Jede natürliche Person, deren Daten bei einer Organisation, einem Verein oder einer Behörde gespeichert sind, hat Rechte an Ihren Daten. Was bedeutet das für den Betroffenen (also die Person, deren Daten gespeichert sind)? Und was für die verarbeitenden Organisation? Das möchte dieser Artikel erläutern.
Wie sieht es mit dem Kündigungsschutz und der Haftung des Datenschutzbeauftragten aus?
Vorweg, im Folgenden wird vom Datenschutzbeauftragten in der männlichen Form gesprochen. Der Einfachheit halber beim Lesen unterscheiden wir nicht. Es sind natürlich alle Geschlechter angesprochen.
Wir weisen Sie auch darauf hin, dass es sich bei diesem Artikel um keine Rechtsberatung handelt, sondern lediglich um unsere Einschätzung und Erfahrung aus der Praxis.
Die Aufgaben eines Datenschutzbeauftragten wurden bereits ausführlich im letzten Blogartikel vorgestellt. Dennoch sorgen sich viele interne und externe Datenschutzbeauftragten, wie es um die Haftung bei Datenpannen, Datenschutzvorfällen oder die Nichteinhaltung von Betroffenenrechte bestellt ist.
Dieser Artikel soll Sie unterstützen und die Themen des Kündigungsschutzes sowie der Haftung des Datenschutzbeauftragten näherbringen.
Da die Fragezeichen zum Verfahrensverzeichnis nach Artikel 30 DSGVO nicht weniger werden, möchte ich hier noch mal ins Detail gehen.
Ein generelles Muster in Excel und PDF, wie ein Verfahrensverzeichnis aufgebaut werden soll, stelle ich im Blogartikel „Verfahrensverzeichnis mit Muster“ zur Verfügung. Sogar ein ausgefülltes Verfahrensverzeichnis für Online- und Kleinunternehmer finden Sie in meinem gleichnamigen Onlinekurs.
Inhaltsverzeichnis
Jedes Verfahrensverzeichnis ist individuell
An dieser Stelle möchte ich nun aber ein paar Verfahren auflisten, die für verschiedene Branchen relevant sein können. Die Ausprägung dazu muss natürlich jeder selber machen. Da die Rechtmäßigkeit nach Artikel 6 (1) DSGVO sehr stark vom Zweck der Verarbeitung abhängt, kann ich hier nur eine Empfehlung geben. Das heißt ein Verfahrensverzeichnis DSGVO kann bei zwei Unternehme(er)n mit identischen Verfahren ganz unterschiedlich ausgeprägt sein. Daher rate ich Ihnen, sich zwar an den Mustern und Vorschlägen zu orientieren, aber im Detail noch mal selber zu prüfen, ob der Zweck und die Rechtmäßigkeit für SIE richtig beschrieben sind.
Die nachfolgenden Kategorieren sind nur eine grobe Klassifizierung und natürlich nicht ausschließlich. Wahrscheinlich ist eine Kombination aus den verschiedenen Kategorien für Sie eine sinnvolle Lösung.
Wichtiges vorweg!
Sehr oft höre ich die Frage, ob das Verfahrensverzeichnis dann täglich mit den aktuellen Daten ergänzt werden muss.
Keine persönlichen Informationen im Verfahrensverzeichnis!
Beim Verfahrensverzeichnis DSGVO handelt es sich um die Beschreibung allgemeiner Verfahren!!! Jede Verarbeitung wird einmal ganz allgemein beschrieben. Namen von einzelnen Kunden, Dienstleistern und Lieferanten gehören nicht in die Verarbeitungsübersicht.
Mögliche Verfahren in einem Verfahrensverzeichnis DSGVO
Nachfolgend beschreibe ich grundlegende Verfahren, die häufig in Verfahrensverzeichnissen nach der DSGVO erfasst werden. Ich gebe neben dem Zweck, also der Beschreibung des Verfahrens noch die Rechtmäßigkeit nach Artikel 6 an. Ein Verfahren muss immer auf einer Rechtmäßigkeit nach Artikel 6 basieren. Hier gibt es folgende Möglichkeiten.
Rechtmäßigkeit nach Artikel 6 DSGVO
Der Betroffene gibt eine freiwillige Einwilligung (perfekt für den Verarbeiter)
Die Verarbeitung der Daten basiert auf einem Vertrag oder vorvertraglichen Maßnahmen (also die Verhandlung mit potentiellen Kunden fällt auch darunter, auch wenn es dann ggf. nicht zu einem Vertragsschluss kommt). Übrigens, ein Vertrag kann mündlich und schriftlich erfolgen.
Die Verarbeitung basiert aufgrund eines Gesetzes oder sonstigen rechtlichen Verpflichtung
Es geht um lebenswichtige Interessen des Betroffenen
Zur Wahrung des öffentlichen Interesses oder öffentlicher Gewalt werden personenbezogene Daten verarbeitet
Solange die Grundrechte einer Person nicht verletzt werden, kann auch das eigene berechtigte Interesse des Verarbeiters ein Grund zur Verarbeitung der Daten sein
Allgemeine Verfahren in einem Verfahrensverzeichnis nach DSGVO
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Kommunikation per E-mail
Durchführung von interner und externer Kommunikation per E-mail.
Art. 6 (1) b - Vertrag oder vorvertragliche Maßnahmen
Art. 6 (1) c - Rechtliche Verpflichtung / gesetzliche Vorgabe
Ist der E-mail Provider extern, z.B. der Webhoster, dann ist er Auftragsverarbeiter.
Kommunikation per Messenger
Durchführung von interner und externer Kommunikation per Messenger Dienst.
Art. 6 (1) a - Freiwillige Zustimmung
Messenger Dienstleister ist in der Regel kein Auftragsverarbeiter. What's App ist aktuell kein DSGVO konformer Messenger Dienst (auch wenn's schwer fällt)!!!!
Zahlungsverkehr ( externe Rechnungsstellung )
Erstellung von Rechnungen für erbrachte Dienstleistung oder übergebene Waren.
Ggf. unter Einbeziehung eines externen Dienstleistern, der sich um die Rechnungsstellung und Zahlungsabwicklung kümmert.
Art. 6 (1) b - Vertrag
Bei externem Dienstleister für die Rechnungsstellung handelt es sich um einen Auftragsverarbeiter.
IT-Support
Zugriff auf die interne IT-Infrastruktur durch einen externen Dienstleister aufgrund IT-Support und Wartungstätigkeiten. Dabei kann der Supportmitarbeiter Einsicht auf personenbezogene Daten von Kunden erhalten.
Art. 6 (1) b - Vertrag
Beziehen sich die Wartungs- und Supporttätigkeiten überwiegend auf Programme, die keine personenbezogenen Daten enthalten, sollte eine Geheimhaltungsvereinbarung getroffen werden. Sind aber vorrangig Programme im Support betroffen, wie z.B. Lohnverwaltung oder andere personenbezogene Daten, dann wäre ein Auftragsverarbeitungsvertrag besser.
Verfahrensverzeichnis DSGVO: Inhalt für Dienstleister
Hier müssen nur Dienstleistungen erfasst werden, die auch mit personenbezogenen Daten in Berührung kommen. Bzw. bei denen die Verarbeitung personenbezogener Daten dazu gehört. Meistens ist die Grundlage für diese Verfahren ein Vertrag, der mit dem Kunden geschlossen wurde (mündlich oder schriftlich).
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Persönliches Coaching
Individuelle Beratung einer Person in persönlichen Gesprächen. Notizen und Empfehlungen werden während des Gesprächs in schriftlicher Form notiert
Art. 6 (1) c - Vertrag
Je nachdem, wie genau das Coaching abläuft muss natürlich die Beschreibung angepasst werden. Wenn das Coaching die Hauptdienstleistung ist, dann würde ich an dieser Stelle auch die Kontaktdatenerfassung mit aufnehmen und nicht als separates Verfahren beschreiben.
Online-Coaching
Persönliches Coaching im Rahmen von Online- oder Telefonmeetings. Aufzeichnung des Coachings als Video und Dokumentation des Gesprächs in Notizen.
Art. 6 (1) c - Vertrag
Auch hier wieder wird es individuelle Unterschiede geben.
Patientenbehandlung
Behandlung des Patienten zur Vorsorge / bei akuten Problemen. Dokumentation der Behandlung in der Patientenakte (Papier / digital).
Art. 6 (1) c - Vertrag
Je nachdem, um welche Behandlung es handelt und wie die Dokumentation erfolgt, kann man das noch beschreiben. Grundsätzlich würde ich nicht weiter in die Tiefe gehen.
Kundenverwaltung
Verwaltung und Organisation der Kunden- und Interessentendaten in einer Datenbank / Programm.
Art. 6 (1) c - Vertrag
oder Art. 6 (1) f - Berechtigtes Interesse
Ja nach Umfang der Kundenverwaltung kann man die Erfassung der Kontaktdaten auch in den Dienstleistungsverfahren mit beschreiben.
Schulungen / Training
Durchführung von Schulungen / Trainings mit Qualifizierungstest zum Abschluss.
Art. 6 (1) c - Vertrag
Wenn der Dozent die Daten der Teilnehmer nicht erhält oder auch nicht benötigt, ist es kein Verfahren im Sinne des Datenschutzes.
Verfahren für Blogger und Onlineunternehmer
An dieser Stelle würde ich die Verfahren nicht zu sehr im Detail aufsplitten. Ich weiß, dass viele Webseiten unterschiedliche Plugins für verschiedene Zwecke einsetzen. Ich würde nicht jedes Plugin als einzelnes Verfahren beschreiben, wenn es nicht einen wesentlichen Bestandteil des Geschäftsmodells ausmacht (wie es z.B. bei einem Onlineshop oder Mitgliederbereich der Fall ist). Viele Plugins, sollten sie überhaupt personenbezogene Daten in irgendeiner Weise verarbeiten, würde ich unter den Betrieb der Webseite fallen lassen.
