Aktuelle Informationen, Fragen und Antworten rund um #Datenschutz, #Digitalisierung, #IT-Sicherheit und #Servicequalität:

Aktuelles

FAQ zum Datenschutz

Die wichtigsten Fragen zum #Datenschutz bzw. zur europäischen #Datenschutz-Grundverordnung (DS-GVO)

(wenn Sie auf die Frage klicken, sehen Sie die Antworten) Fehlt Ihnen eine Frage oder eine Antwort? Nehmen Sie einfach Kontakt auf!)

Wann muss man einen Datenschutzbeauftragten bestellen?

1. Es ist zu klären, ob die Datenschutzgesetze für Sie gelten: Wenn Sie ein Unternehmen sind und Geschäfte mit Produkten und Dienstleistungen in Deutschland und der EU machen wollen und dazu gehört auch das Angebot von Arbeitsstellen, MItgliedschaften (--> Vereine!), etc. - dann redet das Gesetz über sogenannte Verarbeiter, da Sie Daten erfassen, ordnen und nutzen - egal ob dies elektronisch oder per Papier erfolgt. Sie verarbeiten systematisch Daten und es gilt für Ihre Einrichtung, Organisation oder Unternehmen die Datenschutz-Grundverordnung - abgekürzt und im Nachfolgenden als DS-GVO oder DSGVO bezeichnet. Auch wenn Sie als Organisation für andere Unternehmen (sogenannte Dritte) in deren Auftrag personenbezogene Daten verarbeiten (z.B. CallCenter). Dann sind Sie sogenannter Auftragsverarbeiter und auch für diese Firmen gilt die DS-GVO.
2. Wann gilt die DSGVO für Sie nicht? Wenn Sie für rein private Zwecke, familiäre Daten und Freunde und dergleichen, also als Privatperson  private Daten verarbeiten, wie z.B. in einem Adressverzeichnis, egal ob ein einm Büchlein oder in Outlook. D.h. aber andererseits auch, dass die DSGVO für private Vermieter wiederum anwendbar ist, weil hier (Miet-)Geschäfte mit (Wohn-)Dienstleistungen erfolgen.  
3. Nun wissen Sie, die Datenschutzgesetze der EU gelten für Sie als Auftragsverarbeiter oder Verarbeiter, weil Sie Dienstleistungen, Produkte oder Waren in der EU anbieten.
4. Aber, ab wann müssen Sie nun einen Datenschutzbeauftragten bestellen? Wenn Sie mehr als 20 Mitarbeiter beschäftigen (gezählt werden alle Köpfe), müssen Sie einen Datenschutzschutzbeauftragten bestellen. Die Grundlage hierfür ist im deutschen Datenschutzrecht §38 BDSG (Bundesdatenschutzgesetz) zu finden. Weitere Informationen, ob dies ein externer oder interner Datenschutzbeauftragter sein soll(te) erfahren Sie in einem anderen FAQ-Punkt.
5. Organisationen, die unabhängig von der Anzahl der Mitarbeiter einen Datenschutzbeauftragten (DSB) bestellen müssen, sind z.B. Behörden, Firmen, Institute, Labore, Praxen, Unternehmen oder Vereine, die eine Datenschutzfolgeabschätzung (DSFA nach Art. 35 DS-GVO) durchführen müssen, weil sie Gesundheitsdaten, Daten aus denen ethnische oder rassistische Herkunft, politische Meinungen, weltanschaulichen Überzeugung, Gewerkschaftszugehörigkeit, sexueller Orientierung bzw. zum Sexualleben oder auf Grund biometrische oder genetische Daten verarbeiten, die zur Identifizierung dienen (Auftragsverarbeiter oder Verarbeiter sogenannter besonderer Kategorie von personenbezogenen Daten) oder deren Kerntätigkeiten die geschäftsmäßige Datenverarbeitung zur Übermittlung oder zum Zwecke der Markt- und Meinungsforschung sind. D.h. also m.E. auch medizinische Abrechnungsstellen, Adressverlage-/händler oder Stellen, die Menschen regelmäßig und systematisch überwachen, wie z.B. Detekteien.

Wer darf zum Datenschutzbeauftragten bestellt werden?

