Datenschutz Basics: Die wichtigsten Grundlagen

Datenschutz Basics: Die wichtigsten Grundlagen

Was ist ein externer Datenschutzbeauftragter?

Der externe Datenschutzbeauftragte ist ein Dienstleister, welcher Ihrem Unternehmen beratend zur Seite steht. Er sorgt dafür, dass alle Prozesse in Ihrem Unternehmen DSGVO-konform ablaufen.

Verstöße gegen die Datenschutzbestimmungen können empfindliche Strafen nach sich ziehen. Der externe Datenschutzbeauftragte schult Ihre Mitarbeiter, nimmt Sie an die Hand und hilft Ihnen bei der praktischen Umsetzung aller datenschutzrechtlichen Vorgänge in Ihrem Unternehmen.

Zu den Kernaufgaben eines externen Datenschutzbeauftragten gehören:

  • Über alle bestehenden datenschutzrechtlichen Pflichten und Gesetze aufzuklären und deren Einhaltung zu überwachen.
  • Als Ansprechpartner für Behörden, Betroffene, Mitarbeiter und die Geschäftsführung aufzutreten. Er steht für alle Fragen bezüglich des Datenschutzes und dem Umgang mit – sowie der Nutzung von – personenbezogenen Daten zur Verfügung.
  • Das Verarbeitungsverzeichnis (früher Verfahrensverzeichnis) zu führen und Unternehmen bei der Durchführung von Datenschutz-Folgeabschätzungen (nach Art. 35 DSGVO) zu unterstützen. Diese sind bei einigen Verfahren, wie z.B. Videoüberwachung verpflichtend.

Wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Unternehmenen müssen einen Datenschutzbeauftragten benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Unabhängig von der Anzahl der mit Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter, muss ein DSB (Datenschutzbeauftragter) benannt werden, wenn:

  • Personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
  • Verarbeitungen personenbezogener Daten vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen.
  • Personenbezogene Daten besonderer Kategorien umfangreich verarbeitet werden. Zu diesen besonderen Datenkategorien gehören:
    – Gesundheitsdaten
    – Genetische und biometrische Daten
    – Sexuelle Orientierung und Sexualleben
    – Rassische und Ethnische Herkunft
    – Politische und religiöse Überzeugungen
    – Gewerkschaftszugehörigkeiten

Bei der Berechnung der Personenzahl werden alle Personen mitgezählt, die tatsächlich auf die Daten der privaten Stelle zugreifen.

Nicht entscheidend ist dabei , wie häufig oder intensiv auf die Daten zugegriffen wird. Es ist ausreichend, dass es zur regelmäßigen Aufgabenwahrnehmung der Personen gehört, personenbezogene Daten automatisiert zu verarbeiten und es sich hierbei nicht nur um eine vorübergehende Tätigkeit (z. B. Urlaubsvertretung) handelt.

Teilzeitkräfte und Beschäftigte von Zeitarbeitsfirmen werden daher, während ihrer Tätigkeit im Unternehmen, mitgezählt. Das gilt auch für die Mitglieder der Geschäftsleitung und ehrenamtlich Tätigen.

Wie findet man einen externen Datenschutzbeauftragten?

Einen externen Datenschutzbeauftragten zu finden, kann mitunter schwierig sein. Ähnlich wie bei der Suche nach einem Steuerberater oder einem Anwalt, sollten Sie in allererster Linie darauf achten, dass Ihre Wahl auf einen Experten fällt, der Ihnen bestmögliche Ergebnisse liefern kann.

Eine zuverlässige Quelle für seriöse Datenschutzbeauftragte sind Empfehlungen von Bekannten oder Geschäftspartnern, welche bereits gute Erfahrungen mit einem externen Datenschutzbeauftragten gemacht haben.

Alternativ können Sie einen externen Datenschutzbeauftragten in Ihrer Nähe auch über das Internet finden. Achten Sie bei Ihrer Suche unbedingt auf Kundenrezensionen, Referenzen und Qualifikationen.

Wenn Sie nach einem externen Datenschützer im Raum Düsseldorf und Umgebung suchen, laden wir Sie gerne zu einem kostenfreien Erstgespräch ein. Unsere erfahrenen Datenschützer haben langjährige Erfahrung und sind durch renommierte Prüfgesellschaften wie TÜV und DEKRA zertifiziert.

Welche Qualifikationen sollte der Datenschutzbeauftragte mitbringen?

Die DSGVO sieht vor, dass ein Datenschutzbeauftragter auf Grundlage seiner Qualifikation und seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benannt wird.

