Durch die fortschreitende Verbreitung der Verarbeitung personenbezogener Daten sind die Gefahren von Datenschutzverstößen gestiegen. Um diese Gefahr zu begrenzen, misst der Gesetzgeber dem Prinzip der innerbetrieblichen Selbstkontrolle durch den Datenschutzbeauftragten (DSB), das in der EU-Datenschutzgrundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) seinen Niederschlag findet, eine große Bedeutung zu. Die wesentlichen Rechtsgrundlagen für den betrieblichen Datenschutzbeauftragten finden sich in den Artikeln 37 bis 39 DSGVO und § 38 BDSG.

1. Wann und wie muss ein Datenschutzbeauftragter benannt werden?

Ein Datenschutzbeauftragter ist zu benennen, wenn in einem Betrieb in der Regel mindestens zwanzig Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Zu der Zahl der Personen zählen auch Teilzeitkräfte, Auszubildende, Leihpersonal sowie Geschäftsführer.

Unter personenbezogenen Daten sind Informationen und Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen.

In bestimmten Fällen ist ein Datenschutzbeauftragter unabhängig von der Anzahl der mit der automatisierten Verarbeitung von Daten beschäftigten Personen zu benennen. Nämlich dann, wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Das gleiche gilt, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Ebenso ist die Benennung eines Datenschutzbeauftragten notwendig, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonders schützenswerter Daten besteht. In diesem Sinne besondere Kategorien von personenbezogenen Daten sind zum Beispiel gemäß Artikel 9 DSGVO solche Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Auch personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO unterfallen diesem besonderen Schutzzweck.

Die Benennung des Datenschutzbeauftragten sollte schriftlich nach Aufnahme der Tätigkeit erfolgen. Handelt es sich um einen externen Datenschutzbeauftragten sollte über die Tätigkeit ein entsprechender Dienstleistungsvertrag mit allen wesentlichen Inhalten geschlossen werden.

Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen, eine unternehmensinterne Bekanntmachung genügt nicht. Die Darstellung der Kontaktdaten auf einer uneingeschränkt zugänglichen Internethomepage dürfte hingegen genügen. Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde des jeweiligen Bundeslandes zu melden. In Nordrhein-Westfalen finden Sie hier das Meldeportal für den DSB.

2. Welche Freiwillige Benennung eines Datenschutzbeauftragten?

Es kann sinnvoll sein, für das eigene Unternehmen einen Datenschutz-beauftragten zu benennen, obwohl dies nach den zuvor genannten Grundsätzen nicht verpflichtend wäre.

Die Pflicht zur Erfüllung der Anforderungen der DSGVO trifft den Verantwortlichen nämlich in jedem Fall. Daher ist unter Umständen die freiwillige Benennung eines Datenschutzbeauftragten vorteilhaft, um entsprechende Anforderungen aus dem Datenschutz durch die Unterstützung geschulte Fachleute erfüllen zu können. Datenschutzbeauftragte – ob freiwillig oder gesetzlich vorgegeben benannt – können externe Personen aber auch interne Mitarbeiter sein. Für intern benannte Datenschutzbeauftragte greift ein strengeres Kündigungsrecht. Für freiwillig intern benannte Datenschutzbeauftragte gilt dieser besondere Kündigungsschutz des § 38 Absatz 2 BDSG i. V. m. § 6 Absatz 4 BDSG nicht.

3. Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Die wesentlichen Aufgaben des Datenschutzbeauftragten werden in Artikel 39 DSGVO genannt:

• Unterrichtung und Beratung der Verantwortlichen und Beschäftigten bezüglich ihrer datenschutzrechtlichen Rechte und Pflichten
• Überwachung der Einhaltung der gesetzlichen Datenschutzvorschriften und der internen Datenschutzrichtlinien, etwa durch Prüfungen oder regelmäßige Kontrollen
• Beratung bei der Datenschutz-Folgeabschätzung
• Unterstützung bei der Schaffung von Transparenz in der betrieblichen Datenverarbeitung
• Beratung und Prüfung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme
• Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme
• Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung
• Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen
• Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes
• Zusammenarbeit und Ansprechpartner für die Aufsichtsbehörden
• Bei der Erfüllung seiner Aufgaben trägt er dem damit verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung zu berücksichtigen hat.

