DSGVO Datenschutz

Fragen & Antworten

Was ist die Datenschutz-Grundverordnung (DSGVO)?

Die Datenschutz-Grundverordnung (DSGVO) ist der Versuch der Europäischen Union (EU) die vielen Unsicherheiten, welche sich auf Grund des unterschiedlichen Schutz-Niveaus im Datenschutz in Europa ergeben, zu vereinheitlichen.

Vor der Einführung der Grundverordnung, am 25. Mai 2018, haben alle Mitgliedsstaaten der EU den Datenschutz hauptsächlich durch eigene nationale Gesetzgebungen geregelt.

Des Weiteren führt die zunehmende Internationalisierung des Handels und der sozialen Medien dazu, dass personenbezogenen Daten der EU-Bürger nicht mehr innerhalb der Grenzen des jeweiligen Landes behalten werden, in welchem die Betroffenen ihren Wohnsitz haben.

Aufgrund dessen, ist das obere Ziel der DSGVO den Schutz personenbezogener Daten in den Mitgliedsstatten zu harmonisieren sowie den EU-Bürgern ein einheitliches Datenschutzniveau zu versichern.

Wer hat sich an die DSGVO zu halten?

An die Grundverordnung hat sich jedes Unternehmen, gleich welcher Größe oder Branche, zu halten, sofern personenbezogene Daten von EU-Bürgern, im Sinne der DSGVO, verarbeitet werden. Dabei spielt es keine Rolle in welchem Land die Daten verarbeitet werden.

Wie hoch können die Bußgelder ausfallen?

Geldbuße Verstoß gegen die DSGVO nach Art. 83 Abs. 4:

2 % des weltweit erzielten Vorjahresumsatzes, mindestens 10 Mio. EUR

Geldbuße Verstoß gegen die DSGVO nach Art. 83 Abs. 5:

4 % des weltweit erzielten Vorjahresumsatzes, mindestens 20 Mio. EUR

Geldbuße Verstoß gegen Anweisungen nach Art. 83 Abs. 6:

4 % des weltweit erzielten Vorjahresumsatzes, mindestens 20 Mio. EUR

 

Die verhängten Bußgelder müssen, nach Art. 83 EU-DSGVO, in jedem Einzelfall

  • wirksam,
  • verhältnismäßig und
  • abschreckend

sein. Die Bußgelder gehen vollständig der im Geldbußbescheid benannten zuständigen Behörde zu.

Was ist ein Datenschutzbeauftragter (DSB)?

Ein DSB ist eine natürliche Person, die von den Unternehmen zu benennen ist, um die Sicherheit der verarbeiteten Daten zu gewährleisten.

Um dieses Ziel zu erreichen, setzt der DSB alle von der DSGVO geforderten Maßnahmen um und klärt die Unternehmen über ihre datenschutzrechtlichen Verpflichtungen auf. Er ist interner Ansprechpartner für alle Mitarbeiter im Unternehmen und externer Ansprechpartner für Behörden Betroffene.

Grundsätzlich muss ein Datenschutzbeauftragter auf die Einhaltung der datenschutzrechtlichen Vorgaben hinwirken. Dabei sind ihm verschiedene Aufgaben zugewiesen. Er hat beispielsweise dafür Sorge zu tragen, dass die Mitarbeiter des Unternehmens in regelmäßigen Abständen datenschutzrechtlich geschult werden. Er berät das Unternehmen und seine Mitarbeiter in allen datenschutzrechtlichen Fragen. Er ist überdies für die Korrespondenz mit Betroffenen und den Datenschutzbehörden zuständig.

In der Regel ist der Umfang der Datenverarbeitung in den meisten Unternehmen so groß, dass eine systematische Überwachung und Dokumentation der Verarbeitungsvorgänge nur schwer ohne DSB möglich ist. Ferner sind Datenverarbeitungsvorgänge oft Teil der Kerntätigkeit eines Unternehmens und seiner Geschäftsstrategie. Ein Callcenter kann sein Geschäftsmodell nur dann durchführen, wenn es täglich große Mengen personenbezogener Daten verarbeitet.

Für eine rechts-konforme Umsetzung der DSGVO müssen Unternehmen unter Umständen eine Datenschutz-Folgenabschätzung vornehmen. Durch diese wird eruiert, inwieweit ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.

