Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, Merkmale also, durch die Rückschlüsse auf die Identität von Personen (man spricht von „Betroffenen“) gezogen werden können. Die sogenannten „besonderen Kategorien personenbezogener Daten“ (ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten, Angaben zur sexuellen Orientierung) werden in besonderem Maße geschützt.

Datenschutz ist Chefsache! Das bedeutet, Geschäftsführer, Vereinsvorsitzende oder Vorstände haben selbst dafür Sorge zu tragen, dass die Vorgaben der DSGVO in ihrem Unternehmen, ihrem Verein oder ihrem Verband umgesetzt werden. Handeln sie grob fahrlässig und bestellen beispielsweise keinen Datenschutzbeauftragten, haften sie unter Umständen uneingeschränkt mit ihrem Privatvermögen.

Achtung: Auch wenn ein betrieblicher Datenschutzbeauftragter benannt ist, wird der Verantwortliche nicht von der Haftung frei!

Es ist zwar korrekt, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, das Gesetz räumt jedoch zahlreiche Möglichkeiten ein, auch weiterhin Daten zu nutzen und zu verarbeiten (Verbot mit Erlaubnisvorbehalt). Wer also einen durch den Gesetzgeber als triftig erachteten Grund für die Datenverarbeitung vorweisen kann, darf dies auch zukünftig tun. Man muss nur die Voraussetzungen kennen und einhalten.

Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten können zum Beispiel eine gesetzliche Vorschrift, ein Vertrag oder eine entsprechende Einwilligung sein.

Gerne berate ich Sie bezüglich der Frage, ob und unter welchen Bedingungen eine Datenverarbeitung für Sie gestattet ist, und prüfe, wie Sie die Vorgaben am besten einhalten können.

Durch die DSGVO werden die Möglichkeiten für Bestrafungen bei Datenschutzverstößen deutlich erweitert. So können Aufsichtsbehörden bei Verstößen Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes verhängen. Bußgelder drohen bereits bei Verstößen wie der Versendung von E-Mails mit offenem Verteiler oder Aushängen mit personenbezogenen Daten am „schwarzen Brett“. Bei gravierenden Verstößen drohen unter Umständen zivilrechtliche Ansprüche auf Schadensersatz und Schmerzensgeld, strafrechtliche Verfolgung oder gar die Verhängung von Freiheitsstrafen.

Sie brauchen laut dem Gesetz einen DSB, wenn…

…sich in Ihrer Einrichtung mindestens zehn Personen ständig mit der „automatisierten Verarbeitung personenbezogener Daten“ beschäftigen.
oder
… Sie Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung unterliegen.
oder
… Sie personenbezogene Daten geschäftsmäßig verarbeiten.
oder
… die Kerntätigkeit Ihrer Einrichtung in der Durchführung von Verarbeitungstätigkeiten besteht bzw. die Geschäftstätigkeit maßgeblich auf dieser beruht.
oder
… Ihre Tätigkeit eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.
oder
… die Kerntätigkeit Ihrer Einrichtung in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Grundsätzlich hängt die Beurteilung, ob Sie einen DSB benötigen oder nicht, vom Einzelfall und den konkreten Umständen in Ihrem Unternehmen ab. Auch wenn die genannten Punkte auf Sie nicht zutreffen, kann die Bestellung eines DSB sinnvoll sein. Ich verschaffe Ihnen gern Klarheit.

Der DSB ist nicht für die Umsetzung der Vorgaben der DSGVO verantwortlich und kann daher bei Verstößen auch in der Regel nicht direkt in die Haftung genommen werden! Seine Aufgabe besteht vielmehr darin, die Einhaltung der gesetzlichen Vorschriften zu begleiten und zu überwachen, die Mitarbeiter zu schulen und zu beraten sowie den Verantwortlichen auf Fehler hinzuweisen und entsprechende Verbesserungsvorschläge zu unterbreiten.
Der DSB ist zudem Kontaktperson für die zuständige Aufsichtsbehörde.

Zwar muss der DSB kein Rechtsanwalt oder ausgewiesener EDV-Fachmann sein, er muss jedoch sein über Zertifizierungen und Schulungen erworbenes Fachwissen (auf Nachfrage auch vor der Aufsichtsbehörde) nachweisen können. Daher kann nicht einfach eine beliebige Person zum DSB ernannt werden. Da der Gesetzgeber eine neutrale Prüfung voraussetzt und dazu eine gewisse Distanz zu den geprüften Abläufen vonnöten ist, scheiden Mitglieder der Geschäftsleitung oder des Vorstandes und andere Personen in Leitungspositionen als DSB grundsätzlich aus.

Bestellt man einen internen DSB, ist von Vorteil, dass er als Mitglied des Unternehmens oder der Einrichtung die Abläufe und Mitarbeiter kennt. Allerdings ist eine Qualifizierung durch eine entsprechende Fortbildung notwendig und mit der Ausübung dieses Postens zudem ein hoher Zeitaufwand verbunden. Der interne DSB muss also i. d. R. zumindest teilweise von seinen sonstigen Aufgaben in der Einrichtung freigestellt werden, um seinen Aufgaben als DSB gerecht werden zu können. Er genießt zudem besonderen Kündigungsschutz. Ein externer DSB verfügt über ein größeres Fachwissen und ist nicht „betriebsblind“ bzw. kann die Abläufe in der Einrichtung objektiver beurteilen.

Laut DSGVO muss der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durchführen, wenn sich aus der Verarbeitung (insbesondere bei Verwendung neuer Technologien) voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen ergeben. Teil der Folgenabschätzung ist zwingend eine systematische Beschreibung der geplanten Verarbeitungsvorgänge inklusive der Zwecke der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken sowie die Auflistung der zur Bewältigung dieser Risiken geplanten Abhilfemaßnahmen.

