Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.



 

Die Marion Wagner Consulting setzt keine Cookies und verwendet keine Analyse-Programme oder Tracker!

Es findet keine Verarbeitung personenbezogener und/oder technischer Daten statt.
Weitere Informationen finden Sie bei den Datenschutzhinweisen.

 

! Die DSGVO ist eine CHANCE !

 

Sie gibt uns die Möglichkeit, Prozesse zu digitalisieren, Strukturen neu zu ordnen und das Business zukunftssicher aufzustellen.

 

Datenschutz ist ein relevantes Qualitätsmerkmal des Unternehmens beim Kunden!

 

Geschäftsführer müssen sich im eigenen und haftungsrechtlichen Interesse dem Thema Datenschutz annehmen. Eindeutig ist, dass die Leitung des Unternehmens die Verantwortung für die Umsetzung der DSGVO trägt. Sie ist nicht auf den Datenschutzbeauftragten delegierbar. Die Aufgabe des DSB besteht im Wesentlichen in der Überwachung der datenschutzrechtlichen Prozesse und der Beratung.

 

EU-Datenschutz-Grundverordnung = DSGVO

 

Im Dezember 2015 erfolgte die europäische Einigung auf eine EU-Datenschutz-Grundverordnung.

Das Bundesdatenschutzgesetz (BDSG) wurde als Teil des Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) beschlossen. Diese neue Fassung des BDSG trat am 25. Mai 2018 mit der EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Durch sie werden Bürgern, Konsumenten und Internetnutzern umfassende Rechte an ihren eigenen Daten eingeräumt.

 

Was sind personenbezogene Daten?

 

Name, Anschrift, Geburtsdatum, E-Mailadresse, Arbeitgeber (z.B. Kontaktdaten eines Aussendienstmitarbeiters) und Bankverbindung sind personenbezogene Daten, die von den meisten Unternehmen tagtäglich verarbeitet werden.

Auch die Erfassung von ethnischer Herkunft, Religion, privater Interessen, Hobbies etc. zählen dazu.
Dies gilt auch in Bezug auf den Datenschutz von Beschäftigten.

 

Was muss ein Unternehmer jetzt tun?

 

Das BDSG verpflichtet alle öffentlichen und nicht-öffentlichen Stellen (Unternehmen und Vereine), die personenbezogene Daten verarbeiten, zur Bestellung eines Datenschutzbeauftragten, wenn sie:

  • bei der automatisierten Datenverarbeitung oder bei der Erhebung, Verarbeitung oder Nutzung auf andere Weise, mindestens 20 Personen beschäftigen. Der Bundesrat hat in seiner Sitzung  am 20.09.2019 der Anpassung zugestimmt.

Dabei ist es unerheblich, ob es sich dabei um interne oder externe personenbezogene Daten handelt und mit welchem Zeitanteil die Personen beschäftigt sind (Vollzeit, Teilzeit, Aushilfe, Fremdfirmen und deren Mitarbeiter). Entscheidend ist die Gesamtanzahl der Personen.

Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen haben nicht-öffentliche Stellen einen Beauftragten für den Datenschutz zu bestellen, wenn sie Daten verarbeiten, die besondere Risiken für das Persönlichkeitsrecht der Betroffenen aufweisen.

Grundsätzlich empfiehlt es sich, unabhängig von einer etwaigen Bestellpflicht, einen betrieblichen oder externen Datenschutzbeauftragten zu bestellen, um so die Umsetzung der DSGVO in ihrem Unternehmen auf die effektivste Weise voran zu treiben. Diese Empfehlung spricht auch die Artikel 29 Gruppe aus.

 

Interner oder externer Datenschutzbeauftragter?

 

Vorrangig muss beim internen DSB ein Interessenskonflikt ausgeschlossen werden.

In einschlägigen Kommentaren zum BDSG werden folgende Positionen, bedingt durch deren leitende Funktion im Unternehmen, von der Bestellung zum Datenschutzbeauftragten ausgeschlossen:

  • Inhaber, Vorstand, Geschäftsführer
  • Leiter der IT, Personalleiter, Vertriebsleiter.

Der DSB darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.

Bei der Bestellung eines externen Datenschutzbeauftragten (eDSB) ist ein Interessenskonflikt weitgehendst  ausgeschlossen.

 

Die Aufgaben des DSB im Wesentlichen

 

Art. 39 DSGVO normiert die vom Datenschutzbeauftragten wahrzunehmenden Aufgaben, wie folgt:

  • Unterrichtung und Beratung des Verantwortlichen und/oder des Auftragsverarbeiters sowie der Beschäftigten
  • Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften
  • Schulungen
  • Zusammenarbeit mit der Aufsichtsbehörde.

Der Verantwortliche oder der Auftragsverarbeiter haben sicherzustellen, dass der Datenschutzbeauftragte frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.

