Blog

Datenschutz Verfahrensverzeichnis nach DSGVO

Ein Verzeichnis von Verarbeitungstätigkeiten hört sich kompliziert an. Wer braucht es? Wie muss es erstellt werden? Was gehört alles hinein?

Fragen über Fragen. Mit diesem Beitrag möchte ich Ihnen eine einfache Anleitung geben, wie Sie dieses vermeintliche komplexe Gebilde doch relativ einfach umsetzen können.

Was ist überhaupt ein Verfahrensverzeichnis?

Der Name im Gesetz lautet „Verzeichnis von Verarbeitungstätigkeiten“. Unter den Verarbeitungstätigkeiten im Sinne des Datenschutzes versteht man alle Vorgänge im Unternehmen, die personenbezogene Daten verarbeiten. Also einfach gesagt, wo überall kommen Sie, Ihre Kollegen oder Ihre Mitarbeiter mit Informationen in Kontakt, bei denen reale Personen dahinter stehen? Das ist auf jeden Fall die Lohnabrechnung, die Mitarbeiterverwaltung, aber auch zum Beispiel ein Einzelverbindungsnachweis der Telefonie. Sind Ihre Kunden Endverbraucher, dann haben Sie wahrscheinlich deren Adressen, E-mail Kontakte, Zahlungsdaten, Einkaufsverhalten und noch vieles mehr.

Im Verfahrensverzeichnis listen Sie nun alle „Verfahren“ auf, bei denen Sie diese Daten erfassen oder verarbeiten.

Je nach Unternehmen ist diese Liste unterschiedlich lang. Es macht einen Unterschied, ob Sie Solopreneur sind oder das Verfahrensverzeichnis für ein Großunternehmen erstellen. Sind Ihre Kunden Businesskunden oder Endverbraucher? Bei Businesskunden fallen einige Verfahren weg, da ein Geschäftskunde ja nur teilweise personenbezogene Daten im Geschäftsverkehr preisgibt.

Wer braucht ein Verfahrensverzeichnis?

Da gibt’s (fast) keine Ausnahme. Jedes Unternehmen, bzw. jeder Unternehmer und Selbständige ist dafür verantwortlich eine Verfahrensübersicht zu führen. Es gibt zwar theoretisch die Ausnahme im Artikel 30 der DSGVO. Nur ab 250 Mitarbeitern im Unternehmen muss ein Verfahrensverzeichnis erstellt werden, so Absatz 5. Liest man ihn aber zu Ende, hebt er sich selber wieder auf. Wenn nämlich eine Verarbeitung nicht nur gelegentlich durchgeführt wird, muss sie ins Verfahrensverzeichnis.

Unabhängig davon, ob Sie einen Datenschutzbeauftragten haben / brauchen oder nicht. Das Verzeichnis benötigen Sie immer. Außer wie gerade erwähnt, sie verarbeiten nur „gelegentlich“.

Wobei nebenbei gesagt, diese Forderung an ein Verfahrensverzeichnis ist nicht neu. Die besteht auch bisher schon. Das ist nichts, was mit der DSGVO kam. Wenn Sie auch bisher ein funktionierendes Datenschutz System in Ihrem Unternehmen etabliert haben, wird Sie diese Forderung nicht überraschen.

Wer erstellt das Verfahrensverzeichnis?

Auf Anregung im Kommentar füge ich gerne noch den Punkt hinzu. Wer ist denn verantwortlich für die Erstellung des Verfahrensverzeichnisses? Das ist wie so oft der Verantwortliche für die Datenverarbeitung und das ist der Unternehmer bzw. Geschäftsführer. Also wie das Gesetz es nennt „die verantwortliche Stelle“.

Wer „macht“ die Arbeit in der Praxis ist dann wieder eine andere Sache. Als Datenschutzbeauftragter übernehme ich für „meine“ Unternehmen die Koordination der Erstellung und leiste Hilfe bei der Erstellung. Anschließend gibt es aber auf jeden Fall ein Review mit der Geschäftsführung, da die ja die verantwortliche Stelle ist und letztendlich dafür auch Rechenschaft übernehmen muss.