4. Welche Rechte und Pflichten haben Datenschutzbeauftragte und Unternehmen?

Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte eine Reihe von Befugnissen und Rechten gegenüber der Geschäftsführung, die ihn bei seiner Aufgabenerfüllung aktiv zu unterstützen hat:

• Die Geschäftsführung hat dem internen Datenschutzbeauftragten die erforderliche Zeit zur Wahrnehmung seiner Tätigkeit einzuräumen und ihm die Möglichkeit zur eigenen sowie zur Schulung der Mitarbeiter zu geben (Freistellungspflicht).
• Dem internen Datenschutzbeauftragten sind die erforderlichen Mittel wie Hilfspersonal, Geräte u. ä. zur Verfügung zu stellen. Zur Durchführung vertraulicher Gespräche sollten ggf. auch eigene Räumlichkeiten zur Nutzung überlassen werden (Nutzungsrechte). Dem externen Datenschutzbeauftragten sollte ein Ansprechpartner im Unternehmen zugeteilt werden.
• Dem Datenschutzbeauftragten ist eine Übersicht über die Dateien und über die Datenverarbeitungsanlagen bereitzustellen (Zugangs- und Einsichtsrechte).
• Bei neuen Projekten im Rahmen der automatisierten Verarbeitung ist der Datenschutzbeauftragte rechtzeitig zu informieren, damit er notwendige Datenschutzaspekte einbringen kann (Informationsrechte).
• Bei der Ausführung seiner Aufgaben unterliegt der Datenschutzbeauftragte keinen Weisungen (Weisungsfreiheit).
• Der interne Datenschutzbeauftragte ist für die Dauer seiner Amtszeit nicht mehr ordentlich, sondern nur noch außerordentlich kündbar (Sonderkündigungsschutz).
• Nach Ablauf der Benennung ist der interne Datenschutzbeauftragte für die Dauer eines Jahres nicht mehr ordentlich, sondern nur außerordentlich kündbar (nachwirkender Sonderkündigungsschutz).
• Der Arbeitgeber ist verpflichtet, auf eigene Kosten dem internen Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen, damit dieser für die Erfüllung seiner Aufgaben die erforderliche Sachkunde erlangt (Kostenerstattungspflicht).
• Der interne Datenschutzbeauftragte ist der Geschäftsführung disziplinarisch unmittelbar zu unterstellen und es ist für interne und externe Datenschutzbeauftragte ein direktes Vortragsrecht und eine direkte Vortragspflicht sicherzustellen (Informations- und Berichtspflicht).
• Der Datenschutzbeauftragte ist im Rahmen seiner Aufgaben zur Geheimhaltung verpflichtet (Geheimhaltungspflicht).

5. Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?

Der Datenschutzbeauftragte muss für seine Aufgaben die erforderliche Fachkunde und Zuverlässigkeit besitzen. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt. Dabei ist die Fachkunde einzelfallabhängig vom jeweiligen Bedarf im Unternehmen festzustellen. Kriterien sind hierbei insbesondere der Umfang der Datenverarbeitung und der Schutzbedarf der personenbezogenen Daten im Unternehmen.

Zur erforderlichen Fachkunde gehören EDV-technische, betriebswirtschaftliche und datenschutzrechtliche Kenntnisse. Zu erwarten sind auch organisatorische und pädagogische Fähigkeiten, sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit.

Der Datenschutzbeauftragte ist nicht gehindert im Unternehmen weitere Aufgaben und Pflichten wahrzunehmen. Es ist jedoch sicherzustellen, dass diese nicht zu einem Interessenkonflikt führen. Zur Vermeidung von Interessenskonflikten ist von einer Bestellung von folgenden Gruppen abzuraten:

• Geschäftsführern,
• Leitern von Personal-, Marketing- oder IT-Abteilungen sowie
• Betriebsratsmitgliedern

Nicht zwangsläufig ist ein Mitarbeiter des Unternehmens zum Datenschutzbeauftragten zu benennen. Wie bereits erwähnt, besteht die Möglichkeit einen externen Berater zum Datenschutzbeauftragten zu benennen.

5. Was droht bei Verstößen?

Bei Verstößen gegen Vorschriften des Datenschutzrechts können Bußgelder drohen. Dies gilt auch für die Vorschriften über den Datenschutzbeauftragten, z.B. die Benennungspflicht oder Einhaltung der Rechte des Datenschutzbeauftragten. Bei Verstößen können Geldbußen bis zu 10.000.000 EUR oder von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

Der Umgang mit personenbezogenen Daten zukünftiger bzw. bereits beschäftigter Mitarbeiter regelt insbesondere die Datenschutzgrundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG). Im Folgenden soll ein Überblick über die wesentlichen Regelungen verschafft werden.

Beschäftigte

Wer gilt eigentlich als Beschäftigter? Beschäftigte i.S.d. Datenschutzrechts sind zunächst alle privatrechtlich verpflichteten Arbeitnehmerinnen und Arbeitnehmer. Darüber hinaus gilt die Beschäftigteneigenschaft von Leiharbeitern auch im Verhältnis zum Entleiher, also nicht nur zum Verleiher. Des Weiteren fallen auch Bewerber, die sich für ein Unternehmen interessieren, unter diese Definition.

Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die eindeutig einer bestimmten natürlichen Person zugeordnet sind oder diese Zuordnung zumindest mittelbar erfolgen kann. D.h. alle Informationen/Daten, die eine Person identifizierbar machen. Die Informationen können sich sowohl auf persönliche als auch auf sachliche Verhältnisse beziehen. Folgende Angaben sind beispielsweise personenbezogene Daten:

• Name
• Geburtsdatum
• Anschrift
• E-Mail-Adresse
• Telefonnummer
• Beruflicher Werdegang
• Körperliche Merkmale
• Gesundheitsdaten
• Beziehungen
• Religionszugehörigkeit
• Politische Orientierung
• Ethnische Herkunft
• Steuerrechtliche Angaben
• Sozialrechtliche Angaben

Verarbeitung von Beschäftigtendaten

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Auch die Verarbeitung von Beschäftigtendaten auf der Grundlage von Kollektivvereinbarungen ist zulässig. Dazu gehören Tarifverträge sowie Betriebs- und Dienstvereinbarungen. Beschäftigtendaten dürfen in diesem Fall ebenso verarbeitet werden, soweit es für die Rechte und Pflichten der Interessenvertretungen der Beschäftigten erforderlich ist.

Beschäftigte können auch freiwillig in eine Datenverarbeitung einwilligen. § 26 Abs. 2 BDSG konkretisiert das Merkmal “freiwillig” dahingehend, dass die Freiwilligkeit im Beschäftigungsverhältnis vom Grad der Abhängigkeit des Beschäftigten sowie den konkreten Umständen der Erteilung abhängig ist. Freiwilligkeit liegt vor, wenn der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder der Arbeitgeber und der Beschäftigte gleichgelagerte Interessen verfolgen. Der Beschäftigte muss aber eine echte Wahlmöglichkeit haben, ob er in die Verarbeitung seiner Daten einwilligt. Ihm darf durch Nicht-Erteilung der Einwilligung oder den späteren Widerruf kein Nachteil entstehen. Die Einwilligung selbst hat schriftlich zu erfolgen und die/der Beschäftigte muss auf die jederzeitige Widerrufbarkeit der Einwilligung hingewiesen werden.

Die Verarbeitung besonderer Kategorien personenbezogener Daten, aus denen etwa die ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, der Gesundheitszustand oder die Gewerkschaftszugehörigkeit hervorgehen, ist gem. § 26 Abs. 3 BDSG zulässig, wenn sie für die Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist.

Die zuvor genannten Regelungen gelten auch, wenn die Daten nicht in einem Dateisystem gespeichert werden.

Es dürfen immer nur die Daten erhoben und verarbeitet werden, die tatsächlich für die personalwirtschaftlichen Belange notwendig sind (Datenminimierungspflicht). Verlässt also ein Mitarbeiter das Unternehmen, so sind dessen Daten, sofern sie nicht aufgrund gesetzlicher Vorgaben aufzubewahren sind, nachweisbar zu löschen. Solche gesetzlichen Aufbewahrungsfristen finden sich beispielsweise im:

          Arbeitsrecht: 

• § 17 Abs. 1 und Abs. 2 MiLoG, Nachweis über Beginn, Ende und Dauer der täglichen Arbeitszeit bei geringfügig Beschäftigten, 2 Jahre
• § 27 Abs. 5 MuSchG, Unterlagen über Beschäftigungsart und –zeiten werdender Mütter, 2 Jahre
• § 50 Abs. 2 JArbSchG, alle relevanten Unterlagen nach dem JArbSchG zwei Jahre für die Aufsichtsbehörde
• § 11 Abs.2 S. 2 BetrAVG, Unterlagen zur Ermittlung der Bemessung des Beitrags zum Pensionssicherungsverein, 6 Jahre
  
  Sozialversicherungsrecht:
• § 165 Abs. 4 SGB VII, Aufzeichnungen über geleistete Arbeitsstunden von Beschäftigten für die gesetzliche Unfallversicherung, 5 Jahr
  
  Handelsrecht:
• § 257 HGB Abs. 4, Handelsbücher, Jahresabschlüsse und Buchungsunterlagen, 10 Jahre; Buchungsbelege 8 Jahre; Handelsbriefe, 6 Jahre
  
  Steuerrecht:
• § 41 Abs. 1 S. 9 EStG Lohnkonten bis zum Ablauf des 6. KJ
• § 147 Abs. 3 AO Handelsbücher, Jahresabschlüsse und Buchungsunterlagen sowie Zollunterlagen, zehn Jahre; Buchungsbelege 8 Jahre; Handelsbriefe und sonstige für die Besteuerung bedeutende Unterlagen sechs Jahre, sofern keine kürzeren Aufbewahrungsfristen aus anderen Steuergesetzen zugelassen sind
• § 14b Abs. 1 Satz 1 UStG Rechnungen, 8 Jahre

Die Daten dürfen auch nur so lange gespeichert werden, bis der Zweck der Verarbeitung erfüllt ist. Beispielsweise dürfen Bewerbungsunterlagen von abgelehnten Bewerbern nur maximal sechs Monate aufbewahrt werden. Es sei denn, es liegt eine Einwilligung des Bewerbers vor, diese weiter vorzuhalten, um beispielsweise bei künftigen Ausschreibungen berücksichtigt zu werden (Bewerberpool).

