Home Herausforderung Über mich Angebot Datenschutz Impressum

Privacy Consulting & Service

„Herausforderung Datenschutz“

Unternehmen, die

• in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder
• Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 der Verordnung (EU) 2016/679 (DSGVO) unterliegen, oder
• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten

sind verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Das bedeutet, dass selbst ein kleines Unternehmen, das eine einzige DSFA-pflichtige Verarbeitung durchführt (z.B. eine Videoüberwachung), einen Datenschutzbeauftragten bestellen muss.

Aber auch, wenn keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, bleibt doch die Verpflichtung, die Datenschutzbestimmungen einzuhalten. In diesem Fall muss sich jemand im Unternehmen entsprechend einarbeiten und die Rolle des Datenschutzbeauftragten übernehmen, auch wenn er nicht offiziell bestellt ist.

Im Fall von Verstößen gegen die Datenschutzvorschriften ist die Unternehmensleitung in der Verantwortung, sie muss sicherstellen, dass sich jemand dieses Themas annimmt.

Die Verordnung (EU) 2016/679, bekannt als Europäische Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) enthalten eine Fülle von Verpflichtungen u.a. im Hinblick auf

• die Rechtmäßigkeit der Datenverarbeitung
• die umfangreichen Informationen der Betroffenen
• die Rechte der Betroffenen (u.a. Auskunftsrecht)
• die Führung des Verzeichnisses der Verarbeitungstätigkeiten
• die Sicherheit der Verarbeitung
• Meldungen und Benachrichtigungen im Fall einer Datenschutzverletzung
• Datenschutz durch Technikgestaltung
• datenschutzfreundliche Voreinstellungen
• die Durchführung von Datenschutz-Folgenabschätzungen
• die Rechenschaftspflichten

Es ist nahezu unmöglich, sich die Kenntnis dieser umfangreichen Bestimmungen "nebenbei" anzueignen. Insbesondere genügt es nicht, die Rechtsvorschriften zu kennen, benötigt wird auch das Wissen und die Erfahrung, wie diese in der Praxis gelebt werden, wie Aufsichtsbehörden die Fälle aus der Praxis beurteilen, wie Gerichte bis hoch zum EuGH bisher zu den einzelnen Themen entschieden haben. Auch ist ständig die Entwicklung der Rechtsprechung und die Aktivitäten der Aufsichtsbehörden und Datenschutzausschüsse im Auge zu behalten und die Auswirkungen auf das Tagesgeschäft zu beurteilen.

In vielen Fällen genügt auch nicht alleine die Kenntnis des Datenschutzrechts, konkret wenn sich die Rechtfertigung für eine Verarbeitung aus anderen Rechtsvorschriften (z.B. HGB, EStG, GwG, KWG, StPO, AO, SGB…) ergibt.

Hieraus ergeben sich folgende Empfehlungen:

Falls ein Datenschutzbeauftragter bestellt ist, sollte dieser gut genug geschult sein, um diese Aufgabe auch tatsächlich wahrnehmen zu können. Dies ist auch die Voraussetzung dafür, dass die Bestellung die Anforderung der Verordnung erfüllt und wirksam erfolgt ist. In der Praxis wird dies von Aufsichtsbehörden besonders kritisch betrachtet, wenn es sich um einen „Nebenbei-Datenschutzbeauftragten“ handelt.

Falls kein Datenschutzbeauftragter bestellt ist (und auch nicht bestellt werden soll), sollte dennoch ein Datenschutz-Fachmann als Berater hinzugezogen werden, der

• für eine stabile Grundlage sorgt,
• jemanden im Unternehmen in die Lage versetzt, das Datenschutz-Tagesgeschäft ordnungsgemäß durchzuführen und in kritischen Situationen (z.B. Datenschutzvorfällen) richtig zu reagieren und
• in Zweifelsfällen als Ansprechpartner zur Verfügung steht.