Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.

 

 

! Die DSGVO ist eine CHANCE !

 

Sie gibt uns die Möglichkeit, Prozesse zu digitalisieren, Strukturen neu zu ordnen und das Business zukunftssicher aufzustellen.

 

Datenschutz ist ein relevantes Qualitätsmerkmal des Unternehmens beim Kunden!

 

 

Geschäftsführer müssen sich im eigenen und haftungsrechtlichen Interesse dem Thema Datenschutz annehmen. Eindeutig ist, dass die Leitung des Unternehmens die Verantwortung für die Umsetzung der DSGVO trägt. Sie ist nicht auf den Datenschutzbeauftragten delegierbar. Die Aufgabe des DSB besteht im Wesentlichen in der Überwachung der datenschutzrechtlichen Prozesse und der Beratung.

 

EU-Datenschutz-Grundverordnung

 

Im Dezember 2015 erfolgte die europäische Einigung auf eine EU-Datenschutz-Grundverordnung (EU-DSGVO). Diese wird zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen.

Das Bundesdatenschutzgesetz (BDSG) wurde als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Diese neue Fassung des BDSG trat am 25. Mai 2018 mit der EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Durch sie werden Bürgern, Konsumenten und Internetnutzern umfassende Rechte an ihren eigenen Daten eingeräumt.

Die Datenschutz-Grundverordnung statuiert neben altbekannten Pflichten auch neue Anforderungen im Bereich Datenschutz. Beispiel: Es kann u.U. die Pflicht zur Datenschutz-Folgenabschätzung bestehen.

 

Was sind personenbezogene Daten?

 

Name, Anschrift, Geburtsdatum, E-Mailadresse, Arbeitgeber (z.B. Kontaktdaten eines Aussendienstmitarbeiters) und Bankverbindung sind personenbezogene Daten, die von den meisten Unternehmen tagtäglich verarbeitet werden.

Auch die Erfassung von ethnischer Herkunft, Religion, privater Interessen, Hobbies etc. zählen dazu.
Dies gilt auch in Bezug auf den Datenschutz von Beschäftigten.

 

Was kann ein Unternehmer jetzt tun?

 

Ob ihr Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, können Sie bei ihrem zuständigen Landesbeauftragten für Datenschutz und Informationsfreiheit prüfen lassen.

Das BDSG verpflichtet alle öffentlichen und nicht-öffentlichen Stellen (Unternehmen und Vereine), die personenbezogene Daten verarbeiten, zur Bestellung eines Datenschutzbeauftragten, wenn sie:

  • bei der automatisierten Datenverarbeitung ständig mindestens 10 Personen oder
  • bei der Erhebung, Verarbeitung oder Nutzung auf andere Weise mindestens 20 Personen beschäftigen.

Dabei ist es unerheblich, ob es sich dabei um interne oder externe personenbezogene Daten handelt und mit welchem Zeitanteil die Personen beschäftigt sind (Vollzeit, Teilzeit, Aushilfe, Fremdfirmen und deren Mitarbeiter). Entscheidend ist die Gesamtanzahl der Personen.

Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen haben nicht-öffentliche Stellen einen Beauftragten für den Datenschutz zu bestellen, wenn sie Daten verarbeiten, die besondere Risiken für das Persönlichkeitsrecht der Betroffenen aufweisen.

Grundsätzlich empfiehlt es sich, unabhängig von einer etwaigen Bestellpflicht, einen betrieblichen oder externen Datenschutzbeauftragten zu bestellen, um so die Umsetzung der Datenschutz-Grundverordnung in ihrem Unternehmen auf die effektivste Weise voran zu treiben. Diese Empfehlung spricht auch die Artikel 29 Gruppe aus.

 

Interner oder externer Datenschutzbeauftragter?

 

Vorrangig muss beim internen DSB ein Interessenskonflikt ausgeschlossen werden.

In einschlägigen Kommentaren zum BDSG werden folgende Positionen, bedingt durch deren leitende Funktion im Unternehmen, von der Bestellung zum Datenschutzbeauftragten ausgeschlossen:

  • Inhaber, Vorstand, Geschäftsführer
  • Leiter der IT, Personalleiter, Vertriebsleiter.