In Art. 37 Abs. 5 heißt es dazu: "Der Datenschutzbeauftragte (DSB) wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie seiner Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgabe. Diese sind u.a.:

• Unterrichtung und Beratung des Verantwortlichen oder des Auftragverarbeiters und der Beschäftigten, die Verarbeitungen durchführen
• Überwachung der EInhaltung vom BDSG / DSGVO inklusive Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligter Mitarbeiter
• Berartung im Hinblick der Datenschutzfolgeabschätzung (DSFA)
• Zusammenarbeit und Tätigkeit als Anlaufstelle zu bzw. mit den Aufsichtsbehörden
• Weitere Beratung uns sonstige Klärungen in o.a. Zusammenhang

D.h. also das bayerische Fabelwesen, der "Wolpteringer" ist wieder gefragt. Vielleicht kann man sich dem auch so nähern: Wer darf nicht Datenschutzbeauftragter sein? Führungskräfte und Mitarbeiter aus

• Administration / IT- und Rechenzentrumsleitung
• Personal-/Vertriebsleitung
• Unternehmens- / Geschäftsführung

Hier ist eine gemäß Art. 38 Abs. 3+6 geforderte "Freiheit von Interessenskonflikten" und "(Anweisungs-)Unabhängigkeit" nicht gewährleistet.

Gewünschte Fähigkeiten sind m.E. die gemäß BvD und GDD-Ausbildungen auch im Lehrprogramm enthaltenen Inhalte, wie:

• Betriebswirtschaft
• EDV- und IT-(Sicherheits-)Kompetenzen
• Prozess- und Vorgehenssystematik in der jeweiligen Branche/Organisation bzw. Fähigkeit sich hier einzuarbeiten
• Rechtliches Know How bezogen auf Datenschutz (BDSG, DSGVO) und damit verbundene Rechtsgebiete (BGB, HGB, SGB, UWG, ...)
• Vertriebs-/Marketingpraxis bzw. Führungs- und Organisationsfähigkeit genauso wie es von Vorteil ist, eine entsprechende Erfahrung im Beratungs- / Schulungsumfeld vorweisen zu können.

Alle Freiberufler und 1-Mann Unternehmen können dies natürlich selbst übernehmen. Gerade für solche Unternehmen lohnt es sich die Seiten der regionalen Aufsichtsbehörde zu besuchen und wenn Sie einzelne Fragen haben können Sie sich gerne per E-Mail an uns wenden.  

Was sind die Unterschiede zwischen einem internen und externen Datenschutz-Beauftragten?

Grundsätzlich können Sie einen internen Mitarbeiter zum Datenschutzbeauftragten bestellen, als auch einen externen Dienstleister auf Vertragsbasis. Doch was sind die Vor- oder Nachteile? 

Die Vorteile des internen Mitarbeiters als Datenschutzbeauftragter liegen auf der Hand:

Er oder sie kennen sich in Ihrem Unternehmen gut aus. Wissen, wie der "Hase läuft". Allerdings müssen Sie diese meistens im Hinblick des Datenschutzes erst ausbilden, damit die Aufgabe gem. Art . 39 DS-GVO erfüllt werden können. Durch die Stellung des Datenschutzbeauftragten, die im Art. 38 DS-GVO beschrieben ist. wird klar, dass diese auch weisungsfrei und interessenslos arbeiten und Zugang zu den erforderlichen Ressourcen haben müssen. Ist das in Ihrem Haus für die Mitarbeiter gewährleistet? Wollen Sie das? Auch die Kosten der Weiterbildung trägt im Normalfall der Arbeitgeber und ein erweiterter Kündigungsschutz bis zu einem Jahr nach Ende der Tätigkeit als Datenschutzbeauftragter ist auch nicht jedermanns Sache. Ganz zu schweigen von der Haftung, die für die Aufgaben ebenfalls bei Ihnen im Unternehmen verbleiben. In der Praxis werden häufig Administratoren als Datenschutzbeauftragte berufen, die neben Ihrer Tätigkeit diese Aufgabe übernehmen sollen. Doch ist eine gesetzlich geforderte Interessenslosigkeit so wirklich sichergestellt? Besser ist es hier an die Buchhaltung oder Personalabteilung zu denken. Ein anderes Mal ist es geplant, dass der Partner des Geschäftsführers / Inhabers dies übernehmen soll - sicherlich - die Ressourcenfrage ist hier besser zu klären, doch die Fragen nach der Interessensunabhängigkeit (Neutralität) bleiben gleich. Und was ist, wenn eigene Mitarbeiter eine diffizilere, persönliche Frage haben? Wird der interne Mitarbeiter auch für Compliancefragen von allen akzeptiert?

Was sind die Vorteile des externen Datenschutzbeauftragten?

