Datenschutz und WhatsApp

Sind Datenschutz und WhatsApp vereinbar ?

Wenn es um den Datenschutz geht, dann wird auch oft über WhatsApp diskutiert. Viele Firmen gehen inzwischen dazu über, den Kundenkontakt auch auf WhatsApp zu pflegen. Auch berichten viele Schüler, dass Lehrer WhatsApp Gruppen mit ihren Schülern nutzen, um schulische Dinge zu klären.

Über das Thema Datenschutz scheint sich hier jedoch kaum jemand Gedanken zu machen. Obwohl ich kein Jurist bin, sehe ich  jedoch schon einige Probleme bei einem Blick in das Bundesdatenschutzgesetz (BDSG) und in die zukünftig geltende Datenschutz-Grundverordnung (DSGVO). Wie bereits bei den Datenschutz Grundlagen erläutert, handelt es sich bei Telefonnummern unzweifelhaft um personenbezogene Daten, da die Nummern einer natürlichen Person zugeordnet werden können.

Laut BDSG und zukünftig DSGVO dürfen personenbezogenen Daten grundsätzlich nur verarbeitet werden, wenn:

  • eine Rechtsgrundlage hierfür vorhanden ist (§ 4 Abs. 1 BDSG, Art. 6 Abs. 1 lit. c DSGVO)
  • die Betroffenen in die Verarbeitung eingewilligt haben(§ 4 Abs. 1 BDSG, Art. 6 Abs. 1 lit. a DSGVO)

Beide Voraussetzungen sind hier offensichtlich nicht gegeben.

Datenschutz-Göttingen-WhatsApp

WhatsApp Datenschutzprobleme

Aus den genannten Gründen könnten Probleme bei der Zulässigkeit der Verarbeitung entstehen. Ein weiteres Problem sehe ich in der Datenübertragung in die USA. Bei der Installation von WhatsApp gewährt man Zugriff auf die eigenen Kontaktdaten. Selbstverständlich ist es sehr praktisch, dass anschließend gleich alle eigenen Kontakte, welche auch bei WhatsApp aktiv sind, in der WhatsApp Übersicht erscheinen. Aber hierür ist es eben nötig, dass ALLE Kontaktdaten in die USA zum WhatsApp-Server übertragen werden.

Hier handelt es sich jedoch dummerweise um eine Datenübertragung in ein sog. Drittland (außerhalb der EU). Somit könnte ein Datenschutzverstoß gem.. Art. 45 DSGVO entstehen.

Datenschutzprobleme und die Folgen

Der Datenschutz rückt immer mehr in die Öffentlichkeit. Und es ist davon auszugehen, dass mit Inkrafttreten der DSGVO und den damit verbundenen hohen Bußgeldern noch viele spektakuläre Datenschutzprobleme öffentlich werden.

Speziell zu WhatsApp gibt es jedoch schon ein Urteil des AG Bad Hersfeld vom 15.05.2017.  Dies ist zwar nicht zu verallgemeinern, aber auch hier wird die Übertragung der Kontaktdaten in die USA als problematisch angesehen.

Hierbei sollte man auch stets daran denken, dass mit Inkrafttreten der DSGVO auch Schadenersatzansprüche gem. Art. 82 Abs. 1 DSGVO gegen den Verantwortlichen (hier der WhatsApp Nutzer) möglich sind.

Jeder WhatsApp Nutzer sollte vielleicht auch mal einen Blick in die Nutzungsbedingungen von WhatsApp werfen. Diese werden von nahezu allen Nutzern ungelesen bestätigt.

Hierin befindet sich jedoch der Passus: „…Du stellst uns regelmäßig die Telefonnummern von WhatsApp-Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können..“

Mir ist jedoch bisher niemand bekannt, der diese besagte Autorisierung erhalten hat. Man müsste demzufolge bei allen gespeicherten Kontakten um eine Erlaubnis bitten und sich diese zur Sicherheit auch noch schriftlich bestätigen lassen.

Das sind doch alles meine Freunde oder gute Bekannte werden jetzt viele denken. Aber was passiert eigentlich, wenn es mal Unstimmigkeiten zwischen den „Freunden“ gibt? Man wird die Rechtsprechung abwarten müssen, aber dem Gesetzestext nach sollte hier ein Schadenersatz möglich sein. Ein entsprechendes Verfahren wird nach Inkrafttreten der DSGVO sicherlich nicht lange auf sich warten lassen.

Fazit

Alle die WhatsApp beruflich nutzen, sollten sich Gedanken darüber machen, welche Vorteile diese Nutzung bringt und welche datenschutzrechtlichen Risiken sie hiermit eingehen. Im Hinblick auf die seit  dem 25.05.2018 geltende DSGVO und den entsprechenden Bußgeldvorschriften bei Datenschutzverstößen, werden die Risiken nicht unbeachtet bleiben können.

Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten

Mit Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) am 25.05.2018 wird das bisher bekannte Verfahrensverzeichnis gem. § 4e Bundesdatenschutzgesetz (BDSG) abgelöst durch ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 GS-GVO. Hiermit entfällt auch gleichzeitig das sog. Jedermannverzeichnis, d.h. die öffentliche, für Jedermann zur Verfügung zu stellende Version des Verfahrensverzeichnisses.

Datenschutz-Goettingen-30

Grundlage für das Datenschutzmanagement

Das Verzeichnis von Verarbeitungstätigkeiten ist eine der wichtigsten Grundlagen zum Aufbau eines wirkungsvollen Datenschutzmanagementsystems. Dies ist leicht nachvollziehbar, da eine Kenntnis aller Verarbeitungstätigkeiten die Grundlage für alles Weitere im Datenschutz ist. Man kann Datenschutz nur wirkungsvoll betreiben, wenn man die eigenen Verarbeitungen kennt.

Daher ist das Verzeichnis von Verarbeitungstätigkeiten auch immer ein guter erster Ansatzpunkt bei Prüfungen durch die zuständigen Datenschutz-Aufsichtsbehörden. Ebenfalls kann ich mir keine Möglichkeit vorstellen, wie man gem. Art. 5 Abs. 2 DS-GVO die Rechtmäßigkeit der Verarbeitung nachweisen kann, wenn ein entsprechendes Verzeichnis nicht zur Verfügung steht.

