Ihr Anwalt für Datenschutzrecht und zertifizierter Datenschutzbeauftragter
Sie wissen, dass Ihr Unternehmen zur Ernennung eines Datenschutzbeauftragten verpflichtet ist oder Sie wollen einfach sichergehen, dass alle datenschutzrechtlichen Vorschriften in Ihrem Unternehmen eingehalten werden? Dann sind Sie hier richtig! Peter Weiler ist Fachanwalt für gewerblichen Rechtsschutz und zertifizierter (TÜV) Datenschutzbeauftragter. Zusammen mit Carl Christian Müller, der Fachanwalt für Urheber-und Medienrecht, sowie ebenfalls zertifizierter (TÜV) Datenschutzbeauftragter ist, sorgt er dafür, dass alle datenschutzrechtlichen Vorschriften in Ihrem Unternehmen eingehalten werden. Im Folgenden erklären wir Ihnen, ob ihr Unternehmen einen Datenschutzbeauftragten ernennen muss, was dessen Aufgaben sind, wie Sie den passenden Datenschutzbeauftragten finden und welche Konsequenzen drohen, wenn Sie Ihren datenschutzrechtlichen Pflichten nicht nachkommen.
Erstgespräch unverbindlich und garantiert kostenfrei.
24h erreichbar
bundesweit
kostenfreie Einschätzung
Muss ich einen Datenschutzbeauftragten ernennen?
Das kommt darauf an. Werden in Ihrem Unternehmen hauptsächlich (besondere) personenbezogene Daten verarbeitet? Oder haben Sie nur ein kleines Unternehmen mit wenigen Mitarbeitern, wo die Datenverarbeitung eine routinemäßige Verwaltungsaufgabe darstellt? Sowohl die Datenschutzgrundverordnung (DSGVO) als auch das neue Bundesdatenschutzgesetz (BDSG) enthalten zwingend einzuhaltene Regeln für Unternehmen, die wir Ihnen im Folgenden vorstellen.
DSVO und BDSG
Die seit dem 25. Mai 2018 anwendbare Datenschutzgrundverordnung (DSGVO) befasst sich in Art. 37 Absatz 1 mit der Frage, wann ein Datenschutzbeauftragter bestellt werden muss und das neue Bundesdatenschutzgesetz, das eine Konkretisierung und Ergänzung zur (DSGVO) darstellt, hat Zusatzregelungen in § 38 Absatz 1 aufgestellt. Als Unternehmer müssen Sie diese Regelungen kennen und auf Ihr Unternehmen anwenden.
DSGVO-Regelung
Gemäß Artikel 37 Absatz 1 DSGVO müssen Sie als Unternehmer einen Datenschutzbeauftragten bennenen:
- Wenn die Kerntätigkeit Ihres Unternehmens in der Durchführung von Verarbeitungsvorgängen liegt, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen
oder
- Wenn die Kerntätigkeit Ihres Unternehmens in der umfangreichen Verarbeitung besonderer Daten liegt
BDSG-Regelungen
Nach § 38 Absatz 1 Satz 1 BDSG muss ein Datenschutzbeauftragter benannt werden, wenn:
- Mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
oder
- Wenn (unabhängig von der Mitarbeiterzahl) in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen
oder
- die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet
Diese Regelungen klingen unter Umständen erstmal kryptisch. Um herauszufinden, ob beispielsweise die "Kerntätigkeit" Ihres Unternehmens in der Verarbeitung "besonderer persönlicher Daten" liegt, oder ob es sich in Ihrem Fall nur um eine Nebentätigkeit oder die Verarbeitung "normaler" personenbezogener Daten handelt, sollten Sie einen Experten einschalten, der ein Datenschutzaudit durchführt.
Wie wird "Kerntätigkeit" definiert?
Wenn Ihr Unternehmen hauptsächlich personenbezogene Daten verarbeitet und die Verarbeitung nicht nur eine routinemäßige Verwaltungsaufgabe (wie beispielsweise die Verarbeitung von Mitarbeiterdaten) darstellt, handelt es sich um eine Kerntätigkeit.