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Webseite
Betrieb einer Webseite / Blog für Marketing, Werbung und Außenauftritt. Erfassung personenbezogener Daten in Logfiles auf Server und ggf. im CMS.
Art. 6 (1) f - Berechtigtes Interesse
Für dieses Verfahren wäre z.B. der Webhoster der Auftragsverarbeiter.
Webseitenanalyse
Zur Erfassung der Besucherstatistik und daraus folgend die Optimierung der Webseite werden die Zugriffe auf die Webseite analysiert.
Art. 6 (1) f - Berechtigtes Interesse
Falls die Daten extern gespeichert werden, handelt es sich wie z.B. bei Google Analytics um eine Auftragsverarbeitung. Matomo lokal installiert ist keine Auftragsverarbeitung.
Kontaktformular
Kontaktanfrage über die Webseite für Interessenten und Kunden zur Beantwortung einer spezifischen Anfrage / Frage.
Art. 6 (1) a - Freiwillige Zustimmung
Kommentarfunktion im Blog
Seitenbesucher können Kommentare abgeben, um eine Diskussion oder Kommunikation am Blog aufzubauen.
Art. 6 (1) a - Freiwillige Zustimmung
Mitgliederbereich / Login-Bereich
Den Besuchern der Webseite / den Kunden wird ein Mitgliederbereich angeboten, um
- an Diskussionen teilzunehmen
- Beiträge zu verfassen
- auf bezahlte digitale Ware zugreifen zu können
.....
Art. 6 (1) a - Freiwillige Zustimmung
Art. 6 (1) b - Vertrag
...
Hier gibt es so viele Möglichkeiten, dass es wichtig ist, die richtige zu beschreiben und auch den richtigen Rechtsgrund auszuwählen.
Veröffentlichung von persönlichen Informationen Dritter
In Blogbeiträgen werden Interviews und / oder Bilder von Dritten veröffentlicht. Es werden dabei fachliche Informationen zum Blog publiziert.
Art. 6 (1) a - Freiwillige Zustimmung
Art. 6 (1) b - Vertrag
Auch hier wieder kann man ggf. die Beschreibung anpassen. Die Rechtmäßigkeit muss entweder auf der freiwilligen Zustimmung beruhen oder vielleicht sogar, weil es einen Vertrag gibt. Ein Interviewpartner kann z.B. die Zustimmung geben, indem er vor der Veröffentlichung den Beitrag noch mal gegenliest und mit OK bestätigt.
Für Fotos empfehle ich zur eigenen Absicherung eine schriftliche Freigabe des Betroffenen.
Affiliate Marketing
Monetarisierung der Webseite, um durch Produktempfehlungen oder Produktverlinkungen eine Provision durch Käufe von Webseitenbesuchern zu erhalten. Käufe werden durch Gesetze Cookies bei Käufern dienen dazu, die tatsächliche Provision dem Affiliate Partner zuzuordnen.
Art. 6 (1) f - Berechtigtes Interesse
Bei mehreren Affiliate Partnern macht es evtl. Sinn diese aufzuschlüsseln in einzelne Verfahren, wenn die erfassten Daten unterschiedlich sind. Der Affiliate Partner z.B. Amazon ist in der Regel kein Auftragsverarbeiter.
Newsletterversand
Regelmäßige Information und aktuelle Angebote und Angebote von Drittanbietern an Interessenten und Kunden.
Art. 6 (1) a - Freiwillige Zustimmung
Newsletterpartner ist Auftragsverarbeiter.
Onlineshop
Verkauf von Waren und Dienstleistungen über einen eigenen / oder über einen Dritten Onlineshop.
Art. 6 (1) f - Vertrag
Ob eine AVV mit dem Shopbetreiber notwendig ist, hängt vom Einzelfall ab.
Verfahren für Unternehmen mit Mitarbeitern
Beschäftigt das Unternehmen Mitarbeiter oder Zeitarbeiter, müssen ein paar grundsätzliche Tätigkeiten abgedeckt werden. Auch hier können im Einzelfall noch einzelne Verfahren hinzukommen, wenn z.B. die Mitarbeiter Firmenwägen nutzen oder andere personenbezogene Geräte ausgehändigt bekommen.
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Bewerbungen
Bewerber bewirbt sich initiativ oder konkret auf eine ausgeschriebene Stelle per E-mail oder per Post. Bewerbungen werden bei nicht eingestellten Personen zurück geschickt.
Art. 6 (1) b - Vertrag oder vorvertraglicher Maßnahmen
Bewerbungen müssen gelöscht oder zurück geschickt werden. Alternativ kann der Bewerber AKTIV zustimmen, dass seine Unterlagen einbehalten werden dürfen, falls ähnliche Stellen später wieder besetzt werden müssen.
Lohnabrechnung
Überweisung von Löhnen und Gehältern. Abgabe von Steuern und Gebühren
Art. 6 (1) b - Vertrag
Externer Dienstleister zur Lohnabrechnung ist in der Regel kein Auftragsverarbeiter, sondern Funktionsübertragung.
Zeitwirtschaft
Zeitwirtschaft zur Erfassung der Arbeitszeiten, Urlaubszeiten, Fehlzeiten der Beschäftigten,
sowie Abwesenheitsplanung,
Art. 6 (1) b - Vertrag
Verfahren bei IT-Dienstleistern oder größeren IT-Abteilungen
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Firewalladministration
Zum sicheren Betrieb des Unternehmensnetzwerks wird als Gateway zum Internet eine Firewall betrieben. Es werden regelmäßig Logfiles protokolliert und ausgewertet, um sicherheitskritische Events zu identifizieren.
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
Bei externen Kunden wird es in der Regel ein Vertrag seien der die rechtliche Grundlage bildet. Bei einer internen IT-Abteilung ist es wahrscheinlich das berechtigte Interesse.
IT Serviceprozesse
Es werden IT-Vorfälle und Änderungswünsche im Incident- und Changemanagement-Tool von Kunden / Mitarbeitern erfasst. Die IT-Mitarbeiter können anhand der Tickets die Fälle klassifizieren und bearbeiten.
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
PC-User Management
Jeder PC-User im Unternehmen / beim Kunden erhält einen eigenen PC / Laptop und eine eigene Benutzerkennung mit Passwort, sowie eine E-mail Adresse. Die Verwaltung der User wird auf Anweisung des Kunden umgesetzt
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
Administration von Applikationen mit personenbezogenen Inhalten
Zur Konfiguration, Wartung und Durchführung von Updates an zentralen IT-Systemen mit personenbezogenen Daten (z.B. HR-Software, CRM-Software...) müssen die Administratoren Zugriff auf das System erhalten.
Art. 6 (1) f - Berechtigtes Interesse
oder Art. 6 (1) b - Vertrag
Verfahren für Vereine in einem Verfahrensverzeichnis DSGVO
Da auch Vereine der DSGVO unterliegen, sollte ebenfalls eine Übersicht der Verfahren erstellt werden. Je nach Vereinszweck unterscheiden sich die Verfahren natürlich. Trotzdem sollte mit diesen Verfahren ein Anfang gemacht sein.
Verfahren
Beschreibung
Rechtmäßigkeit
Anmerkung
Mitgliederverwaltung
Übersicht und Verwaltung der Mitglieder mit ihren persönlichen Daten in einer Excel Liste, Access Datenbank, externen Anwendung...
Art. 6 (1) b - Vertrag
Bei einem Onlineportal ist eine Auftragsverarbeitung mit dem Dienstleister nötig.
Terminanmeldung
Anmeldung einzelner Mitglieder für vereinsinterne Veranstaltungen. Eigenständige Anmeldung der Teilnehmer per Telefon / Mail über ein Onlineportal.
Art. 6 (1) b - Vertrag
Jubiläum
Ehrung langjähriger Mitglieder nach 10, 20, .... jähriger Mitgliedschaft oder bei runden Geburtstagen. Auswertung der Jubiläen jährlich in Excel Tabellen.
Art. 6 (1) f - Berechtigtes Interesse
Übermittlung der Mitgliedsdaten an den übergeordneten Verband
Meldung der persönlichen Daten der Mitglieder beim Eintritt in den Verein an den übergeordneten Verein.
Art. 6 (1) f - Vertrag
Je nachdem, wenn der Verein einem übergeordneten Verband angehört und die Mitglieder dort gemeldet werden müssen, muss das auch Teil des Mitgliedsvertrags sein. Damit ist sichergestellt, dass ein Mitglied dagegen nicht im einzelnen widersprechen kann, falls der Verein zur Meldung verpflichtet ist.
Wie füllt man ein komplettes Verfahrensverzeichnis aus?
Da es trotzdem viele Fragen und Fragezeichen gibt, wie nun ein solches Verfahrensverzeichnis ausgefüllt wird, helfe ich hier gerne. Ich biete regelmäßig kostenlose Webinare an, in denen ich an mehreren Beispielen zeige, wie man vorgeht, ein Verfahrensverzeichnis auszufüllen. Hier finden Sie die nächsten Webinar-Termine.
Eine bereits ausgefüllte Verfahrensübersicht als Excel-Datei mit 25+ Verfahren gibt es in meinem Onlinekurs.
Vorschläge zur Erweiterung erwünscht
Ich hab diese Liste mal begonnen, um möchte sie gerne mit weiterem Input von Ihnen ergänzen. Welche Verfahren haben Sie und wissen nicht recht, wie Sie diese formulieren sollen? Gerne ergänze ich die Punkte in dieser Übersicht.
