Datenschutzgrundverordnung

Besinnliche Feiertage und einen guten Rutsch ins Jahr 2019

von Sascha Kuhrau
21. Dezember 2018

Liebe Leserinnen und Leser unseres Blogs!

Ein ereignisreiches Jahr geht zu Ende. Leider konnten wir dieses Jahr nicht in gewohnten Intervallen News und Tipps rund um die Themen Datenschutz und Informationssicherheit liefern. Wir geloben Besserung für 2019.

Hier in Bayern ist von der sogenannten “staden Zeit” die Rede. Gemeint ist die besinnliche und ruhige Adventszeit in Vorbereitung auf das Weihnachtsfest. Nicht immer gelingt das im Moment im Alltag. Selbst wenn es bei dem einen oder anderen von Ihnen vielleicht im Büro schon ruhiger geworden ist, dann stehen doch zu Hause die Weihnachtsvorbereitungen an. Der oder die eine oder andere ist möglicherweise auch noch im “Geschenke-Streß”.

Für uns ist das Jahr noch nicht ganz zu Ende. Es gilt noch wirklich wichtige Datenschutz-Themen zu klären! Wie verhält es sich mit der Datenweitergabe der Kindernamen an den Weihnachtsmann (Sitz USA) zusammen mit den Geschenke-Wünschen. Ausgeliefert werden diese Geschenke wiederum vom Christkind (Sitz EU, genauer DE). Müssen die Eltern nun mit dem Weihnachtsmann eine Auftragsverarbeitung auf Basis der EU Standard-Vertragsklauseln schließen? Und der Weihnachtsmann das Christkind dann als Unterauftragsverarbeitung angeben und sich von den Eltern genehmigen lassen? Oder sind Weihnachtsmann und Christkind eine gemeinsame verantwortliche Stelle im Sinne des Art. 26 DSGVO? Vielleicht kauft das Christkind jedoch die Daten lediglich vom Weihnachtsmann. Dieser tritt dann als Daten- bzw. Adresshändler auf. Dann würde der Weihnachtsmann jedoch entsprechende Einwilligungen der Eltern benötigen nach Art. 6 Abs. 1 DSGVO. Liegen diese vor? Und was ist mit der Deutschen Post? Diese sammelt die Weihnachtswünsche über Briefkästen in Himmelpfort und Himmelstadt ein? Sind die technischen und organisatorischen Schutzmaßnahmen ausreichend? Sie sehen, das sind die wirklichen Datenschutz-Probleme jetzt kurz vor Weihnachten ?

In diesem Sinne: Das ganze Team von a.s.k. Datenschutz wünscht Ihnen und Ihren Lieben schöne Weihnachtsfeiertage und einen guten Rutsch ins Neue Jahr.

Auslegungshilfen zur EU Datenschutzgrundverordnung veröffentlicht

von Sascha Kuhrau
7. Juli 2017
1 Kommentar

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat erste Auslegungshilfen zum neuen Datenschutzrecht der EU Datenschutzgrundverordnung (EU-DSGVO) veröffentlicht.

Diese Hilfen stehen auf der Webseite der Landesbeauftragten für den Datenschutz Niedersachsen zum Download zur Verfügung.

Wie bereits in einem früheren Beitrag beschrieben, ist die Unterstützung mit Vorlagen und Hilfsmitteln zur Umsetzung der EU-DSGVO noch recht „überschaubar“. Dies wird auch am Umfang der jetzt veröffentlichten — und noch zu erweiternden — Auslegungshilfen deutlich. 3 Themen werden behandelt:

Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO
Aufsichtsbefugnisse / Sanktionen
Verarbeitung personenbezogener Daten für Werbung

Keine Panik: Die EU-Datenschutzgrundverordnung kommt

von Sascha Kuhrau
11. Juni 2017
4 Kommentare

Wer die letzten Woche und Monate die Meldungen in den Nachrichten, auf Blogs, in sozialen Netzwerken und auch per Post verfolgt, kann es nur mit der Angst bekommen. Da kommt die EU-Datenschutzgrundverordnung im Mai 2018 auf Unternehmen und Behörden zu und man könnte meinen, die Welt stehe kurz vor ihrem Untergang. Einzige Abhilfe natürlich, jetzt schnell diverse Seminare buchen oder diverse Literaturzusammenstellungen kaufen. Doch ist das wirklich so schlimm, was da auf Unternehmen und Behörden zu kommt?