Wann sind Daten "besonders" i.S.d. DSVGO?
Gemäß Artikel 9 und 10 DSGVO sind Daten besonders, wenn es sich um spezielle, sehr sensible Daten, wie beispielsweise politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung sowie Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln handelt.
Wann ist die Überwachung "umfangreich, regelmäßig und systematisch"?
Dies ist etwa der Fall, wenn die Internetaktivitäten der betroffenen Personen nachvollzogen und zur Profilbildung verwendet werden. Eine umfangreiche Verarbeitung besonderer Kategorien von Daten liegt bspw. vor, wenn die Haupttätigkeit des Unternehmens in der Verarbeitung solcher Daten besteht, aus welchen die rassische und ethnische Herkunft, politische Meinungen oder religiöse bzw. weltanschauliche Überzeugungen hervorgehen.
Wie werden "Mitarbeiter" definiert?
Mitarbeiter i.S.d. BDSG sind alle Personen, die tatsächlich auf die automatisierte Datenverarbeitung des Unternehmens zugreifen. Nicht entscheidend ist, wie häufig oder intensiv auf die Daten zugegriffen wird oder ob es sich dabei um Vollzeit- oder Teilzeitbeschäftigte handelt. Miteinzubeziehen sind auch freie Mitarbeiter oder Leiharbeitnehmer, ebenso wie Auszubildende und Praktikanten. Kurzzeitig Beschäftigte, wie beispielsweise eine Urlaubsvertretung, zählen hingegen nicht. Mitglieder der Geschäftsleitung und ehrenamtlich Tätige zählen auch als Mitarbeiter i.S.d. BDSG. Entscheidend ist, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, wie beispielsweise bei einfacher E-Mail-Kommunikation durch Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung oder Sachbearbeiter.
Was ist eine "Datenschutz-Folgenabschätzung"?
Eine Datenschutz-Folgenabschätzung wird gemäß Artikel 35 DSGVO immer dann durchgeführt, wenn Daten verarbeitet werden, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen bergen. Dieses Risiko wird in der Folgenabschätzung durch eine Analyse der Verarbeitungsvorgänge für den Schutz personenbezogener Daten eingeschätzt. Der Verantwortliche holt sich dazu Rat beim Datenschutzbeauftragten.
Unsere Empfehlung:
Selbst wenn Sie nicht gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, ist eine Ernennung trotzdem sinvoll. Informieren Sie sich auf unserer Webseite oder nutzen Sie unsere kostenlose Erstberatung, um weitere Informationen zu erhalten. Im Folgenden können Sie aber auch direkt Ihr Wunschpaket buchen.
Wählen Sie das auf Ihre Bedürfnisse zugeschnittene Paket
Basic*
150€/mtl.
- Bei geringen Anforderungen an den Datenschutz
- Geeignet für Handwerksbetriebe, Gastgewerbe und Einzelhandel
- Stellung eines externen Datenschutzbeauftragten
- Erkennen, dokumentieren und analysieren von Problemen
- Erstellung eines Maßnahmenplans
- Behebung von Problemen durch Mitarbeiterschulung (inklusive 10 Lizenzen)
Medium*
350€/mtl.
- Bei mittleren Anforderungen an den Datenschutz
- Geeignet für Werbeagenturen, Anwälte, Ärzte, Reisegewerbe, Onlineshops, kleinere IT-Unternehmen
- Stellung eines externen Datenschutzbeauftragten
- Erkennen, dokumentieren und analysieren von Problemen
- Erstellung eines Maßnahmenplans
- Behebung von Problemen durch Mitarbeiterschulung (inklusive 20 Lizenzen)
- 5 Stunden Datenschutzberatung
Professional*
ab 650€/mtl.
