Datenschutz - Datenschutz bleckmannITS

Der Weg zur Umsetzung der DSGVO

Bei der Umsetzung der DSGVO sollten Sie folgende Punkte berücksichtigen:

Auftragsverarbeitungsverträge - (Art. 4 Nr. 8 DSGVO), (Art. 28 DSGVO)
Die Informationen zur Datenverarbeitung - (Art. 13 DSGVO)
Das Verzeichnis von Verarbeitungstätigkeiten - (Art. 30 DSGVO)
Technische und organisatorische Maßnahmen (TOMs) - (Art. 32 DSGVO)
Vertraulichkeitsverpflichtung - (Art. 24 Abs. 1 DSGVO), (Art. 5 DSGVO), (Art. 28 DSGVO), (Art. 32 DSGVO)
Datenschutz durch Technikgestaltung und Voreinstellung - (Art. 25 DSGVO)
Datenschutzfolgenabschätzung - (Art. 35 DSGVO)
Melde- und Benachrichtigungspflichten - (Art. 4 Nr. 12 DSGVO), (Art. 33 DSGVO), (Art. 34 DSGVO)
Datenschutzmanagementhandbuch - (Art. 5 Abs. 2 DSGVO), (Art. 58 DSGVO)

DSGVO - BDSG(neu)

Seit dem 25.05.2018 gilt die Europäische Datenschutz Grundverordnung (EU-DSGVO) und das Bundesdatenschutzgesetz (BDSG (neu)). Die umfangreichen Pflichten betreffen alle Betriebe, ob großes, international tätiges Unternehmen oder kleine Handwerksbetriebe. Auch Einzelunternehmer und Vereine müssen sich an die Vorgaben der DSGVO und das BDSG (neu) halten.

Der Datenschutzbeauftragte

Die Pflicht zur Benennung eines Datenschutzbeauftragte ergibt sich aus Art. 37 (DSGVO) und §38 BDSG(neu). Nach Art. 37 Abs. 1 lit. b) und lit. c) DSGVO muß ein Datenschutzbeauftragter benannt werden, wenn

Art. 37 Abs. 1 lit. b) DSGVO
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

Art. 37 Abs. 1 lit. c) DSGVO
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

und zusätzlich macht das BDSG(neu) im §38 noch folgende Ergänzungen

...benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen,

oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Interner oder Externer Datenschutzbeauftragter

Ist es sinnvoller einen externen DSB zu benennen oder kann ein bestehender Mitarbeiter die Rolle des Datenschutzbeauftragten übernehmen? In den meisten KMU wird die Lösung mit einem externen DSB effektiver und kostengünstiger sein, und auch die Benennung eines internen DSB bringt eine Reihe an Komplikationen mit sich, die einem auf den ersten Blick nicht gleich ersichtlich sind.

Ein DSB, intern wie extern, benötigt umfangreiche rechtliche und technische Fachkunde im Bereich des Datenschutzes und der Datensicherheit. Ebenso muss er regelmäßig an Schulungen und Weiterbildungen teilnehmen. Interne DSB müssen in Teilzeit freigestellt werden, um Ihrer Aufgabe nachzukommen, und sind eventuell auch schwerer kündbar (Die DSGVO sieht im Gegensatz zum § 38 Abs. 2 BDSGneu i.V.m § 6 Abs. 4 BDSGneu keinen besonderen Kündigungsschutz des DSB vor. Dieses wird sicherlich noch durch die Rechtsprechung geklärt werden). Auch bei der Auswahl des internen DSB muss beachtet werden, dass weder Mitglieder der Geschäftsführung noch Arbeitnehmer mit hoher Verantwortung in Bezug auf personenbezogene Datenverarbeitung, wie IT-Leiter oder Leiter der Personalabteilung benannt werden dürfen. Es darf kein Interessenkonflikt entstehen bei der Auswahl des DSB, sprich ein Datenschutzbeauftragter darf sich nicht selbst kontrollieren.

Einerlei ob intern oder extern. Konformität mit der Datenschutzgrundverordnung wird nicht allein durch die Benennung eines DSB erreicht. Die Geschäftsführung und die Mitarbeiter müssen die Datenschutzvorgaben auch Umsetzen. Dann kann man den Datenschutz im Unternehmen als vertrauens- und verkaufsfördernde Werbung einsetzen.

Die Informationen auf meinen Internetseiten stellen in keinem Fall eine Rechtsberatung dar!