Rechtliches zur EU-Datenschutzgrundverordnung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein hartes Umschalten zwischen unseren bisherigen nationalen Datenschutzgesetzen und der EU-DSGVO geben. Sind wir bis zu diesem Termin noch an das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze gebunden, so werden diese zum og. Termin durch die EU-DSGVO verdrängt. Hinzu kommen in den EU-Mitgliedsstaaten mögliche Anpassungsgesetze, in Deutschland für Bund und Länder jeweils separat. Diese beruhen auf den sogenannten Öffnungsklauseln in der EU-DSGVO, zu denen die Mitgliedsstaaten eigene nationale Regeln ergänzen können. Der Spielraum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu widersprechen sein.

Vor diesem Hintergrund ist auch der Arbeitstitel “BDSG-neu” für das deutsche Anpassungsgesetz nicht ganz korrekt. Daher heißt es auch im richtigen Wortlaut “Datenschutzanpassungs- und Umsetzungsgesetz (DSAnpUG)” und wurde gerade nach einigen Diskussionen verabschiedet. Einerseits sind die Datenschutzbeauftragten der Länder nach wie vor nicht ganz zufrieden, andererseits haben die verschiedenen Lobbygruppen zur Aufweichung des bisherigen Datenschutz-Niveaus ebenfalls Federn lassen müssen. Eine EU-weite Harmonisierung eines solchen Themas wird immer ein Kompromiss sein. Dieser ist im Falle der EU-DSGVO erfolgt. Ob es wirklich der Meileinstein wurde, der von zahlreichen Beteiligten ausgerufen wird, das wird die Zukunft zeigen.

Von den Anpassungsgesetzen in den Bundesländern ist bisher wenig bis nichts zu sehen. Belastbare Rechtskommentare — zumindest zur EU-DSGVO selbst — erscheinen in den letzten Wochen vermehrt. Kommenatare zum DSAnpUG sind noch abzuwarten, bis zum Erscheinen brauchbarer Kommentare zu den Anpassungsgesetzen der Bundesländer wird noch mehr Zeit verstreichen. Nicht viel anders sieht es mit brauchbaren Vorlagen z.B. zu Änderungen in der Auftragsdatenverarbeitung oder mit Prüf- und Checklisten aus, die eine gezielte Vorbereitung und Umsetzung ermöglichen.

Dies merkt auch der Bayerische Landesbeauftragte für den Datenschutz auf seiner Webseite korrekterweise im Mai 2017 an:

In diesem Zusammenhang ist zu beachten, dass die Datenschutz-Grundverordnung gerade für den öffentlichen Bereich eine Vielzahl von sogenannten “Öffnungsklauseln” vorsieht, die der Ergänzung bzw. Ausfüllung durch die mitgliedstaatlichen Gesetzgeber bedürfen. Bis die diesbezüglichen Gesetzgebungsverfahren — insbesondere auf bayerischer Ebene — abgeschlossen sind, kann daher zu bestimmten Themen nur eine vorläufige Darstellung unter dem Vorbehalt späterer nationaler Regelung erfolgen.

Grund zur Panik?