Pflicht zur Führung des Verzeichnisses

Wer ist verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen? Hier hilft ein Blick in Art. 30 Abs. 5 DS-GVO. Dort ist festgelegt, dass Unternehmen mit weniger als 250 Mitarbeitern von der Pflicht befreit sind. Aber halt, bitte nicht zu früh freuen! Es gibt auch hier wieder Ausnahmen von der Ausnahme:

Das Verzeichnis ist auch mit weniger als 250 Mitarbeitern verpflichtend, wenn:

  • die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt
  • die Verarbeitung nicht nur gelegentlich erfolgt (Achtung: auch Gehaltszahlungen erfolgen nicht nur gelegentlich!!!)
  • eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 DS-GVO erfolgt. Diese erfolgt übrigens auch, wenn Gehaltsabrechnungen durchgeführt werden, da hier auch die Religionszugehörigkeit verarbeitet wird und somit besondere Datenkategorien verarbeitet werden.
  • die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 GS-GVO erfolgt

Inhalt des Verzeichnisses

Die DS-GVO macht keine konkreten Formvorschriften für das Verzeichnis von Verarbeitungstätigkeiten. Nach altem Recht gab es teilweise spezielle Vorgaben der Aufsichtsbehörden. Von einigen Aufsichtsbehörden (z.B. Niedersachsen) gibt es einen eigenen Vordruck für ein Verfahrensverzeichnis.

Doch dies ist mit Inkrafttreten der DS-GVO Geschichte. Die DS-GVO gibt ledigleich Vorgaben für den Inhalt. Da keine entsprechenden Öffnungsklauseln vorhanden sind, können die jeweiligen EU-Staaten auch keine eigenen Vorschriften hierzu erlassen.

Folgende Inhalte müssen gem. Art. 30 Abs. 1 DS-GVO enthalten sein:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • die Zwecke der Verarbeitung
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1

Verarbeitungstätigkeiten-Datenschutz

Was ist ein Verfahren ?

In vielen Betrieben / Behörden entsteht schon ein Problem bei der Erstellung des Verzeichnisses. Hier kommt oft die Frage auf, was eigentlich als „Verfahren“ zu bezeichnen ist. Ein weit verbreitetes Mißverständnis besteht darin, dass hier einfach alle IT-Verfahren aufgelistet werden, welche im jeweiligen Betrieb / Behörde eingesetzt werden. Dies ist natürlich nicht der Sinn eines Verzeichnisses gem. Art. 30 DS-GVO.

Es sind sämtliche Verarbeitungen von personenbezogenen Daten aufzuführen. Dabei ist es unerheblich, ob die Verarbeitung maschinell erfolgt oder z.B. in Papierform. Ein paar einfache Beispiele wären:

  • Gehaltsabrechnung der Beschäftigten
  • Urlaubskartei der Beschäftigten
  • Fehlzeitenverwaltung
  • Bearbeitung von Bewerberdaten
  • Zeiterfassung
  • Videoüberwachung
  • usw.

Fazit

Wie man hier schon sieht, ist das Verzeichnis sehr detailliert zu erstellen. Der hierfür entstehende Aufwand sollte nicht unterschätzt werden, da sämtliche Verarbeitungen im Unternehmen bekannt sein müssen. Für jedes Verfahren müssen alle oben genannten Punkte gem. Art. 30 DS-GVO enthalten sein. Hier empfiehlt es sich in vielen Fällen, eine Projektgruppe mit der Sammlung und Zusammenstellung der Verarbeitungen zu beauftragen.

Ein Verstoß gegen die oben genannten Vorschriften kann gem. Art. 83 Abs. 4 DS-GVO mit einem Bußgeld von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist, geahndet werden.

Bewerberdaten nach DS-GVO

Bewerberdaten unter der DS-GVO

 

Die Suche nach geeigneten Mitarbeitern kann sich in vielen Branchen als eine schwierige Aufgabe darstellen. Umso größer ist die Freude bei vielen Unternehmen, wenn Bewerbungen in großer Anzahl eingehen und die Auswahl nach dem perfekten Bewerber beginnen kann. Doch da gibt es ja noch die DS-GVO. Was ist eigentlich alles im Umgang mit Bewerberdaten zu beachten? Die Zulässigkeit der Verarbeitung von Bewerberdaten ist schnell geklärt. Hier ist Art. 6 Abs. 1 lit.b DS-GVO i.V.m. § 26 Abs. 1 BDSG-neu als Rechtsgrundlage geeignet. Hier handelt es sich um die Durchführung vorvertraglicher Maßnahmen, d.h. ein Arbeitsvertrag soll vorbereitet werden.

 

Datenschutz Göttingen

 

Eingang der Bewerbung

 

Zunächst einmal sollte geklärt sein, wie die Bewerbungen eingehen.

  • Handelt es sich um klassische Bewerbungen, welche in Papierform das Unternehmen erreichen?
  • Existiert ein Berwerberportal?
  • Werden Bewerbungen per EMail zugesandt?

Bei Bewerberdaten handelt es sich um sehr sensible Daten, welche im Fall einer elektronischen Übermittlung (per Webportal oder EMail) unbedingt verschlüsselt übertragen werden sollten. Ein Bewerberportal muss auf jeden Fall verschlüsselt angeboten werden.

Für EMail Bewerbungen sollte eine spezielle Adresse eingerichtet werden, wie z.B. Berwerbungen@unternehmen.de.  Auch hierfür sollte eine Möglichkeit der EMail Verschlüsselung angeboten werden.

 

Bewerberdaten nach DS-GVO

 

Informationspflichten bei Bewerbungen

 

Mit dem Eingang der Bewerbung werden die Daten des Bewerbers selbstverständlich auch verarbeitet im Sinne der DS-GVO. Es handelt sich zweifelsfrei um personenbezogene Daten gem. Art. 4 Nr. 1 DS-GVO und eine Verarbeitung gem. Art. 4 Nr. 2 DS-GVO findet ebenfalls statt.

Damit finden die Informationspflichten gem. Art. 13 DS-GVO Anwendung. Dem Bewerber sind alle Informationen gem. Art. 13 DS-GVO zu übermitteln. Wie die Informationen dem Betroffenen mitzuteilen sind ist in der DS-GVO nicht geregelt. Hier sind verschiedene Methoden in der Praxis anzutreffen. Bei herkömmlichen postalischen Bewerbungen könnten die Informationen beispielsweise mit der Eingangsbestätigung versendet werden.

