Der Digital-Experte hilft Ihnen beim Datenschutz!
Die meisten externen Datenschutzbeauftragten sind Juristen und kennen nur das Gesetz. Da sich die DSGVO vorallem an der Verarbeitung personenbezogener Daten in Unternehmen interessiert, ist es natürlich am Wichtigsten sich die digitalen Prozesse im Unternehmen anzusehen.
Sie sehen hier kommt ein Digital-Experte ins Spiel.
Was zeichnet mich als Digital-Experten aus:
- über 18 Jahre Erfahrung mit über 400 digitalen Projekten
- 15 Jahre Geschäftsführer der Digital-Agentur happy pixel
- verantwortlich für Sicherheit und Datenschutz bei Kunden wie: Deutsche Post AG, DTM, ACCOR HOTELS, 20th Century Fox
Meine Fachkunde als Datenschutzbeauftragter habe ich natürlich auch mit einer Fachkundeprüfung bestanden und kann so auch Ihre Themen rund um die DSGVO betreuen.
Somit können Sie mich auch als Ihren offiziellen Datenschutzbeauftragten nach Art. 37 bei der Aufsichtsbehörde benennen.
Wichtig ist immer das Netzwerk für den optimalen Wissensaustausch, darum arbeite ich auch als Datenschutz-Berater und Datenschutzbeauftrager in München und Umgebung für die Sektion Sec-IT für den TÜV SÜD und die msecure GmbH.
Die DSGVO selber regelt die genaue Anzahl der Mitarbeiter nicht, weil davon ausgegangen wird, dass jedes Unternehmen einen Datenschutzbeauftragten verpflichtet.
In Deutschland wurde allerdings eine Verpflichtung festgelegt, dass Unternehmen mit
20 Mitarbeitern, die regelmäßig mit der Verarbeitung von personenbezogenen Daten zu tun haben, einen Datenschutzbeauftragten bestellen / benennen müssen (die Schwelle lag am Anfang bei 10 Personen). Benennen bedeutet, dass der DSB bei der Aufsichtsbehörde benannt – also gemeldet werden muss.
Das bedeutet jedoch nicht, dass Unternehmen unter 20 Mitarbeiter keinen Datenschutz machen müssen oder von den anderen Pflichten (-> siehe FAQ zur DSGVO) befreit sind, ganz im Gegenteil, die DSGVO gilt für Jeden und jedes Unternehmen mit Dienstleistungen und/oder Firmensitz in der EU.
Für alle Kleinunternehmen (<20 Mitarbeiter) oder Unternehmen, die nur in der Buchhaltung und Auftragsverwaltung mit personenbezogenen Daten in Berührung kommen gilt, dass der Geschäftsführer alleinig in die Haftung für den Datenschutz genommen wird. Der Geschäftsführer muss sich um alle Belange der DSGVO, Datenschutz und Datensicherheit kümmern und ist dazu verpflichtet der Verordnung in allen Punkten nachzukommen. Hier gilt der alte Spruch: "Unwissenheit, schützt nicht vor dem Gesetz!". Das bedeutet auch diese Firmen sollten sich zumindest von einem Datenschutzberater einen Check machen lassen und sich zu den relevanten Datenschutz-Themen beraten lassen.
Die Funktion und Aufgaben des Datenschutzbeauftragten ergeben sich unmittelbar aus dem Gesetz:
- Unterrichtung und Beratung hinsichtlich der Datenschutzpflichten
(Verantwortlicher, Auftragsverarbeiter, Beschäftigte)
- Beratung Betroffener hinsichtlich Datenschutzfragen/-rechte
- Beratung bei der Datenschutzfolgeabschätzung
(Pflicht des Verantwortlichen zur Konsultation gemäß Art. 35 Abs.2 DSGVO)
- Überwachung auf Einhaltung DSGVO und anderer Rechtsvorschriften
- Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
- Zusammenarbeit mit der Aufsichtsbehörde
Oder anders gefragt: Wer darf Datenschutzbeauftragter sein?