Ist Ihr Dienstleister tatsächlich ein Auftragsverarbeiter im Sinne der EU Datenschutzgrundverordnung? Sehr schnell tendiert man dazu, jedem den Titel Auftragsverarbeiter anzuhängen, der auch nur annähernd in die Nähe von personenbezogenen Daten kommt.
Es gibt viele Diskussionen zum Thema. Ist zum Beispiel Google schon ein Auftragsverarbeiter, wenn dort die IP-Adresse erfasst wird? Um die Frage fachlich fundiert zu beantworten, bin ich auf eine sehr gute Dokumentation der Bitkom gestoßen. Es wird dort auf 43 Seiten sehr detailliert über die Auftragsverarbeiter bzw. Auftragsdatenverarbeiter (wie sie vorher hießen) informiert.
Neben dem sehr wertvollen Papier der Bitkom gehe ich noch auf die Stellungnahme der Datenschutzkonferenz ein, die auch eine Aussage über die Auftragsverarbeitung getroffen hat. Ergänzt wird der Artikel im Oktober 2020 durch eine Leitlinie der EDSA zur Abgrenzung von Begrifflichkeiten.
Inhaltsverzeichnis
Auf den Punkt gebracht: Auftragsverarbeiter und gemeinsame Verantwortliche im Datenschutz
Wenn es sich um keinen Auftragsverarbeiter handelt, kann es sich um eine gemeinsame Verantwortlichkeit oder um fremde Fachleistungen handeln
Ein Auftragsverarbeiter bestimmt nicht den Zweck und die Mittel der Datenverarbeitung
Bei der gemeinsamen Verantwortlichkeit entscheiden beide Parteien über den Zweck und die Mittel der Datenverarbeitung
Begriffsdefinition Auftragsverarbeiter und gemeinsame Verantwortliche
Wer ist überhaupt Verantwortlicher?
Wer für die Daten verantwortlich ist, ergibt sich aus Art. 4 Nr. 7 DSGVO. Des Weiteren ist der Art. 5 DSGVO ebenfalls zu berücksichtigen.
Grundsätzlich ist Verantwortlicher derjenige, der über die Zwecke und Mittel der Datenverarbeitung entscheidet und diese delegiert.
Was bedeutet „Zweck“?
Der Zweck der Verarbeitung ist das „Warum“. Warum benötige ich die Daten für die Verarbeitungstätigkeit? Der Zweck wird im Verfahrensverzeichnis beschrieben und definiert.
Was bedeutet Mittel?
Das Mittel zeigt an, „wie“ die Verarbeitung durchgeführt wird. Als Beispiel können hier Programme, Softwaren oder Applikationen genannt werden.
Was sind die Alternativen zur Auftragsverarbeitung?
Wie schon oben erwähnt, ist es nicht immer eine Auftragsverarbeitung, wenn Daten nicht alleine von der verantwortlichen Stelle verarbeitet werden. Es gibt hier drei Möglichkeiten:
Auftragsverarbeiter
Inanspruchnahme fremder Fachleistungen
Joint Controllership (Gemeinsame Verantwortliche)
Jede dieser Optionen hat rechtlich andere Parameter, die berücksichtigt werden müssen.
Diese Fälle richtig auseinander zu halten, ist die Kunst. Ich finde es auch nicht ganz trivial, aber mit den Hinweisen der Bitkom und der DSK ist es etwas einfacher.
Allerdings muss man erwähnen, dass im Leitfaden der Bitkom noch die Funktionsübertragung erwähnt wird, die ich vorher in diesem Artikel auch mehr herausgehoben habe. Nach der DSGVO gibt es diese nun nicht mehr. Momentan sieht es auch nicht danach aus, als würden sich Empfehlungen wieder in diese Richtung anlehnen.
Übermittlung (Funktionsübertragung) aus dem „alten“ BDSG
Die Datenverarbeitung personenbezogener Daten spielt eine untergeordnete Rolle
Der Auftragnehmer hat nur eine unterstützende Funktion, indem er den Auftraggeber in einer oder mehreren Phasen der Verarbeitung unterstützt.
Der Dienstleister ist quasi der „verlängerte Arm“ des Auftraggebers.
Es wird keine Aufgabe in ihrer Vollständigkeit, sondern lediglich ihre technische Ausführung übertragen.
Beispiele für Funktionsübertragung – ALT
Ausgelagerte Finanzbuchhaltung
Gehaltsabrechnung durch den Steuerberater
Ich empfehle daher, sich nicht mehr auf die Funktionsübertragung zu berufen – was es im allgemeinen aber auch einfacher macht, wie ich finde. Dann hat man noch die Optionen:
Auftragsverarbeiter
kein Auftragsverarbeiter
Fremde Fachleistungen
oder Gemeinsame Verantwortliche
Auftragsverarbeitung
Wenn Sie einen Auftragsverarbeiter beauftragen, legen Sie die Zwecke und Mittel der Datenverarbeitung fest. Sie sind verantwortlich für die Daten dem Betroffenen gegenüber.
Auch der Auftragsverarbeiter hat eine Unterstützungsfunktion, wenn der Verantwortliche seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen bei der Erfüllung der Anfragen und Ansprüche des Betroffenen unterstützen.
Es deutet auf eine Auftragsverarbeitung hin, wenn der Auftragnehmer
keine Entscheidungsbefugnis über die Daten hat
keinen eigenen Geschäftszweck verfolgt bezüglich der personenbezogenen Daten
einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
in keiner vertraglichen Beziehung zu den Betroffenen steht, die er verarbeitet
und nach außen hin der Auftraggeber für die Datenverarbeitung verantwortlich ist.
Ergänzen muss man aber noch, dass zwar der Auftraggeber die Zwecke und Mittel der Verarbeitung festlegt, dies aber nicht bedeutet, dass auch jede technische Schutzmaßnahme durch den Auftraggeber entschieden werden muss. Hier hat der Auftragnehmer durchaus das Recht, eigene Entscheidungen zu treffen.
Beispiele für die Auftragsverarbeitung
Outsourcing eines Rechenzentrums
Externe Datenhaltung
Cloud Systeme zur Personal- und Kundenverwaltung
externe Druckdienstleister
Aktenvernichtung, Vernichtung von Datenträgern
Marketingagenturen, die auch die Auswertung der Webseitenanalyse durchführen
Update am 23.01.2023 – Microsoft hat am 1. Januar 2023 einen neuen AV-Vertrag veröffentlicht.
Aktuell ist dieser nur in englischer Sprache verfügbar. Damit hat Microsoft auf die angebrachte Kritik der Aufsichtsbehörden reagiert.
Im neuen AV-Vertrag ist vor allem folgende Änderung bedeutend, dass über die EU-Cloud sämtliche Kundendaten ausschließlich in der EU verarbeitet und gespeichert werden. Des Weiteren wurde der Anhang I (relevante Regelungen zum AV-Vertrag) überarbeitet und ergänzt. Es werden dabei Bezüge auf die verschiedenen Rechtsgrundlagen nach Art. 5, 28, 32 und 33 genommen und ergänzt.
Ob der Vertrag nun den Anforderungen der Aufsichtsbehörden entsprechen, wird sich wohl erst mit einer erneuten Bewertung zeigen.
Wann ist ein Dienstleister kein Auftragsverarbeiter
Laut Bitkom bezog sich die Grenze vor allem bei den IT-Dienstleistern darauf, dass ein Dienstleister, der nur Support Tätigkeit übernimmt und dabei keine aktive Verarbeitung der Daten übernimmt, kein Auftragsverarbeiter ist. Nach der Stellungnahme der DSK wird das nun etwas globaler gesehen.
Kein Auftragsverarbeiter ist daher ein Dienstleister, der z.B. die Wartung an der Stromzufuhr und an der Kühlung übernimmt. Jeglicher IT-Dienstleister, der sich z.B. auf den Rechner per Fernwartung aufschalten kann und dabei Zugriff auf personenbezogene Daten HABEN KÖNNTE, ist demnach ein Auftragsverarbeiter.
Die Beispiele der BitKom, wer kein Auftragsverarbeiter ist, sind nun noch ergänzt mit dem Einfluss des DSK Papiers:
Installation und Wartung von Netzwerken, Hardware
Telefonanlage, nur solange ein eventueller Zugriff auf personenbezogene Daten ausgeschlossen wird (was eigentlich ja nicht möglich ist)
Pflege von Software – wäre nach Stellungnahme der DSK nun immer ein Auftragsverarbeiter
Programmentwicklung und -tests von Programmen, die keine personenbezogenen Daten verarbeiten, sei es durch Userkennungen, Protokolle oder durch den originären Zweck des Programms
Ein Taxiunternehmen bietet eine Buchungsplattform für die Fahrten an. Die Kerntätigkeit des Taxiunternehmens besteht jedoch in der Beförderung der Fahrgäste. Die Buchungsplattform dient nur als Mittel zum Zweck.
Zudem handelt es sich nicht um einen Auftragsverarbeiter
wenn die Dienstleistung in Gesetzen geregelt ist (Postdienstleistungen – siehe auch weiter unten….)
bei E-Mail Providern, die nur die E-Mail Übermittlung sicherstellen und keine weiteren Funktionen anbieten
bei ausgelagerten Tätigkeiten, deren Kernaufgabe nicht die Verarbeitung von personenbezogenen Daten darstellt, trotzdem aber der Umgang mit personenbezogenen Daten nötig ist (Wachdienst, Reinigungsdienstleistung…)
Kerntätigkeit im Sinne der Datenverarbeitung
Die EDSA zieht zur Abgrenzung auch die Argumentation über die Kerntätigkeit heran. Einige Aufsichtsbehörden folgten dieser Annahme bisher nicht.