Bei Bewerbungen per Portal oder EMail gibt es derzeit verschiedene Vorgehensweisen. Teilweise werden Autoresponder verwendet, welche sofort nach Eingang der Bewerbungsdaten eine automatische Antwortmail mit den Angaben gem. Art. 13 DS-GVO versenden.

Eine andere Möglichkeit ist die sog. „Linklösung“, welche u.a. auch vom Rechtsanwalt und Datenschutzexperten Stephan Hansen-Oest empfohlen wird. Hierbei wird auf dem eigenen Server eine Datei mit den Datenschutzinformationen gem. Art. 13 DS-GVO hinterlegt. Diese Datei ist über das Menü der eignene Homepage nicht erreichbar, sondern nur über einen speziellen Link (z.B. www.unternehmen.de/datenschutz), welcher dem Betroffenen (hier Bewerber) mitgeteilt wird.

Dieser Link kann beispielsweise auch bereits in den Text der Stellenausschreibung mit aufgenommen werden.

Welche Variante sich letztendlich durchsetzen wird bleibt abzuwarten. Eventuell wird auch irgendwann eine Klärung durch die Rechtsprechung herbeigeführt werden.

 

Datenschutzbeauftragter Start-Ups

Löschfristen für Bewerbungen

 

In vielen Unternehmen war es gängige Praxis, dass die Bewerbungsunterlagen von abgelehnten Bewerbern nicht vernichtet bzw. gelöscht wurden, sondern für zukünftige Stellenausschreibungen aufbewahrt wurden. Dies war schon nach dem alten Bundesdatenschutzgesetz unzulässig und sollte zu Zeiten der DS-GVO auf keinen Fall weiterhin so gehandhabt werden.

Auch für Bewerberdaten gelten die Vorschriften zur Löschung von personenbezogenen Daten gem. Art. 17 DS-GVO. Demzufolge sind gem. Art. 17 Abs. 1 lit. a DS-GVO die personenbezogenen Daten zu löschen, wenn sie für die Zwecke für die sie erhoben wurden nicht mehr benötigt werden. Dies ist eindeutig der Fall, wenn das Bewerbungsverfahren abgeschlossen ist.

Hier sollte jedoch beachtet werden, dass in jedem Bewerbungsverfahren die Möglichkeit einer Klage aufgrund des Allgemeinen Gleichbehandlungsgesetz (AGG) besteht. Daher sollten die Bewerbungsunterlagen noch eine angemessene Frist aufbewahrt werden. Diese Frist sollte aber nicht länger als 6 Monate sein. Danach sollten die Unterlagen unverzüglich vernichtet werden.

Für den Fall, dass die Unterlagen länger aufbewahrt werden sollen, ist auf jeden Fall eine entsprechende Einwilligung des Betroffenen hierfür notwendig.

Ein Verstoß hiergegen kann gem. Art. 83 Abs. 5 DS-GVO geahndet werden.

 

Rechenschaftspflicht

 

Die Einhaltung dieser Vorschriften muss gem. Art. 5 Abs. 2 DS-GVO auch nachgewiesen werden können.  Somit ist es notwendig, dass auch hierfür ein Prozess definiert wird, welcher die Abläufe klar dokumentiert. Ein geeignetes Datenschutz Management System sollte hier eine sinnvolle Hilfe sein.

 

Datenschutz Mogelpackung für kleine und mittlere Unternehmen (KMU)

Datenschutz Mogelpackung für Unternehmen

 

Der Bundestag hat am 28.06.2019 ein Gesetz zur Änderung verschiedener Vorschriften beschlossen. Darunter auch die Änderung des § 38 Bundesdatenschutzgesetz (BDSG). Hier wurde die Grenze zur verpflichtenden Benennung eines Datenschutzbeauftragten (DSB) von 10 auf 20 Personen heraufgesetzt, welche mit der Verarbeitung personenbezogener Daten beschäftigt sind. Begründet wurde dies mit einer Entlastung der KMU’s.

Hier wird aber voraussichtlich das genaue Gegenteil der Fall sein. Es wurde nämlich nicht erwähnt, dass die datenschutzrechtlichen Vorschriften (DSGVO, BDSG…) selbstverständlich weiterhin für diese Unternehmen in vollem Umfang gelten und genauso wie bisher umzusetzen sind. Dies hat zur Folge, dass kein geschulter DSB mehr vorhanden ist, aber die Vorschriften vom Unternehmen trotzdem eingehalten werden müssen.

 
Datenschutz-Mogelpackung für KMU
 

Datenschutz-Aufsichtsbehörden werden verstärkt prüfen

 

Die deutschen Datenschutzaufsichtsbehörden haben sich im Vorfeld gegen diese Gesetzesänderung ausgesprochen. Daher ist davon auszugehen, dass die Prüfungen verstärkt werden, da auch hier die oben genannte Problematik gesehen wird. Es ist leider anzunehmen, dass auch die Anzahl der verhängten Bußgelder hierdurch steigen wird.

Die ersten Datenschutz-Aufsichtsbehörden haben schon eine Stellungnahme abgegeben:

Berlin:

https://www.datenschutz.de/datenschutz-anpassungsgesetz-vermeintlicher-buerokratieabbau-ist-eine-milchmaedchenrechnung/

Niedersachsen:

https://lfd.niedersachsen.de/startseite/allgemein/presseinformationen/thiel-datenschutz-nicht-weiter-aushoehlen-178251.html

 

Datenschutz Bußgelder

 

Das Haftungsrisiko steigt

 
Bei einem Bußgeldrisiko von bis zu 20 Millionen Euro wird es sich kein Unternehmen leisten können, den Datenschutz zukünftig außer Acht zu lassen. Daher müssen die eigenen Mitarbeiter in der Thematik geschult werden.

Auch die Haftung der Vorstände bzw. Geschäftsführer (siehe Aktiengesetz, GmbH-Gesetz) kann hier meiner Ansicht nach betroffen sein, wenn intern kein geeignetes Risikomanagement organisiert wird, welches das Bußgeldrisiko minimieren soll.
Der Aufwand für die Firmen wird damit steigen. Von einer Entlastung kann absolut keine Rede sein.

