Datenschutz- und

IT-Sicherheits­beauftragter

Kuhlmann Beratungen berät Sie zur gesetzeskonformen Umsetzung von Datenschutz und IT-Sicherheit.

Datenschutz- und Sicherheitsbeauftragter

Datenschutz- und Sicherheitsbeauftragter

Kuhlmann Beratungen berät Sie zur gesetzeskonformen Umsetzung von Datenschutz und IT-Sicherheit.

Sobald mindestens 20 Personen in Ihrem Unternehmen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Sie einen Datenschutzbeauftragten benennen. Also eine verantwortliche Person für die Datenverarbeitung.

Dies ergibt sich aus Artikel 37 DS-GVO i.V.m. § 38 BDSG nF.

Neben diesem Regelfall, der die meisten in Deutschland angesiedelten Unternehmer betrifft, existieren in bestimmten Konstellationen weitere Bedingungen, die einen Datenschutzbeauftragten schon bei weniger als 20 Personen erfordern.

Um das für Sie abzuklären, prüfen wir mit Ihnen gemeinsam, wann ein Datenschutzbeauftragter in Ihrem speziellen Fall Pflicht ist.

Dass ein Datenschutzbeauftragter „erst“ ab 20 Personen Pflicht ist, bedeutet jedoch nicht, dass alle weiteren kleinen Unternehmen von der Datenschutz-Grundverordnung – DSGVO befreit sind!

Auch diese können, je nach Konstellation des Verstoßes, bestraft oder abgemahnt werden.

Daher sollte jedes Unternehmen, egal von welcher Größe, den Datenschutz ernst nehmen und im Zweifel einen Fachmann zu Rate ziehen.

Wir als externe Datenschutzbeauftragte am Niederrhein, sowie Rhein und Ruhr, können durch die Arbeit in unterschiedlichen Unternehmen und Branchen auf eine fundierte Wissensbasis zurückgreifen und Ihnen hierdurch bestmöglich Unterstützung bieten.

Rufen Sie uns bei Fragen gerne an oder schicken Sie uns eine E-Mail.

    Was ist ein Datenschutz­beauftragter?

    Ein Datenschutzbeauftragter berät und unterrichtet die verantwortliche Stelle hinsichtlich der Pflichten, die sich aus den Datenschutzvorschriften ergeben.

    Er überwacht die Einhaltung der Datenschutzvorschriften, arbeitet mit der Aufsichtsbehörde zusammen und ist Anlaufstelle für die Aufsichtsbehörde.

    Außerdem ist er Ansprechpartner für die Geschäftsleitung, Mitarbeiter und Kunden bei Fragen zum Datenschutz. Er muss über das Fachwissen und die Qualifikation verfügen, diese datenschutzrelevanten Aufgaben entsprechend übernehmen zu können.

    Diese Position des Datenschutzbeauftragten kann durch eine interne oder externe nach der DSGVO geschulten Person übernommen werden.

    Vergleich zwischen internen und externen Datenschutzbeauftragten:

    Interner Datenschutzbeauftragter

    • Haben bereits gute Kenntnisse der hauseigenen Abläufe und Prozesse
    • Es besteht das Risiko von Betriebsblindheit
    • Aufgrund möglicher Unerfahrenheit dauert die Bearbeitung der Aufgaben länger und es muss ggf. externe Beratung hinzugezogen werden
    • Haftung bleibt im Unternehmen
    • Haupttätigkeit des internen Mitarbeiters bleibt im Vordergrund, wodurch datenschutzbezogenen Aufgaben verzögert bearbeitet werden
      ODER
      Tätigkeit als Datenschutzbeauftragter gerät in den Vordergrund, wodurch eigentliche Aufgaben auf der Strecke bleiben
    • Ansehen eines internen Datenschutzbeauftragten könnte geringer sein als der eines externen Beauftragten, da dieser nicht als Experte anerkannt wird
    • Aus- und Fortbildungskosten trägt das Unternehmen

    Externer Datenschutzbeauftragter

    • Abläufe und Prozesse des Unternehmens sind für ihn anfangs unbekannt
    • Hat eine neutrale Position zu den unbekannten Abläufen und Prozessen
    • Ist meist erfahrener im Umgang mit datenschutzspezifischen Aufgaben
    • Haftungen werden über die Versicherung abgedeckt
    • Ein externer Datenschutzbeauftragter ist ausschließlich für den Datenschutz zuständig
    • Externe Datenschutzbeauftragte werden als Experten in ihrem Bereich anerkannt und nicht in Frage gestellt
    • Aus- und Fortbildungskosten werden nur zu Teilen auf den Kunden umgelegt
    it-4072549_1280

    Wer benötigt einen Datenschutz­beauftragten?