Ja nach Ihrer Unternehmensgröße sollten Sie überlegen, was die effizienteste und beste Lösung ist, das Verfahrensverzeichnis für Sie zu erstellen und zu pflegen. Bei kleineren Unternehmen oder Einzelunternehmen spreche ich direkt mit dem Geschäftsführer bzw. Inhaber und wir erstellen in einem kleinen Frage-Antwort Interview das Verfahrensverzeichnis. Anschließend übergebe ich die Dokumentation dann in die Hände der verantwortlichen Stelle.

Was gehört alles in ein Verfahrensverzeichnis?

Der Inhalt definiert sich aus Artikel 30 der Datenschutzgrundverordnung. Hier ist zusammenfassend aufgelistet, welche Informationen enthalten sein müssen.

  1. Name und Kontakt des Verantwortlichen
  2. Zweck der Verarbeitung, also das WARUM.
  3. Welche Personengruppen sind betroffen und welche Daten von ihnen
  4. Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)
  5. Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert)?
  6. Vorgesehene Löschfristen der Daten (wenn möglich)
  7. allg. Beschreibung der technisch Sicherheit der Daten (wenn möglich)

Diese Informationen müssen Sie für Ihre eigenen Verarbeitungen dokumentieren. Ebenso müssen Sie aber dieselben Informationen zur Verfügung stellen, wenn Sie für Ihre Kunden zum Beispiel Daten verarbeiten. Beispiel: Sie machen intern die Lohnabrechnung für Ihre Mitarbeiter, dann ist dies ein zu dokumentierendes Verfahren. Machen Sie die Lohnbuchhaltung aber auch als Dienstleister für Ihre Kunden, dann müssen Sie das ebenfalls dokumentieren. Dann sind Sie in der Fachsprache als Auftragsverarbeiter tätig.

Gibt es „Standardverfahren“?

Standardverfahren würde ich es nicht unbedingt nennen, aber auf jeden Fall gibt es Verfahren, die regelmäßig und so gut wie in jedem Unternehmen vorkommen. Was fällt darunter?

Haben Sie Mitarbeiter? Dann haben Sie natürlich immer alle Prozesse rund um die Mitarbeiterverwaltung: Bewerbungen, Lohnabrechnung, PC-Zugänge und so weiter. Aber auch ohne Mitarbeiter gibt es immer wiederkehrende Verfahren. Denken Sie nur an die Internetpräsenz. E-Mail Marketing über Newsletter, Analyse des Besucherverhaltens Ihrer Webseite um nur zwei Verfahren zu nennen.

Datenschutz Verfahrensverzeichnis nach DSGVO
Pin it!

Wie sieht ein Muster eines Verfahrensverzeichnisses aus?

Natürlich können Sie sich auch dafür eine spezielle Software kaufen. Aber in vielen Fällen wäre damit mit Kanonen auf Spatzen geschossen. Ich empfehle Ihnen eine einfach Excel Liste die folgende Spalten enthält:

  • Name des Verfahren
  • Als Auftragsverarbeiter (j / n)
  • Datum der Erfassung
  • Name des Verantwortlichen
  • E-mail des Verantwortlichen
  • Telefonnummer des Verantwortlichen
  • Beschreibung der Verarbeitung / Zweck
  • Betroffene Personengruppen
  • Betroffene Daten
  • Empfänger der Daten
  • Empfänger der Daten in einem Drittland
  • Beschreibung der Absicherung der Datenübermittlung in das Drittland
  • Löschfrist
  • Beschreibung der IT-Sicherheit der Daten
  • Beschreibung der physikalischen Sicherheit der Daten

Natürlich können Sie diese Excel Liste um beliebige Spalten ergänzen. Das ist meine Empfehlung nach Artikel 30 ein Verfahrensverzeichnis einfach und kompakt zu erstellen. Mit diesen Feldern haben Sie auch relativ wenig Aufwand, die Verfahren zu beschreiben.