Sie haben ihn zu unterstützen und ihm die erforderlichen Ressourcen zur Verfügung zu stellen. Der Datenschutzbeauftragte ist weisungsfrei und berichtet unmittelbar der jeweiligen Leitungsebene. Der DSB ist zur Geheimhaltung verpflichtet (Art. 38 DSGVO).

Grundsätzlich bleibt für die Einhaltung der datenschutzrechtlichen Vorschriften das Unternehmen (der Verantwortliche) selbst verantwortlich!

Der Datenschutzbeauftragte hat keine Entscheidungsbefugnis, sondern berät das Unternehmen im Rahmen seiner Aufgaben nach Art. 39 DSGVO.

 

Umgang mit Beschäftigtendaten / Mitarbeiterdatenschutz

 

Die in der DSGVO festgelegten Datenschutzgrundsätze: Rechtmäßigkeit der Datenverarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datensparsamkeit, Richtigkeit, Integrität und Vertraulichkeit personenbezogener Daten sowie die Rechenschaftspflicht müssen vom Arbeitgeber und dessen verbundene Unternehmen, aber auch von dem Betriebsrat oder anderen Betriebsverfassungsorganen, die personenbezogene Daten von Beschäftigten verarbeiten, beachtet werden.

Nicht zu vergessen: Was wird bei einer Bewerbung alles erfasst, wo gespeichert und für wen zugänglich gemacht? Archivierung der Unterlagen von Bewerbern und den dazugehörigen Fragebögen. Aber auch Themen, wie die Regelung und Überwachung von Internet- bzw. E-Mail-Nutzung im Betrieb gehören dazu.

 

Speicherung von Kundendaten

 

Es wird eine Vielzahl von Kundendaten erfasst, meist mit branchenüblicher Software. Zulässig sind dabei prinzipiell nur die für die Erstellung der späteren Rechnung erforderlichen Wirtschaftsdaten. Dazu gehören, ohne die Einwilligung der Betroffenen, definitiv keine Angaben zu Hobbys, Vorlieben, Alter, Geschlecht, Familienstand o.ä. – auch wenn moderne Computerprogramme die Erfassung dieser Daten vorsehen.

 

Nutzung von Kundendaten zu Werbezwecken

 

Diese Informationen können eine gute Ausgangsbasis für gezielte Einladungen zu Events oder die Werbung für neue Dienstleistungen und Angebote sein. Doch genau das ist streng untersagt. Es sei denn, der Kunde hat ausdrücklich zugestimmt (vorzugsweise schriftlich) und freiwillig eventuelle Zusatzinformationen angegeben.

Diese Zustimmung kann vom Kunden jederzeit widerrufen werden!

 

Löschpflicht von persönlichen Kundendaten

 

Ein Kunde darf jederzeit Auskunft vom Unternehmen zu Umfang, Herkunft, Zweck, Dauer und Art der Speicherung seiner persönlichen Daten verlangen. Auf sein Begehren hin sind die entsprechenden Daten nachweislich zu löschen, sofern keine gesetzliche Speicherpflicht besteht.

Zu beachten ist zudem die generelle Pflicht für alle Unternehmen, zur Löschung von personenbezogenen Daten, sofern der Speichergrund entfallen ist.

In der Praxis bedeutet dies, neben der Entsorgung von alten Archivakten, auch die Löschung der elektronischen Daten.

 

Einsatz von Fremd-Dienstleistern / Auftragsverarbeitern

 

Akten-Entsorger, Lieferanten, Reinigungs- und Sicherheitsdienste sind gängige Vertragspartner in den meisten Unternehmen. Ist jedem Unternehmen klar, dass hier besondere Pflichten, aus Datenschutzsicht, bereits vor Vertragsabschluss bestehen?

Hintergrund ist der tatsächliche oder theoretisch mögliche Zugriff auf personenbezogene Daten im Betrieb, durch Beschäftigte der Fremdunternehmen.

Daher muss vorab geprüft werden, ob der Dienstleister seinerseits im Unternehmen die Datenschutzvorgaben erfüllt und auch seine Beschäftigten auf das Datengeheimnis verpflichtet hat.

Zusätzlich ist es gemäß § 11 des Bundesdatenschutzgesetzes auch unumgänglich, genau definierte inhaltliche Vorgaben in den Dienstleistungsvertrag aufzunehmen.

Sollten z.B. Werbeanschreiben oder Telefonmarketing durch Hersteller, Callcenter oder andere Fremdfirmen, mit den Kundendaten ihres Unternehmens durchgeführt werden, bleibt die Verantwortung für die korrekte (d.h. erlaubte) Kundendatennutzung allein bei ihnen.

Dieser Tatsache sind sich viele Unternehmer nicht bewusst.

 

Fazit

 

Datenschutz ist ein ständiger Prozess.

Ein Verstoß gegen die gesetzlichen Regeln ist, neben den rechtlichen Belangen, deutlich teurer, als die planmäßige Arbeit eines DSB.