Die Uhr tickt, das steht fest. Dies ist jedoch kein Grund zur Panik. Die Grundsätze wie Verbotsgesetz mit Erlaubnisvorbehalt (Rechtsvorschrift, Vertrag, Einwilligung) bleiben uns erhalten. Grundlegende Verfahrensweisen bleiben identisch, bekommen teilweise nur einen anderen Namen (Verfahrensverzeichnis wird zum Verzeichnis der Verarbeitungstätigkeiten). Die Regelungen zur Bestellpflicht eines (internen oder externen) Datenschutzbeauftragten wurden in das Anpassungsgesetz übernommen. Für Unternehmen ändert sich hier nichts. In einigen Bundesländern wie Bayern war bisher für kommunale Einrichtungen nur die Bestellung eines internen Datenschutzbeauftragten möglich, in einigen Bundesländern wurde die Bestellung auf freiwilliger Basis erwähnt (intern oder extern). Dies wird durch die EU-DSGVO harmonisiert und ab Mai 2018 müssen alle kommunale Einrichtungen einen Datenschutzbeauftragten bestellt haben und diese Bestellung kann selbstverständlich auch extern erfolgen (beachten Sie hierzu auch unser Angebot “Externer Datenschutzbeauftragter für bayerische Kommunen”).

Also alles nur Panikmache?

Nein, selbstverständlich bringt die EU-DSGVO auch Neuerungen und Änderungen mit sich. Statt der nur gelegentlich durchzuführenden Vorabkontrolle wird es nun die sogenannte Risikofolgenabschätzung geben. Diese ist auch öfter durchzuführen als bisher. Die Rechte der Betroffenen werden erweitert. Neben den bekannten Rechten auf Auskunft, Löschung und / oder Sperrung kommt das Recht auf Datenübertragbarkeit hinzu. Die Vereinbarungen zur Auftragsdatenverarbeitung mit bestehenden Dienstleistern sind zu aktualisieren, sobald hier sinnvolle Vorlagen vorliegen. Neu hinzu kommen Datenschutz durch Technikgestaltung und Datenschutz durch Voreinstellung (privacy by design und privacy by default). Beides konsequente Fortführungen der bisherigen Prinzipien Datenvermeidung und Datensparsamkeit. Weiterhin wurden die Dokumentationspflichten erweitert. Mehr Vorgänge und Entscheidungen als bisher sind schriftlich nachvollziehbar festzuhalten. Hier werden unsere Kunden bereits durch die Nutzung unserer vollverschlüsselten Projektplattform bestens unterstützt. Weitere Änderungen und Anpassungen sind absehbar. Doch ein Grund zur Panik ist das nicht.

Interessanterweise spielt das Thema Informationssicherheit (endlich) eine wichtigere Rolle und findet sich inhaltlich auch in der EU-DSGVO wider. Organisationen sind gehalten, ausreichende Maßnahmen zur Informationssicherheit (nicht IT-Sicherheit!) einzuführen, um den Schutz personenbezogener Daten (und im eigenen Interesse generell für interne schützenswerte Informationen) einzuführen und zu betreiben. Der Grad der Informationssicherheit wird sich bei Verstößen auf die Höhe der Strafen auswirken. Mehr Infos zum Thema Informationssicherheit finden Sie auf unserem Blog zur Informationssicherheit. Gerne unterstützen wir Sie neben den Datenschutz-Themen auch bei Einführung und Betrieb eines Informationssicherheitskonzepts.

Für eine korrekte Umsetzung und Anpassung empfiehlt es sich, belastbare Rechtskommentare und auch Vorlagen sowie Stellungnahmen der für Ihre Organisation jeweils zuständigen Datenschutzaufsicht abzuwarten. Wer bisher nach Bundesdatenschutzgesetz oder Länderdatenschutzgesetz korrekt gearbeitet hat, muss nicht Schlimmes befürchten. Diese Rechtsgrundlagen fallen zwar weg, inhaltlich finden sich weite Teile davon in der EU-DSGVO und dem DSAnpUG wider. Das wird bei den Anpassungsgesetzen in den Bundesländern nicht viel anders sein.

Konzerne mit internationalen Verflechtungen stehen da vor größeren Herausforderungen als national agierende Unternehmen oder Kommunaleinrichtungen. Jedoch sollte man sich von der Panikmache nicht anstecken lassen. Sofern Grundlagen des bisherigen Datenschutzrechts in Ihrer Organisation vorhanden sind und aktuell gehalten werden, wird es zwar Anpassungsaufwand geben, dieser wird jedoch überschaubar bleiben. Wer sich bisher um das geltende Datenschutzrecht nicht gekümmert hat, der wird einen großen Berg Arbeit vor sich sehen. Für diese Einrichtungen heißt es, frühzeitig Gas zu geben — und wenn es zu Beginn noch auf den Vorlagen und Materialien zum BDSG oder der Landesdatenschutzgesetze geschieht.