Hier finden Sie eine Vorlage als PDF, die Sie gerne übernehmen können.

Datenschutz Verfahrensverzeichnis nach DSGVO

Verfahrensverzeichnis Muster DSGVO Vorlage

Vor-ausgefülltes Verfahrensverzeichnis

Übrigens, ein vor-ausgefülltes Verfahrensverzeichnis mit über 20 Verfahren für Online- und Kleinunternehmer finden Sie in meinen Onlinekurs.

Vorgehensweise zur Befüllung

Je nach Unternehmensgröße befüllen Sie das Verfahrensverzeichnis entweder allein oder gemeinsam mit Kollegen. In größeren Unternehmen ist es die Aufgabe des Datenschutzbeauftragten, sich darum zu kümmern. Für meine Kunden bevorzuge ich die Erstellung des Verfahrensverzeichnisses im Rahmen von Interviews. In Gesprächen mit den Abteilungsleitern der Unternehmen hinterfrage ich ihre Prozesse auf die Verarbeitung personenbezogener Daten. Relativ oft kommt man an die Stelle, dass im Verfahren eine dritte Partei als externer Auftragsverarbeiter eingebunden ist. Diese Information ist wertvoll für die Erstellung der Verträge zur Auftragsdatenverarbeitung. Ergänzen Sie diese Notiz in Ihrer Dokumentation an geeigneter Stelle.

Grundsätzlich kann ich Ihnen als Vorgehensweise empfehlen, sich an den Prozessen des Unternehmens „durchzuhangeln“. Auch wenn Sie kein dokumentiertes QM-System haben, haben Sie doch Abläufe, die Sie regelmäßig ausführen. Gehen Sie diese gedanklich durch und erfassen Sie im Verfahrensverzeichnis die Verarbeitungen personenbezogener Daten.

Eine Anleitung mit Beispielen finden Sie auf meinem YouTube Kanal unter DSGVO Webinar: YouTube Kanal Regina Stoiber

Wie sind Ihre Erfahrungen?

Arbeiten Sie schon an einem Verfahrensverzeichnis? Wie haben Sie es bisher gelöst? Wo sind Ihre größten Hürden in der Praxis?

Schreiben Sie einen Kommentar!

Brauchen Sie Unterstützung?

Ich stehe Ihnen gerne mit Rat und Tat zur Verfügung, um Ihr Verfahrensverzeichnis zu erstellen.

Bildquelle: Nietjuh@Pixabay

Was ändert sich bei der Informationspflicht mit der DSGVO?

Wer was wann wo und bei welcher Gelegenheit? Das klingt zunächst wie der Inhalt eines beliebigen Artikels aus einer Illustrierten im Wartezimmer. Setzt man diese Frage jedoch in Bezug zur DSGVO, steckt mehr dahinter: Mit der neuen EU Grundverordnung zum Datenschutz vervielfältigen sich die Plichten, denen Sie als Verantwortlicher gegenüber derer, deren Daten verarbeitet werden, nachkommen müssen.

 

Warum die Informationspflicht?

Ganz einfach kann man sagen, dass jeder dessen Daten erhoben, verarbeitet bzw. gespeichert werden, ein Recht darauf hat, dies zu erfahren. Oder wie es das Bundesverfassungsgericht ausdrückt, Transparenz darüber, „wer was wann und bei welcher Gelegenheit über Sie weiß.“

Darüber hinaus kann man sagen, dass es den betroffenen Personen ohne dieses Wissen nicht möglich ist, die ihnen zustehenden Rechte, wie zum Beispiel das Recht auf Vergessenwerden oder das Recht auf Berichtigung ihrer Daten, wahrzunehmen.

Was ist neu?

