Datenschutz FAQ
Grundsätzlich kann ein interner oder ein externer Datenschutzbeauftragter (DSB) bestellt werden.
In beiden Fällen muss gemäß Art. 37 DSGVO der DSB benannt und der Aufsichtsbehörde mitgeteilt werden. Sollte dies nicht rechtmäßig getätigt werden, kann ein Bußgeld bis zu 10.000.000€ oder 2% des Jahresumsatzes die Folge sein (Art. 83 Abs. 4 DSGVO).
Ein betrieblicher DSB kann sowohl intern in Person eines bereits angestellten Mitarbeiters als auch extern in Form eines Dienstleisters bestellt werden. Ausschlaggebende Kriterien sollten dabei an erster Stelle die notwendige berufliche Qualifikation, insbesondere das Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie die Fähigkeit sein, die ein DSB benötigt, um die notwendigen Aufgaben im Unternehmen ordnungsgemäß erfüllen zu können.
Hinsichtlich der Kompetenz muss sich ein interner DSB zunächst zeitintensiven und aufwendigen Weiterbildungsmaßnahmen zur Erlangung der notwendigen Fachkunde unterziehen, während ein externer DSB bereits von Beginn der vertraglichen Kooperation zertifizierte und sofort bereitstehende Expertise vorweisen kann. Im Gegensatz dazu hat jedoch der interne DSB Vorteile bei der Einarbeitung, da ihm die internen Betriebsabläufe bereits bekannt sind, während sich ein externer DSB zunächst mit den betrieblichen Prozessen vertraut machen muss.
Bei der Benennung eines betrieblichen DSB ist auch stets dessen Haftung zu bedenken. Wenn es zu folgenschweren Fehlern auf Basis seiner Beratung kommt, wie beispielsweise Datenmissbrauch von Kundendaten, haftet ein interner DSB mit der beschränkten Arbeitnehmerhaftung. Das bedeutet, dass der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang haftet. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus. Im Gegensatz dazu haftet ein externer DSB für seine Beratung auch bei leichter Fahrlässigkeit in voller Höhe. Dies führt zu einer Risikominimierung für das Unternehmen.
Die DSGVO und das BDSG-neu knüpfen eine Benennungspflicht an verschiedene Voraussetzungen. Dabei besteht jedoch eine niedrige gesetzliche Schwelle für Unternehmen einen internen oder externen Datenschutzbeauftragten (DSB) zu bestellen.
Benennungspflicht nach der DSGVO
Gemäß Artikel 37 Absatz 1 DSGVO ist ein Unternehmen zur Benennung eines DSB in den folgenden Fällen verpflichtet:
Die Kerntätigkeit besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und Artikel 10 DSGVO.
Der Begriff der Kerntätigkeit bezieht sich dabei auf die Haupttätigkeit des Unternehmens. Gemeint sind Geschäftsbereiche, welche für die Umsetzung der Unternehmensstrategie maßgebend sind und nicht lediglich routinemäßige Verwaltungsaufgaben darstellen. Keine Kerntätigkeit liegt bspw. bei der Verarbeitung von Mitarbeiterdaten vor, da dies in der Regel nur ein Unterstützungsprozess ist und deshalb nicht zur Haupttätigkeit des Unternehmens gehört.
Die Verarbeitungsvorgänge müssen eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Dies ist etwa der Fall, wenn die Internetaktivitäten der betroffenen Personen nachvollzogen und zur Profilbildung verwendet werden.
Eine umfangreiche Verarbeitung besonderer Kategorien von Daten liegt bspw. vor, wenn die Haupttätigkeit des Unternehmens in der Verarbeitung solcher Daten besteht, aus welchen die rassische und ethnische Herkunft, politische Meinungen oder religiöse bzw. weltanschauliche Überzeugungen hervorgehen. Umfangreiche Verarbeitung von genetischen Daten, biometrischen Daten sowie Gesundheitsdaten fällt ebenfalls hierunter.
