Datenschutz

Datenschutz

Laut BDSG benötigen Unternehmen, bei denen mehr als 9 (neun) Angestellte personenbezogene Daten elektronisch verarbeiten, einen Datenschutzbeauftragten. Dieser kann wahlweise intern oder extern bestellt werden. Seit 2009 ist der Geschäftsführer der Spider Network Consulting GmbH zertifizierter Dantenschutzbeauftragter.

Hier haben wir Ihnen einige Informationen zu diesem Thema zusammengestellt.

  • Welche Aufgaben übernimmt der Datenschutzbeauftragte?

    Der Datenschutzbeauftragte hat eine ganze Reihe von Aufgaben, die in einem Unternehmen anfallen um die Datenschutzkonfirmität einzuhalten. Grob zusammengefasst wären das

    • die Erstellung und das Vorhalten des öffentlichen und des internen Verfahrensverzeichnisses,
       
    • die Aktualisierung der Verfahrensverzeichnisse, wenn sich die eingesetzten Verfahren ändern,
       
    • die Überwachung der technischen und organisatorischen Maßnahmen,
       
    • die Beratung zu datenschutzrelevanten Themen, wie Überwachungsmaßnahmen und Vertragsgestaltungen,
       
    • die Schulung und Verpflichtung von Mitarbeitern zum korrekten Umgang mit Daten, zur Beachtung des Datengeheimnises,
       
    • die Durchführung von Vorabkontrollen, sofern besondere Arten personenbezogener Daten verarbeitet werden,
       
    • und die Wahrung von Auskunftsrechten Dritter / Betroffener.
  • Der Datenschutzbeauftrage eines Unternehmens darf entweder intern oder extern bestellt werden. Die folgende Tabelle soll Ihnen helfen, die Vor- und Nachteile der jeweiligen Art der Bestellung zu verstehen:


    externer DSB
    interner DSB
    keine Weiterbildungskosten des DSB
    Die Aus- und Weiterbildung des internen DSB ist von der verantwortlichen Stelle (dem Unternehmen) zu tragen. §4f Abs. 3 Satz 7 BDSG
      
    Yesno Yes
    Yesno Yes
    keine Bindung von Arbeitszeit
    Der interne DSB ist für die Wahrnehmung seiner Tätigkeit von seiner eigentlichen Arbeit freizustellen. Auch eventuelle Fortbildungen zählen zur Arbeitszeit.
      
    Yesno Yes
    Yesno Yes
    kein Kündigungsschutz während der Bestellung zum DSB
    Der interne DSB besitzt einen weitreichenden Kündigungsschutz. Verträge mit externen DSB sind hingegen regelmäßig kündbar. §4f Abs. 3 Satz 5 BDSG
      
    Yesno Yes
    Yesno Yes
    keine Interessenskonflikte
    Der interne DSB ist direkt der Leitung der verantwortlichen Stelle unterstellt. Nur Personen denen man Durchsetzungsvermögen gegenüber der Unternehmensleitung zutrauen kann, können daher zum DSB bestellt werden, Auszubildende und Aushilfen werden regelmäßig nicht anerkannt. Abteilungsleiter sind wiederum nicht bestellbar, da diese sich ggf. selbst prüfen müssten. §4f Abs. 3 Satz 1 und 2 BDSG
      
    Yesno Yes
    Yesno Yes
    Fachwissen zum Thema IT und BDSG vorhanden
    Der DSB muss fachliches Wissen aus den Bereichen IT und BDSG besitzen, da er beide Themen überwachen und einschätzen muss. §4f Abs. 2 Satz 1 BDSG
      
    Yesno Yes
    Yesno Yes
    Klare Kostenübersicht, keine versteckten Kosten
    Der externe DSB wird vertraglich bestellt. Die Kosten der Bestellung und die Kosten für die Tätigkeit des DSB sind darin geregelt. Dem internen DSB sind hingegen notwendige Mittel, wie Fachliteratur, Arbeitsmaterialien, Räumlichkeiten und ggf. sogar Hilfskräfte zu stellen. §4f Abs. 5 Satz 1
    Yesno Yes
    Yesno Yes


  • Der grobe Ablauf / Erstellung eines Datenschutzkonzeptes:

    1. Begonnen wird mit einer Ist-Aufnahme der bestehenden Situation und der eingesetzten Verfahren.

    2. Es wird überprüft, ob die angewendeten Verfahren den Datenschutzgesetzen genügen.

    3. Ggf. folgt anschliessend ein Vergleich der schutzwürdigen Interessen um die Zulässigkeit des Verfahrens zu prüfen.

    4. Es werden Möglichkeiten und Vorschläge erarbeitet, um bestehende Mängel abzustellen.

    5. Das Ergebnis der oben genannten Punkte wird dokumentiert und mit dem Kunden besprochen.


    Wichtig ist: Die Ist-Aufnahme muss immer an erster Stelle stehen, denn ein korrektes und vernünftiges Datenschutzkonzept muss zum Unternehmen passen. Ein solches Konzept kann nicht entstehen, wenn dem Datenschutzbeauftragten die Abläufe im Unternehmen unbekannt sind.

  • Neben der Schulung zum DSB sind zur Aufrechterhaltung der Zertifizierung regelmäßige Fortbildungen, z.B. bei Gesetzesänderungen, notwendig.

    • 20090122 - datenschutz zertifikat
    • 20090406 - dsb fortbildung offenbach
    • 20091113 - dsb fortbildung telko
    • 20121116 - DSB Fortbildung - NewMedia
    • 20140508 - DSB Fortbildung Fulda
    • 20140718 - DSB Fortbildung Dsseldorf
    • DSB_20170220_Zertifikat_AGDS_PRW_Web
  • Finden überhaupt Kontrollen statt?