Für Ihr Unternehmen ergeben sich daraus zwei Möglichkeiten. Entweder lassen Sie einen Mitarbeiter aufwendig schulen und zu Ihrem internen Datenschutzbeauftragten ausbilden, oder Sie benennen einen externen Datenschutzbeauftragten. Letzterer sollte bereits Praxiserfahrung mitbringen und durch den TÜV oder die DEKRA zertifiziert sein.

Viele Rechtsanwälte haben Datenschutzlehrgänge besucht und bieten Ihre Dienste als externe Datenschutzbeauftragte an. Während Sie zwar ein umfassendes Verständnis von Recht und Gesetz mitbringen, fehlt Ihnen allerdings häufig das Wissen um technische Gegebenheiten vollständig zu erfassen und das Datenschutzrecht entsprechend anzuwenden.

Die Rolf Schneider GmBh ist bereits seit über 30 Jahren in der IT-Branche tätig. In den letzten zehn Jahren haben wir uns insbesondere auf die Beratung zu IT-Sicherheit und Datenschutz spezialisiert. Als Experte auf diesem Gebiet, profitieren Sie mit uns von fundiertem und über Jahrzehnte gewachsenem IT-Fachwissen.

Was ist der Unterscheid zwischen einem internen- und einem externem Datenschutzbeauftragen?

Bei der Benennung eines DSB haben Sie die Wahl zwischen einem internen- und einem externen Datenschutzbeauftragten. 

Ein interner Datenschutzbeauftragter ist ein Mitarbeiter Ihres Unternehmens, welcher das nötige Fachwissen durch Schulungen und laufende Weiterbildungen erlangt. Sie müssen ihm für die seine datenschutzrechtlichen Tätigkeiten Tätigkeit ausreichend Zeit und Ressourcen zur Verfügung stellen, anderenfalls gilt der Datenschutzbeauftragte im Zweifelsfall als nicht benannt.

Interne Datenschutzbeauftragte unterliegen zudem einem besonderen Kündigungsschutz. Sie dürfen außerdem nicht befangen sein, wodurch viele Mitarbeiter für die interne Besetzung dieser Position ausscheiden.

Leiter der IT-Abteilung, der Personalabteilung oder einer evtl. vorhanderen Compliance-Abteilung kommen nicht für den Posten des internen Datenschutzbeauftragten in Frage. Auch ein Lehring darf nicht zum internen DSB benannt werden, da ihm die benötigten Qualifikationen fehlen.

Ein externer Datenschutzbeauftragter verfügt bereits über alle notwendigen Qualifikationen und bringt darüber hinaus viel Praxiserfahrung mit. Diese ist unverzichtbar um Sie und Ihr Unternehmen sicher zu allen datenschutzrechtlichen Fragen zu beraten und den Datenschutz in Ihrem Unternehmen lückenlos zu garantieren.

Oft kommen externe Datenschützer aus der IT-Branche und können über ihre eigentliche Tätigkeit hinaus auch in vielen weiteren Fragen, wie der IT-Sicherheit, behilflich sein. Die beiden Kompetenzen sind eng miteinander verknüpft, da effektiver Datenschutz eine gut aufgestellte IT-Security voraussetzt.

Was sind die Vorteile eines externen Datenschutzbeauftragten?

Ein externer Datenschutzbeauftragter nimmt in Ihrem Unternehmen eine neutrale Position ein und hat einen objektiven Blick von Außen. Häufig kann er als externer Berater Abteilungen oder Personen, die nicht gerne oder gut zusammenarbeiten, besser zusammenbringen.

Auf Grund seiner langjährigen Erfahrung sind die meisten Fragestellungen für den externen Datenschutzbeauftragten nicht neu und er kann auf das Wissen aus seinen bisherigen Tätigkeiten für andere Mandanten zurückgreifen.

Anders als für einen internen Datenschutzbeauftragten, ist Datenschutz für den externen Berater keine zusätzliche Aufgabe die er nebenbei erledigt, sondern seine Haupttätigkeit. Außerdem untersteht ein externer Datenschutzbeauftragter keinem besonderen Kündigungsschutz.

Der externe Datenschutzbeauftragte bringt erprobte Software, Werkzeuge und Arbeitsabläufe in Ihr Unternehmen, welche sich in seiner langjährigen Tätigkeit etabliert haben.

Was sind die Aufgaben eines externen Datenschutzbeauftragen?

Wird ein externer Datenschützer benannt, berät er die Geschäftsführung, die Mitarbeiter und den Betriebsrat in allen datenschutzrechtlichen Fragen. 

Darüber hinaus schult er die Mitarbeiter, sensibilisiert sie zum Thema Datenschutz und überwacht die ordnungsgemäße Erhebung und Verarbeitung personenbezogener Daten.