Benennungspflicht nach dem BDSG-neu
Das neue BDSG regelt ferner in § 38 Absatz Satz 1, dass die Benennung des DSB obligatorisch ist, soweit mindestens zwanzig Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unerheblich ist hierbei, ob es sich um Vollzeit- oder Teilzeitbeschäftigte handelt. Miteinzubeziehen sind auch freie Mitarbeiter oder Leiharbeitnehmer, ebenso wie Auszubildende und Praktikanten. Entscheidend ist, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dies ist in der Regel bereits bei einfacher E-Mail-Kommunikation der Fall. Betroffen sind typischerweise Vertriebsmitarbeiter, Mitarbeiter der IT-Abteilung, Sachbearbeiter sowie die Personal- und Finanzabteilungen.
Unabhängig von der Zahl der Mitarbeiter besteht gemäß § 38 Absatz 1 Satz 2 BDSG-neu eine Pflicht zur Benennung, wenn in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet.
Die Benennung sollte aus Beweisgründen in Schriftform erfolgen.
Ein externer Datenschutzbeauftragter (DSB) ist ein zertifizierter und hoch qualifizierter Experte im Datenschutz, der einem Unternehmen als Dienstleister zur Verfügung steht.
Die Grundlage seiner Tätigkeit ist ein kostentransparenter Vertrag, dessen Laufzeit variabel festgelegt wird und der auch beendet werden kann.
Sein Wissen im Datenschutzrecht ist stets auf dem neuesten Stand und sichert dadurch eine hohe Beratungskompetenz. Zur Ausübung seiner Tätigkeit muss er neben dem Datenschutzrecht auch mit weiteren Gesetzen wie dem Telekommunikationsgesetz (TKG) und dem Telemediengesetz (TMG) sowie benachbarten Bereichen des IT-Rechts vertraut sein. Ein externer Datenschutzbeauftragter arbeitet praxisorientiert, effizient und ist für das Unternehmen jederzeit verfügbar.
Ein externer Datenschutzbeauftragter lässt sich anhand verschiedener Faktoren von einem internen Datenschutzbeauftragten differenzieren:
Anfallende Kosten für das Unternehmen: Während bei einem internen Datenschutzbeauftragten zusätzlich zum regulären Gehalt Kosten für Aus- und Fortbildung sowie Erwerb von Literatur vom Unternehmen zu investieren sind, hat ein Unternehmen bei einem externen Datenschutzbeauftragten den Vorteil der transparenten Kostenstruktur, da vertraglich alle Kosten vorab definiert werden.
Kompetenz: Während ein interner Datenschutzbeauftragter zunächst zeitintensive und aufwendige Weiterbildungsmaßnahmen zur Erlangung der Fachkunde vornehmen muss, kann ein externer Datenschutzbeauftragter bereits von Vertragsstart an zertifizierte und sofort abrufbare Fachkunde nachweisen.
Haftung: Ein interner Datenschutzbeauftragter haftet mit der sog. beschränkten Arbeitnehmerhaftung. Das bedeutet, dass der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang haftet. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus. Im Gegensatz dazu haftet ein externer DSB für seine Beratung auch bei leichter Fahrlässigkeit in voller Höhe. Dies führt zu einer Risikominimierung für das Unternehmen.
Kündigung: Ein interner Datenschutzbeauftragter unterliegt besonderem Kündigungsschutz, der mit der Stellung des Betriebsrats gleichzustellen ist. Die Beauftragung eines externen Datenschutzbeauftragten kann hingegen fristgerecht mit Kündigung des Vertrags beendet werden.
Bei einem internen Datenschutzbeauftragten (DSB) übergibt der Geschäftsführer einem Angestellten des Unternehmens die Aufgabe des DSB.
Hierfür muss der Mitarbeiter alle notwendigen Anforderungen an einen DSB erfüllen.
Nach der Benennung zum internen DSB steht der Mitarbeiter unter Kündigungsschutz und hat Rechte auf weitere Ansprüche (wie z. B. eine eigene Ausstattung oder Fortbildungen)
Ferner gibt es auch die Möglichkeit, einen externen Dienstleister als DSB des Unternehmens zu bestellen. Im Gegensatz zum internen DSB ist der externe DSB ein zertifizierter Experte, der Ihrem Unternehmen als Dienstleister zur Verfügung steht. Die weitreichende Kompetenz eines externen und erfahrenen betrieblichen DSB garantiert dabei den besten Schutz für Ihr Unternehmen. Bei transparenter Kostenstruktur, vertraglich festgelegten Preisen sowie einer variablen Vertragslaufzeit kümmert sich der externe DSB effizient um die Belange Ihres Unternehmens und schützt Sie somit vor hohen Bußgeldern und Sanktionen.
