Datenschutzbeauftrager (DSB)
Wer braucht einen Datenschutzbeauftragten?
Unternehmen mit mehr als neun Mitarbeitern, die EDV-basiert mit personenbezogenen Daten (also insbesondere Mitarbeiter- und Kundendaten) arbeiten, benötigen gemäß § 4f BDSG einen internen oder externen Datenschutzbeauftragten (die Verpflichtung kann sich im Einzelfall sogar bereits früher ergeben – bei Fragen hierzu kontaktieren Sie uns einfach).
Warum muss man einen Datenschutzbeauftragten bestellen?
Unternehmen mit mehr als neun (9) Mitarbeitern, die computergestützt mit personenbezogenen Daten (also insbesondere Mitarbeiter- und Kundendaten) arbeiten, benötigen gemäß § 4f BDSG einen internen oder externen Datenschutzbeauftragten. Häufig wird hierbei die Frage gestellt: was passiert, wenn dieser Verpflichtung nicht entsprochen wird?
Negative Presse-Berichterstattung und Verlust von Kundenvertrauen
Der Datenschutzbeauftragte unterstützt die Geschäftsleitung bei der Umsetzung des innerbetrieblichen Datenschutzes und schützt das Unternehmen so vor Datenschutzskandalen und damit häufig einhergehender negativer Presseberichterstattung. Wie zahlreiche Beispiele gezeigt haben ist dies gerade für die Unternehmen von großer Relevanz, deren Angebot sich an private Endkunden richtet.
Ärger mit der Aufsichtsbehörde
Zunehmend wenden sich Konkurrenten, verärgerte Mitarbeiter oder Kunden an die Datenschutz-Aufsichtsbehörden. Es sollte nach Möglichkeit vermieden werden, bei einer ersten Anfrage der Datenschutz-Aufsichtsbehörden keinen Datenschutzbeauftragten vorweisen zu können.
Bußgeld gegen Geschäftsleitung und Unternehmen
Gemäß § 43 Abs. 1 Nr. 2 BDSG handelt ordnungswidrig, wer einen Beauftragten für den Datenschutz nicht oder nicht in der vorgeschriebenen Weise oder aber nicht rechtzeitig bestellt. Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden, in Einzelfällen sogar noch höher. Das Bußgeld kann sowohl gegen die Geschäftsleitung selbst als auch gegen das Unternehmen verhängt werden.
Aufrechterhaltung der ISO-Zertifizierung
Wenn Ihr Unternehmen einer regelmäßigen ISO-Zertifizierung zur Qualitätssicherung unterzogen wird müssen Sie zur Aufrechterhaltung dieser Zertifizierung auch einen Datenschutzbeauftragten benennen, wenn in Ihrem Unternehmen mehr als neun Mitarbeiter computergestützt mit personenbezogenen Daten arbeiten.Wenn Sie mit Partner-Unternehmen, Lieferanten oder Dienstleistern Verträge schließen und im Rahmen dieser Verträge personenbezogene Daten zu übermitteln sind müssen diese Verträge auch zahlreichen datenschutzrechtlichen Vertragsklauseln enthalten. Diese sehen häufig auch eine Nennung des Datenschutzbeauftragten vor.
Interner oder externer Datenschutzbeauftragter?
Jede dieser Optionen hat Vor- und Nachteile, die auf Ihren Betrieb individuell abgestimmt werden sollten. Der interne wie der externe Datenschutzbeauftragte soll dabei – so will es der Gesetzgeber – als von Weisungen auf dem Gebiet des Datenschutzes freie und neutrale Instanz die Wahrung datenschutzrechtlicher Belange im Unternehmen sicherstellen.
Hierbei überwacht er nicht nur die datenschutzrechtlich zulässige Nutzung, Verarbeitung etc. von Kundendaten, sondern nimmt auch Belange des Arbeitnehmerdatenschutzes wahr. Wir beraten Sie insbesondere hinsichtlich der Art und Weise der Beauftragung, der Auswahl und Schulung geeigneter Personen, der Abwägung der arbeitsrechtlichen Sonderstellung eines internen Datenschutzbeauftragten, Haftungsfragen sowie einer möglichst kostengünstigen Lösung für Ihr Unternehmen.