Eine Verwendung von Daten zu einem anderen als dem ursprünglichen und notwendigen Zweck ist unzulässig. Daher darf ein Unternehmen Mitarbeiterdaten auch nicht einfach an einen Dritten weitergeben, wenn die Weitergabe nicht aufgrund einer gesetzlichen Rechtsgrundlage nach Art. 6 DSGVO erfolgt. Hierunter fällt auch die Einwilligung (Zweckbindung).

Informationspflichten gegenüber den Beschäftigten

Die betroffenen Beschäftigten müssen bereits zum Zeitpunkt der Erhebung der Daten über den Zweck, die Dauer der Speicherung und gegebenenfalls über die Empfänger der Daten informiert werden.  Den Beschäftigten müssen ferner Name und die Kontaktdaten des Verantwortlichen für die Datenverarbeitung bzw. dessen Vertreter mitgeteilt werden. Wenn ein Datenschutzbeauftragter erforderlich ist, müssen auch diese Kontaktdaten mitgeteilt werden. Daneben müssen die Beschäftigten über folgende Rechte informiert werden:

• Recht auf Auskunft: Auf Nachfrage muss Beschäftigten eine umfassende Auskunft über die Daten, die von ihnen gespeichert werden, gegeben werden.
• Recht auf Berichtigung: Wurden von dem Beschäftigten falsche Daten erhoben oder sind diese veraltet, so müssen diese korrigiert werden.
• Recht auf fristgemäße Löschung der verarbeiteten Daten: Beschäftigte können verlangen, dass ihre Daten nach Ablauf der Speicherfrist gelöscht werden.
• Recht auf Einschränkung der Verarbeitung: Werden Daten von Beschäftigten über das erforderliche Maß hinaus verarbeitet, können Beschäftigte eine Einschränkung der Verarbeitung fordern.
• Recht auf Datenübertragbarkeit: Der Mitarbeiter hat das Recht, die ihn betreffenden personenbezogenen Daten, die er dem Arbeitgeber bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten
• Recht auf Beschwerde bei der Aufsichtsbehörde: Sind Beschäftigte der Ansicht, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, können sie sich bei einer Aufsichtsbehörde beschweren.

Wie die Unternehmen den betroffenen Personen die Informationspflichten mitteilen, steht diesen frei. Eine Möglichkeit wäre, auch innerhalb eines Unternehmens für die Beschäftigten eine Datenschutzerklärung aufzusetzen, die die notwendigen Informationen enthält.

Rechenschaftspflicht

Der Arbeitgeber muss gegenüber Anfragenden die Einhaltung der Datenschutzgrundsätze bei der Verarbeitung personenbezogener Daten nachweisen können. Eine entsprechende Datenschutzerklärung, die den Umgang mit personenbezogenen Daten im Unternehmen beschreibt, kann hierbei die Grundlage bilden. Besonderes Augenmerk sollte hierbei auf Datenminimierung und Speicherbegrenzung gelegt werden.

Sicherheit der Datenverarbeitung

Zum Schutz der Daten müssen bei der Verarbeitung geeignete technische und organisatorische Maßnahmen getroffen werden. Beispielsweise passwortgeschützte Zugriffsmöglichkeiten für einen notwendigen Personenkreis oder andere. Pseudonymisierungs-, Anonymisierungs- und Verschlüsselungsverfahren.

Verzeichnis von Verarbeitungstätigkeiten

Werden personenbezogene Daten verarbeitet, müssen diese in eine geeignete Verzeichnisstruktur eingebettet sein (beschränkte Zugriffsmöglichkeit, Datenportabilität).

Meldung von Datenschutzverstößen

Datenschutzverstöße müssen innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet werden.

Sanktionen

Ein Verstoß gegen die Bestimmungen des Beschäftigtendatenschutzes kann mit einer Geldbuße bis zu 20 Millionen Euro bzw. bis zu 4 % des Jahresumsatzes geahndet werden.

Datenschutz gilt grundsätzlich auch im Geschäftsverkehr mit anderen Unternehmen. Einzelangaben über juristische Personen, wie zum Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein.

In der Regel haben Sie bei Firmenkunden einen Ansprechpartner und erheben z. B. Name, personalisierte E-Mail-Adresse, Funktion im Unternehmen usw. Hierbei handelt es sich wiederum um personenbezogene Daten, da eine natürliche Person identifizierbar ist.

