Externer Datenschutzbeauftragter

Betrieblicher Datenschutzbeauftragter

By

Man benötigt einen betrieblichen Datenschutzbeauftragten, wenn personenbezogene Daten, unter Verwendung von Datenverarbeitungsanlagen, automatisiert werden und mit diesen Daten mehr als 9 Mitarbeiter, im Zuge ihrer normalen Tätigkeit, beschäftigt sind.

Oder, wenn die Datenverarbeitung von personenbezogenen Daten nicht automatisiert, sondern  z.B. in schriftlicher Form erfolgt und mit diesen Daten mindestens 20 Mitarbeiter arbeiten.

Weiterhin gibt es eine Regelung die unabhängig von der Anzahl der Mitarbeiter zutreffen kann, nämlich dann wenn ein Verfahren einer Vorabkontrolle unterliegt ( § 4 d Abs. 5 BDSG ), auch dann muss ein betrieblicher Datenschutzbeauftragter gestellt werden.

Wie man sieht gibt es eine Reihe von Anforderungen die man prüfen muss, ob man gesetzlich dazu verpflichtet ist einen Datenschutzbeauftragten zu bestellen.

Aber welche Fachliche Qualifikation muss ein Datenschutzbeauftragter aufweisen?

Der betriebliche Datenschutzbeauftragte, ob intern oder extern, muss nachgewiesene Kenntnisse im Bereich des Datenschutzrechtes als auch der Informationstechnologie aufweisen, um die Zuverlässigen Aufgaben eines Datenschutzbeauftragten zu erfüllen.  Die Zuverlässigkeit besteht auch darin, dass im Unternehmen kein Interessenskonflikt entsteht, wenn ein interner Mitarbeiter die Aufgabe des betrieblichen Datenschutzbeauftragten übernimmt.

Ein Beispiel aus der Praxis:

Der IT-Leiter in einer Gesellschaft wird vom Geschäftsführer bestimmt ab sofort die Aufgaben des betrieblichen Datenschutzbeauftragten zu übernehmen. Der Geschäftsführer schickt den IT-Leiter daraufhin zu einer Datenschutzschulung, um die Qualifikation im Bereich Datenschutzrecht abzudecken. Die IT-Kenntnisse hat der IT-Leiter aus seiner praktischen Erfahrung bereits.

Ist diese Szenario zulässig?

Nein, denn hier würde ein Interessenskonflikt zum Tragen kommen. Der IT-Leiter  würde bei einem Teil der Verfahren sich selber bzw. seine Abteilung kontrollieren und es ist davon auszugehen das hier keine objektive Bewertung zustande kommen könnte. Weiterhin sind folgende Personen, aus dem eigenen Unternehmen, nicht für die Stelle des betrieblichen Datenschutzbeauftragten geeignet.

Inhaber, Vorstände, Geschäftsführer, IT-Leiter, leitende Mitarbeiter die in einem engen Bezug zu personenbezogenen Datenverfahren stehen, sowie andere Stellen die in einem direkten Interessenskonflikt stehen könnten.

Wie muss ein betrieblicher Datenschutzbeauftragter bestellt werden?

Wenn man einen Datenschutzbeauftragten bestellt, muss dieses schriftlich geschehen. Am besten bei Antritt, spätestens aber innerhalb eines Monats nach der Aufnahme der Tätigkeit als betrieblicher Datenschutzbeauftragter. Eine Mustervorlage für eine schriftliche Bestellung finden Sie hier: Bestellung betrieblicher Datenschutzbeauftragter

Hinweis: Unterlässt man die schriftliche Bestellung, so kann dieses mit einer Geldbuße von bis zu 50.000 Euro geahndet werden! ( § 43 Abs. 1 BDSG )

Was sind die Aufgaben des betrieblichen Datenschutzbeauftragten?

Diese Aufgaben ergeben sich nach dem BDSG § 4g, hier eine kurze Aufführung der Aufgaben die der Datenschutzbeauftragte u.a. zu erfüllen hat.