    Die Landesdatenschutzbehörden (in NRW Innenministerium, bzw. Landesbeauftragte für Datenschutz und Informationsfreiheit) verfügen grundsätzlich über wenig Personal, jedoch steigt die Zahl der Prüfer und der Prüfungen. Alleine in NRW wurden 40 neue Stellen geschaffen.
    Prüfungen werden zukünftig wahrscheinlich häufiger passieren, auch ohne konkreten Anlass, wie das beigefügte Schreiben zeigt:
    • 2010_Anschreiben_LDSB_NRW_Seite_1
    • 2010_Anschreiben_LDSB_NRW_Seite_2
    • 2010_Anschreiben_LDSB_NRW_Seite_3

    Wann brauche ich einen DSB?

    Wenn Sie mehr als 9 Personen personenbezogene Daten elektronisch verarbeiten, oder wenn mehr als 19 Personen mit der herkömmlichen Verarbeitung (Papier, Karteikasten) beschäftigt sind, oder wenn besondere Arten personenbezogener Daten laut § 3 IX BDSG verarbeitet werden.

    Was sind personenbezogene Daten?

    Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener). Dazu zählen zum Beispiel: Adresse, Kontoverbindung, Kfz-Kennzeichen, IP-Adresse, usw...

    Was sind besondere Arten personenbezogener Daten?

    Besondere Arten personenbezogener Daten sind dem Wortlaut des BDSG nach: „Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben“.

    Wer kann DSB werden?

    Das Gesetz verlangt von vom Datenschutzbeauftragten die erforderliche Fachkunde und Zuverlässigkeit. Gerade an seine Fachkunde werden hohe Anforderungen gestellt! Das Landgericht Ulm stellt u.a zur Fachkunde fest:
    Er muss die Vorschriften der Datenschutzgesetze des Bundes und der Länder und alle anderen den Datenschutz betreffenden Rechtsvorschriften anwenden können. Er ist Computerexperte. Er hat Organisationstalent. Er muss zuverlässig sein und darf nicht im Konflikt mit anderen Tätigkeiten im Betrieb stehen.
    Daher schließen sich folgende Gruppen aus: Geschäftführung, Verwandtschaft, Personalleiter, EDV Leiter, externe IT Systembetreuer/Dienstleister.

    Was passiert bei Verstößen gegen das BDSG?

    In §43 BDSG sind die Bußgeldvorschriften geregelt, sie können bei Fehlen der Dokumentationen und/oder des Datenschutzbeauftragten bis zu 25.000,- EUR und bei vorsätzlichem oder fahrlässigem Verstoß bis zu 250.000,- EUR betragen. Bei vorsätzlicher Handlung kann laut § 44 auch eine Freiheitsstrafe bis zu 2 Jahren festgelegt werden.

    Gilt das BDSG auch für Firmen kleiner 10 Personen?

    Ja, Sie müssen die internen und das öffentliche Verfahrensverzeichnis erstellen und Maßnahmen beschreiben, wie der Datenschutz gem. Anlage zu §9 BDSG sichergestellt wird. Weiterhin muss die Geschäftsführung die Aufgaben des Datenschutzbeauftragten anderweitig sicherstellen.

    Was prüfen die Behörden?

    In der Regel werden folgende Sachverhalte überprüft:
    • Ist ein Datenschutzbeauftragter vorhanden (§4 BDSG)?
    • Werden die Grundregeln der Auftragsdatenverarbeitung beachtet (§9 BDSG)?
    • Sind die vorgeschriebenen Verfahrensverzeichnisse vorhanden (§4g Abs. 2 BDSG)?
    • Hat der Datenschutzbeauftragte die entsprechende Fachkunde und Zuverlässigkeit (§4f BDSG)?
    • Sind die wichtigen organisatorischen und technische Maßnahmen beschrieben und werden diese beachtet (§9 BDSG)?
    • Ist die Verpflichtung auf das Datengeheimnis richtig erfolgt (§5 BDSG)?
    • Ist die Internetpräsenz datenschutzkonform (Unterrichtung über Datenschutz, Verwendung von Cookies, Veröffentlichung personenbezogener Daten, ...)?

Hintergrund: §4f BDSG - Beauftragter für den Datenschutz

§4f BDSG - Beauftragter für den Datenschutz

  1. Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.
  2. Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen. Öffentliche Stellen können mit Zustimmung ihrer Aufsichtsbehörde einen Bediensteten aus einer anderen öffentlichen Stelle zum Beauftragten für den Datenschutz bestellen.
  3. Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden. Die Bestellung zum Beauftragten für den Datenschutz kann in entsprechender Anwendung von § 626 des Bürgerlichen Gesetzbuches, bei nicht-öffentlichen Stellen auch auf Verlangen der Aufsichtsbehörde, widerrufen werden. Ist nach Absatz 1 ein Beauftragter für den Datenschutz zu bestellen, so ist die Kündigung des Arbeitsverhältnisses unzulässig, es sei denn, dass Tatsachen vorliegen, welche die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach der Abberufung als Beauftragter für den Datenschutz ist die Kündigung innerhalb eines Jahres nach der Beendigung der Bestellung unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.
  4. Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
    (4a) Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot.
  5. Die öffentlichen und nicht-öffentlichen Stellen haben den Beauftragten für den Datenschutz bei der Erfüllung seiner Aufgaben zu unterstützen und ihm insbesondere, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist, Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen. Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.

Hintergrund: §3 Abs. 9 BDSG - Besondere Arten personenbezogener Daten

§3 Abs. 9 BDSG - Besondere Arten personenbezogener Daten

(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Quelle der Gesetzestexte: Bundesministerium der Justiz, Stand: 04.06.2011