Ein interner DSB ist häufig die konstenintensivere Variante, da anfallende Weiterbildungs- und Lohnnebenkosten für den Mitarbeiter anfallen. Hinzu kommt, dass er sich nicht zu hundert Prozent um den Datenschutz des Unternehmens kümmert, da sich ein interner Beauftragter auch noch mit den ihm eigentlich zugedachten Aufgaben im Betrieb beschäftigen muss, sodass er durchschnittlich nur fünfundzwanzig Prozent seiner Arbeitszeit für den Datenschutz aufwenden kann.
Zu den typischen Aufgaben eines Datenschutzbeauftragten (DSB) zählen:
- Beratung der Geschäftsführung in datenschutzrechtlichen Angelegenheiten
- Unterstützung bei Schulungen der Mitarbeiter im Datenschutz
- Kontrolle der technisch-organisatorischen Maßnahmen des Unternehmens
- Überprüfung der Verpflichtung der Mitarbeiter auf das Datengeheimnis
- Erstellung von jährlichen Tätigkeitsberichten
- Überprüfung von Verzeichnissen über Verarbeitungstätigkeiten
- Dokumentation und Prüfung der Auftragsverarbeitung
- Prüfung des IT-Sicherheitskonzepts des Verantwortlichen
- Unterstützung bei der Ausarbeitung eines Löschkonzepts
- Kooperation mit Aufsichtsbehörden
Damit der DSB die dargestellten Aufgaben und Anforderungen erfüllen kann, muss er sämtliche Datenschutzregelungen und deren Auslegung kennen. Das bedeutet, dass nicht nur die DSGVO von Relevanz ist, sondern auch alle bereichsspezifischen Spezialnormen sowie Vereinbarungen mit den Arbeitnehmervertretungen.
Die Aufgaben eines DSB regeln Artikel 38 und Artikel 39 DSGVO. Diese lassen sich in drei Bereiche einteilen:
- die Tätigkeit des DSB im Unternehmen,
- seine Rolle gegenüber den Aufsichtsbehörden und
- seine Funktion gegenüber Betroffenen.
Im Hinblick auf die interne Tätigkeit des DSB im Unternehmen legt die DSGVO die folgenden drei Hauptaufgaben fest:
- Unterrichtung und Beratung des Unternehmens,
- Überwachung der Einhaltung von datenschutzrechtlichen Vorgaben sowie
- Beratung und Überwachung im Rahmen der Datenschutz-Folgenabschätzung.
Die Unterrichtung meint die allgemeine Information über die bestehenden datenschutzrechtlichen Pflichten. Eine Beratung bietet eine aktive Unterstützung beim Lösen von konkreten Problemen, die im Zuge der Umsetzung datenschutzrechtlicher Vorgaben auftauchen.
Die Überwachungspflicht stellt eine typische Compliance-Aufgabe dar. Denn Gegenstand der Überwachung ist nicht nur Wahrung des Datenschutzrechts, sondern auch die Einhaltung der Strategien des Unternehmens. Die Kontrollbefugnis des DSB umfasst dabei die interne Zuweisung von Zuständigkeiten sowie die Sensibilisierung und Schulung der Mitarbeiter sowie diesbezügliche Überprüfungen. Zu beachten ist, dass der DSB für die praktische Umsetzung der Datenschutzvorschriften nicht selbst verantwortlich ist. Vielmehr fällt dies in den Aufgabenbereich des Verantwortlichen.
Im Hinblick auf die Datenschutz-Folgenabschätzung kommt dem DSB eine Kontroll- und Beratungsfunktion zu. Er überwacht insbesondere die ordnungsgemäße Durchführung der Datenschutz-Folgenabschätzung.
Rolle gegenüber den Aufsichtsbehörden
Ferner ist der DSB für die Zusammenarbeit mit den Aufsichtsbehörden zuständig und dient somit als ihr direkter Ansprechpartner in datenschutzrechtlichen Angelegenheiten.