Die Informationspflichten derer, die Daten erheben waren bisher im Bundesdatenschutzgesetz (BSDG) und weiteren Gesetzen geregelt. Das geschieht jetzt in den Artikeln 13 und 14 der Datenschutzgrundverordnung, kurz DSGVO und dem BSDG(neu). Insgesamt sind diese Regelungen weitreichender sind als bisher.

Während Artikel 13 die Informationspflicht bei Erhebung von personenbezogenen Daten direkt bei der betroffenen Person regelt, enthält Artikel 14 die Regelungen zur Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Ergänzend zu den Artikeln gibt es Erwägungsgründe, welche als Grundlage für den Erlass der Verordnung gesehen werden können.

 

Ihre Pflichten nach Art. 13 DSGVO

Wenn Sie oder Ihr Unternehmen personenbezogene Daten direkt bei der betroffenen Person erheben, die Daten verarbeiten oder auch speichern, müssen Sie die Person bereits zum Zeitpunkt der Erhebung davon in Kenntnis setzen. Über welches Medium (schriftlich oder elektronisch) die Information im Online- bzw. Offlinebereich jeweils zur Verfügung gestellt werden muss oder sollte, ist derzeit noch Thema zahlreicher Diskussionen. Der Inhalt jedoch ist verbindlich und muss präzise, transparent leicht verständlich und in leicht zugänglicher Form zur Verfügung stehen. Grob zusammengefasst handelt es sich dabei um folgende Punkte:

Inhalt der Informationspflicht

  1. Name und Kontaktdaten des Verantwortlichen (ggf. auch des Vertreters)
  2. Kontaktdaten des Datenschutzbeauftragten
  3. Zweck und Rechtgrundlage der Verarbeitung
  4. Berechtigte Interessen des Verantwortlichen
  5. Konkrete Empfänger bzw. Kategorien von Empfängern
  6. Geplante Übermittlung in Drittländer oder an internationale Organisation und dortige Maßnahmen zum Schutz der Daten
  7. Konkrete Dauer der Speicherung
  8. Betroffene Personen sind über Ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verbreitung und Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit aufzuklären
  9. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  10. Information, ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und mögliche Folgen der Nichtbereitstellung
  11. Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling
  12. Information über eine mögliche Zweckänderung der Datenverarbeitung

Im Detail finden Sie alle notwendigen Informationen hier: https://dsgvo-gesetz.de/art-13-dsgvo/

 

Ihre Pflichten nach Art. 14 DSGVO

Auch wenn Sie oder Ihr Unternehmen personenbezogene Daten verarbeiten oder auch speichern, die Sie nicht direkt bei der betroffenen Person erhoben haben, unterliegen Sie der Informationspflicht. Die mitzuteilenden Informationen sind nahezu gleich, jedoch müssen Sie darüber hinaus Angaben zu den Quellen der Daten machen und darüber, ob diese öffentlich zugänglich sind.

Die Information muss in diesem Falle nicht sofort, sondern innerhalb einer angemessenen Frist, spätestens aber nach einem Monat oder zum Zeitpunkt der ersten Kontaktaufnahme oder Weitergabe erfolgen.

Im Detail finden Sie alle notwendigen Informationen hier: https://dsgvo-gesetz.de/art-14-dsgvo/

Finden bei Ihnen beide Artikel Anwendung, ist es üblich, den betroffenen eine kombinierte Information über die Verarbeitung und Verwendung ihrer Daten zur Verfügung zu stellen.

Was ändert sich bei der Informationspflicht mit der DSGVO?

Wie erstellen Sie die Dokumente zur Informationspflicht?

Das Gesetz fordert an anderer Stelle in Artikel 30 der DSGVO eine Übersicht aller Verfahren zur Verarbeitung personenbezogener Daten in Ihrem Unternehmen. Einen Artikel mit Muster Verfahrensverzeichnis finden Sie ebenfalls im Blog.