  • Kontrollen auf Vorabkontrollen
  • Prüfung der Datenverarbeitungsprogramme welche personenbezogene Daten verarbeiten
  • Prüfung zur Verpflichtung auf das Datengeheimnis
  • Unterweisung/Schulung der Mitarbeiter welche personenbezogene Daten, mit Datenverarbeitungsprogrammen,  verarbeiten.
  • Prüfung neuer Verfahren  welche personenbezogene Daten berühren.
  • Auskunftserteilung gegenüber Behörden und Mitarbeitern zum Thema Datenschutz
  • Führen eines Verfahrensverzeichnisses (Beispiel Verfahrensverzeichnis-intern )
  • Richtlinien Erstellung / betriebliche Anweisungen verfassen, zum korrekten Umgang mit personenbezogenen Daten
  • Vertragskontrolle bei Auftragsdatenverarbeitern
  • Vertretung des Unternehmens in Sachen Datenschutz
  • Überwachung der personenbezogenen Verfahren
  • Erstellung einer Datenschutzdokumentation

Sowie weiter Aufgaben die sich nach BDSG ergeben. Wie man hier sieht hat man als Datenschutzbeauftragter einiges anzugehen und gerade die ersten Schritte und Hürden müssen dabei gemeistert werden.

Die Rechte des Datenschutzbeauftragten?

Natürlich hat der betriebliche Datenschutzbeauftragte nicht nur Pflichten sondern auch Rechte, welche das u.a. sind möchten wir Ihnen hier kurz schildern.

  • Kontrollrecht zur Wahrnehmung seiner Tätigkeit als Datenschutzbeauftragter
  • Sollte es für die Aufgabe als Datenschutzbeauftragter erforderlich sein, müssen dem Mitarbeiter auch Räume und Geräte, sowie Informationsmaterial gestellt werden
  • Der Datenschutzbeauftragte hat kein Weisungsrecht gegenüber anderer Abteilungen im Unternehmen, oder der Geschäftsführung gegenüber, ist aber Weisungsfrei bei den Anwendungen die den Datenschutz betreffen.
  • Zeugnisverweigerungsrecht § 4f Abs. 4a BDSG
  • Rechte zur Weiterbildung im Bereich Datenschutz, um Fachlich auf dem aktuellsten Stand zu sein

Kündigung des Datenschutzbeauftragten

Diesen Part werden wir in 2 Teile splitten, im ersten Teil geht es um die Widerrufung der Bestellung des internen betrieblichen Datenschutzbeauftragten.

Diese Bestellung, für den internen Datenschutzbeauftragten, kann nur widerrufen werden, wenn eine Aufsichtsbehörde dieses vorgibt oder Voraussetzungen zum Tragen kommen, die eine fristlose Kündigung gerechtfertigten ( § 626 BGB ). Ein Paradebeispiel wäre, wenn der Mitarbeiter seine Pflicht auf Verschwiegenheit gebrochen hat. Ansonsten hat der interne betriebliche Datenschutzbeauftragte ein gesondertes Kündigungsrecht § 4f Abs. 3 BDSG, welches deren eines Betriebsratsmitgliedes gleichzusetzen ist.

Bei externen Datenschutzbeauftragten sieht die Sachlage etwas anders aus. Hier wird ein Dienstleistungsvertrag geschlossen, der zum vereinbarten Zeitpunkt gekündigt werden kann und dieses ohne Wenn und Aber!

Internen oder externen Datenschutzbeauftragten?

Abschließen stellt sich häufig die Frage ob man einen internen Mitarbeiter zum betrieblichen Datenschutzbeauftragten benennt, oder diesen Part an eine externe Firma auslagert. Hier sind natürliche einige Vor- und Nachteile versteckt, die wir kurz erläutern wollen.

Wenn man einen internen Mitarbeiter bestellen möchte, dann muss man erst einmal jemanden mit der Fachlichen Qualifikation finden, oder diesen in allen Bereich ausbilden lassen (Schulungen, Prüfungen, Weiterbildungen), dann darf dieser Mitarbeiter in keinem direkten Interessenskonflikt stehen, wie oben schon beschrieben. Dieses engt natürlich die Anzahl der Personen im eigenen Unternehmen massiv ein.