Ferner klärt der Datenschutzbeauftragte die Unternehmen auf, wann ein Auftragsverarbeitungsvertrag mit externen Dienstleistern, Lieferanten oder anderen Unternehmen zu schließen ist.

Was sind die Aufgaben und Pflichten eines DSB?

Aufgaben und Pflichten[1]

Bei einer Gesamtschau der Regelungen der DSGVO sowie des BDSG-NEU lassen sich die folgenden Kernaufgaben für Datenschutzbeauftragte zusammenfassen:

(1) Unterrichtung und Beratung

(2) Überwachung der Einhaltung der DSGVO und anderer Datenschutzvorschriften der Union bzw. der Mitgliedsstaaten (oder des BDSG-NEU und sonstiger Vorschriften über den Datenschutz)

(3) Zuweisung von Zuständigkeiten

(4) Sensibilisierung und Schulung

(5) Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung

(6) Zusammenarbeit mit der Aufsichtsbehörde

(7) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde

 

[1] Vergleiche Artikel 39 DSGVO und § 7 BDSG-NEU

Wann benötigt man einen Datenschutzbeauftragten?

  • 38 (1) BDSG-neu:

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Warum sollte man den Datenschutz befolgen?

Geschäftsführerhaftung

Unter Umständen haftet ein Geschäftsführer unbeschränkt mit seinem Privatvermögen, bspw. bei grob fahrlässigem Verhalten. Die Nichtbestellung eines DSB stellt ein derartiges grob fahrlässiges Verhalten dar.

Umsatzeinbußen

Ein guter Datenschutz gilt immer mehr als Qualitätsmerkmal – für Endverbraucher (B2C Bereich) sowie für Großunternehmen (B2B Bereich) Ohne einen qualifizierten Datenschutz werden Umsätze und Reputationen eines Unternehmens riskiert.

Zeitaufwand

Datenschutz-Verstöße und -Vorfälle behindern das Kerngeschäft sowie die Produktivität – und kosten dazu Zeit, Geld und Nerven Bspw. behördliche Sanktionen, in Form von Audits, Bußgelder etc., sowie Klagen von Mitbewerbern/Kunden/Mitarbeitern

Einen internen oder externen Datenschutzbeauftragten berufen?

 

Vor dieser Fragestellung steht jedes Unternehmen, das von Gesetzes wegen oder freiwillig einen Datenschutzbeauftragten (DSB) bestellen muss bzw. will. Vor der Entscheidung für die eine oder andere Lösung, ist es ratsam, sich über die Hintergründe Gedanken zu machen.

Daher möchten wir Sie, an dieser Stelle, über die Unterschiede zwischen einem internen und externen Datenschutzbeauftragten aufklären.

Dabei werden die folgenden Punkte näher beleuchtet:

  • Stellung,
  • Kosten,
  • Fachwissen,
  • Akzeptanz
  • Haftung

Interner Datenschutzbeauftragter (DSB) = betrieblicher Mitarbeiter

Bei der Bestellung eines internen Datenschutzbeauftragten, wird ein Mitarbeiter aus dem Unternehmen ausgewählt, dieser darf aus keiner leitenden Funktion kommen.

Der interne DSB muss  die gesetzlichen Aufgaben eines Datenschutzbeauftragten wahrnehmen, ohne wegen anderer betrieblicher Belange in einen Interessenskonflikt zu geraten.

Die Bestellung ist nur dann möglich, wenn der ausgewählte Mitarbeiter über die erforderlichen Fachkenntnisse im Datenschutzrecht verfügt und dieser verantwortungsvollen Tätigkeit gewachsen ist.

Externer Datenschutzbeauftragter (DSB) = unabhängiger Datenschutzexperte

Bei der Bestellung eines externen Datenschutzbeauftragten, handelt es sich um einen zertifizierten Dienstleister, der dem Unternehmen nicht angehört.

Das hohe Fachwissen im Datenschutzrecht, bring ein externer Datenschutzbeauftragter, aufgrund seiner einschlägigen Ausbildung, mit.

Als unabhängiger Datenschutzexperte ist er in der Lage, die Aufgaben eines Datenschutzbeauftragten vollumfänglich zu erfüllen.