Mit einem fertigen Verfahrensverzeichnis haben Sie bereits eine Basis, die Sie zur Erstellung der Informationspflichten heranziehen können. Alle oben genannten Informationen können Sie daraus ermitteln. Nun brauchen Sie diese Daten nur noch in ein Dokument übertragen und Ihrer Zielgruppe zur Verfügung stellen. Am besten erstellen Sie ein Dokument pro Zielgruppe. Überlegen Sie sich, wie Sie die Unterlagen den Betroffenen vor Erfassung und Verarbeitung ihrer Daten am besten anbieten können.

 

Was heißt das für ein kleines oder mittelständisches Unternehmen?

Was bedeutet die Informationspflicht nun für Sie in der Praxis? Egal ob Sie ein fertigendes Unternehmen, einen Einzelhandel, einen Onlineshop oder einen Blog betreiben, die Informationspflicht trifft sie immer irgendwo.

Mitarbeiter

Sie verarbeiten personenbezogene Daten Ihrer Mitarbeiter zur Abwicklung der Personalführung, zur Lohnabrechnung bei Schulungen und sicher noch an einigen anderen Stellen. Alle diese Verfahren müssen in Ihrem Verfahrensverzeichnis beschrieben sein. Daraus leiten Sie nun das Informationsschreiben ab. Stellen Sie es neuen Mitarbeitern vor der Anstellung, vielleicht gleich mit dem Arbeitsvertrag zur Verfügung. Den bestehenden Mitarbeitern können Sie es nun einmalig z.B. mit der Lohnabrechnung oder über das Intranet zur Verfügung stellen (falls alle Mitarbeiter darauf Zugriff haben).

Kunden

Unterscheiden Sie, ob Ihre Kunden Endverbraucher oder Businesskunden sind. Bei Endverbrauchern haben Sie in der Regel weit mehr personenbezogene Daten, als bei Geschäftskunden. Sie haben wahrscheinlich Informationen über Anschrift, Kontodaten, Geburtstag und Familienstand, Einkaufshistorie und noch vieles mehr. Da Geschäftskunden ein Unternehmen repräsentieren sind es meistens Daten wie E-mail Adressen, Telefonnummern und Kommunikationsverläufe, die bei Ihnen trotzdem personenbezogen vorliegen. Haben Sie bereits AGBs, dann wäre es eine Option, die Informationspflicht in ähnlicher Form anzubieten.

Webseitenbesucher

Kein Unternehmen ohne Webseite. Hier können Sie bei vielen Verfahren die Informationspflicht gleich in der Datenschutzerklärung abdecken, so wie Sie es auch in unserer Datenschutzerklärung vorfinden. Wir haben unsere mit Hilfe des e-Recht24 Generators erstellt, der hier die Anforderungen für Standardverfahren auf Webseiten sehr gut umsetzt.

Trotzdem sollten Sie selber noch offenen Auges über Ihre Webseite gehen und prüfen, ob tatsächlich alle Verfahren in der Datenschutzerklärung dokumentiert sind.

Damit Sie die Anforderung leicht verständlich und leicht zugänglich erfüllen, verweisen Sie sicherheitshalber an jeder Stelle an der Daten eingegeben werden auf Ihre Datenschutzerklärung.

 

Sind Ausnahmen von der Informationspflicht möglich?

Eine Ausnahme für Artikel 13 ist nur dann zulässig, wenn nachweislich alle Informationen der betroffenen Person bereits vorliegen. In der Praxis dürfte das schwer zu prüfen sein.

Für Artikel 14 gilt: Ist die Information der betroffenen Person unmöglich oder unverhältnismäßig aufwendig, kann darauf verzichtet werden. Das gleiche gilt für Fälle in denen die Erhebung oder Übermittlung gesetzlich vorgeschrieben ist oder eine Geheimhaltungspflicht in Form einer Satzung oder eines Berufsgeheimnisses besteht.

Was passiert bei Verstößen gegen die Informationspflicht?