Er oder sie sind bereits ausgebildet. Es bestehen laufende Weiterbildungen und die es bestehen berufliche Erfahrungen. Ein externer Datenschutzbeauftragter verfügt meist über ein Netzwerk zu anderen Datenschützern. D.h. das Thema Ausbildung können Sie meistens als gegeben abhaken und durch Mitgliedschaften in einem der führenden Berufsverbänden (BvD oder GDD) werden auch aktuelle Informationen und somit auch die Weiterbildung gewährleistet, die spätestens nötig wird, wenn es gesetzlich Veränderungen gibt oder neue Verordnungen, wie die im Herbst 2018 / Frühjahr 2019 erwartete ePrivacy-Verordnung. Vertragliche Kündigungsfristen und eine bestehende Berufshaftpflicht sind weitere Vorteile, wie auch die neutrale und objektive Sicht auf Ihr Kunden. Wo können Sie schon erwarten, neutrale Rückmeldungen (Feedback) zu erhalten. Und durch unterschiedlichste Projekt- und Branchenbeauftragungen ist auch eine Lösungskompetenz, die weit über den "eigenen Horizont" geht, aller Wahrscheinlichkeit nach gegeben. Dadurch ist auch der Teil der täglichen Arbeit schneller gewährleistet als beim internen Datenschutzbeauftragten, der Leit- oder Richtlinien bzw. Datenschutz- oder Vertraulichkeitserklärungen, Verträge oder ähnliches umsetzen soll. Einen Nachteil sollte man aber nicht verschweigen: Sie kennen nicht Ihre Organisation und die entsprechenden Vorgänge (Prozesse) in Ihrem Unternehmen. Hier empfiehlt es sich durch einen internen Mitarbeiter als Koordinator die internen mit den externen Vorteilen zu kombinieren.

Die Nachteile liegen auch auf der Hand: Ein externer Datenschutzbeauftragter kostet zusätzlich Geld. 

Weiteres erfahren Sie auch in dem Kurzpapier der Datenschutz-Konferenz (DSK) Nr. 12, welches Sie hier downloaden können.

Was sind personenbezogene Daten, was sind Betroffene und was heißt in diesem Zusammenhang Datenschutz?

Betroffene sind Menschen, deren Daten verarbeitet werden. Typischerweise also Kunden (sowohl Geschäfts- als auch Privatkunden), Lieferanten, Kooperations- oder Geschäftspartner und Mitarbeiter bzw. Beschäftigte (Personal).

Personenbezogene Daten sind Informationen, durch die man auf diese Betroffenen, also die Personen, direkt oder indirekt schließen kann. Dazu gehören: Name, Vorname, Email, Adresse, Telefon-, Konto- oder Sozialversicherungsnummern, aber auch die TCP/IP-Adresse. Daneben gibt es noch die besondere Kategorien von Daten, die Gesundheits-/Krankheitsdaten, gewerkschaftliche oder ethnische Zugehörigkeit sowie weitere Daten beinhaltet. Weitere Informationen erfahren Sie hier (siehe auch die Frage: Wann muss ich einen Datenschutzbeauftragten bestellen?

Wichtig ist es den Begriff des Datenschutz nicht den sicheren Daten, sondern dem Schutz der Personen zuzuordnen. Dem gegeüber meint die Daten- oder IT-Sicherheit die technische Sicherheit, zu der auch die Marken-, Patentente, Produkt-, Zeichnungs- oder Artikeldaten dazu gehören. Hier spricht man über den Schutz des Assets. "Zuständig" ist hier nicht das Datenschutzgesetz, welches vom "Stand der Technik" spricht und damit eine technische Sicherheit meint, die grundlegend sicherstellt, dass die personenbezogenen Daten wie auch die anderen Assets eines Unternehmens gut aufgehoben und geschützt werden. Daten- oder Informationssicherheit werden auch in Standards, wie der ISO27001 oder dem BSI-Grundschutz beschrieben und sind zertifizierbar. Der Datenschutz wurde in der Datenschutz-Grundverordnung für alle Mitgleidsstaaten verbindlich "verordnet" und in Deutschland durch das Bundesdatenschutz-Gesetz (BDSG) ergänzend geregelt.

Was muss man beachten, damit die Organisation die europäische Datenschutz-Grundverordnung erfüllt?

Platt gesagt die europäischen (DS-GVO), die nationalen (BDSG) und die speziellen (z.B. EKD, LDSG, UWG, etc.) Datenschutzgesetze einhalten. Doch wie und in welchen Schritten empfiehlt es sich vorzugehen?

1. Von Außen nach Innen:
• Organisation des Unternehmens bezüglich Datenschutz
• Datenschutzerklärung und Impressum auf der Website prüfen
• Information der Kunden über entsprechende Änderungen und das Widerspruchsrecht (Transparenzpflichten)
• Rechtsgrundlagen für die Verarbeitung einholen, z.B. im Falle Newsletterversand oder andere Werbezusendungen
• Verträge checken und Ergänzungen im Falle von Auftragsverarbeitungen abschließen
2. Und innen - im Unternehmen?
• Datenschutzrichtlinien etablieren
• Datenschutzverpflichtungen der Mitarbeiter, Freiberufler und Dienstleister
• Schulungen / Sensibilisierungen durchführen
• Verzeichnis von Verarbeitungstätigkeiten und technisch-organisatorische Maßnahmen (Status aufnehmen) und kontinuierliche Verbesserungen einführen
• Auskunfts- und Meldepflichten umsetzen

Weitere Informationen können Sie auch über dieses Kurzpapier downloaden.