 

Die folgenden Beschreibungen zeigen die Unterschiede zwischen internem und externem Datenschutzbeauftragten auf, aus unserer Sicht:

Stellung

Durch die Bestellung zum interner Datenschutzbeauftragter erhält der ausgewählte Mitarbeiter des Unternehmens einen besonderen Kündigungsschutz.

Im Gegensatz dazu arbeitet ein externer Datenschutzbeauftragter auf Grundlage eines Dienstleistungsvertrages, wobei die Laufzeit variabel vereinbart werden kann.

Des Weiteren kann ein externer DSB zu jederzeit abberufen werden, während ein interner DSB nur aus besonderen Gründen abberufen werden kann.

Kosten

Für einen internen Datenschutzbeauftragten müssen, zusätzlich zur regulären Vergütung, die Kosten für Ausfallzeiten, Weiterbildung und Fachliteratur eingeplant werden.

Diese sind vorab nur schwer zu prognostizieren.

Während ein externer Datenschutzexperte die Vergütung seiner Leistungen offen darlegt und über die Kosten aufklärt. Die Preise sind im Dienstleistungsvertrag geregelt.

Fachwissen

Ein interner DSB muss sich das erforderliche Fachwissen erst durch zeitaufwendige und kostenintensive Schulungen im Bereich Datenschutz aneignen und sich in die Materie einarbeiten, bevor er mit seinen Aufgaben beginnen kann.

Demgegenüber steht ein externer DSB als zertifizierter Dienstleister, der dieses Fachwissen bereits besitzt.

Jedoch muss sich dieser, anders als ein interner Datenschutzbeauftragter, erst mit den betrieblichen Arbeitsabläufen vertraut machen.

Akzeptanz

Die Praxis zeigt, dass Mitarbeiter einen internen DSB weniger akzeptieren als seinen externen Kollegen.

Unter diesem Umstand kann die Zusammenarbeit leiden, weil die Mitarbeiter Anfragen des internen DSB häufig verspätet oder gar nicht beantworten.

Durch die unabhängige Expertenstellung des externen DSB, ist er in diesem Bereich im Vorteil.

Haftung für Fehler

Unterläuft dem internen DSB, bei der Erfüllung seiner Aufgaben, ein Fehler, so liegt die volle Verantwortung, für eventuelle sich daraus ergebene Verstöße gegen die DSGVO, bei der Geschäftsführung, das Haftungsrisiko bleibt somit im Unternehmen.

Aus diesen oben aufgezeigten Unterschieden ergeben sich die Vorteile, die ein externer Datenschutzbeauftragter von der Pro Mandant bietet:

  • Als zertifizierter Datenschutzbeauftragter ist er ein Spezialist in Fragen des Datenschutzes und erfüllt seine Aufgaben nach bestem Wissen und mit hoher Effizienz.
  • Da keine Ausfallzeiten für Ausbildungen anfallen, erfüllt er seine Tätigkeiten schnell.
  • Ein externer DSB stößt aufgrund seiner objektiven Expertenstellung auf Akzeptanz bei den Mitarbeitern.
  • Er verringert Ihr Haftungsrisiko.
  • Bereits bei Abschluss des Dienstleistungsvertrages können Sie erkennen, welche Kosten während der Vertragslaufzeit anfallen.
  • Die Zusammenarbeit mit einem externen Datenschutzbeauftragten können Sie fristgerecht beenden, ohne an besondere Kündigungsschutzvorschriften gebunden zu sein.

Kontakt

Pro Mandant GmbH & Co. KG
Birkenhof 22
40225 Düsseldorf
Deutschland

Pascal Fortmann

Claudia Kreft

Ich stimme zu, dass meine Angaben aus dem Kontaktformular zur Beantwortung meiner Anfrage erhoben und verarbeitet werden. Die Daten werden nach abgeschlossener Bearbeitung Ihrer Anfrage gelöscht. Hinweis: Sie können Ihre Einwilligung jederzeit für die Zukunft per E-Mail an p.fortmann@promandant.net widerrufen. Detaillierte Informationen zum Umgang mit Nutzerdaten finden Sie in unserer Datenschutzerklärung.