Betrieblicher, interner und externer Datenschutzbeauftragter

Bisherige Regelung BDSG

Nach § 4f Bundesdatenschutzgesetz (BDSG) müssen Daten verarbeitende Stellen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellen, wenn sie personenbezogene Daten automatisiert verarbeiten und damit in der Regel mehr als 9 Personen ständig beschäftigen. Gleiches gilt bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten auf andere Weise, wenn hiermit in der Regel mindestens zwanzig Personen beschäftigt sind. Bei der Berechnung der Personenzahl werden alle Personen mitgezählt, die tatsächlich auf die automatisierte Datenverarbeitung der nicht-öffentlichen Stelle zugreifen. Nicht entscheidend ist allerdings, wie häufig oder intensiv auf die Daten zugegriffen wird. Es ist ausreichend, dass es zur regelmäßigen Aufgabenwahrnehmung der Personen gehört, personenbezogene Daten automatisiert zu verarbeiten und es sich hierbei nicht nur um eine vorübergehende Tätigkeit (z.B. Urlaubsvertretung) handelt. Damit werden Teilzeitkräfte und Beschäftigte von Zeitarbeitsfirmen während ihrer Tätigkeit im Unternehmen mitgezählt. Das gilt auch für die Mitglieder der Geschäftsleitung und bei ehrenamtlich Tätigen.

Neu ab Mai 2018:

Eine Folge der Datenschutz-Grundverordnung (DS-GVO) ist die erstmalige Einführung einer europaweiten Pflicht für alle Verwaltungen und bestimmte Unternehmen zur Bestellung eines Datenschutzbeauftragten (DSB). Ausgehend von dem risikoorientierten Ansatz der Verordnung erstreckt sich die Bestellungspflicht im privaten Sektor zunächst auf solche Stellen, deren Haupttätigkeit entweder in einer systematischen Überwachung von Personen oder der umfangreichen Verarbeitung besonders schutzbedürftiger Daten besteht (z.B. Adresshändler, Auskunfteien, Internetprovider, Krankenhäuser). Das BDSG weitet diese Pflicht u.a. auf Stellen aus, bei denen in der Regel mindestens 10 Personen personenbezogene Daten automatisiert verarbeiten. Ein Verstoß gegen die Bestellungspflicht kann sanktioniert werden.

Wenn Sie jetzt unsicher sind ob Sie betroffen sind, dann lassen Sie sich einfach durch mich beraten.

Die Erstberatung ist grundsätzliche kostenfrei. Nach der Erstberatung sind Sie in der Lage zu entscheiden, ob Sie einen Datenschutzbeauftragten benötigen oder ob Sie selbst die Aufgaben, welche ab Mai 2018 auf Sie als Unternehmer zukommen, umsetzen können. Selbst wenn Sie keinen Datenschutzbeauftragen benötigen, kann ich Sie zu den relevanten Themen beraten, denn Datenschutz ist für alle Firmen und Inhaber ein Thema, egal ob sie einen oder viele Mitarbeiter haben.

Wie bisher wird für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich sein.
Personenbezogene Daten müssen weiterhin für eindeutig festgelegte Zwecke erhoben werden und dürfen nur soweit verarbeitet werden, wie dies mit diesen Zwecken vereinbar und für sie erforderlich ist.
Die betroffenen Personen haben ein Reihe von Rechten, mit denen sie Einfluss auf die Verarbeitung ihrer personenbezogenen Daten nehmen können, z.B. Auskunft, Berichtigung, Löschung.
Die Verarbeitung personenbezogener Daten im Auftrag ist auch nach der DS-GVO möglich.

Die DS-GVO enthält aber auch Neuerungen. Einige Beispiele:

Das Datenschutzrecht der EU wird zukünftig nicht lediglich für in der EU niedergelassene Unternehmen gelten, sondern auch für außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind (Marktortprinzip).
Unternehmen sind zu umfangreicheren Information der Betroffenen und größerer Transparenz verpflichtet als bisher.
Die Verpflichtungen zu technischem und organisatorischem Datenschutz werden fortentwickelt.
Die Datenschutz-Grundverordnung fördert die Selbstregulierung der Verantwortlichen.
Verantwortliche werden in Zukunft in vielen Bereichen verpflichtet sein, Datenschutz-Folgenabschätzungen durchzuführen.
Die Aufsichtsbehörden bekommen eine große Anzahl neuer Aufgaben zugewiesen und können viel höhere Bußgelder verhängen als bisher.
Für jedes Unternehmen wird eine Datenschutzbehörde federführend zuständig sein (One stop shop). Jede Bürgerin oder jeder Bürger wird sich mit Eingaben an seine Datenschutzbehörde wenden, die dann das Verfahren wenn nötig europäisch fortführt.
Die europaweite Zusammenarbeit der Aufsichtsbehörden in grenzüberschreitenden Fällen wurde detailliert geregelt.

Schreibe einen Kommentar