Wann sind Sie Auftragsverarbeiter, wann sind Sie Verantwortlicher, wer muss einen Auftragsverarbeitungsvertrag abschließen?

Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Während unter Verantwortlicher die DSGVO gemäß Art. 4 der DSGVO eine Stelle versteht, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. D.h. anders ausgedrückt: Wenn Sie als Unternehmen eigenständige, von anderen bei der Verarbeitung von personenbezogene Daten unabhängige Dienstleistungen oder Produkte anbieten (wie Ärzte, Handelsunternehmen, Handwerker, Hersteller/Produzenten, etc.) sind Sie Anbieter von Fachleistungen und gelten nach der DSGVO als Verantwortlicher. Meistens lagern solche Organisationen Teile von elektronischer oder manueller Verarbeitung von personenbezogenen Daten an Dritte aus. Die Kennzeichen solcher Verarbeitungen sind Verträge mit konkreten (An-)Weisungen, wie die Umsetzung zu erfolgen hat. D.h. Auftragsverarbeiter verarbeiten auf Vertragsbasis nach diesen Anweisungen personenbezogene Daten und hierzu gehören nach aktueller Meinung (Stand 16.01.2018) der Datenschutzkonferenz (DSK) typischerweise:

• Auslagern von E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen),
• Auslagerung von Backup-Sicherheitsspeicherung und anderer Archivierungen, Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
• DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
• Entsorgung von Datenträger und Papierunterlagen durch Dienstleister,
• Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,
• Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort,
• Wartung, Installation, Prüfung von ITK-Anlagen (z. B. durch Fernwartung, externer Support), wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
• Werbeadressenverarbeitung durch eine Werbe- oder Marketingagentur oder einem Lettershop,
• Zentralisierung bestimmter „Shared Services-Dienstleistungen“ innerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt)

 Dazu gehören nicht(!), da es sich hierbei um die Inanspruchnahme von ganz normalen (Fach-)Dienstleistungen handelt:

• Bankinstitute für den Geldtransfer,
• Berufsgeheimnisträger (Datenschutzbeauftragte, Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
• Inkassobüros mit Forderungsübertragung,
• Postdienste für den Brieftransport, Logistik- und Speditionsdienstleister,
• Weiteres: Keine Auftragsverarbeitung liegt auch nicht, wenn eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO gegeben ist, d.h. wenn mehrere Verantwortliche gemeinsam über die Verarbeitungszwecke und -mittel entscheiden.
  Hierunter können je nach Gestaltung eine Reihe von Verarbeitungen fallen:
• Klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren/Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen,
• gemeinsame Verwaltung bestimmter Datenkategorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen.

 Zu beachten ist, dass die Datenverarbeitung im Auftrag keine (!) Erlaubnis darstellt, Daten dem Auftragsverarbeiter zu offenbaren, die wegen gesetzlicher Geheimhaltungspflichten (z.B. Berufs- oder anderen Amtsgeheimnissen) vertraulich zu behandeln sind (siehe §1 Abs.2 S.3 BDSG).

Wo findet man dazu mehr? Hier!

Wo bekomme ich eine kostengünstige, "erste Hilfe" zur Umsetzung der Anforderungen des Datenschutzes?

Auf diesen Internetseiten ;-) und neben den angebotenen Dienstleistungen in diesem empfehlenswerten Werk:

Wie lange muss man in Deutschland seine Daten speichern -welche Aufbewahrungsfristen gibt es?

In der DSGVO gibt es den Grundsatz der Datenminimierung. D.h. einerseits darf man nur so viel Daten erfassen, wie sie für eine Verarbeitung nötig sind und andererseits muss man sie wieder löschen, wenn sie nicht mehr benötigt werden und zwar spätestens nach den gesetzlich vorgeschriebenen Fristen. Hier kommt es in der Praxis immer wieder zu der Frage: Wann kann ich denn meine Daten löschen? Hier können Sie sich zwei PDF-Dateien laden, die einmal von der IHK München im Dezember 2017 veröffentlicht wurde und eine Sammlung von Fristen durch einen Dienstleister, dess Geschäft die Vernichtung von Daten ist.

Was ist "Stand der Technik"?

Eine immer wieder aktuelle Frage die besonders bei der Erstellung oder Prüfung von technisch-organisatorischen Maßnahmen (TOM's) relevant ist und somit auch für die abzuschließenden Auftragsvereinbarungsverträge (AVV's) sehr wichtig ist. Als Hilfestellung ist dieses mit dem nachfolgenden  Link auswählbare Dokument von TeleTrust sehr unterstützend.