    Wann ein Unternehmen dazu verpflichtet ist einen Datenschutzbeauftragten zu bestellen, ist klar definiert.
    • Das Unternehmen beschäftigt mindestens 20 Personen, die sich ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen.
    • Das Unternehmen nimmt Verarbeitungen vor, die einer Datenschutzfolgeabschätzung unterliegen oder es verarbeitet Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung (z. B. Adressverlage) oder für Zwecke von Markt- und Meinungsforschung.  Hierbei ist die Anzahl der Mitarbeiter unbedeutend.
    • Das Unternehmen ist eine Behörde oder öffentliche Stelle, mit Ausnahme von Gerichten, soweit diese im Rahmen ihrer justiziellen Tätigkeit handeln.
    • Das Unternehmen verarbeitet in seiner Kerntätigkeit umfangreich personenbezogene Daten besonderer Kategorien, wie Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Weitere hierzu zählende Daten besonderer Kategorien sind genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
    • Das Unternehmen verarbeitet in seiner Kerntätigkeit umfangreich personenbezogene Daten über strafrechtlich Verurteilungen und Straftaten.
    it-4072549_1280

    Wann wird ein Datenschutzbeauftragter benötigt?

    Nach § 38 BDSG muss ein Unternehmen einen Datenschutzbeauftragten bestellen, wenn eine der folgenden Bedingungen erfüllt ist:
    • wenn sie mindestens 20 Personen im Betrieb ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen,
    • wenn Daten geschäftsmäßig automatisiert verarbeitet werden,
    • oder besonders schützenswerte Daten wie beispielsweise Bonitäts- oder Gesundheitsdaten verarbeitet werden.

    Worum handelt es sich bei personenbezogenen Daten?

    books-1831917_1280

    Personenbezogenen Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten natürlichen Person.

     

    Zu diesen Daten gehören unteranderem:

    • Name, Alter, Familienstand, Geburtsdatum
    • Anschrift, Telefonnummer, E-Mail-Adresse
    • Konto-, Kreditkartennummer
    • Kfz-Kennzeichen
    • Personalausweisnummer, Sozialversicherungsnummer
    • Werturteile, wie zum Beispiel Zeugnisse

     

    Aber auch Personaldaten enthalten personenbezogene Daten und sind auch zu berücksichtigen.

    Um keine Fehler im Umgang mit den Daten zu machen, überwacht und prüft der Datenschutzbeauftragte die Prozesse. Ebenfalls schult und sensibilisiert er die Mitarbeiter des jeweiligen Unternehmens.

    Ihre Sicherheit

    Aufgaben eines Datenschutz­beauftragten

    Datenschutzbeauftragte haben verschiedene Aufgaben die sich wie folgt zusammenfassen lassen:

    1. Auf die Einhaltung der Datenschutzvorschriften hinwirken:

    Das umfasst das Beraten, Ausarbeiten und Vorschlagen von Maßnahmen, welche für die Einhaltung eines ausreichenden Datenschutzes sorgen. Die Umsetzung bleibt beim Verantwortlichen und unterliegt nicht den Aufgaben des Datenschutzbeauftragten.

    2. Überwachung der Datenverarbeitung:

    Datenverarbeitungsprozesse werden kontrolliert. Es wird festgestellt, ob sie den gesetzlichen Anforderungen gerecht werden. So sollen Datenschutzverstöße gar nicht erst möglich sein.

    3. Beratung bei der Datenschutzfolge­abschätzung:

    Der Datenschutzbeauftragte berät bei der Erstellung einer Datenschutzfolgeabschätzung und überwacht die Durchführung dieser. Bei jener bewertet er z.B. die zu erreichenden Schutzziele und Schutzmaßnahmen.

    4. Schulung der Mitarbeiter:

    Mitarbeiter, welche personenbezogene Daten verarbeiten, müssen für den richtigen Umgang mit personenbezogenen Daten geschult werden. Auch der richtige Umgang mit technischen Endgeräten, sowie Gefahren der elektronischen Verarbeitung, müssen geschult und sensibilisiert werden.

