemeines“ nachlesen.
Was sind personenbezogene Daten?
● Vertragsdaten
● Abrechnungs- / Leistungsdaten
● Bankdaten
● Mitarbeiterdaten (Gehalt, Beurteilungen)
● Videoaufzeichnungen
● Gesundheitsdaten beziehungsweise Rezeptdaten
Aber ebenso Daten, mit denen eine Person identifiziert werden kann, wie:
● Telefonnummer
● Kundennummer
● Mitarbeiternummer
● E-Mail-Adresse
● IP-Nummer
● Versicherungsnummer
Erweiterte Informationspflichten
Recht auf Datenübertragbarkeit
Erweiterte Dokumentations- und Nachweispflichten
Risikoorientierter Datenschutz
Datenschutzfolgenabschätzung
1. Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
2. Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung
3. Risikobewertung
4. Geplante Maßnahmen zur Risikoreduzierung
5. Bei hohem Restrisiko ist die Datenschutzaufsichtsbehörde zu konsultieren
Privacy by Design (Datenschutz durch Technikgestaltung)
Privacy by Default (Datenschutz durch datenschutzfreundliche Voreinstellung)
Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen
Bußgelder
Erweiterte Haftung für Verantwortliche und Auftragsverarbeiter (Dienstleister)
… und die unangenehmen Folgen für Ihr Unternehmen
Verstößt Ihr Unternehmen gegen den Datenschutz, so kann dies zu empfindlichen Bußgeldern führen. Die möglichen Gründe dafür sind vielfältig: Vielleicht haben Sie keinen Datenschutzbeauftragten bestellt oder können die Einhaltung des Datenschutzes nicht nachweisen?
Unangenehme Folgen sind schnell da, wenn…
● die komplizierten gesetzlichen Datenschutzanforderungen nicht eingehalten werden
● die Kunden nicht ausreichend über die Datenverarbeitung informiert werden
● Unberechtigte auf die Daten zugreifen beziehungsweise die Daten sehen
● keine ordnungsgemäße Datenlöschung beziehungsweise Aktenentsorgung erfolgt
● keine ausreichende Verschlüsselung eingesetzt wird
● das Unternehmen nicht die Einhaltung der DSGVO nachweisen kann
Die Folgen sind:
● Bußgelder
● Schadenersatzansprüche, auch für immaterielle Schäden der Betroffenen (erhebliche Summen, Durchgriffshaftung auf das Privatvermögen)
● Imageschäden für das Unternehmen (Auswirkungen auf Jahre hinaus)
● Freiheitsstrafen
Wer darf Datenschutzbeauftragter werden?
● berufliche Qualifikation
● Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
● die Fähigkeit zur Erfüllung der Aufgaben nach Artikel 39 DSGVO.
Nach Ansicht der LDI NRW sollte der Datenschutzbeauftragte darüber hinaus ein solides Fachwissen bezüglich IT-Systemen und IT-Sicherheitsmaßnahmen verfügen. Das erforderliche Niveau richtet sich insbesondere nach dem erforderlichen Schutz für die personenbezogenen Daten, die das Unternehmen verarbeitet. Das heißt: Je komplexer die Datenverarbeitungen sind oder je größer die Menge sensibler Daten ist, desto höhere Anforderungen sind an den Datenschutzbeauftragten zu stellen.
Was macht ein Datenschutzbeauftragter?
● Unterrichtung und Beratung des Verantwortlichen (oder des Auftragsverarbeiters) und der Beschäftigten, die Verarbeitungen durchführen hinsichtlich ihrer Pflichten nach der DSGVO sowie sonstigen Datenschutzvorschriften;
● Überwachung der Einhaltung der DSGVO beziehungsweise anderer Datenschutzvorschriften, sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten, einschließlich der Sensibilisierung und Schulung der an Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
● Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO;
● Zusammenarbeit mit der Aufsichtsbehörde;
● Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO;
● Ansprechpartner für Betroffene in allen Fragen zur Verarbeitung ihrer personenbezogenen Daten
Brauche ich einen Datenschutzbeauftragten, wenn ich weniger als 20 Mitarbeiter habe?
● mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Die Zahl der Köpfe und nicht der Stellen ist entscheidend. Teilzeitkräfte werden „voll“ mit berücksichtigt.
● eine Datenschutzfolgenabschätzung nach Artikel 35 DSGVO vorgenommen werden muss
● personenbezogene Daten für die Markt- oder Meinungsforschung verarbeitet werden
● die Kerntätigkeit in der Verarbeitung von besonderen Datenkategorien (zum Beispiel Gesundheitsdaten) liegt; zum Beispiel Hörgeräteakustiker und Optiker
● die Kerntätigkeit des Verantwortlichen (zum Beispiel Unternehmen) oder Auftragsverarbeiters (Dienstleister) in der Durchführung von umfangreichen, regelmäßigen und systematischen Überwachung von Personen liegt (zum Beispiel Überwachungsfirmen, Auskunfteien)
In den vier letztgenannten Fällen ist unabhängig von der Anzahl der Beschäftigten ein Datenschutzbeauftragter zu benennen. Aber auch ohne Pflicht zur Benennung eines Datenschutzbeauftragten begrüßt die Datenschutzaufsichtsbehörde NRW die freiwillige Benennung. Schließlich sind die Datenschutzanforderungen unabhängig von der Anzahl der Beschäftigten umzusetzen. Ohne Datenschutzbeauftragten fehlt es den Unternehmen häufig an der erforderlichen fachlichen Unterstützung.
Wie wird die Einhaltung der Datenschutzvorgaben kontrolliert?
Wer muss einen Datenschutzbeauftragten haben?
● mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Die Zahl der Köpfe und nicht der Stellen ist entscheidend. Teilzeitkräfte werden „voll“ mit berücksichtigt.
● eine Datenschutzfolgenabschätzung nach Artikel 35 DSGVO vorgenommen werden muss.
● personenbezogene Daten für die Markt- oder Meinungsforschung verarbeitet werden.
● die Kerntätigkeit in der Verarbeitung von besonderen Datenkategorien (zum Beispiel Gesundheitsdaten) liegt, das gilt beispielsweise für Hörgeräteakustiker und Optiker.
● die Kerntätigkeit des Verantwortlichen (zum Beispiel Unternehmen) oder Auftragsverarbeiters (Dienstleister) in der Durchführung von umfangreichen, regelmäßigen und systematischen Überwachung von Personen liegt, beispielsweise Überwachungsfirmen und Auskunfteien.
In den vier letztgenannten Fällen ist unabhängig von der Anzahl der Beschäftigten ein Datenschutzbeauftragter zu benennen. Aber auch ohne Pflicht zur Benennung eines Datenschutzbeauftragten begrüßt die Datenschutzaufsichtsbehörde NRW die freiwillige Benennung. Schließlich sind die Datenschutzanforderungen von allen Unternehmen unabhängig von der Anzahl der Beschäftigten umzusetzen. Ohne Datenschutzbeauftragten fehlt es den Unternehmen häufig an der erforderlichen fachlichen Unterstützung.
Wer ernennt den Datenschutzbeauftragten?
Was kostet ein externer Datenschutzbeauftragter?
● Größe des Unternehmens
● Ist das Unternehmen national oder international aufgestellt?
● Branche des Unternehmens
● Sensibilität der Daten
In den meisten Fällen ist die Benennung eines externen Datenschutzbeauftragten günstiger als einen bestehenden Mitarbeiter zum Datenschutzbeauftragten zu benennen. Hierzu ein Rechenbeispiel:
Eine Beauftragung von DATApro wird günstiger sein. In einem Erstgespräch können wir gerne die Kosten für Ihr Unternehmen ermitteln.
Wo muss ich einen Datenschutzbeauftragten melden?
Darf ein Datenschutzbeauftragter zusätzlich andere Aufgaben haben?
- Leitung eines Unternehmens
- Leitung der IT-Abteilung
- Leitung der Personalabteilung