Selbstverständlich könnte ein Unternehmen entscheiden, dass der Datenschutz zukünftig nur noch eine untergeordnete Rolle einnehmen soll. Dies kann aber spätestens dann zu einer kostspieligen Entscheidung werden, wenn bei einer Aufsichtsbehörde eine Beschwerde eines Kunden oder Mitarbeiters vorliegt, welche eine entsprechende Prüfung nach sich zieht.

 

Fazit

 

Einige Unternehmen haben die genannten Probleme jedoch bereits erkannt und werden zukünftig auf eine freiwillige Benennung eines Datenschutzbeauftragten zurückgreifen. Dies wird bereits von vielen Unternehmen öffentlichkeitswirksam dargestellt und sich in Zukunft als Wettbewerbsvorteil herausstellen.

 

Anwendungsbereich des BDSG

Der Anwendungsbereich des BDSG

 

Das Bundesdatenschutzgesetz (BDSG) kommt oft neben der DSGVO zur Anwendung. Nämlich immer dann, wenn die DSGVO eine sog. Öffnungsklausel für den nationalen Gesetzgeber vorsieht. Das neue BDSG trat mit der DSGVO in Kraft. Das BDSG besteht aus 4 Teilen:

  • Teil 1: §§ 1 – 21
  • Teil 2: §§ 22 – 44
  • Teil 3: §§ 45 – 84
  • Teil 4: § 85

Datenschutz Informationen BDSG
 

Bei § 44 BDSG ist Schluss

 

Nun sieht man jedoch ziemlich oft, dass in Datenschutzerklärungen o.ä. auf §§ des 3.Teils (ab § 45 BDSG) verwiesen wird. Dies ist jedoch nur möglich, wenn es sich hier um eine Stelle handelt, welche für die Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten zuständig ist. Dies sind beispielsweise Gerichte, Polizei, Staatsanwaltschaften usw.

Um dies festzustellen, ist kein Jurastudium notwendig. Hier reicht es vollkommen aus, wenn man sich den Anwendungsbereich für den 3.Teil (§ 45 BDSG) durchliest oder aktuelle Fortbildungen zum Thema Datenschutz besucht.

Der 3.Teil des BDSG (§§ 45 – 84 ) ist somit nicht für Unternehmen anwendbar!

Alle §§ von 45 bis 84 können somit nicht von Unternehmen herangezogen werden. Sollte also ein „Datenschutzberater“ diese Paragraphen verwenden, wäre diesem eine aktuelle Fortbildung zu empfehlen.

 

Auskunft nach DS-GVO

Auskunftsrecht gem. Art. 15 DS-GVO

 

Das Auskunftsrecht nach Art. 15 DS-GVO gilt für jedermann und ist an keinerlei Voraussetzungen wie berechtigtes Interesse o.ä. geknüpft. Daher kann jedes Unternehmen eine derartige Anfrage jederzeit in der Post vorfinden. Viele Unternehmen haben auch schon ihre Erfahrungen hiermit gemacht. Doch was ist zu beachten, wenn ein Betroffener sein Auskunftsrecht gem. Art. 15 DS-GVO geltend macht?

Zuerst einmal sollte man bedenken, dass Personen, welche eine derartige Anfrage stellen, sich in den meisten Fällen schon mit dem Thema Datenschutz beschäftigt haben und sich daher mit der Materie auskennen. Gerade hier wäre es gefährlich eine fehlerhafte Auskunft zu erteilen, da ein solcher Fall ziemlich schnell bei der Aufsichtsbehörde landen kann und somit zusätzliche Fragen und im schlimmsten Fall ein Bußgeld nach sich zieht.

Auskunft nach Art.15 DSGVO

 

Was ist also zu beachten? In der Anfrage des Betroffenen muss nicht ausdrücklich auf Art. 15 DS-GVO Bezug genommen werden. Soweit aus der Anfrage ersichtlich ist, dass eine Auskunft über personenbezogene Daten gewünscht wird, ist diese nach den Vorgaben gem. Art. 15 DS-GVO zu erteilen. Die Frist zur Erteilung der Auskunft beträgt gem. Art. 12 Abs. 3 DS-GVO einen Monat.

Hierbei ist darauf zu achten, dass es sich beim Auskunftsanspruch um einen persönlichen Anspruch handelt. Es kann also kein Dritter (oder eine Firma für ihre Beschäftigten) einen derartigen Anspruch stellen. Dies setzt voraus, dass der Anspruchsteller auch eindeutig identifiziert werden kann. Dies kann z.B. erfolgen, indem bei schriftlichen Anfragen die Daten mit den evtl. vorhandenen Daten verglichen werden.

Der Auskunftsanspruch gem. Art. 15 DS-GVO kann als „zweistufiger“ Anspruch gesehen werden. Zum einen die Auskunft ob überhaupt personenbezogene Daten des jeweiligen Betroffenen vorhanden sind und falls dies der Fall ist, die Auskunft welche Daten vorhanden sind.

Sollten keine personenbezogenen Daten zur betroffenen Person vorhanden sein, sollte man darauf achten, dass man nicht mitteilt „wir haben keine Daten“. Denn das Problem ist, dass durch die Anfrage ja jetzt Daten vorliegen. Eine sinnvolle Antwort könnte hier lauten: „Außer den Daten, welche uns durch Ihre Anfrage jetzt vorliegen, haben wir keine personenbezogenen Daten von Ihnen gespeichert.“

Sollten jedoch große Datenmengen über die betroffene Person vorhanden sein, kann es durchaus zulässig sein, dass der Betroffene gebeten wird, die von ihm gewünschten Daten näher einzugrenzen.

DSGVO-Auskunft gem. Art.15 DSGVO

Inhalt der Auskunft

 

Folgende Daten sind von dem Auskunftsanspruch gem. Art. 15 Abs. 1 DS-GVO erfasst:

  • Die gespeicherten personenbezogenen Daten
  • die Verarbeitungszwecke
  • die Kategorien personenbezogener Daten, die verarbeitet werden (soweit nicht offensichtlich)
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Weiterhin hat der Betroffene gem. Art. 15 Abs. 2 DS-GVO das Recht darüber unterrichtet zu werden, inwieweit seine personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt wurden und die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung.