Das BayLDA ließ diese Argumentation bereits im Jahr 2018, kurz nach Inkrafttreten der DSGVO, in ihrem FAQ zu.
Fremde Fachleistungen
Hier spricht sich nun die Datenschutzkonferenz aus, dass die fremden Fachleistungen sich folgendermaßen auszeichnen:
Für die Verarbeitung und die Übermittlung gibt es einen eigenen Verantwortlichen
Für die Verarbeitung muss eine Rechtsgrundlage nach Art. 6 DSGVO vorliegen
Es muss doch immer eine Rechtsgrundlage nach Art. 6 vorliegen, oder? Beim Auftragsverarbeiter aber nur INDIREKT. Der Verantwortliche muss eine Rechtsgrundlage nach Art. 6 DSGVO haben. Der Auftragsverarbeiter hat diese in der Regel nicht. Liest man sich nämlich den Gesetzestext in Art. 6 genau durch, dann heißt es, es muss z.B. bei Art. 6 (1) lit. b ein Vertrag zwischen dem Betroffenen und dem Verantwortlichen existieren. Das heißt aber auch, dass diese Rechtsgrundlage für den Auftragsverarbeiter nicht gilt, da er ja nicht der Verantwortliche ist, sondern „nur“ der Dienstleister. Es gibt also keine Rechtsgrundlage beim Auftragsverarbeiter. Diese braucht er dementsprechend auch nicht dokumentieren (es ist nämlich keine Pflichtanforderung in Verfahrensverzeichnis!). Aber zurück zu den fremden Fachleistungen. Wenn beim Dienstleister, der als „fremde Fachleistung“ gilt, eine Rechtsgrundlage vorliegen muss, sieht das ganz anders aus. Das heißt, es muss z.B. ein direkter Vertrag zwischen dem Betroffenen und dem Dienstleister existieren, was z.B. bei nachfolgenden Beispielen exakt der Fall ist.
Beispiele für fremde Fachleistungen
Die DSK kategorisiert in Ihrer Stellungnahme folgende Gruppen:
Die DSGVO ermöglicht neben der alleinigen Verantwortung für ein Verfahren ein arbeitsteiliges Zusammenwirken. Dabei können „zwei oder mehr Verantwortliche“ gemeinsam die Verantwortung für die Verarbeitung personenbezogener Daten übernehmen.
Damit haben also alle verantwortlichen Stellen die Entscheidung über Zwecke und Mittel der Verarbeitung. Im Gegensatz zum Auftragsverarbeiter, bei dem keine Entscheidungsbefugnis über die Zwecke und Mittel der Verarbeitung vorliegt.
Bei der Entscheidungsbefugnis geht es nicht um untergeordnete Entscheidungen, welche Verschlüsselung eingesetzt wird oder wie die Akten entsorgt werden. Die Schutzmöglichkeiten nach dem aktuellen Stand der Technik wählt natürlich der Auftragsverarbeiter frei. Die erwähnte Entscheidungsbefugnis bezieht sich auf die Zwecke und Mittel der Verarbeitung allgemein.
Interessant fand ich den Hinweis, dass maßgeblich ein faktisches Verhalten entscheidend ist, ob es sich um gemeinsame Verantwortliche handelt. Nicht der gemeinsame Wille regelt die Joint Controllership, sondern eben das Verhalten, also wie es tatsächlich gelebt wird.
Umsetzung der gemeinsamen Verantwortung
Es ist zwar kein Vertrag zur Auftragsverarbeitung nötig, trotzdem müssen ein paar Punkte dokumentiert werden.
Welcher der Partner hat welche Pflichten nach der DSGVO?
Wer übernimmt die Wahrung welcher Betroffenenrechte?
Die aktuellen Beispiele der DSK sind etwas anders als die der Bitkom. Hier also die aktuellen der DSK:
klinische Arzneimittelstudien bei mehreren Verantwortlichen, die eigene Entscheidungen treffen (in Teilbereichen)
mehrere Unternehmen eines Konzerns, die gemeinsam bestimmte Datenkategorien verwalten und für gleichlaufende Geschäftszwecke verarbeiten
Soziale Medien, wenn Sie als Unternehmer eine Unternehmens- oder Fanpage betreiben
Reisebüro
Forschungsprojekt Institute
Marketingveranstaltung mehrere Unternehmen
Klinische Studien
Headhunter (konkreter Einzelfall)
Keine gemeinsame Verantwortlichkeit
Übermittlung Lohndaten an Finanzverwaltung (gesetzlich geregelt)
Gemeinsame Nutzung einer Datenbank mit getrennten Bereichen – Mandantenfähigkeit / Berechtigungskonzepte etc.
Gemeinsame Infrastruktur (Rechenzentren etc.)
Pin it on Pinterest!
FAQs Auftragsverarbeitung
Gibt es eine Vorlage für einen AV-Vertrag?
Hier gibt es mehrere Möglichkeiten. Wir nutzen z.B. die kostenlose Vorlage der GDD oder der Bitkom. Aber auch Anwälte stellen Vorlagen zur Verfügung. Für Auftragsverarbeiter im EWR gibt es auch eine Vorlage auf Basis der SCC, die seitens der EU-Kommission vorgegeben ist. Erfolgt die Auftragsverarbeitung in einem unsicheren Drittland, z.B. USA, ist die Vorlage der EU-Kommission anzuwenden, konkret das SCC-Modul 2 (Verantwortlicher-Auftragsverarbeiter). Weitere Informationen zu den „neuen“ Standardvertragsklauseln (SCC) finden Sie in einem separaten Blogbeitrag.
Muss der AV-Vertrag unterschrieben werden?
Nein. Eine Unterschrift ist nicht zwingend erforderlich. Es ist ausreichend, wenn der Auftraggeber und Auftragnehmer die Vereinbarung bekunden. Dies kann mündlich oder konkludent erfolgen.
Es wird jedoch zu Nachweiszwecken empfohlen, den Vertrag schriftlich und mit einer Unterschrift abzuschließen.
Wie detailliert müssen die technischen und organisatorischen Maßnahmen im AV-Anhang beschrieben werden?
Hier lässt der EDSA einen gewissen Spielraum offen.
In der Leitlinie heißt es frei übersetzt, dass in einigen Fällen der Auftraggeber eine detaillierte Beschreibung der TOMs verlangen kann.
Welche Fälle damit gemeint sind, ist vermutlich wieder Auslegungssache. Es wäre wünschenswert, wenn diese Fälle im offiziellen Papier beispielhaft beschrieben werden.
In allen anderen Fällen sind zumindest die Sicherheitsvorgaben nach Art. 32 DSGVO einzuhalten.
Beispiel:
Sofern sensible Daten (z.B. Gesundheitsdaten) seitens des Auftragnehmers verarbeitet werden, bietet es sich an, ein ausführlicheres Sicherheitskonzept vorzulegen.
Bei Fällen, in denen nur „normale“ personenbezogene Daten (Name, Adresse, E-Mail-Adresse etc.) verarbeitet werden, ist eine Anlehnung und Auflistung nach Art. 32 DSGVO ausreichend.
Bin ich dafür Verantwortlich, dass mein Auftragsverarbeiter einen AV mit seinem Subdienstleister hat?
Ja und nein. Sie mit müssen mit Ihrem Auftragsverarbeiter einen AV-Vertrag schließen. In diesem müssen Sie sicherstellen, dass der Umgang mit Subdienstleistern geregelt ist. Das heißt, die Anforderungen von Ihnen als Verantwortlicher müssen an den Unterlieferanten weiter gegeben werden.
Damit ist Ihr Auftragsverarbeiter verpflichtet, mit seinen Subdienstleistern einen AV-Vertrag zu schließen.
Sie müssen regelmäßig prüfen oder einen Nachweis haben, dass Ihr Auftragsverarbeiter diese Vorgaben auch einhält. Dies kann auf unterschiedlichen Wegen passieren. Sie auditieren den Auftragsverarbeiter vor Ort und lassen sich die AV-Verträge zeigen. In vielen Fällen wird dies eher unwahrscheinlich sein. Sie können auch Fragebögen ausgeben und diese beantworten lassen oder Sie lassen sich Prüfberichte oder Zertifikate vorlegen.
Beispiele: Wer ist Auftragsverarbeiter?
Hier handelt es sich nur um einen Auszug und ein paar Beispiele. Die Liste ist natürlich nicht vollständig.
Wenn Sie einen dieser Dienste als Privatperson nutzen, handelt es sich um KEINE Auftragsverarbeitung.
Anbieter
Auftragsverarbeiter
Erläuterung
Dropbox
Ja
Cloud
GMX
Nein
sofern nur E-Mail Service genutzt wird
Google
Ja
GSuite und andere Cloud-Services
Hetzner
Ja
Server, Webhosting, Cloud..
Ionos
Ja
Server, Webhosting, Cloud..
Jimdo
Ja
Online-CMS
Linkedin
Nein
Eine Unternehmensseite ist keine Auftragsverarbeitung
Lohnbüro
Ja
Wenn kein Steuerberater
Microsoft
Ja
Newsletterdienstleister
Ja
SendinBlue
Ja
Newsletterdienstleister
Reinigungsfirma
Nein
Strato
Ja
Server, Webhosting, Cloud..
wordpress.org
Ja
Online CMS (nicht ein eigenes installiertes WordPress)
Bei welchen Dienstleistern sind Sie unsicher, ob es sich um einen Auftragsverarbeiter handelt?
Jetzt muss ich mal eine Lanze brechen für alle, die sich so viele Gedanken um die bevorstehende DSGVO machen. In vielen digitalen Foren und bei Präsenzveranstaltungen führt das Thema Datenschutzgrundverordnung immer wieder zum selben Ergebnis. PANIK! Jeder Unternehmer, vom Solopreneur bis zum Großunternehmer, jeder IT- und HR-Verantwortliche stellt sich die Frage, ob er der neuen Datenschutzgrundverordnung am 25.5.2018 gewachsen ist.