Es ist auch bei anderen Positionen zu prüfen, ob ein Interessenskonflikt entstehen und die Ausübung der Funktion des DSB beeinträchtigt sein könnte.

Beispiel: Es ist es nicht unbedingt zielführend, einen Personalsachbearbeiter zum Datenschutzbeauftragten zu bestellen, wenn der Konflikt mit dem Vorgesetzten, also dem Personalleiter, vorprogrammiert ist und der Sachbearbeiter seine Aufgabe als DSB aus Angst vor eventuellen Repressalien nicht ausüben wird oder nicht ausüben kann.

Der DSB darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.

Bei der Bestellung eines externen Datenschutzbeauftragten (eDSB) ist ein Interessenskonflikt weitgehendst  ausgeschlossen.

Des Weiteren bleibt ihnen die Kapazität ihrer Mitarbeiter vollumfänglich erhalten.

 

Die Aufgaben des DSB im Wesentlichen

 

Art. 39 DSGVO normiert die vom Datenschutzbeauftragten wahrzunehmenden Aufgaben, wie folgt:

  • Unterrichtung und Beratung des Verantwortlichen und/oder des Auftragsverarbeiters sowie der Beschäftigten
  • Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften
  • Schulungen
  • Zusammenarbeit mit der Aufsichtsbehörde.

Der Verantwortliche oder der Auftragsverarbeiter haben sicherzustellen, dass der Datenschutzbeauftragte frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

Sie haben ihn zu unterstützen und ihm die erforderlichen Ressourcen zur Verfügung zu stellen. Der Datenschutzbeauftragte ist weisungsfrei und berichtet unmittelbar der jeweiligen Leitungsebene. Der DSB ist zur Geheimhaltung verpflichtet (Art. 38 DSGVO).

Grundsätzlich bleibt für die Einhaltung der datenschutzrechtlichen Vorschriften das Unternehmen (der Verantwortliche) selbst verantwortlich!

Der Datenschutzbeauftragte hat keine Entscheidungsbefugnis, sondern berät das Unternehmen im Rahmen seiner Aufgaben nach Art. 39 DSGVO.

 

Umgang mit Beschäftigtendaten / Mitarbeiterdatenschutz

 

Die in der DSGVO festgelegten Datenschutzgrundsätze: Rechtmäßigkeit der Datenverarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datensparsamkeit, Richtigkeit, Integrität und Vertraulichkeit personenbezogener Daten sowie die Rechenschaftspflicht müssen vom Arbeitgeber und dessen verbundene Unternehmen, aber auch von dem Betriebsrat oder anderen Betriebsverfassungsorganen, die personenbezogene Daten von Beschäftigten verarbeiten, beachtet werden.

Nicht zu vergessen: Was wird bei einer Bewerbung alles erfasst, wo gespeichert und für wen zugänglich gemacht? Archivierung der Unterlagen von Bewerbern und den dazugehörigen Fragebögen. Aber auch Themen, wie die Regelung und Überwachung von Internet- bzw. E-Mail-Nutzung im Betrieb gehören dazu.

Bsp.: In Fällen erfolgloser Bewerbung sind die angelegten Akten oder Datenbanken nach spätestens sechs Monaten zu vernichten bzw. zu löschen.

 

Speicherung von Kundendaten

 

Es wird eine Vielzahl von Kundendaten erfasst, meist mit branchenüblicher Software. Zulässig sind dabei prinzipiell nur die für die Erstellung der späteren Rechnung erforderlichen Wirtschaftsdaten. Dazu gehören, ohne die Einwilligung der Betroffenen, definitiv keine Angaben zu Hobbys, Vorlieben, Alter, Geschlecht, Familienstand o.ä. – auch wenn moderne Computerprogramme die Erfassung dieser Daten vorsehen.

 

Nutzung von Kundendaten zu Werbezwecken

 

Diese Informationen können eine gute Ausgangsbasis für gezielte Einladungen zu Events oder die Werbung für neue Dienstleistungen und Angebote sein. Doch genau das ist streng untersagt. Es sei denn, der Kunde hat ausdrücklich zugestimmt (vorzugsweise schriftlich) und freiwillig eventuelle Zusatzinformationen angegeben.