 

Wie muss die Auskunft erfolgen?

 

Der Betroffene hat gem. Art. 15 Abs. 3 DS-GVO das Recht auf eine Kopie der jeweiligen Daten. Soweit der Antrag elektronisch gestellt wurde, sind die Daten in einem gängigen elektronischen Format zur Verfügung zu stellen. Die Informationen sind gem. Art. 12 Abs. 5 DS-GVO kostenlos zur Verfügung zu stellen. Sollte der Betroffene mehr als eine Kopie verlangen, können diese gem. Art. 15 Abs. 3 Satz 2 DS-GVO jedoch in Rechnung gestellt werden.

Bei der Anfertigung der Kopie ist darauf zu achten, dass die Rechte Dritter nicht beeinträchtigt werden (Art. 15 Abs. 4 DS-GVO). Sollten hier also personenbezogene Daten Dritter enthalten sein, sind diese entsprechend unkenntlich zu machen.

 

Auskunftsanspruch nach Art 15 DSGVO

Kann eine Auskunft verweigert werden?

 

Eine Verweigerung der Auskunft ist zwar möglich, jedoch an ganz wenige Ausnahmetatbestände gebunden. Diese Ausnahmetatbestände sind in Art. 12 Abs. 5 DS-GVO genannt. Hier kommen offensichtlich unbegründete oder sich häufig wiederholende Anträge auf Auskunft in Betracht. Weitere Kriterien für eine Verweigerung der Auskunft sind in den §§ 33 und 34 BDSG aufgeführt. Die Beweislast für die Verweigerung der Auskunft trifft hier den für die Datenverarbeitung verantwortlichen (Unternehmen) und muss entsprechend dokumentiert werden.

 

Fazit

 

Ein Auskunftsersuchen gem. Art. 15 DS-GVO kann jederzeit jedes Unternehmen treffen. Die Frist zur Beantwortung einer derartigen Anfrage beträgt nur einen Monat. Daher sollte sich jedes Unternehmen im Klaren sein, wo welche Daten gespeichert sind und wie diese für eine Auskunft verfügbar gemacht werden können. Also gilt auch hier, dass ein Prozess für die Beantwortung von Anfragen im Unternehmen definiert werden sollte. Wenn dies alles klar intern geregelt ist, sollte eine derartige Anfrage kein Problem für ein Unternahmen darstellen.

 

Auftragsverarbeitung

Auftragsverarbeitung nach DS-GVO

 

Die Auftragsverarbeitung nach der DS-GVO ist im Datenschutz keine neue Erfindung. Die bisherige Vorschrift gem. § 11 BDSG ist ihnen sicherlich unter der Bezeichnung Auftragsdatenverwaltung bekannt. Die neue Bezeichnung lautet nun Auftragsverarbeitung und ist in Art. 28 DS-GVO  geregelt. Es hat sich jedoch nicht nur der Name verändert. Es gibt einige neue Regelungen in der DS-GVO zu beachten.

 

Auftragsverarbeitung-Göttingen

 

Was ist eine Auftragsverarbeitung ?

 

Es handelt sich um eine Auftragsverarbeitung, wenn personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet werden. Hierbei ist zu beachten, dass die Verantwortung für die Rechtmäßigkeit der Verarbeitung weiterhin beim Verantwortlichen (also Auftraggeber) bleibt.

Eine Auftragsverarbeitung findet man nahezu in jedem Unternehmen. Aber in vielen Fällen ist der Unternehmensleitung gar nicht bekannt, dass es sich um eine solche handelt und das hier spezielle Datenschutzvorschriften zu beachten sind. In diesem Fall ist ein Vertrag gem. Art. 28 Abs. 3 DS-GVO zu schließen, welcher die Rechte und Pflichten der Auftragsverarbeitung regelt. Auch bei der Auswahl des Auftragverarbeiters trifft den Verantwortlichen die Pflicht, nur Auftragsverarbeiter auszuwählen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Vorschriften der DS-GVO eingehalten werden (vgl. Art. 28 Abs. 1 DS-GVO).

Der Auftragsverarbeiter verarbeitet die übergebenen Daten nur auf Anweisung des Auftraggebers (vgl. Art. 29 DS-GVO). Bei einer Verarbeitung, welche gegen die Weisungen des Verantwortlichen verstößt, haftet der Auftragsverarbeiter (vgl. Art. 28 Abs. 10 DS-GVO).

Die Einbindung eines weiteren Auftragsverarbeiters ist nur mit Genehmigung des Verantwortlichen zulässig. In diesem Fall gelten die gleichen datenschutzrechtlichen Pflichten wie zwischen dem Verantwortlichen und dem ersten Auftragsverarbeiter.

Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters (vgl. Art. 28 Abs. 4 Satz 2 DS-GVO).

Mit Inkrafttreten der DS-GVO ist auch der Auftragsverarbeiter verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen (vgl. Art. 30 DS-GVO).

 

Folgen fehlerhafter Auftragsverarbeitung

 

Mit Inkrafttreten der DS-GVO könnten diejenigen Unternehmen erhebliche Probleme bekommen, welche sich bisher nicht intensiv mit der Auftragsverarbeitung beschäftigt haben. Ein Verstoß gegen die Vorschriften des Art. 28 DS-GVO können von den Aufsichtsbehörden mit Geldbußen von bis zu 10.000.000 Euro geahndet werden (Art. 83 Abs. 4 DS-GVO). Weiterhin wäre es möglich, dass die Betroffenen, deren Daten in diesem Fall ohne Rechtsgrundlage an Dritte weitergeleitet wurden, einen Anspruch auf Schadenersatz gem. Art. 82 DS-GVO haben könnten.

Somit sollte man als Unternehmen alle Verarbeitungen dahingehend überprüfen, inwieweit es sich hier um eine Auftragsverarbeitung handeln könnte. In größeren Unternehmen macht es durchaus Sinn, hierfür eine Projektgruppe einzurichten, da viele Auftragsverarbeitungen nicht sofort offensichtlich sind.