Im BDSG § 4g Abs.1 werden die Aufgaben des internen/externen Datenschutzbeauftragten wie folgt definiert:
Je nach Art und Tätigkeit des Unternehmens, können weitere Schwerpunkte und Themenbereiche/Rechtsgebiete hinzukommen.
- Ansprechpartner für Betroffene, Mitarbeiter, Kunden und die Aufsichtsbehörde (§ 4f Abs. 5 Satz 2)
- Überwachung und Kontrolle der rechtmäßigen Datenverarbeitung im Sinne des BDSG und relevanter Gesetze.
- Beurteilung der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzrechtes
- Achtung auf präventives Einhalten der Datenschutzbestimmungen
- Beachtung der Mitbestimmungsrechte und bereits bestehender Betriebsvereinbarungen und Beachtung des Arbeitnehmerdatenschutzes
- Durchführung von Vorabkontrollen bei Einführung neuer Systeme und Prozesse
- Dokumentation der Einführung neuer Prozesse für die Aufsichtsbehörde
- Aufstellung und Führung des Verfahrensverzeichnisses
- Interne Verarbeitungsübersicht, externes und öffentliches Verfahrensverzeichnis
- Gesetzlich vorgeschriebene Meldungen an die Aufsichtsbehörde
- Sensibilisierung der Mitarbeiter durch Seminare und Schulungen
- Erstellung und Einführung von Richtlinien und Policies
- Verpflichtung bestehender und neuer Mitarbeiter auf die Einhaltung des Datenschutzes
- Datenschutz- und Datensicherheit relevante Betreuung ausscheidender Mitarbeiter
- Ansprechpartner des Unternehmens gegenüber der Aufsichtsbehörde
- Herstellung und Aufrechterhaltung eines rechtskonformen Datenschutzniveaus
- Aufsichtsbehörde (Landesdatenschutzbeauftragter, Bundesministerium des Inneren)
- Rechtliche Vorgaben aus BDSG und Spezialgesetzen
- Vertragliche Gestaltung von Auftragsdatenverarbeitungen und deren sichtprobenartige Kontrolle
Außerdem können noch diese Punkte relevant sein:
- Prüfung der Verfahren zur Information Ihrer Kunden bei erstmaliger Erhebung von personenbezogenen Daten.
- Prüfung der Zulässigkeit der Verfahren zur Erhebung und Verarbeitung personenbezogener Daten Ihrer Kunden und Lieferanten (Vorabkontrolle).
- Prüfung der Verfahren zur Erhebung und Verarbeitung Ihrer Beschäftigtendaten (Personalakten, Zeiterfassung, Bewerbermanagement).
- Prüfung der Verfahren im Bereich Marketing und Vertrieb mit Einhaltung von Informationspflichten gegenüber Betroffenen und Werbewidersprüchen.
- Prüfung der Verfahren zur Berichtigung, Sperrung und Löschung gespeicherter personenbezogener Daten.
- Prüfung der getroffenen technischen und organisatorischen Maßnahmen (§ 9 Bundesdatenschutzgesetz) zum Datenschutz.
- Schulung Ihrer mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter hinsichtlich der relevanten Bestimmungen des Bundesdatenschutzgesetzes.
- Regelung des Verfahrens zur Verpflichtung Ihrer mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter auf das Datengeheimnis (§ 5 Bundesdatenschutzgesetz).
- Prüfung der bei Auftragsdatenverarbeitungen seitens Ihrer Auftragnehmer (Dienstleister) getroffenen technischen und organisatorischen Maßnahmen (§ 9 Bundesdatenschutzgesetz) zum Datenschutz.
- Prüfung von Videoüberwachungen in öffentlich und nicht-öffentlich zugänglichen Bereichen.
- Führung von Übersichten über die verarbeiteten personenbezogenen Daten und die zu ihrer Verarbeitung eingesetzten Datenverarbeitungsanlagen (interne Verarbeitungsübersichten, öffentliches Verfahrensverzeichnis).
- Erstellung von jährlichen Tätigkeitsberichten zum Nachweis eines wirkungsvollen Datenschutzes.
- Bearbeitung von Anfragen Ihrer Kunden oder Lieferanten oder internen Stellen aus Ihrem Unternehmen zum Datenschutz.