Da der europäische Gesetzgeber den Schutz personenbezogener Daten sowie die Gewährleistung einer fairen und transparenten Datenverarbeitung als absolut elementar ansieht, drohen bei Verstößen hohe Bußgelder. Der Rahmen dafür liegt bei bis zu 20.000.000 EUR oder 4% des Jahresumsatzes.

Diese Zahlen schrecken erst mal ab. Wo sich die Schwelle einpendeln wird, ist noch ungewiss. Sicher ist auf jeden Fall, dass die Bußgelder „wirksam“ sein müssen.

 

Fazit

Die neuen Gesetze sind sehr umfangreich und gehen über das bisher Erforderliche weit hinaus. Beginnen Sie als Verantwortlicher deshalb frühzeitig mit der Umsetzung. Verbindlicher Stichtag für die Gültigkeit der neuen Informationspflichten ist der 25. Mai 2018.

 

Haben Sie Fragen oder benötigen Sie Hilfe bei der Umsetzung? Dann schreiben Sie einen Kommentar oder melden sich direkt bei uns. Wir freuen uns auf Sie und stehen Ihnen mit kompetenter Hilfe zur Verfügung.

 

Bildquelle:  rawpixel@pixabay

Wer braucht einen Datenschutzbeauftragten?

Datenschutzbeauftragter DSGVO und BDSG (neu)

Wie in vielen anderen Punkten auch, herrscht in Sachen Datenschutzbeauftragter GSDVO in den Unternehmen Unklarheit. Braucht ihr Unternehmen mit der neuen EU Datenschutzgrundverordnung nun (noch?) einen Datenschutzbeauftragten (DSB)?

Grundsätzlich sind zur Beantwortung dieser Frage zwei Gesetzestexte heranzuziehen. Zum Einen die DSGVO und zum Anderen das neue Bundesdatenschutzgesetz. Die DSGVO bietet beim Datenschutzbeauftragten die Möglichkeit einer nationalen Öffnungsklausel, welche in Deutschland umgesetzt wurde.

Letztendlich kann man sagen, es wird in Deutschland relativ ähnlich bleiben, wie vorher auch. Trotzdem liegt der Unterschied im Detail. Nachfolgend eine detailliertere Ausführung, wann ein DSB benötigt wird.

Übrigens, wenn hier von Datenschutzbeauftragter DSGVO und BDSG (neu) gesprochen wird, dann impliziert das immer die männliche und weibliche Form!

Wann muss ein Datenschutzbeauftragter benannt werden?

Im Folgenden werden die Voraussetzungen nach DSGVO und BDSG (neu) aufgelistet. Für Sie als Unternehmen in Deutschland sind beide relevant. Das heißt, wenn eine der Vorbedingungen auf Sie zutrifft, egal aus welchem Gesetz, benötigen Sie einen DSB.

Datenschutzbeauftragter DSGVO

Artikel 37 GSDVO regelt die Anforderungen, wann ein DSB benannt werden muss. Es wird an dieser Stelle nicht von „Bestellung“ gesprochen, nur „Benennung“.

Artikel 37 listet folgende Punkte auf zur Benennung eines Datenschutzbeauftragten:

  • öffentliche Stellen (Ausnahme Gerichte)
  • wenn Sie im Rahmen ihres Kerngeschäfts Verarbeitungen durchführen, welche umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht
  • wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung von Daten besonderer Kategorien besteht (gemäß Artikel 9 und 10), darunter fallen Daten zur:
    • rassische und ethnische Herkunft
    • politische Meinungen
    • religiöse oder weltanschauliche Überzeugungen
    • Gewerkschaftszugehörigkeit
  • und die Verarbeitung
    • genetischer und biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person
    • Gesundheitsdaten
    • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
  • Treffen diese Punkte bei Ihnen zu, dann lesen Sie unbedingt Artikel 9 im Gesamten, da die obige Liste nur eine Zusammenfassung der detaillierten Gesetzestexte darstellt.