Ja, die DSGVO unterscheidet nicht zwischen Papier- und elektronischer Verarbeitung. Bei einer papiergebundenen Datenverarbeitung muss aber eine strukturierte Sammlung von personenbezogenen Daten vorhanden sein. Kleine Notizen auf Blöcken oder „Post-it“ Aufkleber fallen also nicht darunter, wenn sie nicht geordnet abgelegt werden.

Ja, wenn sie Waren oder Dienstleistungen anbieten oder die Verhaltensweisen ihrer Kunden in Europa zum Beispiel mittels „Profiling“ überwachen, wird die DSGVO angewendet.
 

Für die Rechtmäßigkeit gibt es mehrere Rechtsgrundlagen. Im geschäftlichen Verkehr mit Kunden kommen insbesondere vertragliche Vereinbarungen und die Einwilligung in Betracht. Daneben können auch Gesetze eine Verarbeitung rechtfertigen.
 

Nein, Sie benötigen für jede Verarbeitung von personenbezogenen Daten eine datenschutzrechtliche Rechtsgrundlage (etwa Vertrag oder Anbahnung eines Vertrags, Einwilligung, Interessenabwägung berechtigtes Interesse). Die Rechtsgrundlage kann in bestimmten Fällen auch eine Einwilligung sein (z. B. Anmeldung zum Bezug eines Newsletters, Geburtstagsliste von Mitarbeitern). Beruht die Datenverarbeitung auf einer vertraglichen Basis, um den Vertrag abzuwickeln, sind Einwilligungen für die Erhebung und Verarbeitung der Daten nicht erforderlich. Aber Vorsicht: Sollen die so erhobenen Daten für andere Zwecke als die Vertragsabwicklung verarbeitet werden (z. B. Verwertung der Daten für eine Studie oder Weitergabe der Daten an Dritte), so bedarf es einer Einwilligung für den neuen Zweck.
 

Sie bedeutet, dass Unternehmen in der Lage sein müssen, gegenüber Aufsichtsbehörden nachzuweisen, dass sie alle Vorgaben des Datenschutzes einhalten. Hierzu gehören auch die Datenschutzgrundsätze.
 

Die Daten von Bewerbern, Mitarbeitern und ausgeschiedenen Mitarbeitern dürfen nach § 26 BDSG zur Begründung, Durchführung und Beendigung des Arbeitsverhältnisses verarbeitet werden. Geht eine Datenverarbeitung aber über diesen Zweck hinaus, z. B. die Veröffentlichung von Fotos auf der Firmenhomepage, ist darüber hinaus eine Einwilligung des Mitarbeiters erforderlich. Eine Einwilligung muss immer freiwillig sein. Es dürfen dem Mitarbeiter bei Verweigerung also keine Nachteile drohen. Die Einwilligung sollte schriftlich eingeholt werden.

Zu einem Datenschutz-Managementsystem gehören u. a. die Führung eines Verzeichnisses von Verarbeitungstätigkeiten, ein Vertragsmanagement, Prozesse zur Meldung von Datenpannen und zur Wahrnehmung von Betroffenenrechten, ferner die Schulung von Mitarbeitern sowie deren Verpflichtung zur Verschwiegenheit und ein Datensicherheitskonzept
 

Ein solches Verzeichnis ist eine Zusammenfassung von einzelnen Verarbeitungsvorgängen, bei denen personenbezogene Daten entweder automatisiert (=elektronisch) oder zunächst nicht automatisiert (=analog) verarbeitet werden, aber später in ein Dateisystem gespeichert werden sollen. Der Inhalt eines solchen Verzeichnisses ist gesetzlich geregelt. Das Verzeichnis muss wesentliche Angaben zur Verarbeitung beinhalten. Die Zwecke der Verarbeitung, die Beschreibung der betroffenen Datenkategorien und Personen sind aufzulisten. Eine bestimmte Form ist für das Verzeichnis nicht vorgesehen.
 

Ja, die DSGVO verknüpft Datenschutz und Datensicherheit. Die personenbezogenen Daten, die in dem Unternehmen verarbeitet werden, müssen auch technisch geschützt werden, indem sog. technisch-organisatorische Maßnahmen getroffen sind. Sie hängen von der Schutzwürdigkeit der Daten und der Intensität der Verarbeitung ab. Aber schon aus eigenem Interesse sollte jedes Unternehmen seine Daten – ob personenbezogen oder nicht – ausreichend gegen Fremdzugriffe schützen. Das betrifft auch den Schutz vor Feuer und Wasser, so dass – verschlüsselte - Sicherungskopien an einem anderen Ort aufbewahrt werden sollten. 

Das Niveau der Datensicherheit ist abhängig vom Umfang der Datenverarbeitung, der Schutzwürdigkeit der Daten, ob sie online oder offline verarbeitet werden und den Zugriffsmöglichkeiten auf die Daten.