Ob ein Mitarbeiter Datenschutzbeauftragter im eigenen Unternehmen sein darf hängt primär von zwei Punkten ab:
1. Gibt es einen Interessenskonflikt im Tättikeitsumfeld des Mitarbeiters?
2. Ist die notwendige Fachkunde beim Mitarbeiter vorhanden?
Im BDSG (Bundesdatenschutzgesetz) unter § 4f Abs. 2 steht dazu:
Nur wer zum Zeitpunkt der Bestellung über die erforderliche Fachkunde und Zuverlässigkeit verfügt darf zum Datenschutzbeauftragten bestellt werden.
Aber was bedeutet Zuverlässigkeit und was ist Fachkunde im Sinne des BDSG bzw. der DSGVO?
Unter Zuverlässigkeit ist keine klare Definition von Gesetzgeber, allerdings haben die ersten Jahre der Umsetzung der DSGVO und die Zusammenarbeit mit den Aufsichtsbehörden gezeigt, das die wichtigsten Merkmale für Zuverlässigkeit folgende Kriterien fordern:
- Schweige- oder Geheimnispflichten
- keine Interessenkollisionen mit anderen Personen, Abteilungen
Beispiele hierfür:
Der IT-Leiter als Datenschutzbeauftragter hätte einen täglichen Konflikt weil er interne Kontrollen zur IT-Sicherheit und zu Nutzerrechten anstellen muss, aber diese Konzepte selber einbringt und auch im Unternhemen dafür verantwortlich ist. Der Interessenskonflikt liegt in dieser und ähnlichen Situationen wohl direkt auf der Hand.
Gleiches gilt auch für die vertretungsberechtigte Person des Unternehmens, also z.B. den Geschäftsführer einer GmbH. Auch dieser kommt aufgrund der Interessenkollision nicht als Datenschutzbeauftragter in Betracht, da er sicherlich alles für sein Unternehmen einbringt aber unter Umständen Datenschutzthemen nicht die nötige Priorität einräumt.
Auch die Leitung der Personalabteilung kommt unter diesen Gesichtspunkten nicht als Datenschutzbeauftragter in Betracht – auch wenn hierüber noch Diskussionen herrschen.
In umstrittenen Fällen ist es sicherlich sinnvoll eine Anfrage diesbezüglich bei der zuständigen Aufsichtsbehörde zu stellen oder einen Datenschutzberater zur Unterstützung zu holen.
Kommen wir zur nötigen Fachkunde:
Externe Datenschutzbeauftragte werden einer Datenschutz-Ausbildung und einer Fachkundeprüfung unterzogen. Für interne Datenschutzbeauftrage gibt es auch Schulungen mit Fachkundeprüfung, aber es ist für betriebliche Datenschutzbeauftrage tatsächlich keine Pflicht eine Fachkundeprüfung abzulegen – allerdings ist es natürlich eine Frage der Haftung. Wenn ein Mitarbeiter als interner DSB bestellt wird und er keine Ausbildung und keine Fachkunde besitzt, ist dies natürlich die Entscheidung des Geschäftsführers. Nun dürfen Sie raten wer damit auch verantwortlich ist, wenn es auf Grund von Unwissenheit zu Fehlentscheidungen kommt... Sie!
Diese Frage hängt natürlich von ein paar Faktoren ab und ist somit nicht pauschal zu beantworten. Trotzdem gibt es natürlich Monatspauschalen (in der Regel €300,- für Ihren bei der Aufsichtsbehörde benannten Datenschutzbeauftragten inklusive einer Beratungsstunde für Ad-hoc Themen). Die Erfahrungswerte für einen Datenschutz Check-up Ihres Unternehmens liegt bei 0,5 bis 4 Tagessätze je nach Unternehmensgröße. Der Aufwand für die Erstellung der nötigen Dokumente für Ihr Unternehmen ist sehr stark von der Zeit abhängig, die mein Ansprechpartner im Ubnternhemen für den Datenschutz hat – hat er keine Zeit, dann übernehme ich gerne, nur dann kommen natürlich auch mehr Tagessätze zusammen.