Datenschutzbeauftragter BDSG (neu)

§38 des BDSG (neu) ergänzt den Artikel 37 – Datenschutzbeauftragter DSGVO, folgendermaßen:

  • wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben

Dieser Punkt ist nach wie vor der Hauptgrund für viele Unternehmen, einen DSB zu beauftragen. Große Unternehmen mit IT Abteilung, Personalabteilung haben relativ schnell diese Grenze erreicht!

Unabhängig von dieser 10 Personen Regelung wird ein DSB benötigt, wenn Ihr Unternehmen personenbezogene Daten:

  • verarbeitet, die einer Datenschutz-Folgeabschätzung unterliegen
  • für Zwecke der Markt- oder Meinungsforschung übermitteln (personenbezogen oder anonymisiert)

Wer darf die Aufgabe des Datenschutzbeauftragten übernehmen und wie sieht diese aus?

  • Artikel 37 Absatz 5 regelt, dass der Benannte DSB auf Grund seiner beruflichen Qualifikation und des Fachwissens auf diesem Gebiet benannt werden muss. Es muss also das fachliche Know How gewährleistet werden. Zudem muss er die in Artikel 39 genannten Anforderungen bewerten und erfüllen können. §7 des BDSG (neu) deckt sich weitgehend mit diesen Inhalten.

Aufgaben des DSB nach Artikel 39 DSGVO, §7 BDSG (neu)

  • Beratung des Unternehmens, welche gesetzlichen Pflichten des Datenschutzes umzusetzen sind
  • Überwachung der Einhaltung dieser Pflichten, sowie der Strategie zum Schutz der personenbezogenen Daten
  • Sensibilisieren der Mitarbeiter, die personenbezogene Daten verarbeiten
  • Beratung bei der Datenschutz-Folgeabschätzung und Überwachung der Durchführung (Artikel 35 DSGVO)
  • Zusammenarbeit mit der Aufsichtsbehörde und Kontaktperson für diese
  • Unterstützung bei der Risikobewertung der Verarbeitungsvorgänge

Interner oder externer Datenschutzbeauftragter DSGVO und BDSG (neu)

  • Diese Frage stellt sich für ein Unternehmen natürlich immer. Beides hat natürlich seine Berechtigung. Was ich hier zum Thema interner oder externer DSB schreibe, basiert natürlich rein auf meiner persönlichen Meinung und Erfahrung.

Wann ist ein interner Datenschutzbeauftragter sinnvoll?

  • Wenn Sie bereits eine Person im Haus haben, die das Thema fachlich vom bestehenden Know How mit zusätzlichen Schulungen stemmen kann. IT Background sollte vorhanden sein.
  • Wenn die Person tatsächlich genügend Ressourcen für die Ausübung dieser zusätzlichen Tätigkeit bekommt und das nicht „noch zusätzlich mitmachen“ soll.
  • Wenn ihr Unternehmen aufgrund der Anzahl der Mitarbeiter oder Ihrer Prozesse viel Abstimmung und Rückfragen des DSB’s benötigt.

Wann ist ein externer Datenschutz besser geeignet?

  • Wenn Sie nicht extra eine Person für den Datenschutz ausbilden, regelmäßig weiterbilden wollen und auch die Ressourcen und Kapazitäten dafür nicht haben.
  • Wenn Sie im Tagesgeschäft nicht viele Anfragen zum Thema Datenschutz erwarten.
  • Wenn Sie auf das Know How eines Externen zugreifen möchte, der aufgrund seiner Tätigkeit als DSB für mehrere Unternehmen viel Praxiserfahrung aufweisen kann.
  • Wenn Sie nach den gesetzlichen Anforderungen zwar einen DSB benötigen, aber aufgrund der Unternehmensgröße diesen intern nicht abbilden können.

Beide Varianten haben Ihren Vor- und Nachteil, das ist natürlich klar. Sind Sie nicht sicher, wie Sie sich entscheiden sollen? Ich freue mich über Ihren Kommentar.