Wann und wie wird Datenschutz überwacht?

Um die gesetzlich erforderlichen Datenschutzmaßnahmen umzusetzen, hat ein Unternehmen eine Datenschutzorgansisaton zu unterhalten, die entsprechend der Größe und Struktur des Unternehmens die Daten der Betroffenen schützt.

Weiter kann es erforderlich werden, einen Datenschutzbeauftragten (DSB) zu ernennen. Hier stellt sich die Frage, wann ein DSB zu ernennen ist. Hierbei gilt es, die Vorschrften aus der DS-GVO und dem BDSG zu beachten.

Der Artikel 37 DS-GVO enthält folgende Vorgaben für die Benennung eines DSB:

  • öffentliche Stellen mit Ausnahme von Gerichten

  • wenn der Verantwortliche im Sinne eines Kerngeschäftes Verarbeitungen durchführt, die umfangreiche und systematischen Überwachung von Betroffenen erforderlich machen

  • bei Kerntätigkeiten, die umfangreiche Verarbeitung von besonderer Kategorien von Daten erforderlich machen (z. B. Gesundheitsdaten; weitere Details siehe in den Art. 9 u. 10 DS-GVO)

Der § 38 BDSG ergänzt die o. g. Punkte und schreibt die Ernennung eines DSB vor, wenn:

  • mindestens 10 Personen ständig mit der automatisiertenVerarbeitung von personenbezogenen Daten zu tun haben

Weiter ist die Ernennung eines DSB unabhängig von der „10-Personen-Regel“ erforderlich, wenn:

  • Daten verarbeitet werden, die einer Datenschutz-Folgenabschätzung unterliegen

  • Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder der Markt- oder Meinungsforschung verarbeitet werden

Die „10-Personen-Regel“ wird für viele Unternehmen der Hauptgrund sein, einen DSB zu benennen. Das Unternehmen kann für diese Aufgabe einen Mitarbeiter intern benennen oder diese Aufgabe an einen externen Dienstleister vergeben.

Hauptaufgaben des Datenschutzbeauftragten

 

Zu den Hauptaufgaben eines DSB zählen:

  • Überwachung der Einhaltung der DS-GVO und anderer DS-Vorschriften
  • Information, Beratung, Empfehlung an Verantwortlichen oder Auftragsverarbeiter bezüglich DS-Themen und Vorgaben sowie gesetzliche Änderungen der DS-Gesetzgebung
  • Unterstützung bei Risikoanalysen
  • Unterstützung von DS-Beschwerden Betroffener
  • Unterstützung bei der Anpassung bestehender Auftragsverarbeitung-Verträge an die neuen gesetzlichen Vorgaben
  • Unterstützung der IT-Abteilung bei datenschutzrechtlichen Fragen und Problemen
  • Durchführung von DS-Workshops
  • Durchführen von DS-Audits
  • Durchführung von DS-Schulungen
  • Bearbeitung von DS-Fragen aus dem Tagesgeschäft
  • Unterstützung bei der Erstellung von Datenschutzfolgenabschätzungen (DSFA)
  • Teilnahme an hausinternen Arbeitskreisen
  • Erstellen des Audit-Berichtes
  • Kontakt zur DS-Aufsichtsbehörde

Externe Datenverarbeitung

Auch wenn der Fall eintritt, dass personenbezogene Daten im Auftrag eines Unternehmens von einem Subunternehmen verarbeitet werden (z.B. Auslieferung von Waren im Auftrag oder Inkasso), sind besondere Vorschriften zu beachten. Wenn Sie Fragen hierzu haben und Regelungsbedarf in Ihrem Unternehmen besteht, nehmen Sie Kontakt zu uns auf!

Brisanz des Datenschutzes

Ein bekanntgewordener Verstoß gegen eine der gesetzlichen Vorschriften zum Datenschutz wirkt sich negativ auf das Unternehmensimage und die Kundenbeziehungen aus.

Doch es gilt nicht nur diese Schäden zu vermeiden: Entsprechend Art. 83 Abs. 5 DS-GVO können Strafzahlungen von bis zu 20 Millionen Euro fällig werden. Bei schweren Verstößen sogar bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens.

Nach § 42 BDSG kann der Verantwortliche sogar zu Haftstrafen zwischen 2 und 3 Jahren verurteilt werden.