Beispiele für Auftragsverarbeitungen, welche oft vorhanden sind:

  • Externe Lohn- und Gehaltsabrechnung
  • Fernwartung der IT (mit Zugriff auf personenbezogene Daten)
  • Externe Verarbeitung von Kundendaten (Callcenter, Marketing…)

Oft ist es schwierig hier eine genaue Abgrenzung zu finden, ob es sich um eine Auftragsverarbeitung handelt oder nicht. Eine Auftragsverarbeitung liegt immer dann vor, wenn die fragliche Tätigkeit im Schwerpunkt eine Verarbeitung von Daten darstellt. Hierzu hat auch das Bayerische Landesamt für Datenschutzaufsicht eine sehr gelungene Übersicht erstellt.

 

Auftragsverarbeitung-Datenschutz-Göttingen2

 

Zu den Auftragsverarbeitungen gehören auch Verarbeitungen, an welche man nicht sofort in diesem Zusammenhang denken würde. Versenden sie beispielsweise regelmäßig Newsletter ihres Unternehmens? Dann besteht die Möglichkeit, dass sie einen Maildienst verwenden. Hier werden Kundendaten an einen externen Anbieter übermittelt, d.h. es besteht eine Auftragsverarbeitung. Wenn sich dieser Anbieter auch noch außerhalb der EU befindet (z.B. USA), dann besteht ein weiteres Problem, da es sich um eine Datenübermittlung außerhalb der EU handelt. In diesem Fall sind die Vorschriften der Art. 44 ff DS-GVO zu beachten. Dies wird jedoch noch in einem gesonderten Beitrag behandelt werden.

 

Verträge zur Auftragsverarbeitung

 

Es ist ein wenig Aufwand notwendig, um die neuen Datenschutzvorschriften umzusetzen. Man muss jedoch auch in diesem Bereich des Datenschutzes das Rad nicht neu erfinden. Man findet Musterverträge im Internet, so z.B. auf den Webseiten der Aufsichtsbehörden. Selbstverständlich müssen diese an die individuellen Gegebenheiten des jeweiligen Unternehmens angepasst werden. In größeren Unternehmen kann dies einen erheblichen Aufwand verursachen.

Sollte ein Auftragnehmer sich weigern einen derartigen Vertrag abzuschließen, ist eine rechtmäßige Verarbeitung der personenbezogenen Daten gem. DS-GVO nicht mehr gegeben. In diesem Fall sollte man sich nach einem neuen Auftragsverarbeiter umsehen, da es sicherlich einen Grund dafür gibt, wenn sich ein Anbieter weigert, einen Vertrag über eine datenschutzgerechte Verarbeitung abzuschließen.

 

Fazit

 

Die Auftragsverarbeitung gehört sicherlich nicht zu den kompliziertesten Bereichen der DS-GVO, aber es handelt sich definitiv um einen sehr wichtigen Teilbereich des Datenschutzes. Zum einen drohen erhebliche Bußgelder bei einem Verstoß und zum anderen würde der Ruf des Unternehmens einen enormen Schaden erleiden, wenn Datenschutzpannen infolge eines leichtfertigen Verstoßes gegen Datenschutzgesetze erfolgen.

 

Datenschutzbeauftragter für Startups

Datenschutz und Startups

 

Unternehmensgründer von Startups stecken viel Energie in den Aufbau ihres Unternehmens. Neue Geschäftsideen müssen umgesetzt werden, das benötigte Personal muss rekrutiert werden, der Markt muss beobachtet werden und überhaupt dreht sich den ganzen Tag alles um das neue Unternehmen.

Viele „lästige“ Routineaufgaben wie Buchhaltung, Lohnabrechnung usw. treten vorerst in den Hintergrund. Und dann gibt es das ja auch noch die Datenschutz-Grundverordnung (DS-GVO) seit dem 25.05.2018. An diesem Punkt kann es jedoch kritisch werden für das junge Unternehmen. Die Datenschutz-Vorschriften gelten auch für Startups und sollten unbedingt beachtet werden, da die Bußgelder gem. Art. 83 DS-GVO das Unternehmen ganz schnell in die Knie zwingen können.

 

Datenschutz-für-Startups

Datenschutzbeauftragter für Startups?

 

Zuerst einmal sollte überprüft werden inwieweit man als Unternehmen der Pflicht zur Benennung eines Datenschutzbeauftragten unterliegt. Hier wird man in vielen Fällen zu dem Ergebnis kommen, dass ein Datenschutzbeauftragter (DSB) benannt werden muss. Wie geht es jetzt weiter? Ein Datenschutzbeauftragter kann intern oder extern benannt werden.

Doch hier haben viele Startups das Problem, dass aufgrund der geringen eigenen Personalstärke keine geeignete Person zur Verfügung steht, welche die geforderten Voraussetzungen gem. Art. 37 DS-GVO mitbringt. Weiterhin muss beachtet werden , dass bestimmte Personen aufgrund ihrer Tätigkeit im Unternehmen nicht als Datenschutzbeauftragter in Frage kommen, da ein Interessenkonflikt gem. Art. 38 Abs. 6 DS-GVO ausgeschlossen sein muss. Dies bedeutet, dass der DSB niemals in die Lage kommen darf sich selbst zu kontrollieren. Daher können beispielsweise Mitglieder der Unternehmensleitung, Leiter der Personalverwaltung oder IT-Leiter nicht als Datenschutzbeauftragte benannt werden.

Für den Fall, dass man einen eigenen Mitarbeiter zum Datenschutzbeauftragten benennt, sollte der Zeitaufwand für diese Tätigkeit nicht unterschätzt werden. Je nach größe des Unternehmens und der Art der verarbeiteten Daten sind hier sicherlicherlich 20% – 50% der regelmäßigen Arbeitszeit eines Vollbeschäftigten Mitarbeiters anzusetzen.

Datenschutzbeauftragter – intern oder extern?

Der Datenschutzbeauftragte – intern oder extern?

 

Jedes Unternehmen, welches einen Datenschutzbeauftragten (DSB) zu benennen hat (vgl. Art. 37 DS-GVO, § 38 BDSG-neu), steht vor der Frage ob ein interner- oder externer Datenschutzbeauftragter benannt werden soll. In Art. 37 Abs. 6 DS-GVO ist geregelt, dass das Unternehmen die freie Wahl hat, ob es einen internen- oder externen Datenschutzbeauftragten benennt.