    5. Ansprechpartner sein:

    Datenschutzbeauftragte müssen Ansprechpartner im Bereich des Datenschutzes sein. Dabei ist es egal, ob die Fragen von Kunden, Mitarbeitern, der Geschäftsführung oder Dritten kommen. Wichtig hierbei ist, dass der Datenschutzbeauftragte der Verschwiegenheit unterliegt – egal von welcher Person eine Anfrage an ihn gerichtet wird. Es gilt jedoch zu beachten, dass der Datenschutzbeauftragte der Aufsichtsbehörde gegenüber zur Auskunft verpflichtet ist, sofern Verstöße vorliegen. Die Meldung von Verstößen obliegt jedoch immer der verantwortlichen Person.

    Verfahrensverzeichnis

    Verantwortliche haben ein Verfahrensverzeichnis zu führen.

    In diesem Verzeichnis werden alle Verarbeitungstätigkeiten aufgelistet.

    Zusätzlich enthält es noch folgende Angaben:

    • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls gemeinsam mit ihm verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
    • die Zwecke der Verarbeitung;
    • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
    • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
    • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
    • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
    • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen;

    Jeder Unternehmer bzw. jedes Unternehmen, egal welcher Größe, benötigt die Beschreibungen seiner eingesetzten Verfahren.

    Diese einzelnen Verfahren sind zu einem Verfahrensverzeichnis zusammenzuführen.
    Jedes Verfahren muss dokumentiert werden und auf die Einhaltung der DSGVO geprüft werden.

    Die meisten Unternehmer denken nun, was habe ich schon für Verfahren, die personenbezogene Daten verarbeiten?

    Bitte denken Sie auch an Ihr Personal!

    Denn auch Mitarbeiter haben ein Recht auf den korrekten Umgang mit personenbezogenen Daten.
    Sobald Sie Löhne und Gehälter auszahlen, haben Sie mindestens ein Verfahren zu beschreiben, in welchem personenbezogene Daten verarbeitet werden. Auch als Einzelunternehmer verarbeiten Sie personenbezogene Daten.

    Sie stellen Rechnungen mit dem Namen und der Anschrift Ihrer Kunden?

    Auch dann haben Sie bereits ein Verfahren, in welchem Sie personenbezogene Daten verarbeiten.

    Bei der Erstellung des Verfahrensverzeichnis unterstütz und berät der Datenschutzbeauftragte das Unternehmen.

    Durch ein Verfahrensverzeichnis hat der Datenschutzbeauftragte eine schnelle Übersicht über die laufenden Verarbeitungen von personenbezogenen Daten und kann darauf seine datenschutzrechtliche Prüfung aufbauen.

    Dies erleichtert ihm das Zurechtfinden in einem neuen Unternehmen oder wenn er eine bestimmte Frage zu einem speziellen Prozess hat, da die Daten bereits aufgelistet sind.

    Diese Fragen können von Betroffenen gestellt werden, aber auch von eigenen Mitarbeitern.
    Dazu kommt, dass sich Gesetzte ebenso wie Prozesse verändern können. Ein korrekt gepflegtes Verfahrensverzeichnis beschleunigt die erneute Prüfung nach einer Änderung. Ebenso kann das Vorlegen des Verfahrensverzeichnis von der Aufsichtsbehörde verlangt werden.

    Das Verfahrensverzeichnis ist immer der Einstieg zu einer gut organisierten Übersicht der Umsetzungsschritte des Datenschutzes im Unternehmen.

    Auftragsverarbeitung

    Auftragsverarbeitungsverträge (AV-Vertrag) sind immer dann nötig, wenn Sie einen Dienstleister mit der Verarbeitung von personenbezogenen Daten beauftragen. Dabei spielt es keine Rolle welche Art von personenbezogenen Daten verarbeitet werden oder ob die Verarbeitung gesetzlich vorgeschrieben ist. In einem AV-Vertrag müssen diverse Dinge geklärt werden. Vor allem stellt dieser Vertrag aber die Verarbeitungsgrundlage Ihres Dienstleisters da. Es müssen die technisch-organisatorischen Maßnahmen (TOM) des Dienstleisters definiert werden, ebenso wie der generelle Umgang mit den übermittelten Daten. Ihr Dienstleister muss also genau definieren, wie er mit den Daten umgeht und ob er diese an weitere Unterunternehmen oder Dienstleister weitergibt.

    Anschrift

    Kuhlmann Beratungen
    Carl-Zeiss-Straße 38
    47445 Moers

    Kontakt

    Tel.: +49 2841 9160031
    Fax.: +49 2841 9160034
    Email: mail@datenschutz-berater.biz

    Geschäfts­zeiten

    MO – DO: 09:00 – 17:00 Uhr
    FR :  09:00 – 14:00 Uhr

    Copyright © 2019 - 2021 Kuhlmann Baretungen