Seit Monaten dreht sich mein Arbeitsalltag um kaum ein anderes Thema als die DSGVO. Ich bereite meine Kunden auf das neue Gesetz vor und helfe bei Online Unternehmern und in Foren mit Praxistipps rund um die DSGVO und das neue Bundesdatenschutzgesetz (welches übrigens mit dem ganzen DSGVO Hype meistens vergessen wird).
Was fällt mir dabei auf und warum ich der Meinung bin, dass Sie die DSGVO problemlos meistern werden?
Inhaltsverzeichnis
Darum werden Sie die DSGVO meistern
1.Sie überlegen sich sehr detailliert, was in Ihrem Verfahrensverzeichnis stehen muss
Die Fragen zum Verfahrensverzeichnis überraschen mich sehr oft. Sie gehen fachlich sehr, sehr tief. Das allein spricht für Sie, dass Sie sich unglaublich viel Gedanken machen. Aus meiner Sicht manchmal vielleicht sogar zu viel. Klar soll das Verfahrensverzeichnis eine Übersicht über alle Verfahren in Ihrem (kleinen oder größeren) Unternehmen listen. An welchen Stellen verarbeiten Sie personenbezogene Daten? Aber was soll es nicht werden? Es soll keine zusätzliche Dokumentation von IT-Systemen werden.
Ziel des Verfahrensverzeichnisses
Beim Datenschutz handelt es sich um ein Verbot mit Erlaubnisvorbehalt. Das heißt, alles ist erst mal verboten, bis es explizit erlaubt ist. An dieser Stelle greift nun das Verfahrensverzeichnis.
Hier beschreiben Sie, warum Ihre Verfahren legal sind und unter welchen Aspekten der Betrieb des Verfahrens statt findet. Daher ist es so wichtig, dass Sie den Zweck gut beschreiben. Warum führen Sie ein bestimmtes Verfahren durch? Schreiben Sie zum Beispiel beim Newsletterversand nicht einfach „Newsletterversand“. Begründen Sie indes den Zweck Ihrer Mailings. WARUM machen Sie das? Weil Sie über aktuelle Angebote informieren und damit die Konversion erhöhen möchten oder weil Sie die Zugriffe auf Ihre Webseite / Ihren Blog erhöhen möchten? Dieser Grund muss gut beschrieben und schlüssig sein. Zudem beschreiben Sie im Verzeichnis noch, welche Daten von welcher Personengruppe erhoben bzw. verarbeitet werden.
Keine IT-Dokumentation
Nutzen Sie, wie beim Newsletterversand, einen externen Dienst? Dann ist es Aufgabe des Dienstleisters, im Vertrag die technischen Maßnahmen zu beschreiben.
Artikel 30 der DSGVO fordert für das Verfahrensverzeichnis eine „wenn möglich, allgemeine Beschreibung der techn. und organisatorischen Schutzmaßnahmen (TOMs)“.
Weniger ist manchmal – und speziell in diesem Fall – mehr!
2. Sie wissen, was eine Auftragsdatenverarbeitung ist und dass diese vertraglich geregelt werden muss
Im Rahmen Ihrer Erstellung des Verfahrensverzeichnisses haben Sie verschiedene Dienstleister identifiziert. Sie nutzen deren Services. Die Dienstleister verarbeiten also Daten für Sie im Auftrag. Daher sind es sogenannte Auftragsverarbeiter oder Auftragsdatenverarbeiter.
Sie müssen mit den Dienstleistern eine ADV (oder AV) abschließen – das wissen Sie bereits. Aber auch hier ist der Hauptaufwand auf Seiten des Dienstleisters. Er muss in diesem Vertrag beschreiben, wie das System geschützt ist. In der Regel haben die großen Dienstleister dafür Standardverträge, die Sie Ihnen zukommen lassen.
Ihre Aufgabe ist es, den Auftragsverarbeiter zu kontaktieren und nach einer ADV zu fragen. Behalten Sie die Übersicht, dass Sie von jedem Dienstleister einen unterzeichneten Vertrag erhalten haben!
3. Sie haben Ihre Onlinepräsenz im Blick
Ihr Aushängeschild in die ganze Welt und für viele die Plattform für das eigentliche Business. Egal ob Blog, Onlineshop oder Portal, es ist die zentrale Stelle, mit der Sie Geld verdienen. Funktionalität, Usability und aber natürlich auch die Anforderungen des Datenschutzes müssen passen.
Viele Fragen über den konformen Einsatz von Plugins und Widgets werden diskutiert. Achten Sie darauf, dass Sie Plugins von Anbietern verwenden, die transparent darstellen, was mit den Daten passiert. Prüfen Sie, ob sich der Software Hersteller dazu äußert, dass die Funktionen DSGVO bzw. GDPR konform sind.
Betreiben Sie Ihre Webseite nur mit einem SSL-Zertifikat. Aber natürlich ist es auch wichtig, dass Sie Ihre Datenschutzerklärung der Webseite aktualisieren und den neuen Anforderungen anpassen.
Sie sind sensibilisiert und achten darauf, welche Software Sie verwenden und welche Dienste Sie heranziehen. Im Zweifelsfall nachfragen und auch direkt den Anbieter kontaktieren. Damit decken Sie schon einen Großteil der Anforderungen ab.
4. Sie investieren Zeit, recherchieren und machen…
… und sind damit definitiv weiter als immer noch viele andere Unternehmen. Ob Sie’s glauben oder nicht. Es gibt immer noch Unternehmer, die noch nicht mal mitbekommen haben, dass sich am 25.05.18 ein paar gravierende Änderungen durchsetzen werden.
Denken Sie an sich! Was haben Sie schon alles gemacht, welche Vorbereitungen haben Sie getroffen. Vergleichen Sie einen Großkonzern nicht mit einem Kleinunternehmen. Machen Sie das, was für Ihre Unternehmensgröße angemessen ist. Machen Sie es gut, hohlen Sie sich Input, aber lassen Sie auch die Kirche im Dorf.
Natürlich bin ich kein Anwalt und Richter und weiß nicht, wie die Urteile fallen werden. Trotzdem habe ich schon viele Auditsituationen in über 10 Jahren Berufserfahrung mitgemacht. Wenn der Auditor etwas finden möchte, wird er immer etwas finden. Das Gesetz ist streng, hat aber auch seine weichen Faktoren. Gerade wie schon oben erwähnt im Punkt Verfahrensverzeichnis. „Wenn möglich, eine allg. Beschreibung….“.
Ich möchte Ihnen Mut und Zuversicht geben! Mit Panik und schlaflosen Nächten ist auch niemanden geholfen 🙂
Und übrigens, der 25.05.2018 ist auch nur ein Freitag 😀
Angst ist ein guter Verkäufer
So sehr es mich auch ärgert, aber die Realität ist leider so. Sehr viele Unternehmen schüren Ängste und machen Panik mit hohen Strafen der DSGVO.
Ich bin davon überzeugt, dass Sie keine Angst vor der DSGVO haben müssen!
Also, lassen Sie sich nicht verunsichern!
5. Sie haben die Datenbeschützerin für Fragen an Ihrer Seite
Und natürlich ein unschlagbarer Punkt: Greifen Sie auf meine Erfahrung und Dienstleistung zurück. Schreiben Sie Ihre Fragen als Kommentar zum Artikel oder auf meiner Facebook Seite. Gerne unterstütze ich Sie bei der Umsetzung der DSGVO Anforderungen.
Da ich Ihnen Ihre vielen Fragen und Bedenken soweit wie möglich abnehmen möchte, biete ich für Sie ein exklusives live Webinar zur DSGVO Praxis an. Wenn Sie kompakt und praxisnah die wesentlichen Anforderungen der DSGVO erhalten möchten, melden Sie sich unbedingt an.
Kostenloses live Webinar zur DSGVO Praxis
Schwerpunkt wird die Erstellung des Verfahrensverzeichnisses sein. Sie erhalten meine Tipps und Hilfen zum Ausfüllen des gesetzlich geforderten Verfahrensverzeichnisses. Natürlich gehe ich noch auf weitere wichtige Punkte der DSGVO ein.
Termine und Anmeldung zum Webinar finden Sie hier:
Verraten Sie mir, was Sie besonders interessieren würde.
Schreiben Sie Ihre Fragen, die ich im Webinar beantworten soll doch in einen Kommentar. Ich versuche, so viel wie möglich im Webinar zu beantworten.
Ein Verfahrensverzeichnis erstellen hört sich kompliziert an. Wer braucht es? Wie muss es erstellt werden? Was muss man darin aufnehmen?
Fragen über Fragen. Mit diesem Beitrag möchte ich Ihnen eine einfache Anleitung geben, wie Sie dieses vermeintlich komplexe Gebilde doch relativ unkompliziert umsetzen können.
Noch ein Vorwort, weil wir immer mal wieder darauf angesprochen werden: In der DSGVO heißt es „Verzeichnis von Verarbeitungstätigkeiten“. Wir verwenden hier den Begriff „Verfahrensverzeichnis“ als Synonym, da sich dieser in der Praxis eingebürgert hat.
Wer? Was? Wann? Wo – und bei welcher Gelegenheit? Das klingt zunächst wie ein Artikel aus einer Klatschzeitschrift. Stellt man diese Fragen jedoch in Bezug auf die DSGVO, steckt mehr dahinter: Mit der EU Grundverordnung zum Datenschutz vervielfältigen sich die Pflichten, denen Sie als Verantwortlicher nachkommen müssen. Dazu gehört auch die Information der Personen, deren Daten Sie verarbeiten.