Um es gleich vorwegzunehmen: Beide Varianten haben ihre Vor- und Nachteile.

 

Der interne Datenschutzbeauftragte

 

Noch immer entscheiden sich viele Unternehmen für einen internen Datenschutzbeauftragten. Von der Unternehmensleitung wird einer bestimmten Person aus dem Kreis der Beschäftigten die Aufgabe des Datenschutzbeauftragten übertragen. Viele gehen hier von der Überlegung aus, dass bei dieser Variante keine Zusatzkosten entstehen und den Anforderungen des Gesetzes genüge getan wurde.

Hier sollten aber folgende Punkte bedacht werden:

Gemäß Art. 37 Abs. 5 DS-GVO wird der Datenschutzbeauftragte aufgrund seines Fachwissens und seiner beruflichen Qualifikation benannt. Dies setzt voraus, dass derjenige dieses Fachwissen schon besitzt. (vgl. DS-GVO Kommentar Ehmann/Selmayr zu Art.37, Rn.38). Doch auch in diesem Fall muss berücksichtigt werden, dass auch hier weitere Kosten zu kalkulieren sind.
Die umfangreichen Regelungen der DS-GVO können nicht „nebenbei“ erledigt werden. Dem Datenschutzbeauftragten sind gem. Art. 39 DS-GVO bestimmte Aufgaben zugewiesen worden. Hierfür wird ein bestimmtes Zeitkontingent erforderlich sein. Während dieser Zeit muss der DSB von seinen sonstigen Aufgaben freigestellt werden.

Externer Datenschutzbeauftragter Südniedersachsen

Für den Fall, dass der DSB seine ursprüngliche Tätigkeit weiterhin ausübt (was meistens der Fall sein dürfte), muss noch gem. Art. 38 Abs. 6 DS-GVO beachtet werden, dass hier kein Interessenkonflikt entsteht. Vereinfacht ausgedrückt: Der DSB darf nicht in die Situation kommen, dass er sich selbst kontrolliert. Somit scheiden als DSB regelmäßig aus: Mitglieder der Geschäftsführung, IT-Leiter, Leiter Personalabteilung. Ansonsten sollte man bei der DSB Auswahl stets einen Interessenkonflikt im Einzelfall prüfen. Für viele kleine Unternehmen ergibt sich bereits hier nicht mehr viel Spielraum für einen internen DSB und es muss ein externer DSB benannt werden.

Der erforderliche Zeitanteil für einen internen DSB wird sicherlich in Abhängigkeit der vom Unternehmen verarbeiteten Daten einer großen Bandbreite unterliegen. Aber auch für den Fall, dass keine umfang- und risikoreichen Daten verarbeitet werden, sollte man sicherlich einen Zeitanteil von 25% der Arbeitszeit eines Vollbeschäftigten hierfür kalkulieren. Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9 DS-GVO) ist hier jedoch ein wesentlich höherer Anteil anzusetzen.

Weiterhin sind noch Kosten für die regelmäßige Weiterbildung (Erhaltung des Fachwissens gem. Art. 38 Abs. 2 DS-GVO) zu berücksichtigen.

Die Konsequenzen bei Nichtbeachtung der oben genannten Punkte sind für jedermann in Art. 83 Abs.4 DS-GVO nachzulesen.

Wenn man davon ausgeht, dass aufgrund der hohen Qualifikationsanforderungen welche die DS-GVO an den DSB stellt, der entsprechende Mitarbeiter bereits eine angemessene Vergütung bezieht, kann man leicht eine Beispielrechnung aufstellen und die ungefähren Kosten pro Jahr ermitteln:

  • Kosten Mitarbeiter pro Jahr (incl. AG-Anteile zur SV) 45.000 Euro
  • Davon 25% – > 11.250 Euro
  • Jährliche Fortbildungskosten 2.500 Euro
  • Fachliteratur / sonstige Ressourcen (PC, Einzelbüro…) 750 Euro/Jahr

Somit würden sich in diesem Fall jährliche Kosten in Höhe von 14.500 Euro ergeben.
 

Kündigungsschutz des internen Datenschutzbeauftragten

 

Auch wenn es bislang in vielen Veröffentlichungen sehr umstritten ist, soll ein Punkt nicht unerwähnt bleiben. Der interne Datenschutzbeauftragte unterliegt einem besonderen Kündigungsschutz gem. § 38 Abs. 2 BDSG-neu i.V.m. § 6 Abs. 4 BDSG-neu.

Der Kündigungsschutz des internen DSB ist vergleichbar mit dem Kündigungsschutz eines Mitglieds des Betriebsrates.

Die Regelung ist bislang jedoch sehr umstritten in vielen Veröffentlichungen, da hier die Regelung des alten BDSG (gültig bis 24.05.2018) in das neue BDSG übernommen wurde.

Die DS-GVO sieht jedoch keinen derartigen Kündigungsschutz vor und daher wird von vielen Autoren angezweifelt, dass der deutsche Gesetzgeber hierzu berechtigt war.

Dies wird jedoch sicherlich in Zukunft von der Rechtsprechung geklärt werden.

 

Vorteile des internen Datenschutzbeauftragten

 

Auch wenn bislang viele kritische Punkte für einen internen DSB aufgeführt wurden, sollen auch die Vorteile nicht verschwiegen werden.

Zum einen muss hier genannt werden, dass ein interner DSB sich bereits mit den Abläufen und Gegebenheiten des Unternehmens auskennt. Er weiß wo die Datenschutz-kritischen Verarbeitungen stattfinden und wer die entsprechenden Ansprechpartner sind. Hierdurch werden oft Zusammenhänge der Verarbeitungen besser erkannt und können schneller und ohne viele Anfragen an die jeweiligen Abteilungen in das Datenschutz Konzept eingebunden werden.
Externer Datenschutzbeauftragter Göttingen Südniedersachsen

Der externe Datenschutzbeauftragte

 

Bei der Benennung eines externen DSB sind zum einen einige Kriterien von vornherein kein Problem für das Unternehmen:

  • Der externe DSB ist selbst für die Erhaltung seines Fachwissens verantwortlich
  • Es gibt keinen Interessenkonflikt bei der Benennung
  • Die Mitarbeiter des Unternehmens werden nicht von ihren Aufgaben abgezogen
  • Der besondere Kündigungsschutz eines internen DSB besteht nicht

 

Kosten eines externen Datenschutzbeauftragten

 

Auch der Kostenfaktor spricht in vielen Fällen für den externen DSB. Viele externe Datenschutzbeauftragte sind inzwischen dazu übergegangen, ihre Dienstleistung als Paket in Monatspauschalen anzubieten. Hierdurch entsteht eine hohe Kostentransparenz und die Kosten für den externen DSB sind im Voraus leicht zu kalkulieren.

