Wann muss ein Datenschutzbeauftragter (DSB) benannt werden?

  • Bei Beschäftigung i. d. Regel von mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind … oder
  • Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9, 10 DSGVO) … oder
  • regelmäßige und systematische Überwachung von Personen als Kerntätigkeit

Rechtsgrundlage: Art. 37 DSGVO sowie § 38 BDSG

Hiernach sind auch kleinere Unternehmen, Institutionen und Vereine gefordert, entweder einen internen oder einen externen Datenschutzbeauftragten zu ernennen. Und sollte die Verpflichtung nicht bestehen, erfordern die Gesetze, dass die Datenschutzanforderungen auch ohne Datenschutzbeauftragten regelkonform umgesetzt werden. Hierzu müssen u. a. Dokumentationen und Nachweise erstellt und aktuell gehalten werden.

 

Interner oder externer Datenschutzbeauftragter?

Die Geschäftsführung ist frei in der Entscheidung, ob sie einen internen oder externen Datenschutzbeauftragten ernennen möchte. Es gibt für beide Varianten Vor- und Nachteile.

Während ein/e Mitarbeiter/in das Unternehmen und dessen Abläufe kennt, muss sich ein externer DSB zuerst einarbeiten. Für die internen Datenschutzbeauftragten ist es wichtig, genügend Resourcen zur Verfügung zu haben. Sie genießen einen besonderen Kündigungsschutz und müssen i. d. R. von ihren bisherigen Aufgaben teilweise oder ganz freigestellt werden, um den Anforderungen an die Umsetzung der neuen Datenschutzregelungen (z. B. regelmäßige Fortbildungen) entsprechen zu können.

Mit dem externen Datenschutzbeauftragten wird ein Vertrag geschlossen, der die Aufgaben, Verantwortlichkeiten, Vergütung (Stundensätze oder Pauschalen) und Vertragslaufzeiten regelt. Er ist kein/e Mitarbeiter/in und tritt entsprechend im Unternehmen auf. Durch die Betreuung unterschiedlicher Firmenkunden und Geschäftsmodelle verfügt der externe DSB i. d. R. im Laufe der Zeit über zusätzliche Fachkenntnisse.

 

Welche Aufgaben hat eine Datenschutzbeauftragter?

  • Unterrichtung & Beratung des Verantwortlichen und der Beschäftigten
  • Überwachung der Einhaltung der Datenschutzvorschriften im Unternehmen
  • Beratungs- und Überwachungspflichten im Zusammenhang mit der Datenschutzfolgeabschätzung (DSFA)
  • Umfassende Kooperation mit der Aufsichtsbehörde
  • Beratung betroffener Personen

Rechtsgrundlage: Art. 39 DSGVO

 

Was sind personenbezogende Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine indentifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung identifiziert werden kann. Eine solche Kennung kann bestehen aus Name, Kennnummer, Standortdaten, Online-Kennung, einem oder mehreren besonderen Merkmalen (z. b. physische, genetische, kulturelle, soziale Identität).

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) sind …

  • rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse und weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

 

Wer ist eine betroffene Person?

Werden von einer natürlichen Person Informationen erhoben, so ist sie eine betroffene Person.

Rechtsgrundlage: Art. 4 DSGVO

 

Welche Rechte haben die Betroffenen?

Ein Kernstück des Datenschutzes sind die Rechte der Betroffenen. Sie sind grundsätzlich vertraglich nicht ausschließbar. Ihre Wahrnehmung und Unterstützung sind Kernaufgaben der Tätigkeit des Datenschutzbeauftragten.

Recht auf …

  1. Transparenz – Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz). Transparenz des Zusammenhangs: Wer erhebt was von wem? Wann? Warum und wofür? Rechtsgrundlage: Art. 5, 12, 13, 14, 15 DSGVO
  2. Auskunft – Die betroffene Person hat das Recht, von dem Verantwortlichen einer Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten. Rechtsgrundlage: Art. 12, 15 DSGVO
  3. Berichtigung, Löschung und Einschränkung der VerarbeitungRechtsgrundlage: Art. 16, 17, 18 DSGVO
  4. Datenübertragbarkeit – Die betroffene  Person hat das Recht, die sie betreffenden personengezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einer strukturierten, gängigen und maschinenlesbaren Form zu erhalten … und diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln (…) Rechtsgrundlage: Art. 20 DSGVO
  5. Recht keiner automatisierten Entscheidung unterworfen zu sein – Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Rechtsgrundlage: Art. 22 DSGVO

 

Wann spricht man von Verarbeitung?

Im Sinne der Verordnung bezeichnet der Ausdruck „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder eine Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

Rechtsgrundlage: Art. 4 (2) DSGVO

 

Was ist Profiling?

Eine automatisierte Verarbeitung, die personenbezogene Daten verwendet, um persönliche Aspekte einer natürlichen Person zu bewerten, um insbesondere Arbeitsleistung, wirtschaftliche Lage, Gesundheit, Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel zu analysieren und vorherzusagen.

Rechtsgrundlage: Art. 4 DSGVO

 

Was ist Datensicherheit?

Schutz der Daten vor unberechtigter Kenntnisnahme, ungewollter Verfälschung sowie vor Zerstörung und Verlust. Die Ziele sind Vertraulichkeit, Integrität und Verfügbarkeit.

 

Was ist der Unterschied zwischen Pseudonymisierung und Anonymisierung?

Bei der Pseudonymisierung werden die personenbezogenen Daten in einer Weise verarbeitet, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Eine endgültige Auflösung der Möglichkeiten einer Zuordnung von Daten zu einer spezifischen Person kennzeichnet dagegen die Anonymisierung und ist somit das höhere Schutzlevel.

Rechtsgrundlage: Art. 4 (5) DSGVO