Zweck der DSGVO ist es vor allem, mehr Transparenz über Datenverarbeitungen gegenüber dem Betroffenen zu schaffen und dessen Rechte (u.a. Auskunft über gespeicherte Daten, Berichtigung oder Löschung von Daten) zu stärken. Gegenüber der Landesdatenschutzaufsicht muss das Unternehmen auf Nachfrage nachweisen können, dass es aktiv Maßnahmen zur Einhaltung dieser Prinzipien und zur Sicherung der Datenverarbeitung umsetzt.

• Es muss ein sog. Verzeichnis von Verarbeitungstätigkeiten mit folgenden Informationen erstellt werden: Die Kontaktdaten des Verantwortlichen (idR das Unternehmen mit dessen Vertreter) und ggf. des Datenschutzbeauftragten (sofern vorhanden), den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien von Empfängern, gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland, die vorgesehene Speicherdauer sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung.

Auf den folgenden bsp. ausgewählten Seiten finden Sie weitere Informationen:

Hinweise zum Verzeichnis von Verarbeitungstätigkeiten

Verarbeitungstätigkeiten - Verantwortlicher

Verarbeitungstätigkeiten - Auftragsverarbeiter

Unter den folgenden Links gibt es Hinweise für einige spezielle kleine Unternehmen:

EDSA-Datenschutzleitfaden

Stiftung Datenschutz

• Die Datenschutzerklärung muss sich nach den Informationspflichten aus Artikel 13, 14 DSGVO richten.

Hierzu finden Sie ein Beispiel einer Datenschutzerklärung für eine „einfache“ Webseite eines nicht öffentlichen Betreibers.:

• Werden die Daten durch einen Dienstleister im Auftrag des Unternehmens verarbeitet (Beispiele: Daten liegen in der Cloud, Newsletterversand über eine Agentur, Betreuung der Webseite), ist ein entsprechender Vertrag zur Auftragsverarbeitung mit dem Dienstleister zu schließen.

Weitere Informationen sowie ein Vertragsmuster finden Sie u.a. hier.

• Werden Daten aufgrund der Einwilligung des Betroffenen verarbeitet, muss diese den Anforderungen der DSGVO entsprechen, das heißt, die Einwilligung muss zweckgebunden erfolgen, freiwillig und aktiv. Ferner muss auf die Möglichkeit des jederzeitigen Widerspruchs hingewiesen werden.

• Eine IT-Sicherheit ist aufzubauen (je nach Größe des Unternehmens im Umfang unterschiedlich)

• Schnelle Reaktionsmechanismen zur Meldung von Datenverstößen an die Aufsicht sind zu schaffen (Datenschutzverletzungen sind binnen 72 Stunden zu melden). Die Aufsichtsbehörden stellen entsprechende Meldeformulare online zur Verfügung.

• Ein Prozess zur Beantwortung von Betroffenenrechten muss vorahnden sein. Die Betroffenenrechte sind das Recht auf Auskunft, das Recht auf Berichtigung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Löschen von Daten, das Recht auf Datenübertragbarkeit, das Recht einen Widerspruch einzulegen. In allen Fällen sind jeweils die gesetzlichen Voraussetzungen zu prüfen. 

• Betriebsvereinbarungen (sofern vorhanden) müssen der DSGVO entsprechen.

• Risikobewertung der einzelnen Verfahren, in welchen personenbezogene Daten verarbeitet werden.

• Sensibilisierung der MitarbeiterInnen

Datenschutzfragen sollten bereits in der Gründungsphase geklärt werden. Wer Produkte wie Apps und Software entwickeln möchte, sollte den Grundsatz „Datenschutz durch Technik/Technikvoreinstellung“ beachten und datenschutzkonforme Produkte herstellen. Richtig umgesetzt, kann Datenschutz auch ein Marketingvorteil sein.
 

Personenbezogene Daten müssen grundsätzlich gelöscht werden, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind, der Zweck, für den sie erhoben worden sind, also erfüllt ist. Die Löschung darf nicht vor Ablauf gesetzlicher Aufbewahrungsfristen erfolgen, z. B. weil es Handelsbriefe (6 Jahre) sind oder steuerrechtliche Gründe (10 Jahre) eine Aufbewahrung vorschreiben. Grundsätzlich empfiehlt sich für jedes Unternehmen, ein sog. „Löschkonzept“ aufzusetzen. Dies ist zukünftig allein deswegen wichtig, um dem Grundsatz der Datenminimierung nach der DSGVO nachzukommen.
 