Hierdurch entfällt auch ein anderer Nachteil, welcher durch einen externen DSB ggf. entstehen könnte. Bei der Vereinbarung von Monatspauschalen ist der Einarbeitungsaufwand in die Gegebenheiten des Unternehmens nicht mehr das Risiko des Auftraggebers, da kein erhöhter Stundenaufwand mit erhöhten Kosten entsteht.

Weiterhin kann man oft feststellen, dass ein externer DSB eine bessere Akzeptanz bei den Mitarbeitern genießt.

 

Erfahrung des externen Datenschutzbeauftragten

 

Ein vielfach unterschätzter Vorteil des externen DSB besteht darin, dass er aufgrund seiner Tätigkeit in verschiedenen Unternehmen ein breites Fachwissen vorweisen kann. Viele Fachkenntnisse, welche sich ein interner DSB erst durch Fachliteratur und Fortbildungen aneignen muss, sind beim externen DSB schon vorhanden, da er die gleichen oder ähnlichen Problemstellungen schon in einem anderen Unternehmen erlebt hat.

Durch ihre Tätigkeit haben externe Datenschutzbeauftragte auch viel Kontakt zu Mitarbeitern der Aufsichtsbehörden. Dies kann häufig dazu führen, dass der externe DSB bereits informiert ist, wie Aufsichtsbehörden bestimmte Problemstellungen beurteilen und somit können Probleme von vornherein umgangen werden.

 

Fazit

 

Obwohl es durchaus Sinn machen kann einen internen Datenschutzbeauftragten zu benennen, überwiegen meiner Meinung nach die Vorteile für einen externen Datenschutzbeauftragten. Das Unternehmen hat hier einen fachkundigen DSB und die Kosten sind im Voraus bereits planbar.

Der Leser wird sich jetzt sicherlich denken, dass der Autor dieser Zeilen ja tatsächlich nichts anderes schreiben kann, da er selbst diese Dienstleistung anbietet. Aber die genannten Kriterien überzeugen inzwischen viele Unternehmen und ich nehme gern Hinweise zu von mir übersehenen Punkten an, welche auch die Vorteile des internen DSB betonen.

Datenschutzbeauftragter

Datenschutzbeaiftragter-Göttingen

 

Datenschutzbeauftragte nach DSGVO

 

Ab dem 25.05.2018 änderte sich die „Datenschutzwelt“ ganz erheblich. Von da ab gilt die europäische Datenschutz-Grundverordnung (DSGVO). Die DSGVO muss nicht erst vom deutschen Parlament in nationales Recht umgesetzt werden (wie EU-Richtlinien), sondern sie gilt automatisch als oberste Norm im Datenschutzrecht. Lediglich die in der DSGVO vorgesehenen Öffnungsklauseln können von den jeweiligen Mitgliedsstaaten ausgefüllt werden. Dies ist in Deutschland mit dem BDSG geschehen.

Aber auch in der Zeit nach dem Inkrafttreten der DSGVO und des BDSG wird sich in Deutschland nicht viel an den Voraussetzungen bei der Benennung (vorher Bestellung) eines Datenschutzbeauftragten ändern:

In der DSGVO wird die Pflicht zur Benennung des Datenschutzbeauftragten in Art. 37 geregelt. Demnach ist ein Datenschutzbeauftragter zu benennen wenn:

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit. a)
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b)
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht (Art. 37 Abs. 1 lit. c)

Hiermit wäre für viele Unternehmen keine Benennung eines Datenschutzbeauftragten mehr notwendig. Aber an dieser Stelle macht das BDSG entscheidende Ergänzungen. In § 38 Abs.1 Satz 1 BDSG heißt es:

  • Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 (d.h. DSGVO) benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen….
  • Weiterhin ist ein Datenschutzbeauftragter zu benennen, wenn das Unternehmen Verarbeitungen durchführt, welche eine  Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten (unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen)

Somit bestehen unter der DSGVO nahezu keinerlei Veränderungen in der Pflicht zur Benennung eines Datenschutzbeauftragten.

 

In der DSGVO wird jetzt jedoch explizit auf die Möglichkeit verwiesen, einen externen Datenschutzbeauftragten zu benennen (Art. 37 Abs.6 DSGVO).

Es ist jedoch zu beachten, dass der Bußgeldrahmen (Art. 83)  in der DSGVO erheblich ausgeweitet wurde. Hiernach kann ein Verstoß gegen die genannten Pflichten mit einer Geldbuße bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Aber allein der Bußgeldrahmen sollte nicht ausschlaggebend sein, um einen Datenschutzbeauftragten zu benennen. Vielmehr wird von vielen Unternehmen der Datenschutz öffentlichkeitswirksam in den Vordergrund gestellt, um sich einen Vorteil gegenüber anderen Unternehmen zu verschaffen. Auch im Rahmen von Ausschreibungen werden teilweise umfangreiche Nachweise zum Datenschutz eingefordert.

Oftmals erfolgt sogar eine freiwillige Benennung eines Datenschutzbeauftragten, wenn keine rechtliche Verpflichtung hierzu besteht.

Ganz wichtig hierbei: Auch wenn keine Bestellpflicht für einen Datenschutzbeauftragten besteht, sind die Vorschriften zum Datenschutz selbstverständlich genauso zu beachten. Ich habe nämlich auch schon zu hören bekommen: „wir müssen keinen Datenschutzbeauftragten bestellen, also was interessiert uns die DSGVO ?

Der einzige Unterschied besteht darin, dass der Verantwortliche (Unternehmensleitung) alle Aufgaben und Verpflichtungen zum Datenschutz selbst umsetzen muss, ohne die Hilfe eines geschulten Datenschutzbeauftragten.