Er unterstützt bei der Erstellung gesetzlich vorgeschriebener Dokumentationen und bei der Ausgestaltung von Verträgen für externe Auftragsdatenverarbeiter, wie z. B. Dienstleister für die Lohn- und Gehaltsabrechnung, Marketingagenturen oder Cloudanbieter.

Die wichtigsten Grundsätze der DSGVO

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz. Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer, für die betroffenen Person nachvollziehbaren, Weise verarbeitet werden.
  2. Zweckbindung. Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. In einer, mit diesem Zweck nicht zu vereinbarenden, Weise, dürfen sie nicht weiterverarbeitet werden.
  3. Datenminimierung. Personenbezogene Daten müssen für den Zweck angemessen und notwendig, sowie auf das, für die Zwecke der Verarbeitung notwendige, Maß beschränkt sein.
  4. Richtigkeit. Personenbezogene Daten müssen sachlich richtig und aktuell sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
  5. Speicherbegrenzung. Personenbezogene Daten müssen, wenn sie für die Zwecke, für die sie verarbeitet wurden, nicht mehr erforderlich sind, gelöscht werden. Die Verpflichtung zu einer längeren Aufbewahrung personenbezogener Daten ergibt sich allerdings häufig aus anderen, dem Datenschutz vorgehenden, Gesetzen wie der Abgabenordnung.
  6. Integrität und Vertraulichkeit. Personenbezogene Daten müssen in einer Weise verarbeitet werden, die einen angemessenen Schutz vor unrechtmäßigem Zugriff oder unrechtmäßiger Verarbeitung, sowie vor unbeabsichtigtem Verlust, Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen, gewährleistet.
  7. Rechenschaftspflicht. Der Verantwortliche ist für die Einhaltung der vorgenannten Punkte verantwortlich und muss deren Einhaltung lückenlos nachweisen können.

Welche Strafen drohen bei Datenschutz-Verstößen?

Verstöße gegen die Bestimmungen der DSGVO können empfindliche Strafen nach sich ziehen. Mitunter sind Geldbußen von bis zu 20.000.000€ oder von bis zu 4% des gesamten Weltweiten Umsatzes des vorangegangenen Geschäftsjahrs, je nachdem welcher Betrag höher ist, möglich.

Beispiele für hohe Strafen auf Grund von Datenschutz-Verstößen sind in Deutschland:

  • Deutsche Wohnen SE – 14.500.000€ Bußgeld
  • 1&1 Telekom GmbH – 9.550.000€ Bußgeld
  • AOK – 1.200.000€ Bußgeld

Die deutschen Aufsichtsbehörden nehmen im Bereich der Datenschutz-Verstöße Fahrt auf und verhängen immer mehr Bußgelder. Dieser Prozess dürfte sich noch beschleunigen, da die Landesdatenschutzämter auf Grund von Klagen wegen „Untätigkeit“ unter Druck geraten.

Sollten diese Klagen von Erfolg gekrönt werden, müssen die Landesdatenschutzbehörden mehr Strafen bei Verstößen gegen die DSGVO verhängen. 

Eine aktuelle Auflistung der verhängten Bußgelder innerhalb der EU finden Sie auf: https://enforcementtracker.com/

Wie wird ein externer Datenschutzbeauftragter benannt?

Einen externen Datenschutzbeauftragten für Ihr Unternehmen beauftragen Sie auf der Grundlage eines Dienstleistungsvertrags. Hierbei müssen Sie darauf achten, dass kein Interessenkonflikt vorliegt. Ihr Systemhaus ist demnach nicht als externer Datenschutzbeauftragter geeignet (Bock-Gärtner-Problem).

Ihren externen Datenschutzbeauftragten müssen Sie den behölrden schriftlich mitteilen. Außerdem muss er allen Kunden und Mitarbeitern als Ansprechpartner zur verfügung gestellt werden. Er betreut Sie dann bei der DSGVO-konformen Umsetzung datenschutzrechtlich relevanter Vorgänge und steht Ihnen bei Fragen aller Art beratend zur Seite.

Was kostet ein externer Datenschutzbeauftragter?

Die Kosten eines externen Datenschutzbeauftragten richten sich nach der Größe Ihres Unternehmens. Für kleine Unternehmen beginnen die Kosten bei rund 100€/Monat.

Gerne besprechen wir Ihren Bedarf und berechnen Ihnen die dafür anfallenden Kosten in einem kostenfreien Erstgespräch. 