Ein externer Dienstleister hat dagegen mehr als nur einen Vorteil. Zu allererst besteht natürlich kein Interessenskonflikt. Weiterhin sind die externen Datenschutzbeauftragten alle in dem Bereich ausgebildet und bilden sich ständig fort. Es gibt auch nicht die so oft gehörte „Betriebsblindheit“, sondern ein externer Datenschutzbeauftragter wird systematisch an die Aufgaben rangehen. Hier profitieren die Unternehmen natürlich auch von der bereits vorhandenen Erfahrung. Für ein Unternehmen vielleicht auch nicht ganz uninteressant ist, dass man die Haftung dem externen Dienstleister überschreibt und die Haftung nicht mehr selbst beim Unternehmen liegt. Als Nachteil wird oft angeführt, dass die internen Betriebsstrukturen nicht bekannt sind, aber dieses kann auch ein Vorteil sein, wenn man wirklich von Anfang an das ganze Unternehmen nach Datenschutzrechtlichen Aspekten betrachtet und durchleuchtet.

Intern und extern, geht das?

Unternehmen die sich entscheiden einen internen Mitarbeiter zum Datenschutzbeauftragten zu bestellen, sich aber auch extern Datenschutzrechtlich helfen zu lassen, ist natürlich auch eine Möglichkeit. Der externe Dienstleister ist dann ein Ansprechpartner für den internen betrieblichen Datenschutzbeauftragten und steht diesem mit Rat und Tat zur Seite. Auch kann der externe Dienstleister den internen Datenschutzbeauftragten Schulen, Unterweisen und ihm ein Zertifikat ausstellen, was sogar mehr Sinn macht, da hier schon von Anfang praxisnahe Beispiele aus dem Unternehmen aufgenommen werden können. So findet sich der interne Datenschutzbeauftragte auch schnell in seine Tätigkeit ein und hat ein Datenschutz Backup, mit dem externen Dienstleister, im Rücken.

Wie Sie sich auch entscheiden, wir können Ihnen bei allen Fragen zum Thema Datenschutz behilflich sein. Sei es als externer Datenschutzbeauftragter, oder als externer Dienstleister der Ihnen bzw. Ihrem Mitarbeiter im Datenschutz unterstützt.

Gerne kümmern wir uns auch um die Erlangung der fachlichen Kenntnis die nach BDSG gefordert wird. Nehmen Sie einfach mit uns Kontakt auf, wir helfen Ihnen!

Zum Kontaktformular

Datenschutz Update für Apple iPhone, iPad und Co

By

Apple reagiert auf die Vorwürfe das man die Nutzer ausspioniert, auch wenn dieses von Apple entschieden zurückgewiesen wird, mit einem Software Update für das iPhone , iPad und anderen Apple Produkte (s.u.). In diesem Software Update werden die Bewegungsprofile, die durch die Geräte erstellt werden, nur noch für eine Woche gespeichert – zuvor wurden die Daten bis zu einem Jahr gespeichert.

Wie alle Updates wird dieses Update auch über iTunes ein- und aufgespielt. Das Update trägt die Systemversion 4.3.3

Apple selber ist scharf von Datenschützern beschossen worden, britische Forscher hatten berichtet, dass die Nutzer Bewegungsprofile für mehr als ein Jahr gespeichert werden.

Auf der Support Seite von Apple wird dieses Update u.a. wie folgt angekündigt:

  • Die Größe des Zwischenspeichers wird reduziert.
  • Es wird keine Sicherungskopie des Zwischenspeichers mehr in iTunes erstellt.
  • Der Zwischenspeicher wird vollständig gelöscht, sobald die Ortungsdienste abgeschaltet sind.

Mit diesem Software-Update kompatible Produkte:

  • iPhone 4 (GSM-Modell)
  • iPhone 3GS
  • iPad 2
  • iPad
  • iPod touch (4. Generation)
  • iPod touch (3. Generation)

Hier können Sie die Beschreibung des Apple Software Updates.

Es wird empfohlen dieses Update über iTunes zu beziehen.

Der BDSG Grundsatz

By

Das BDSG sieht erst einmal vor, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten grundsätzlich verboten ist.

Dazu ein Auszug aus dem BDSG §4 (1)

(1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.