- Bei hohen Anforderungen an den Datenschutz
- Geeignet für Finanzunternehmen, mehrere Gesellschaften, Personaldienstleister, Internationale Unternehmen
- Stellung eines externen Datenschutzbeauftragten
- Erkennen, dokumentieren und analysieren von Problemen
- Erstellung eines Maßnahmenplans
- Behebung von Problemen durch Mitarbeiterschulung (Lizenzanzahl individuell)
- Datenschutzberatung (Stundenanzahl auf Anfrage)
- Datenschutzrechtliche Prüfung von Soft- und Hardware
- Management Datenschutzverletzung
- Erstellung eines Löschkonzepts
*Preise verstehen sich zzgl. der jeweils geltenden gesetzlichen Mehrwertsteuer.
Welche Aufgaben hat ein Datenschutzbeauftragter?
Der Datenschutzbeauftragte ist der Ansprechpartner für datenschutzrechtliche Fragen. Sowohl Sie als Verantwortlicher als auch Ihre Mitarbeiter oder Externe können sich an Ihn wenden. Er sucht nach Datenschutzverstößen, wirkt auf deren Dokumentation und Behebung hin und schult Ihre Mitarbeiter im Datenschutzrecht.
Unterstützung des Verantwortlichen
Ein Datenschutzbeauftragter unterstützt Sie als Unternehmer hauptsächlich dabei datenschutzrechtliche Anforderungen durchzusetzen. Er ist Ansprechpartner sowohl für den Arbeitgeber als auch für die Arbeitnehmer und den Betriebsrat. Er beantwortet auch die Fragen von Externen, wie Ihren Kunden oder Vertragspartnern.
Ausreichendes Datenschutzniveau herstellen, erhalten und verbessern
Zunächst wird die IST-Situation im Unternehmen erfasst, um anschließenddie SOLL-Situation herzustellen. Die Maßnahmen des Datenschutzbeauftragten orientieren sich am jeweiligen Stand der Technik und an der vorhandenen Unternehmenssituation- und struktur. Das Hinterfragen bisheriger getroffener Entscheidungen unterliegt dabei einem ständigen Optimierungsprozess. Im Laufe der Zusammenarbeit, sorgt der Datenschutzbeauftragte dafür, dass neue Datenschutzverstöße gar nicht erst begangen werden.
Zusammenarbeit mit der Aufsichtsbehörde
Der Datenschutzbeauftragte ist Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen und berät gegebenenfalls zu allen sonstigen Fragen.
Mitarbeiterschulung- und kontrolle
Bei Mitarbeiterschulungen kann der Datenschutzbeauftragte auf Fragen aus dem Arbeitsalltag Ihrer Mitarbeiter eingehen und ein Vertrauensverhältnis aufbauen, sodass die Mitarbeiter eine geringere Hemmschwelle haben auf den Datenschutzbeauftragten zuzugehen. Schulungen können allgemein gehalten werden oder bei Bedarf bereichsspezifisch ausgestaltet werden (z.B. mit Fokus im Datenschutz im Gesundheitsbereich, im Marketing oder internationaler Datenaustausch). Ihre Mitarbeiter lernen worauf Sie an Ihrem konkreten Arbeitsplatz genau achtten müssen. Haben Sie unternehmensintern gewisse Regelungen aufgestellt, wie beispielsweise ein Verbot der privateen Internet- und E-Mail Nutzung dann können Sie den Datenschutzbeauftragte in diese Kontrollen mit einbeziehen.
Übersicht und Risikoeinschätzung bei Verarbeitungstätigkeiten
Es ist wichtig einen Überblick über die verarbeiteten Informationen in den jeweiligen Fachbereichen zu haben und zu wissen, wie hoch das Risiko für die Rechte und Freiheiten von natürlichen Personen ist. Der Datenschutzbeauftragte führt eine Risikoanalyse durch und bewertet die zu treffenden Schutzmaßnahmen. Er berücksichtigt dabei die Art, den Umfang, die Umstände und die Zwecke der Datenverarbeitung.
Zur Erfüllung seiner Aufgaben führt der Datenschutzbeauftragte ein sogenanntes Datenschutzaudit durch, bei dem geprüft wird ob das Unternehmen datenschutztechnisch auf dem Neuesten Stand ist, sodass er basierend auf dieser Analyse konkrete konkrete Maßnahmen zur Erreichung der gesetzlich vorgeschriebenen Datenschutzkonformität erarbeiten kann.