Funktion gegenüber Betroffenen
Schließlich kommt dem DSB die Funktion als Anlaufstelle für Betroffene zu. Diese haben nach der DSGVO das Recht, den DSB zu allen Fragen zu Rate zu ziehen, die mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte (Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit) im Zusammenhang stehen.
Haftung bei Fehlern und Missachtung der Aufgaben
Ein externer DSB haftet für die Erfüllung der o.g. Aufgaben und damit der ihm vertraglich auferlegten Pflichten gegenüber der ihn benennenden Stelle grundsätzlich in vollem Umfang.
Soweit intern ein Arbeitnehmer als DSB benannt ist, gelten dagegen die Grundsätze der beschränkten innerbetrieblichen Arbeitnehmerhaftung. Danach haftet der Arbeitnehmer lediglich bei Vorsatz und grober Fahrlässigkeit in vollem Umfang. Bei leichtester Fahrlässigkeit scheidet eine Haftung des internen DSB aus.
Um die o.g. Aufgaben erfüllen zu können, muss der DSB von der verantwortlichen Stelle im Unternehmen umfassend über alle Vorhaben der automatisierten Erhebung relevanter Daten informiert werden, unabhängig davon, ob er extern oder intern angestellt ist. Ein DSB hat also die Aufgabe, den Ist-Stand des Datenschutzniveaus in einem Unternehmen zu analysieren und infolge dessen der Geschäftsleitung konkrete Vorschläge zur Verbesserung zu unterbreiten.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Zu den betroffenen Personen gehören auch Nicht-EU-Bürger. Ausgenommen sind dagegen juristische Personen, Personenmehrheiten und -gruppen, sowie Verstorbene. Die Informationen können jeglichen Inhalts sein und aus dem gesamten Lebensbereich einer Person stammen.
In der EU-DSGVO werden personenbezogene Daten weiter gefasst als bisher.
Sie umfassen nach Art. 4 Nr. 1 EU-DSGVO alle Informationen zur:
- Genetischen
- Geistigen
- Wirtschaftlichen
- kulturellen und
- sozialen Identität
- einer identifizierten oder identifizierbaren Person.
Eine Definition für die „Verarbeitung“ von Daten findet sich in Art. 4 Nr. 2 DSGVO: Verarbeitung ist jeder, mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dazu gehört das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten. Wenn diese Vorgänge mittels automatisierter Verfahren stattfinden spricht man von „automatisierter Verarbeitung“.
Unternehmen, die sich also unmittelbar oder mittelbar mit der Verarbeitung von Daten befassen, fallen unter die allgemeinen Grundsätze des Datenschutzes:
Die Verarbeitung von personenbezogenen Daten muss rechtmäßig, nach Treu und Glauben und für die betroffene Person nachvollziehbar, d.h. transparent, erfolgen (Art. 5 Abs. 1 lit. a DSGVO)
Es sind nur die Daten zu erheben und zu verarbeiten, die für den Vorgang der Verarbeitung erforderlich und für den Zweck angemessen und notwendig sind (Art. 5 Abs. 1 lit. b, c DSGVO).
Personenbezogene Daten müssen sachlich richtig und auf dem neusten Stand sein. Zudem müssen alle angemessenen Maßnahmen getroffen sein, um bei Unrichtigkeit (im Hinblick auf den Zweck ihrer Verarbeitung) eine Löschung oder eine Berichtigung veranlassen zu können (Art. 5 Abs. 1 lit. d DSGVO).
Zudem sind die Daten nur solange zu speichern, wie es für den Zweck der Verarbeitung erforderlich ist (Art. 5 Abs. 1 lit. e DSGVO).
Die Daten müssen in einer Weise, die angemessene Sicherheit gewährleistet, verarbeitet werden und durch geeignete technische und organisatorische Maßnahmen vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung geschützt sein (Art. 5 Abs. 1 lit. f DSGVO).
Zudem finden sich spezielle Grundsätze zur Datenverarbeitung auch im Telemediengesetz (TMG):
Der Unternehmer hat für den größtmöglichen Schutz der Daten besonders im Hinblick auf Zugriff von Dritten zu sorgen (§ 13 Abs. 4 Nr. 3 TMG).