Dieses bedeutet das die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten nur unter 2 Möglichkeiten erlaubt ist.

  1. Durch die ausdrückliche Einwilligung des Betroffenen
  2. Durch eine rechtsvorschrift die es erlaubt personenbezogenen Daten zu erheben, verarbeiten und zu nutzen.

Wichtig ist noch das bei einer ausdrücklichen Einwilligung des betroffenen diese vor der Erhebung der Daten vorliegt, sollte man dieses nach der Erhebung nachholen ist dieses nicht zulässig und alle bis dahin bezogenen Daten müssen gelöscht werden und nach der ausdrücklichen Einwilligung wieder neu erhoben.

Widerspruch gegen Google Street view einlegen

By

Das wohl beliebteste Thema in den Medien, in den letzten Tagen, ist Google und dessen Street view, welches auch hier in Deutschland bald starten wird. In den USA kann man schon virtuell durch New York laufen, dieses möchte Google auch in Deutschland starten. Es werden zu erst Großstädte in Deutschland freigeschaltet, nach und nach sollen mehr Städte hinzukommen.

Datenschützer sehen Street view mit gemischten Gefühlen und in der Politik kritisiert die FDP momentan Ilse Aigner (CSU) .

Wichtig ist für Sie nur zu wissen das Sie einen Widerspruch einlegene können und Google wird Ihr Haus/Garten /Grundstück dann im Internet nicht publizieren.

Hier erhalten Sie noch mehr Informationen bei Google, dort gibt es auch einen Abschnitt wie Sie wiedersprechen können, hier wird auch näher auf Street View eingegangen und man erhält etwas Informationen. Dort kann man sich ein Bild von Street view machen und sich dann entscheiden ob man Widerspruch einlegt oder nicht.

Muss ich Datenschutz generell sicherstellen ?

By

Häufig kommt die Frage auf ob man, wenn man keinen Datenschutzbeauftragten nach BDSG bestellen muss, trotzdem zur Einhaltung nach BDSG verpflichtet ist. Dazu ein Auzug aus dem BDSG (§4g Abs. 2a)

(2a) Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicherzustellen.

Hier wir ganz klar festgestellt, dass man, auch wenn man keinen internen oder externen Datenschutzbeauftragten nach BDSG benötigt, die Einhhaltung des Datenschutzrechtes sicherzustellen hat. In diesem Falle ist dann der Geschäftsführer oder Inhaber dafür verantwortlich.

Natürlich können wir Sie dazu auch gerne beraten.

Wann brauche ich einen internen oder Externen Datenschutzbeauftragten

By

Ein interner oder externer Datenschutzbeauftrage muss bestellt werden, wenn mehr als neun Mitarbeiter in Ihrer normalen Tätigkeit mit der Verarbeitung von personenbezogenen Daten betraut sind.

Dieses gilt auch wenn die Möglichkeit besteht im Unternehmen an personenbezogenen Daten zugelangen z.B. durch Server (Freigaben).

Vereinfacht kann man festhalten, haben Sie mehr als 9 Mitarbeiter die auch an einem Bildschirmarbeitsplatz arbeiten und Sie personenbezogenen Daten verarbeiten, benötigen Sie einen internen oder externen Datenschutzbeauftragten, dieses sollte natürlich im Einzelfall geklärte werden, da es noch andere Varianten gibt die eine Datenschutzbeauftragten Bestellung nach BDSG erfordern (Vorabkontrollen etc.)

Hierzu können Sie uns gerne kontaktieren.

Bitte beachten Sie noch folgenden Artikel: Muss ich Datenschutz generell sicherstellen ?

Bundesweit tätig

Als externer Datenschutzbeauftragter sind wir u.A in folgenden Städten tätig: Köln, Düsseldorf, Leverkusen, Bonn, Berlin, Wuppertal, Münster, Aachen, Duisburg, Bochum, Bielefeld, Stuttgart, München, Hamburg, Bremen, Dortmund, Frankfurt sowie in weiteren Teilen Deutschlands.

Externe Informationen Datenschutzbeauftragter

Wikipedia: Datenschutzbeauftragter
BfDI
Entschließungen des Düsseldorfer Kreises