Bei der ganzheitlichen Datenschutzberatung werden IT-Sicherheitsrisiken und Abmahnrisiken gleichermaßen berücksichtigt.
Die eingehende externe Untersuchung startet zunächst mit der Außenwirkung,
bevor der Check sich nach innen richtet, zu den internen Abläufen.
Der Schwerpunkt der Betrachtung liegt natürlich auf der DSGVO bzw. GDPR.
Die wichtigsten Dokumente für die Erfüllung der Anforderungen der DSGVO müssen Sie nicht alleine erstellen. Mit guten Mustern und viel Erfahrung kommen wir schnell gemeinsam zu einem guten Ergebnis. Die eigenen TOM, AV-Verträge und Verfahren, sowie notwenige Mitarbeiterverpflichtungen sind für Sie dann keine Hürde mehr...
Verschiedene Dokumente sind vielleicht schon vorhanden – hier bringen wir schnell und effizient Licht ins Dunkel. Wir prüfen gemeinsam AV-Verträge mit Dienstleistern und vervollständigen, was noch fehlt, um Sie rechtlich abzusichern und auf den Stand der DSGVO von 2019 zu holen...
Website- bzw. Digital-Check:
Datenschutzerklärung, Newsletter mit Double-Opt-In, Kontakt-Formulare, Cookie-Warnung bzw. Cookie-Consent-Tools, SSL-Verschlüsselung, signierte und verschlüsselte Mails (S/MIME). Bring Your Own Device BYOD-Lösungen, Berechtigungs-, Lösch-, Freigabe-Konzepte. Backup und Wiederherstellungskonzepte für die Sicherheit und Integrität Ihrer IT-Infrastruktur. Was ist Stand der Technik und was müssen Sie als Geschäftsführer wissen?
Ein Unternehmen besteht nicht aus Regeln und Dokumenten, sondern in erster Linie aus Menschen. Diese Mitarbeiter müssen mit einer Awareness-Schulung auf Datenschutz im täglichen Alltag sensibilisiert werden, um so selbst in ihrer Arbeitswelt die richtigen Entscheidungen zu treffen...
Allgemeine Personendaten: Name, Geburtsdatum, Geburtsort, Postanschrift,
E-Mail-Adresse, Rufnummern, usw.
Kennnummern: Sozialversicherungsnummer, Steueridentifikationsnummer,
Nummer bei der Krankenkasse, Personalausweisnummer, etc.
Bankdaten: Kontostände, Kontonummern, Kreditinformationen, etc.
Körperliche Merkmale: Geschlecht, Haut-, Haar- und Augenfarbe, Statur usw.
Vermögen und Besitz: Immobilien, Fahrzeuge, Grundbucheintragungen, Kfz-Kennzeichen, usw.
Werturteile: Schul-, Hochschul- und Arbeitszeugnisse, ...
Kundendaten: Bestellungen, Adressdaten, Kontodaten, ...
Internet-Daten: IP-Adresse, Mac-Adresse, Standortdaten, ...
Neben dieser personenbezogenen Daten, gibt es noch die Verarbeitung besonderer Kategorien personenbezogener Daten (nach Art. 9) – also die "besonders schützenswerten" personenbezogenen Daten:
- Angaben über rassische sowie ethnische Herkunft
- Politische Ansichten
- Religiöse und philosophische Überzeugung
- Gewerkschaftszugehörigkeit
- Angaben zur Gesundheit
- Angaben zur Sexualität
AV-Vertrag steht für Auftragsverarbeitungsvertrag (früher Auftragsdatenverarbeitungs-vertrag). Zur Auftragsverarbeitung gehören alle Tätigkeiten, bei denen Ihr Unternehmen personenbezogene Daten für andere Unternehmen oder Personen verarbeitet und das auf Weisung des Auftraggebers. Um diese Verarbeitung von Daten klar einzugrenzen und in einen klaren Auftrag zu setzen, wird ein sogenannter AV-Vertrag abgeschlossen.