Der Betroffene hat gegen den Unternehmer Anspruch auf Auskunft über die gespeicherten Daten (§ 13 Abs. 8 TMG).
Die Einhaltung dieser Änderungen liegt nämlich in der Verantwortung der Unternehmen, genauer gesagt der Geschäftsleitung selbst. Zu beachten ist, dass sich diese Verantwortung nicht auf den Datenschutzbeauftragten (DSB) übertragen lässt.
Zu den wichtigsten Änderungen für Unternehmen gehören:
- neue Voraussetzungen für die Benennung eines DSB (Art.37 DSGVO),ergänzt durch § 38 BDSG-neu),
- Pflicht des Verantwortlichen (nicht mehr des DSB) zur Führung eines Verzeichnisses über alle Verarbeitungstätigkeiten (Art. 30DSGVO),
- Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durch den Verantwortlichen (nicht mehr durch den DSB),
- Erweiterung der Betroffenenrechte in Art 12-23 DSGVO, z.B. um das Recht auf Datenübertragbarkeit,
- neue Vorgaben hinsichtlich der Auftragsverarbeitung (Art. 28 und 29 DSGVO),, bspw. im Hinblick auf Einsatz von Subunternehmern sowie
- Pflicht zur Einführung von Privacy by Design (Art 25 Abs. 1 DSGVO) und Privacy by Default (Art. 25 Abs. 2 DSGVO).
Um die Einhaltung der datenschutzrechtlichen Anforderungen zu gewährleisten, ist eine schrittweise, systematische Herangehensweise notwendig. Hierzu gehört nicht nur ein gut strukturiertes Datenschutz-Managementsystem, sondern bspw. auch entsprechende Sensibilisierung sowie regelmäßige Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter.
Mit Einführung der sog. „Rechenschaftspflicht“ (Art. 5 Abs.2 DSGVO) muss der Verantwortliche auch jederzeit in der Lage sein, die Einhaltung der datenschutzrechtlichen Regelungen nachzuweisen. Dies führt zu weitrechenden Dokumentationspflichten des Unternehmens.
Überwachung der Einhaltung der DSGVO
Gemäß Art. 39 Abs. 1 lit. B DSGVO gehört die Überwachung der Einhaltung der DSGVO sowie anderer datenschutzrechtlicher Vorschriften zu den Kernaufgaben eines DSB. Letzterer hat im Falle eines Verstoßes gegen die DSGVO das Unternehmen zu unterrichten, so dass dieses seiner Verantwortung Rechnung tragen kann und die Einhaltung der relevanten Vorschriften sicherstellt.
Ferner werden Unternehmen hinsichtlich der Einhaltung der DSGVO-Regelungen von den zuständigen Aufsichtsbehörden kontrolliert (§ 40 BDSG-neu). Im Falle eines Verstoßes drohen Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes des Unternehmens.
Die Höhe der Bußgelder bei einem Datenschutzverstoß kann sich gem. Art. 83 Abs.4 und Abs.5 DSGVO auf bis zu 20.000.000€ belaufen.
Die Höhe hängt gem. Art. 83 Abs 4 DSGVO u.a. von folgenden Kriterien ab:
- Art, Schwere und Dauer des Verstoßes
- Vorsatz oder Fahrlässigkeit
- jegliche getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens
- Grad der Verantwortung im Hinblick auf die technischen und organisatorischen Maßnahmen
- frühere Verstöße gegen Datenschutzrecht
- Umfang der Zusammenarbeit mit der Datenschutzaufsichtsbehörde
- Kategorien der durch den Verstoß betroffenen Daten
- Art und Weise, wie der Verstoß bekannt gemacht wurde (insbesondere Selbstanzeige)
- die Einhaltung früher angeordneter Maßnahmen
Abgesehen von diesen gesetzlichen Sanktionsvorschriften können den Unternehmer bei Datenverlust selbstverständlich auch Schadensersatzansprüche von geschädigten Personen treffen. Ein Datenschutzverstoß kann dabei schnell zur Zahlungspflicht erheblicher Summen führen. Unter Umständen kann eine Durchgriffshaftung eine Vollstreckung in das Privatvermögen des Geschäftsführers zur Folge haben. Eine möglicherweise bestehende Versicherung greift dabei bei Gesetzesverstößen nicht.