Wie Sie praxisorientiert Ihre Informationspflichten erstellen und worauf Sie achten müssen, zeigen wir Ihnen in diesem Artikel.
Beachten Sie allerdings, dass es sich um keine Rechtsberatung handelt. Wenn Sie unsicher sind mit der Erstellung Ihrer Informationspflichten, holen Sie sich die professionelle Unterstützung eines Datenschutzbeauftragten oder spezialisierten Anwalts.
Inhaltsverzeichnis
Warum die DSGVO Informationspflicht?
Vereinfacht gesagt: Jeder, dessen Daten erhoben, verarbeitet bzw. gespeichert werden, hat ein Recht darauf, dies zu erfahren. Oder wie es das Bundesverfassungsgericht ausdrückt, muss es Transparenz darüber geben, „wer was wann und bei welcher Gelegenheit über Sie weiß.“
Ohne dieses Wissen ist es den betroffenen Personen nicht möglich, die ihnen zustehenden Rechte, wie zum Beispiel das Recht auf Vergessenwerden oder das Recht auf Berichtigung ihrer Daten, überhaupt wahrzunehmen.
Was ist neu bei der Informationspflicht nach Art. 13 DSGVO?
Die Informationspflichten derer, die Daten erheben, waren bisher im Bundesdatenschutzgesetz (BSDG) und weiteren Gesetzen geregelt. Das geschieht jetzt in den Artikeln 13 und 14 der Datenschutzgrundverordnung, kurz DSGVO und dem BSDG (neu). Insgesamt sind diese Regelungen weitreichender sind als bisher.
Artikel 13 regelt die Informationspflichten bei Erhebung von personenbezogenen Daten direkt bei der betroffenen Person. Ergänzend bezieht sich Artikel 14 auf die Informationspflichten, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Dies trifft zu, wenn die Daten durch Dritte erhoben wurden. Ergänzend zu den Artikeln gibt es Erwägungsgründe, die als Grundlage für den Erlass der Verordnung gesehen werden können. Passend sind hierbei die Erwägungsgründe 60, 61 und 62.
Informationspflicht vs. Datenschutzerklärung
Frage: Was ist eigentlich der Unterschied zwischen der Informationspflicht und der Datenschutzerklärung auf der Webseite? Antwort: Keine!
Hätten Sie’s gewusst? Die Datenschutzerklärung dient dem selben Zweck wie die Informationspflicht. Sie informiert den Webseitenbesucher darüber, welche Daten von ihm verarbeitet werden. Damit die Richtigkeit gewährleistet ist, muss die Datenschutzerklärung dieselben Inhalte aufweisen wie in Art. 13 und Art. 14 DSGVO beschrieben.
Manchmal verwenden unsere Gesprächspartner den Begriff Datenschutzerklärung auch dann, wenn sie z.B. die Informationspflicht beim Arzt oder in einem Verein meinen. Die Wortwahl ist zwar etwas ungewöhnlich, aber durchaus richtig.
Nun aber konkret zu den Inhalten: Welche Informationen über die Verarbeitung der Daten müssen Sie bereit stellen?
Ihre Pflichten nach Artikel 13 und Artikel 14 DSGVO
Artikel 13 – Erläuterung
Wenn Sie oder Ihr Unternehmen personenbezogene Daten direkt bei der betroffenen Person erheben, die Daten verarbeiten oder auch speichern, müssen Sie die Person bereits zum Zeitpunkt der Erhebung davon in Kenntnis setzen. Der Inhalt ist verbindlich und muss präzise, transparent, leicht verständlich und in leicht zugänglicher Form zur Verfügung stehen.
Artikel 14 – Erläuterung
Auch wenn Sie oder Ihr Unternehmen personenbezogene Daten verarbeiten oder auch speichern, die Sie nicht direkt bei der betroffenen Person erhoben haben, unterliegen Sie der Informationspflicht. Die mitzuteilenden Informationen sind nahezu gleich wie bei Artikel 13. Darüber hinaus müssen Sie jedoch Angaben zu den Quellen der Daten machen und darüber, ob diese öffentlich zugänglich sind.
Die Informationspflicht nach Artikel 14 muss in diesem Fall nicht sofort erfolgen. Der Betroffene muss innerhalb einer angemessenen Frist – spätestens aber nach einem Monat – darüber in Kenntnis gesetzt werden. Alternativ ist der Zeitpunkt der ersten Kontaktaufnahme oder der Zeitpunkt der Weitergabe ausschlaggebend.
Finden bei Ihnen beide Artikel Anwendung, ist es üblich, den Betroffenen eine kombinierte Information über die Verarbeitung und Verwendung ihrer Daten zur Verfügung zu stellen.
Übersicht und Vergleich der Pflichtangaben für die Informationspflicht nach Artikel 13 und Artikel 14 DSGVO
Wie erstellen Sie die Dokumente zur Informationspflicht?
Viele Wege führen bekanntlich nach Rom. Wir bevorzugen den kürzeren und pragmatischen Ansatz. Daher ist das folgende Vorgehen unsere Empfehlung aus der Praxis.
Mit einem fertigen Verfahrensverzeichnis haben Sie bereits eine Basis, die Sie zur Erstellung der Informationspflichten heranziehen können. Denn alle benötigten Informationen können Sie daraus ermitteln. Nun brauchen Sie diese Daten nur noch in ein Dokument übertragen und Ihrer Zielgruppe zur Verfügung stellen.
Da Sie im Verfahrensverzeichnis auch die Personengruppen nennen müssen, ist es relativ einfach, nach diesen zu selektieren. Eine Personengruppe können die eigenen Mitarbeiter sein, während die Kunden, Interessenten, Mandanten (…) weitere Gruppen bilden können. Die Personengruppen sind Ihre Zielgruppen, denen Sie die Informationspflichten zur Verfügung stellen müssen. Am besten erstellen Sie ein Dokument pro Zielgruppe. Wenn es sich anbietet, können Sie natürlich auch mehrere Zielgruppen ein einem Dokument zusammen fassen.
Planen Sie, wie Sie die Unterlagen den Betroffenen vor Erfassung und Verarbeitung ihrer Daten am besten anbieten können. Dies sollte für alle Beteiligten ein Vorgehen sein, das so wenig Aufwand wie möglich verursacht.
Aufbau der Informationspflicht
Wenn die Informationspflichten ordentlich beschrieben sind, umfassen diese meist mehrere Seiten. Damit Sie jedoch nicht immer die oben genannten Inhalte einzeln wiedergeben müssen, bietet es sich aus unserer Sicht an, die Informationspflichten in „zwei Abschnitte“ zu teilen.
Einmalig vorkommende Informationen in der Informationspflicht
In Abschnitt 1 können die „einmalig vorkommenden Informationen“ (siehe auch Grafik oben) beschrieben werden. Der Vorteil dabei ist, dass Sie diese Informationen dann in Abschnitt 2 nicht mehr erwähnen müssen. Folgende Gliederung und Musterformulierungen können Sie für den Abschnitt 1 heranziehen:
Verantwortlicher im Sinne des Datenschutzes ist: [Name, Vertreter, Anschrift, Telefonnummer, E-Mail] Der Verantwortliche ist in der Regel der Inhaber / Geschäftsführer (…).
Kontaktdaten des Datenschutzbeauftragten: [Name, Telefon, E-Mail]
Aus der Verarbeitung der Daten ergeben sich folgende Rechte für den Betroffenen:
Recht auf Auskunft (Art. 15 DSGVO)
Berichtigung (Art. 16 DSGVO)
Löschung (Art. 17 DSGVO)
Einschränkung der Daten (Art. 18 DSGVO)
Widerspruchsrecht (Art. 21 DSGVO)
Datenübertragbarkeit (Art. 20 DSGVO)
Widerrufsrecht. Wenn die Verarbeitung aufgrund Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO beruht, haben Sie das Recht diese jederzeit zu widerrufen. Bisher verarbeitete Daten bleiben unberührt.
Es besteht für Sie das Beschwerderecht gegenüber der zuständigen Aufsichtsbehörde: [Name, Anschrift, Telefonnummer, E-Mail]
Angaben pro Verfahren in der Informationspflicht
Nachdem Sie die allgemeinen Informationen im ersten Abschnitt angegeben haben, geht es nun um die Details zu den einzelnen Verfahren. Folgende Angaben müssen Sie individuell pro Verfahren angeben:
Zweck der Verarbeitung [Kurze Beschreibung und Begründung, warum diese Verarbeitung notwendig ist]
Rechtsgrundlage der Verarbeitung nach Art. 6 DSGVO
Speicherdauer der Daten oder alternativ Vorgabe für Löschung
Empfänger der Daten [Name, Anschrift des Empfängers, ggf. Information, ob ein AV-Vertrag vorliegt]- kann weggelassen werden, wenn die Daten nicht weiter gegeben werden.
Übermittlung in ein Drittland – kann ebenfalls weggelassen werden, wenn keine Übermittlung in ein Drittland statt findet.
Hinweis, wenn eine automatisierte Entscheidungsfindung oder Profilen stattfindet – auch dieser Punkt kann entfallen, wenn er nicht zutrifft.
Angabe der Kategorien der personenbezogenen Daten. Dies ist nur zwingend, wenn es sich um die Verarbeitung von Daten handelt, die Sie nicht direkt beim Betroffenen selbst erhoben haben (Art. 14 DSGVO). Wir empfehlen diese Angabe allerdings immer.
Quelle der Daten [Name, Anschrift], falls Sie die Daten nicht direkt beim Betroffenen erhoben haben (Art. 14 DSGVO)
Beispielsformulierung für die Informationspflicht nach Art. 13 und Art. 14 DSGVO
Nachfolgend finden Sie zwei Beispiele für Verfahren aus unserer allgemeinen Informationspflicht. Zur besseren Erklärung zeigen wir Ihnen in der linken Spalte noch einmal den Bezug zum Art. 13 / Art. 14.