Ja,

1. bei Unternehmen, deren Kerntätigkeit in der systematischen Überwachung oder Verarbeitung besonderer personenbezogener Daten besteht
2. wenn der Verantwortliche/Auftragsverarbeiter in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (z. B. regelmäßige Kommunikation per E-Mail) oder
3. wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen. Das bedeutet, wenn besonders sensible Daten verarbeitet werden, wie zum Beispiel ethische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse Überzeugungen, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zur sexuellen Orientierung usw. – dann hat das Unternehmen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.
Das gilt nicht bei einem Versicherungsvermittler, der auch Gesundheitsdaten erhebt, da dies nicht seine Kerntätigkeit ist.

• grundsätzlich sind sämtliche Personen, die mit der entsprechenden Verarbeitung beschäftigt sind, zu berücksichtigen, unabhängig von ihrem arbeitsrechtlichen Status als Arbeitnehmer, freie Mitarbeiter, Auszubildende, Praktikanten etc.

• eine zeitweise und kurzfristige Unter- bzw. Überschreitung der maßgeblichen Personenzahl ist unerheblich; wenn eine Person z. B. nur als Urlaubsvertretung mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt wird, ist diese nicht mitzuzählen, da sie diese Aufgabe nicht regelmäßig ausübt

• unerheblich ist, in welchem Umfang die beschäftigte Person diese Aufgabe wahrnimmt, also ob sie beispielweise als Teilzeitkraft diese Aufgabe ausübt (also in einem geringeren zeitlichen Umfang als eine Vollzeitkraft)

Automatisierte Verarbeitung meint IT-gestützte Datenverarbeitung, wie sie mittels Mainframe, Personal Computern (Desktop und Laptop Computern), aber mittlerweile auch mittels Smartphones, Tablet PCs und anderen mobilen Endgeräten erfolgt.

Der Begriff "ständig“ bedeutet nicht notwendig dauernd, verlangt aber, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann Daten verarbeitet, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (z. B. monatlich) anfällt.

Zusammengefasst lassen sich drei Bereiche von Pflichtaufgaben einteilen.

• Interne Aufgaben im Unternehmen (Unterrichtung und Beratung der Geschäftsführung und Mitarbeiter in datenschutzrelevanten Fragen; Überwachung der Einhaltung der rechtlichen Vorgaben; Sensibilisierung und Schulung von Mitarbeitern)

• Anlaufstelle im Verhältnis zur Aufsichtsbehörde und Zusammenarbeit mit dieser

• Anlaufstelle für betroffene Personen

Nein, auch wenn ein betrieblicher Datenschutzbeauftragter nicht bestellt werden muss, ist der Datenschutz einzuhalten. Aufgaben, die klassischerweise dem Datenschutzbeauftragten obliegen, bspw. Unterstützung bei Erstellung des Verarbeitungsverzeichnisses, Schulung von Mitarbeitern, Beratung in datenschutzrelevanten Fragen, muss dann die Geschäftsführung selbst erledigen.
 

Es gibt Vereine und Berufsverbände, die konkrete Kontakte vermitteln können, wie etwa die Gesellschaft für Datenschutz und Datensicherheit e.V. (https://www.gdd.de/der-datenschutzbeauftragte) oder der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. (https://www.bvdnet.de/).

Bei der Auswahl eines externen Datenschutzbeauftragten empfiehlt es sich, mehrere Angebote mit Referenzen einzuholen und die Leistungen und Kosten zu vergleichen. Sie sollten für das Angebot vordefinieren, welche Leistungen Sie z. B. pauschal abgedeckt sehen wollen (z. B. Beratung im Standort-Alltag), oder die für die Erstellung/Überprüfung von Dokumenten (Verarbeitungsverzeichnis, Datenschutzerklärung, technisch-organisatorische Maßnahmen) bzw. Überwachung/Einhaltung datenschutzrechtlicher Vorschriften (z. B. Schulungen der Mitarbeiter, Auftragsverarbeitungen) usw. anfallen. Denkbar ist auch ein Kontingent an Beratungsstunden pro Jahr mit einem Pauschalbetrag abdecken zu lassen und Beratungsbedarf darüber hinaus mit einem vorher vereinbarten Stundensatz abrechnen zu lassen.

Rechtsanwälte aus dem Bereich Datenschutzrecht finden Sie bei der jeweiligen Rechtsanwaltskammer.

Eine Datenschutz-Folgenabschätzung ist eine Abschätzung der Folgen einer Datenverarbeitung mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen. Diese ist immer dann durchzuführen, wenn besonders sensible, personenbezogene Daten verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Sie hat den Zweck, rechtzeitig geeignete Maßnahmen ergreifen zu können, um das Risiko eines Schadens bei den Betroffenen zu minimieren.
 