Datenschutzberatung für Düsseldorf und Umgebung - so unterstützen wir Sie als externer Datenschutzbeauftragter

Als langjährig tätige Experten im Bereich Datenschutz und IT-Security unterstützen wir Sie und Ihr Unternehmen bei der Umsetzung aller datenschutzrechtlich relevanten Vorgänge.

Gerne stehen wir Ihnen, Ihren Kunden und den Aufsichtsbehörden für alle Fragen zum Thema Datenschutz zur Verfügung. 

Zu Beginn unserer Zusammenarbeit stellen wir Ihren Ist-Zustand fest. Vor Ort – gerne aber auch per Videokonferenz und virtuellem Rundgang – beraten wir Sie und zeigen auf, wie Sie den Soll-Zustand effektiv und schnellstmöglich erreichen können.

Unser Leitsatz ist stets: „So viel wie nötig, so wenig wie möglich.“

Wir bereiten Ihnen außerdem alle erforderlichen Dokumentationen vor.

Nur gelebter Datenschutz erfüllt seinen Zweck. Besonders wichtig ist uns daher die regelmäßige Schulung Ihrer Mitarbeiter, welche wir persönlich vor Ort oder per Webcast/Webinar halten. 

FAQ - Häufige Fragen rund um den Datenschutz in Unternehmen

Datenschutz dient dem Schutz der Menschen, deren Daten erhoben und verarbeitet werden. Dabei gilt der Grundsatz, dass jeder Mensch selbst bestimmen sollte, wem er seine Daten zur Verfügung stellt.

Zu den personenbezogenen Daten gehören bereits persönliche Angaben, wie Name, Anschrift oder Geburtsdatum, welche wir im täglichen Leben vielleicht als nicht besonders schützenswert erachten.

Sensiblere Daten werden unter „besonderen Kategorien personenbezogener Daten“ erfasst. Dazu gehören beispielsweise Gesundheitsdaten, Religion, sexuelle Orientierung und ähnliches, was für gewöhnlich als besonders schützenswert eingestuft wird.

Werden solche Daten mit Namen und Geburtsdatum verknüpft, ergeben sich daraus Datensätze, welche in den falschen Händen durchaus zu großem individuellen Schaden führen können.

Die zentrale Aufgabe des Datenschutzes ist es sicherzustellen, dass der Umgang mit personenbezogenen Daten niemanden schädigt oder unnötig einschränkt.

Zentraler Bezugspunkt ist dabei das Recht auf informationelle Selbstbestimmung, also das Recht selber über die Verarbeitung eigener Daten bestimmen zu können. Datenschutz ist ein Grundrecht und soll durch die DSGVO und das BDSG garantiert werden.

Vereinzelte Daten, wie z. B. ein Vorname, sind in der Regel ungefährlich, da sie nicht direkt auf eine bestimmte Person zurückgeführt werden können. Fügt man dem Vornamen nun allerdings weitere Daten, wie z. B. das Geburtsdatum, den Geburtsort und den Arbeitsplatz, hinzu, führen diese Informationen mit großer Wahrscheinlichkeit zu einer bestimmten Person.

Kombiniert man diese Daten nun weiter mitt Einkaufsdaten von einem großen Internetanbieter und einem passenden Profil aus den sozialen Netzwerken, besitzt man bereits eine sehr große Menge Informationen über die betroffene Person. Dies dürfte den Punkt mit dem diese Person einverstanden ist, bereits weit überschreiten.

Das sammeln und kombinieren personenbezogener Daten, führt zu mitunter erschreckenden Situationen. So gab es bereits den Fall, dass ein internationaler Internethandelsriese, auf Grund des veränderten Einkaufsverhaltens einer Kundin, bereits früher von ihrer Schwangerschaft wusste, als sie selber. 

Gelebter Datenschutz ist notwendig um Kunden zu zeigen, dass man ihre Informationen schützt, damit solche Profile nicht ohne ihr Wissen und ihr explizites Einverständnis erstellt werden können.

Personenbezogene Daten sind Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Dazu gehören bereits allgemeine Angaben wie Namen, E-Mail-Adressen, Adressdaten, Kundendaten oder die Personaldaten der eigenen Mitarbeiter.

In die besondere Kategorie personenbezogener Daten fallen sensiblere Angaben, wie rassische und ethnische Herkunft, politische, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten oder sexuelle Orientierung.

Die Datenschutzerklärung auf Ihrer Website muss in allgemein verständlicher Sprache abgefasst sein und folgende Fragen beantworten:

  • Welche personenbezogenen Daten werden erhoben?
  • Was geschieht mit den personenbezogenen Daten?
  • Zu welchem Zweck werden die Daten erhoben?
  • Werden die Daten an Dritte weitergegeben?
  • Auf welcher Rechtsgrundlage werden die Daten erhoben?
  • Wie lange werden die Daten aufbewahrt?