Der Aufbau ist nicht vorgegeben. Auch die Satzformulierung können Sie nach Belieben anpassen. Wichtig ist nur, dass alle Bausteine enthalten sind und der Text am Ende noch leicht verständlich ist.
Manchmal kann auch in einem Textabschnitt der Inhalt von mehreren ähnlichen Verfahren zusammen gefasst werden.
Kommunikation
Zweck
Um mit Ihnen in Kontakt zu treten, schreiben wir Ihnen ggf. eine E-Mail. Sie erhalten weiterführende Informationen zur Bearbeitung Ihrer Anfrage, Ihres Auftrags oder im Rahmen unserer allgemeinen Geschäftsbeziehung.
Kategorien der Daten
Dazu speichern wir Ihre E-Mail Adresse, den Inhalt der Kommunikation sowie die Historie der Kommunikation.
Rechtsgrundlage
Die Verarbeitung der Daten beruht auf der Erfüllung der Vertragsbeziehung bzw. vorvertraglicher Maßnahmen nach Art. 6 (1) lit. b DSGVO.
Empfänger der Daten
Als Kollaboration Tool verwenden wir Office 365 von Microsoft, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland. Wir haben mit Microsoft einen Vertrag zur Auftragsverarbeitung abgeschlossen. Ansonsten werden die Daten nur weitergegeben, soweit dies im Rahmen der vertraglichen oder vorvertraglichen Maßnahme nötig ist.
Speicherdauer
Unsere Daten werden im Rahmen der gesetzlichen Aufbewahrungspflicht gespeichert.
Bewerbungen
Zweck / Kategorien der Daten
Im Rahmen des Bewerbungsverfahrens für neue Mitarbeiter verarbeiten wir die von Ihnen zugesandten Informationen aus dem Lebenslauf, dem Anschreiben sowie aus weiteren Dokumenten und Informationen von Ihnen.
Rechtsgrundlage
Die Verarbeitung der Daten erfolgt aufgrund vorvertraglicher Maßnahmen zum Arbeitsvertrag nach Art. 6 (1) lit. b DSGVO.
Empfänger der Daten
Ihre Bewerbung wird intern an die Personalabteilung, sowie die betreffende Fachabteilung weiter geleitet.
Speicherdauer
Unterlagen zu Ihrer Bewerbung werden nach 6 Monaten gelöscht, sofern Sie uns keine Einwilligung zur Aufbewahrung erteilen.
Gar nicht so kompliziert, das Ganze. Ziehen Sie einfach immer Ihr Verfahrensverzeichnis heran. Wenn dieses bereits ordentlich erstellt ist, dann geht die Erstellung der Informationspflicht leichter von der Hand.
Was heißt das für ein kleines oder mittelständisches Unternehmen?
Was bedeutet die Informationspflicht nun für Sie in der Praxis? Egal ob Sie ein fertigendes Unternehmen, einen Einzelhandel, einen Onlineshop oder Blog betreiben, die Informationspflicht betrifft Sie immer irgendwie.
Mitarbeiter
Sie verarbeiten personenbezogene Daten Ihrer Mitarbeiter zur Abwicklung der Personalführung, zur Lohnabrechnung, bei Schulungen und sicher noch an einigen anderen Stellen. Alle diese Verfahren müssen in Ihrem Verfahrensverzeichnis beschrieben sein. Daraus leiten Sie nun das Informationsschreiben ab. Stellen Sie es neuen Mitarbeitern vor der Anstellung, vielleicht gleich mit dem Arbeitsvertrag zur Verfügung. Den bestehenden Mitarbeitern können Sie es nun einmalig z.B. mit der Lohnabrechnung oder über das Intranet zur Verfügung stellen (falls alle Mitarbeiter darauf Zugriff haben). Alternativ ist auch ein Aushang am schwarzen Brett möglich.
Kunden
Unterscheiden Sie, ob Ihre Kunden Endverbraucher oder Geschäftskunden sind. Bei Endverbrauchern haben Sie in der Regel weit mehr personenbezogene Daten als bei Geschäftskunden. Sie haben wahrscheinlich Informationen über Anschrift, Kontodaten, Geburtstag und Familienstand, Einkaufshistorie und noch vieles mehr. Da Geschäftskunden ein Unternehmen repräsentieren, sind es hier meistens Daten wie E-Mail- Adressen, Telefonnummern und Kommunikationsverläufe, die bei Ihnen vorliegen. Haben Sie bereits AGBs, dann wäre es eine Option, die Informationspflicht in ähnlicher Form anzubieten.
Webseitenbesucher
Auf Webseiten können Sie bei vielen Verfahren die Informationspflicht gleich in der Datenschutzerklärung abdecken, so wie Sie es auch in unserer Datenschutzerklärung sehen können. Wir haben unsere DSE mit Hilfe des e-Recht24 Generators erstellt. Da dieser jedoch nur einen Teil abdeckt, haben wir den Rest selbst ergänzt.
Damit Sie die Anforderung leicht verständlich und leicht zugänglich erfüllen, verweisen Sie sicherheitshalber an jeder Stelle, an der Besucher Daten auf der Webseite eingeben, auf Ihre Datenschutzerklärung.
Sind Ausnahmen von der Informationspflicht möglich?
Eine
Ausnahme für Artikel 13 DSGVO ist nur dann zulässig, wenn nachweislich alle
Informationen der betroffenen Person bereits vorliegen. In der Praxis dürfte
das schwer zu prüfen sein.
Für Artikel 14 DSGVO gilt: Ist die Information der betroffenen Person unmöglich oder unverhältnismäßig aufwendig, kann darauf verzichtet werden. Das gleiche gilt für Fälle, in denen die Erhebung oder Übermittlung gesetzlich vorgeschrieben ist oder eine Geheimhaltungspflicht in Form einer Satzung oder eines Berufsgeheimnisses besteht.
Was passiert bei Verstößen gegen die Informationspflicht?
Da der europäische Gesetzgeber den Schutz personenbezogener Daten sowie die Gewährleistung einer fairen und transparenten Datenverarbeitung als absolut elementar ansieht, drohen bei Verstößen hohe Bußgelder.
Diese Zahlen sind erst einmal abschreckend. Wo sich letztlich die Schwelle einpendeln wird, ist noch ungewiss. Sicher ist auf jeden Fall, dass die Bußgelder „wirksam“ sein müssen.
Fazit
Um eine vollständige Informationspflicht erstellen zu können, benötigen Sie ein geführtes Verfahrensverzeichnis. Auf dessen Basis ist es nicht mehr schwer, die Informationspflichten nach Art. 13 und Art. 14 zu erstellen.
Das DSK-Papier Nummer 10 gibt ebenfalls einen Überblick zur Informationspflicht.
Wer muss infolge der Informationspflicht nach Art. 13 und Art. 14 informiert werden?
Grundsätzlich sind nur die betroffenen Personen (Kunden, Mitarbeiter…), die seit dem 25.05.2018 „neu“ dazugekommen sind, zu informieren.
Es ist jedoch sinnvoll, dass Sie auch die Bestandskunden und -mitarbeiter informieren.
Wie ist der Inhalt der Informationspflicht?
Die Informationspflicht nach Art. 13 und Art. 14 kann generell in zwei Abschnitte unterteilt werden. Im allgemeinen Teil müssen folgende Angaben gemacht werden:
Verantwortlicher im Sinne des Datenschutzes
Kontaktdaten des Datenschutzbeauftragten
Hinweis auf die Betroffenenrechte
Hinweis auf das Beschwerderecht bei der Aufsichtsbehörde
Im detaillierten Teil, muss für jedes Verfahren folgendes angegeben werden (soweit zutreffend):
Zweck der Verarbeitung
Rechtsgrundlage der Verarbeitung nach Art. 6 DSGVO
Speicherdauer der Daten
Empfänger der Daten
Übermittlung in ein Drittland
Hinweis, wenn eine automatisierte Entscheidungsfindung oder Profilen stattfindet
Angabe der Kategorien der personenbezogenen Daten. Dies ist nur zwingend, wenn es sich um die Verarbeitung von Daten handelt, die Sie nicht direkt beim Betroffenen selbst erhoben haben (Art. 14 DSGVO). Wir empfehlen diese Angabe allerdings immer.
Quelle der Daten [Name, Anschrift], falls Sie die Daten nicht direkt beim Betroffenen erhoben haben (Art. 14 DSGVO)
Was ist der Unterschied zwischen Informationspflicht und Datenschutzerklärung?
Keiner! Auch die Datenschutzerklärung ist eine Informationspflicht. Für die Webseite hat sich nur der Begriff Datenschutzerklärung eingebürgert.
Wie informiere ich meine Kunden nach der DSGVO?
Sie können
die Informationspflichten in physischer Form z.B. Aushang im
Wartezimmer, Anlage zum Vertrag etc. oder in digitaler Form z.B. auf der
Homepage in der Datenschutzerklärung zur Verfügung stellen.
Verweisen Sie zum Beispiel bei der zweiten Variante in sämtlichen ausgehenden Dokumenten und E-Mails mit einem Satz „Weitere Informationen zum Datenschutz nach Art. 13 und Art. 14 DSGVO finden Sie unter: [Link der Datenschutzerklärung] auf die DSE.
Sind die Informationspflichten von den Kunden bzw. Mitarbeitern zu unterzeichnen?
Nein, die
Informationspflichten müssen nicht unterzeichnet werden. Wenn Sie jedoch einen
Nachweis über die Aushändigung selbst benötigen, dann können Sie sich diese
bestätigen lassen.