Ich unterstütze Sie bei der Durchführung einer Folgenabschätzung. Sprechen Sie mich an!

Verarbeiten Unternehmen in Ihrem Auftrag die von Ihnen erhobenen Daten weiter, spricht man von einer Auftragsverarbeitung. Beispiele für eine Auftragsverarbeitung sind die Lohn- und Gehaltsabrechnung durch ein Steuerbüro oder Wartungsverträge mit externen IT-Dienstleistern. Liegt eine Auftragsverarbeitung vor, ist zwischen den Parteien vor Beginn der Tätigkeit ein entsprechender Vertrag zu schließen.

Gerne beurteile ich die von Ihnen eingesetzten Dienstleistungsverhältnisse und bin bei der Erstellung von entsprechenden rechtssicheren Verträgen behilflich.

Jeder Verantwortliche ist zur Führung eines sogenannten Verzeichnisses der Verarbeitungstätigkeiten verpflichtet. Als Herzstück der Aufgaben aus der DSGVO dient es als wesentliche Voraussetzung zur Erfüllung der zukünftig wesentlich umfangreicheren Nachweispflichten. Ohne ein solches Verzeichnis ist es schwierig, einen Überblick über alle Datenverarbeitungen zu erhalten und diese gesetzeskonform durchzuführen.

Zur Erstellung des VV ist die Durchführung einer unternehmensinternen Prüfung (einer Art Inventur) sinnvoll, um selbst festzustellen, welche Daten von wem, warum, womit, zu welchen Zwecken und für welchen Zeitraum erhoben und verarbeitet bzw. vorbehalten werden, denn den Nachweis über genau diese Punkte muss das VV enthalten. Es ist auf Anfrage jederzeit der Aufsichtsbehörde auszuhändigen.

Ich unterstütze Sie gern bei der Erstellung und Pflege Ihres VV.

Die sogenannten technisch-organisatorischen Maßnahmen dienen zur Dokumentation und zum Nachweis der Sicherheit der von Ihnen vorgenommenen Datenverarbeitungsmechanismen (online und offline). Zugrunde liegen hier also etwa Fragen danach, wie Sie sicherstellen, dass Unberechtigten der Zugriff auf Computer verwehrt wird, oder wie sicher die Speicherung der von Ihnen erhobenen Daten ist. Grundsätzlich gilt: Je sensibler die Daten sind, die Sie verarbeiten, desto mehr Schutz müssen Sie vorweisen können. Und: Den TOMs kommt immer dann eine besondere Bedeutung zu, wenn es zu einem meldepflichtigen Datenschutzverstoß gekommen ist. Denn mit einer lückenlosen Dokumentation der TOMs können Sie belegen, dass angemessene Maßnahmen zum Schutz getroffen wurden.

In der Datenschutzerklärung umschreiben Inhaber von Internetseiten Maßnahmen, die sie ergreifen, um die Privatsphäre ihrer Kunden oder Benutzer zu wahren bzw. deren Daten zu schützen. Die Umsetzung der DSGVO macht in den allermeisten Fällen eine Anpassung bzw. Erneuerung der Datenschutzerklärung für Ihre Internetseiten oder Webshops erforderlich. Da die Änderungen unter Umständen sehr umfangreich und das Abmahnrisiko an dieser Stelle hoch ist, lassen Sie sich am besten bei der Erstellung einer korrekten Datenschutzerklärung sowie eines rechtskonformen Impressums unterstützen.

Die Datenschutzerklärung dient der Umsetzung der umfassenden Informationspflichten gegenüber den Betroffenen.

Diese Informationspflichten sind nicht nur bezüglich der Internetseiten zu erfüllen. Vielmehr sind die Betroffenen (fast) immer zu informieren, wenn Sie deren personenbezogene Daten verarbeiten.

Vorrangiges Ziel der DSGVO ist der stärkere Schutz der Betroffenen. Daher werden ihnen fortan auch umfangreichere Rechte eingeräumt. So haben Betroffene etwa ein Anrecht darauf zu erfahren, ob und welche Daten über sie wie lange gespeichert wurden. Weiterhin haben sie das Recht, unverzüglich eine Berichtigung zu verlangen oder ihre personenbezogenen Daten vollständig löschen zu lassen, sobald diese nicht mehr benötigt werden bzw. der Zweck der Datenverarbeitung nicht mehr gegeben ist (z. B. nach einer Vertragskündigung).

Ja! Vereine sind von den Neuregelungen ebenso betroffen wie Unternehmen und Betriebe. Hier ist der Vereinsvorstand für die Umsetzung verantwortlich und haftet bei Verstößen. Eine besondere Herausforderung ist bei Vereinen die Bestellung eines internen Datenschutzbeauftragten, da sich oft nur schwerlich ein Ehrenamtlicher findet, der diese Aufgabe noch zusätzlich zu seinen ohnehin schon vielfältigen Aufgaben im Verein übernehmen möchte. Lassen Sie sich deshalb besser von einem externen Datenschutzbeauftragen beraten.

Beim Thema Datenschutz sollten Sie dauerhaft am Ball bleiben, denn die Praxiserfahrung zeigt: Auch wenn Sie die oben beschriebenen Maßnahmen durchgeführt und damit ein solides Datenschutzniveau erreicht haben, schleichen sich im Alltagsgeschehen an vielen Stellen unter Umständen im Laufe der Zeit wieder Nachlässigkeiten ein. Dem können Sie durch regelmäßige Audits und Überprüfungen durch externe unabhängige Datenschutzauditoren vorbeugen.