Zudem muss die Datenschutzerklärung den Betroffenen über seine Rechte aufklären und ihn auf das Beschwerderecht bei einer Aufsichtsbehörde, sowie auf das Widerrufsrecht für Nutzer, hinweisen.

Auch der Name und die Kontaktdaten des Verantwortlichen müssen in der Datenschutzerklärung enthalten sein.

Lesen Sie auch: Grundlagen einer DSGVO-konformen Website.

Die EU-Datenschutzgrundverordnung (DSGVO) dient der Vereinheitlichung des Datenschutzrechts innerhalb der EU und der Umsetzung des Grundrechts auf informationelle Selbstbestimmung laut Artikel 2 Grundgesetz sowie des Artikels 7 der Grundrechte Charta der EU.

Ihr Ziel ist es personenbezogene Daten zu schützen.

Die DSGVO entspricht weitestgehend dem alten BDSG. Das neue BDSG enthält nur noch die nationalen Regelungen. Öffnungsklauseln in der DSGVO ermöglichen nationale Unterschiede in einigen wichtigen Bereichen, wie dem Arbeitsrecht.

Für Verstöße gegen die DSGVO haftet immer der Verantwortliche. Verantwortlich sind in der Regel die Vorstände und Geschäftsführer des Unternehmens. Ihre Haftung bei DSGVO-Verstößen kann nicht delegiert werden.

Grundsätzlich kann jeder Mitarbeiter eines Unternehmens, sofern kein Interessenkonflikt (z. B. IT, HR) vorliegt, zum Datenschutzbeauftragten benannt werden.

Alternativ kann ein externer Dienstleister zum Datenschutzbeauftragten benannt werden. Auch hier sind Sie in Ihrer Wahl sehr frei. Sie sollten jedoch darauf achten, dass Ihr externer Datenschutzbeauftragter kompetent und vertrauenswürdig ist, da Sie ihm den Schutz Ihres Unternehmens vor Schaden in die Hand geben.

Grundsätzlich gilt, dass Sie den Datenschutzbeauftragten auf Grund seiner Qualifikation auswählen müssen, was die Zahl der in Frage kommenden  Personen stark einschränkt.

Die meisten kleinen Unternehmen sind nicht verpflichtet einen Datenschutzbeauftragten zu benennen. Die DSGVO gilt jedoch für alle und muss auch von kleinen Unternehmen befolgt werden.

Sollten Sie die Vorgaben der DSGVO nicht erfüllen, drohen Ihnen Bußgelder, welche sich in vielen Fällen mit geringem Aufwand hätten verhindern lassen können.

Auf Grund der geringen Anforderungen sind die Kosten eines externen Datenschutzbeauftragten für kleine Unternehmen sehr überschaubar und stehen in keinem Verhältnis zu dem Aufwand, den Sie betreiben müssten um Ihr Unternehmen selber DSGVO-konform abzusichern. 

Ein Datenschutzbeauftragter kann (und sollte nach der DSGVO) im Zweifelsfall auch freiwillig benannt oder als Berater hinzugezogen werden.

Häufig sind kleine und mittelständische Unternehmen mit der Vielzahl von Auskunfts-, Dokumentations- und Nachweispflichten überfordert. Hier kann Ihnen ein externer Datenschutzbeauftragter dabei helfen Ihr Unternehmen abzusichern und alle Vorgänge DSGVO-konform zu gestalten.

Wenn Sie personenbezogene Daten verarbeiten, sollten Sie abwägen ob es sinnvoll ist, dass Sie sich selber in die komplexe Materie des Datenschutzes einzuarbeiten. Oftmals ist es besser, auch ohne dazu verpflichtet zu sein, einen externen Datenschutzbeauftragten zu konsultieren. So können Sie und Ihre Mitarbeiter sich weiterhin auf das Kerngeschäft konzentrieren, nämlich Ihrem Unternehmen zu Umsätzen und Gewinnen zu verhelfen, während ein externer Experte sich um alle datenschutzrechtlichen Angelegenheiten kümmert.

Auch für Ihre Außendarstellung ist es sehr förderlich, wenn Sie sich bei Fragen zum Datenschutz professionell präsentieren können.

Sollten Sie trotz Verpflichtung keinen Datenschutzbeauftragten für Ihr Unternehmen benennen, stellt dies eine Ordnungswidrigkeit dar, welche mit einem Bußgeld von bis zu 50.000€ geahndet wird.

Noch Fragen? Kontaktieren Sie uns!