Der Verantwortliche ist für die Rechtmäßigkeit der Verarbeitung auch dann verantwortlich, wenn er dazu einen externen Dienstleister beauftragt. Das gilt insbesondere für die IT. Ob eine Webseite mit Kontaktformular oder die Betreuung der Kundendatenbank – andere Unternehmen sind dafür eingebunden. Sie haben Zugriff auf die personenbezogenen Daten, die der Auftraggeber für sein Unternehmen benötigt. In einem solchen Falle muss neben dem eigentlichen Auftrag, die konkrete Dienstleistung zu erbringen, noch eine Vereinbarung über die Auftragsverarbeitung geschlossen werden. Denn das erhöhte Gefahrenpotenzial für die Daten wegen des Zugriffs eines Dritten soll vertraglich geregelt werden. Aber Vorsicht! Von AV kann nur dann die Rede sein, wenn der Dienstleister streng nach einem zuvor definierten Verfahren vorgeht, keinen eigenen Gestaltungs- und Ermessenspielraum hat und gegenüber dem Auftraggeber im Hinblick auf die Ausführung der vereinbarten Tätigkeit weisungsgebunden ist. Kurzum: Wenn man den Dienstleister sinnbildlich als „verlängerte Werkbank“ des Auftraggebers betrachten kann. Darunter fallen auch z. B. sog. Trackingsysteme, mit denen nachvollzogen werden kann, wer welche Webseiten besucht hat. Gibt es zudem dadurch Auslandsbezug, weil das Tracking-Unternehmen seinen Sitz z. B. in den USA hat, müssen weitere datenschutzrechtliche Anforderungen erfüllt werden. Gleiches gilt für die Nutzung von Cloud-Anwendungen oder die Verwendung von social Plug-Ins auf den Webseiten, also die Einbindung sozialer Medien.
 

Das beauftragte Unternehmen muss auch unter Datenschutzaspekten geeignet sein. Den Auftraggeber trifft hier eine Prüfpflicht. Nur solche Auftragsverarbeiter dürfen eingesetzt werden, die angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben und so eine Garantie für einen ausreichenden Datenschutz bieten. Als Beleg solcher Garantien können z. B. genehmigte Verhaltensregeln des Auftragsverarbeiters oder Zertifizierungen herangezogen werden.
 

Zur Wahrung des Hausrechts ist eine Videoüberwachung von Personen, die das Geschäftslokal betreten, zulässig, wenn sie insgesamt erforderlich ist, also kein weniger einschneidendes Mittel das Hausrecht wahren kann und die Überwachung nicht überraschend ist. Es muss jedoch frühzeitig, also z. B. am Eingang zum Geschäftslokal darauf hingewiesen und bekannt gegeben werden, wer die Videoüberwachung verantwortet. Wird auch das Gelände vor dem Geschäftslokal überwacht, gilt dasselbe: Hinweis auf die Überwachung und Angabe, wer überwacht.

Die Bilder aus der Videoüberwachung dürfen nur für kurze Zeit (ein – drei Tage) gespeichert werden, es sei denn, es können damit strafbaren Handlungen nachgewiesen werden. Dann dürfen aber nur die konkreten Sequenzen länger gespeichert werden, um sie den Strafverfolgungsbehörden zur Verfügung stellen zu können.

Unternehmen mit einer geschäftlichen Webseite müssen diese anpassen. Dazu gehören Hinweise zu:

• Rechtsgrundlage

• Zweck der Verarbeitung

• Dauer der Speicherung

• Betroffenenrechte

• Übermittlung an andere Stellen

Diese Angaben müssen zu allen Datenverarbeitungen, die auf der Homepage stattfinden, erfolgen, z. B.

• Logfiles,

• Cookies,

• Tracking- und Analysedienste (Google Analytics, Facebook-Pixel etc.),

• Registrierungsmöglichkeiten,

• Einbindung sozialer Netzwerke und

• Nutzung externer Zahlungsdienstleister (Klarna, PayPal etc.).

Auch ein eventuell vorhandenes Newslettersystem sollte im Zusammenhang mit dieser „Dateninventur“ unter die Lupe genommen werden. Möchte ein Kunde einen E-Mail-Newsletter online bestellen, so muss er in die Bestellung einwilligen. Die Einwilligung ist vom Unternehmen nachzuweisen, was beispielsweise über Double-Opt-In-Verfahren erfolgen muss.

Muster: https://www.ldi.nrw.de/datenschutz/medien-und-technik/websites-muster-fuer-datenschutzhinweise

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn z. B. der Verlust von Daten zu einem Risiko für die Rechte und Freiheiten der betroffenen Person führen kann. Der Verstoß muss innerhalb von 72 Stunden an die Datenschutzaufsicht gemeldet werden. Die Aufsichtsbehörden halten dafür ein Online-Meldeformular vor. Die betroffene Person muss ebenfalls informiert werden.
 

Bei Verstößen gegen Datenschutzbestimmungen sieht die DSGVO empfindliche Geldstrafen vor. Die Höhe dieser Strafen kann bei besonders schlimmen Vergehen bis zu 20 Millionen Euro oder vier Prozent des letzten Jahresumsatzes betragen.