Diese Zustimmung kann vom Kunden jederzeit widerrufen werden!

 

Löschpflicht von persönlichen Kundendaten

 

Ein Kunde darf jederzeit Auskunft vom Unternehmen zu Umfang, Herkunft, Zweck, Dauer und Art der Speicherung seiner persönlichen Daten verlangen. Auf sein Begehren hin sind die entsprechenden Daten nachweislich zu löschen, sofern keine gesetzliche Speicherpflicht besteht.

Zu beachten ist zudem die generelle Pflicht für alle Unternehmen, zur Löschung von personenbezogenen Daten, sofern der Speichergrund entfallen ist.

In der Praxis bedeutet dies, neben der Entsorgung von alten Archivakten, auch die Löschung der elektronischen Daten. Beispiel: 10 Jahre nach Rechnungslegung, Löschung in der Buchhaltung und im Archivsystem.

 

Einsatz von Fremd-Dienstleistern

 

Akten-Entsorger, Lieferanten, Reinigungs- und Sicherheitsdienste sind gängige Vertragspartner in den meisten Unternehmen. Ist jedem Unternehmen klar, dass hier besondere Pflichten, aus Datenschutzsicht, bereits vor Vertragsabschluss bestehen?

Hintergrund ist der tatsächliche oder theoretisch mögliche Zugriff auf personenbezogene Daten im Betrieb, durch Beschäftigte der Fremdunternehmen. Beispiel: Die Reinigungskraft könnte vertrauliche, personenbezogene Daten, offen liegend, auf dem Schreibtisch vorfinden. Möglicherweise ist der Zugriff auf Gehaltsabrechnungen nicht gesichert etc.

Der Datenschutzbeauftragte koordiniert/überwacht zudem die datenschutzrechtlichen Belange zwischen EDV-Support, Webseiten Hosting, Lieferanten, Steuerberater etc. – allen Unternehmen, die mit den persönlichen Daten ihrer Kunden und ihrer Mitarbeiter betraut werden.

Daher muss durch den Datenschutzbeauftragten vorab geprüft werden, ob der Dienstleister seinerseits im Unternehmen die Datenschutzvorgaben erfüllt und auch seine Beschäftigten auf das Datengeheimnis verpflichtet hat.

Zusätzlich ist es gemäß § 11 des Bundesdatenschutzgesetzes auch unumgänglich, genau definierte inhaltliche Vorgaben in den Dienstleistungsvertrag aufzunehmen.

Sollten z.B. Werbeanschreiben oder Telefonmarketing durch Hersteller, Callcenter oder andere Fremdfirmen, mit den Kundendaten ihres Unternehmens durchgeführt werden, bleibt die Verantwortung für die korrekte (d.h. erlaubte) Kundendatennutzung allein bei ihnen.

Dieser Tatsache sind sich viele Unternehmer nicht bewusst.

 

Fazit

 

Die Arbeit eines Datenschutzbeauftragten ist, über die aufgeführten Beispielthemen hinaus, weit vielfältiger und sollte als ein ständiger Prozess mit immer neuen Herausforderungen und Optimierungen begriffen werden.

Der Datenschutzbeauftragte selbst, verpflichtet sich, dass er die erforderliche Fachkunde und Zuverlässigkeit besitzt. Unsere Fachkunde wurde vom TÜV SÜD zertifiziert.

 

Bei einer Vielzahl von Prozessen werden Daten von Kunden und Beschäftigten verarbeitet, wie bereits erwähnt. Ein Datenschutzbeauftragter hilft dabei, Verarbeitungsvorgänge datenschutzkonform aufzusetzen und dadurch Bußgelder zu vermeiden. Ein Verstoß gegen die gesetzlichen Regeln ist, neben den rechtlichen Belangen, deutlich teurer, als die planmäßige Arbeit des DSB und die Einhaltung seiner Empfehlungen, durch den Verantwortlchen und alle Beschäftigten im Unternehmen.

 

Grundlage: EU-DSGVO

 

Cookie-Regelung

Diese Website verwendet Cookies, zum Speichern von Informationen auf Ihrem Computer.

Stimmen Sie dem zu?