Zu welchem Zeitpunkt müssen die Betroffenen informiert werden?
Die DSGVO gibt vor, dass der Betroffene zum Zeitpunkt der Erhebung der Daten zu informieren ist. Das heißt, dass z.B. bei einem Telefonanruf die Informationen vorzulesen sind. Dies ist jedoch alles andere als praxisnah.
Das Bayerische Landesamt für Datenschutzaufsicht behandelt dieses Thema in seinem 8. Tätigkeitsbericht. Die Aufsichtsbehörde erlaubt, die Informationspflicht in abgestufter Form bereit zu stellen.
Das heißt, dass im 1. Schritt (am Telefon) den Betroffenen zumindest die Kontaktinformationen des Verantwortlichen, der Zweck der Verarbeitung (z.B. Kontaktaufnahme) und ggf. die Hinweise auf die Betroffenenrechte zur Verfügung zu stellen sind.
Im zweiten Schritt (z.B. nachgelagerte Kommunikation per Mail nach dem Telefonat) sind dem Betroffenen dann alle übrigen Informationen nach Art. 13 DSGVO bereit zu stellen (Kontaktdaten DSB, Rechtsgrundlage nach Art. 6 DSGVO, Empfänger der Daten, Speicherdauer etc.).
Wie steht es mit der Informationspflicht in Bezug auf Fotos auf öffentlichen Veranstaltungen?
In diesem Fall erlaubt der Datenschutzbeauftragte von Baden-Württemberg, dass die Informationen in abgestufter Form bereit gestellt werden. Vor allem, wenn eine nicht überschaubare Masse die Veranstaltung besucht, kann nicht verlangt werden, dass Jeder diese entgegennimmt.
Weisen Sie bereits beim Eingang daraufhin, dass Fotos von der Veranstaltung angefertigt und z.B. auf der Webseite veröffentlicht werden. Vermerken Sie auf dem Hinweis, wo die weiteren Informationen zum Datenschutz auffindbar sind (z.B. Garderobe, Kasse).
Muss die Informationspflicht immer als Ausdruck ausgehändigt werden?
Nein! Leicht zugänglich muss an dieser Stelle auf den Einzelfall abgestimmt sein. In einer Arztpraxis bietet es sich an, die Informationspflicht für die Patienten als Ausdruck im Wartebereich auszulegen. Im Onlineshop macht die Papierform wenig Sinn. Daher ist die Informationspflicht sehr oft auch in die Datenschutzerklärung der Webseite integriert.
Haben Sie Fragen oder benötigen Sie Hilfe bei der Umsetzung? Dann schreiben Sie einen Kommentar oder melden sich direkt bei uns. Wir freuen uns über Ihr Feedback und stehen Ihnen gerne bei Fragen zur Verfügung.
Wie in vielen anderen Punkten auch, herrscht in Sachen Datenschutzbeauftragter DSGVO in den Unternehmen Unklarheit. Braucht Ihr Unternehmen mit der neuen EU Datenschutzgrundverordnung nun (noch?) einen Datenschutzbeauftragten (DSB)?
Grundsätzlich sind zur Beantwortung dieser Frage zwei Gesetzestexte heranzuziehen. Zum Einen die DSGVO und zum Anderen das neue Bundesdatenschutzgesetz. Die DSGVO bietet beim Datenschutzbeauftragten die Möglichkeit einer nationalen Öffnungsklausel, welche in Deutschland umgesetzt wurde.
Letztendlich kann man sagen, es wird in Deutschland relativ ähnlich bleiben, wie vorher auch. Trotzdem liegt der Unterschied im Detail. Nachfolgend eine detailliertere Ausführung, wann ein DSB benötigt wird.
Übrigens, wenn hier von Datenschutzbeauftragter DSGVO und BDSG (neu) gesprochen wird, dann impliziert das immer die männliche und weibliche Form!
Wann muss ein Datenschutzbeauftragter benannt werden?
Im Folgenden werden die Voraussetzungen nach DSGVO und BDSG (neu) aufgelistet. Für Sie als Unternehmen in Deutschland sind beide relevant. Das heißt, wenn eine der Vorbedingungen auf Sie zutrifft, egal aus welchem Gesetz, benötigen Sie einen DSB.
Datenschutzbeauftragter DSGVO
Artikel 37 GSDVO regelt die Anforderungen, wann ein DSB benannt werden muss. Es wird an dieser Stelle nicht von „Bestellung“ gesprochen, nur von der „Benennung“.
Artikel 37 listet folgende Kriterien für die Benennung eines Datenschutzbeauftragten auf:
öffentliche Stellen (Ausnahme Gerichte)
wenn Sie im Rahmen ihres Kerngeschäfts Verarbeitungen durchführen, welche umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht
wenn Ihre Kerntätigkeit in der umfangreichen Verarbeitung von Daten besonderer Kategorien besteht (gemäß Artikel 9 und 10), darunter fallen Daten zu
rassischer und ethnischer Herkunft
politischen Meinungen
religiösen oder weltanschaulichen Überzeugungen
Gewerkschaftszugehörigkeit
und die Verarbeitung von
genetischen und biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person
Gesundheitsdaten
Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
Treffen diese Punkte bei Ihnen zu, dann lesen Sie unbedingt Artikel 9 in seiner Gesamtheit, da die obige Liste nur eine Zusammenfassung der detaillierten Gesetzestexte darstellt.
Datenschutzbeauftragter BDSG (neu)
§38 des BDSG (neu) ergänzt den Artikel 37 – Datenschutzbeauftragter DSGVO folgendermaßen:
wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten zu tun haben
Dieser Punkt ist nach wie vor der Hauptgrund für viele Unternehmen, einen DSB zu beauftragen. Große Unternehmen mit IT Abteilung und Personalabteilung haben diese Grenze relativ schnell erreicht!
Unabhängig von dieser 20 Personen-Regelung wird ein DSB benötigt, wenn Ihr Unternehmen personenbezogene Daten
verarbeitet, die einer Datenschutz-Folgeabschätzung unterliegen.
für Zwecke der Markt- oder Meinungsforschung übermittelt (personenbezogen oder anonymisiert).
Wer darf die Aufgabe des Datenschutzbeauftragten übernehmen und wie sieht diese aus?
Artikel 37 Absatz 5 regelt, dass der benannte DSB auf Grund seiner beruflichen Qualifikation und des Fachwissens auf diesem Gebiet benannt werden muss. Es muss also das fachliche Know-how gewährleistet werden. Zudem muss er die in Artikel 39 genannten Anforderungen bewerten und erfüllen können. §7 des BDSG (neu) deckt sich weitgehend mit diesen Inhalten.
Aufgaben des DSB nach Artikel 39 DSGVO, §7 BDSG (neu)
Beratung des Unternehmens, welche gesetzlichen Pflichten des Datenschutzes umzusetzen sind
Überwachung der Einhaltung dieser Pflichten, sowie der Strategie zum Schutz der personenbezogenen Daten
Sensibilisieren der Mitarbeiter, die personenbezogene Daten verarbeiten
Beratung bei der Datenschutz-Folgeabschätzung und Überwachung der Durchführung (Artikel 35 DSGVO)
Zusammenarbeit mit der Aufsichtsbehörde, Kontaktperson für die Aufsichtsbehörde
Unterstützung bei der Risikobewertung der Verarbeitungsvorgänge
Interner oder externer Datenschutzbeauftragter DSGVO und BDSG (neu)
Diese Frage stellt sich für ein Unternehmen natürlich immer. Beides hat natürlich seine Berechtigung. Was ich hier zum Thema interner oder externer DSB schreibe, basiert natürlich rein auf meiner persönlichen Meinung und Erfahrung.
Wann ist ein interner Datenschutzbeauftragter sinnvoll?
Wenn Sie bereits eine Person im Haus haben, die das Thema fachlich aufgrund von bestehendem Know-how mit zusätzlichen Schulungen stemmen kann. IT Background sollte vorhanden sein.
Wenn die Person tatsächlich genügend Ressourcen für die Ausübung dieser zusätzlichen Tätigkeit bekommt und das nicht „noch zusätzlich mitmachen“ soll.
Wenn Ihr Unternehmen aufgrund der Anzahl der Mitarbeiter oder Ihrer Prozesse viel Abstimmung und Rückfragen des DSB benötigt.
Wann ist ein externer Datenschutz besser geeignet?
Wenn Sie nicht extra eine Person für den Datenschutz ausbilden, regelmäßig weiterbilden wollen und auch die Ressourcen und Kapazitäten dafür nicht haben.
Wenn Sie im Tagesgeschäft nicht viele Anfragen zum Thema Datenschutz erwarten.
Wenn Sie auf das Know-how eines Externen zugreifen möchten, der aufgrund seiner Tätigkeit als DSB für mehrere Unternehmen viel Praxiserfahrung aufweisen kann.
Wenn Sie nach den gesetzlichen Anforderungen zwar einen DSB benötigen, aber aufgrund der Unternehmensgröße diesen intern nicht abbilden können.
Beide Varianten haben ihren Vor- und Nachteil, das ist natürlich klar. Sind Sie nicht sicher, wie Sie sich entscheiden sollen? Ich freue mich über Ihren Kommentar.
kostenloses Live-Webinar: So setzen Sie TISAX® um!
Von Experten – für Experten im Datenschutz
Tauschen Sie sich mit Gleichgesinnten aus und bleiben Sie up to date!
Whistleblowing-Portal der Datenbeschützerin
Whistleblowing Richtlinie - Bereit für das Hinweisgeberschutzgesetz?
Bleiben wir in Kontakt
Melden Sie sich zu unserem Newsletter an und erhalten Sie alle 14 Tage aktuelle und praxisorientierte Informationen zum Datenschutz und zur Informationssicherheit.