Wenn ein anderes Unternehmen für Sie bzw. Ihr Unternehmen personenbezogene Daten verarbeitet, bedarf es ebenso eines AV-Vertrages, wobei Sie dann der Auftraggeber für die Verarbeitung sind und der Auftragnehmer die sichere Verarbeitung der Daten rechtfertigen muss.
Siehe in der Skizze und Beschreibung oben auf dieser Seite >> AVV
Prinzipiell ist es immer sinnvoll, einen DSB (Datenschutzbeauftragten) zu bestellen, wenn Sie auftragsbezogen personenbezogene Daten verarbeiten. Der Gesetzgeber hat die Schwelle für die Verpflichtung zu einem eigenen DSB auf 20 Mitarbeiter (lesen Sie hierzu beim BvD), die ständig mit der Verarbeitung von personenbezogenen Daten zu tun haben, angesetzt. Das bedeutet jedoch nicht, dass kleinere Unternehmen keinen Datenschutz machen müssen, sondern nur, dass sie nicht zwingend einen DSB haben müssen. Für diese Unternehmen gilt dann im weiteren, dass der Geschäftsführer für Datenschutzvergehen oder Pannen haftet. Wenn Sie das vermeiden wollen, wäre die Empfehlung, sich wenigstens entsprechend von Datenschutzexperten schulen zu lassen.
Übrigens: der DSB muss auch bei der Aufsichtsbehörde (z.B. BayLDA) gemeldet sein.
Jede Verarbeitung personenbezogener Daten ist zunächst einmal verboten. Es sei denn, es liegt eine Einwilligung des Betroffenen vor, Sie haben einen Vertrag mit der betroffenen Person, der eine Verarbeitung rechtfertigt (hier darf die Datenspeicherung aber nur so erfolgen, wie es für die Vertragserfüllung notwendig ist) oder Sie haben nach einem Gesetz die Pflicht, die Daten zu erheben und zu speichern. Eine weitere Möglichkeit stellt das berechtigte Interesse dar, welches gut belegt und sorgfältig geprüft sein sollte. Siehe hierzu auch Art. 6 DSGVO
Prinzipiell ist der Geschäftsführer eines Unternehmens immer verantwortlich, wenn er sich nicht rechtlich absichert und hierfür seine Mitarbeiter schult und einen Datenschutzbeauftragten an Bord holt. Generell gilt allerdings, dass der Geschäftsführer und nicht der Mitarbeiter für Datenpannen, Datenmissbrauch oder andere Verstöße gegen die DSGVO haftet.
Auf allen Internetseiten sieht man sie, die Cookie Banner. Sie fragen nach einem "Okay" oder man kann sie einfach mit einem X wegklicken, aber braucht man so einen für viele Nutzer als "sinnlos" erachteten Informationsbanner zur Verwendung von Cookies? Die EU-Cookie-Richtlinie hatte diese Informationspflicht einmal vorgesehen, bis die ePrivacy-Verordnung eine Regelung für alle Internetpräsenzen vorgibt.
Der Stand der Dinge im Herbst 2019 ist, dass es noch dauern wird, bis die ePrivacyVO fertig ist und hier klare Regelungen vorgibt. Allerdings haben die Gerichte im Sommer 2019 klar entschieden, dass der Besucher einer Website nicht nur über Cookies informiert werden soll, sondern die Möglichkeit bekommen soll, wenn diese Cookies personenbezogene Daten (z.B. IP-Adresse) an Dritte überträgt, beispielweise für ein Tracking (z.B. Google Analytics), eine explizite Einwilligung zu geben. An dieser Stelle sollte jedem klar werden, dass das auch bedeutet, dass der Besucher auch "Nein" sagen darf und dann diese Cookies technisch unterdrückt werden müssen – man spricht hier von Cookie Consent Tools. Siehe hierzu Website-Check