Tipps / Hinweise

Die Landesdatenschutzbehörde Niedersachsen hat einen (noch) recht allgemeinen Leitfaden für Unternehmen bereitgestellt. Sie finden diesen hier.

Immer einen Abstecher für Informationen wert, sind die folgenden Webseiten / Blogs:

Die Beitragsserie “Die EU-DSGVO ist da” von Frau RAin Nina Diercks.
Die Webseite mit Tipps und Tricks samt Vorlagen des “Datenschutz-Guru” RA Stephan Hansen-Oest.
Unser Partnerblog “Datenschutzbeauftragter Info” mit aktuellen Informationen zur EU-DSGVO.

Wir werden in den nächsten Wochen und Monaten ebenfalls sukzessive nach Erscheinen belastbarer Vorlagen und Kommentare weitere Beiträge zur EU-DSGVO hier veröffentlichen.

Und jetzt … Ruhig Blut!

Externer behördlicher Datenschutzbeauftragter (Bayerische Kommunen)

von Sascha Kuhrau
24. April 201715. Oktober 2023
1 Kommentar

DIE EU-DSGVO macht es möglich – der externe Datenschutzbeauftragte für bayerische Kommunen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) macht es für bayerische Kommunen möglich, was in anderen Bundesländern schon länger geübte Praxis ist: Die Bestellung eines externen behördlichen Datenschutzbeauftragten. Sah das Bayerische Landesdatenschutzgesetz (BayDSG) bisher eine externe Bestellmöglichkeit eines Datenschutzbeauftragten für bayerische Kommunaleinrichtungen nicht vor, so ändert sich dies zum 25.05.2018 einheitlich. Ab diesem Zeitpunkt können und dürfen bayerische Kommunen endlich einen externen Datenschutzbeauftragten zum behördlichen Datenschutzbeauftragten bestellen.

Entlastung für kleinere Kommunen

Gerade kleinere Kommunen haben sich mit der Bestellung eines Datenschutzbeauftragten stets schwer getan. Neben den vielfältigen Aufgaben einer Verwaltung und den nicht gerade üppig vorhandenen Personalressourcen war meist wenig „Luft“ für die Bestellung eines internen Datenschutzbeauftragten. Und selbst wenn es zu einer internen Bestellung kam, so wurde die Funktion nicht selten mit wenig bis keinem Leben erfüllt. Hinzu kamen gravierende Nachteile eines mit wenig Zeit und Ressourcen ausgestatteten internen Datenschutzbeauftragten. Nämlich der viel zu geringe zeitliche Spielraum zur Ausübung der Tätigkeit, das fehlende Know-How (meist keine Ausbildung zum DSB vorhanden) und damit einhergehend die fehlende Übung im Umgang mit den alltäglichen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Entlastung und Unterstützung für bayerische Kommunen. Ab dem 25.05.2018 können diese nun einen Datenschutzbeauftragten auch extern bestellen.

Vorteile der externen Bestellung eines Datenschutzbeauftragten für bayerische Kommunen

Die Vorteile eines externen Datenschutzbeauftragten für Kommunen liegen klar auf der Hand

Transparenz in Zeit und Kosten
Stets aktuelles Know-How durch Grundausbildung, Fort- und Weiterbildung des externen Datenschutzbeauftragten (nicht zu Lasten der Kommune)
Sofort im Thema: Der externe Datenschutzbeauftragte kennt sich mit Theorie und Praxis im Datenschutzrecht und Datenschutzalltag bestens aus und kann sofort loslegen
Gemeinsame Bestellung möglich: Mehrere Kommunen im Landkreis können sich im Rahmen der Interkommunalen Zusammenarbeit zeit und Kosten für einen externen Datenschutzbeauftragten teilen

Übergangslösung durch externe Beratung zum 25.05.2018

Nichts ist schlimmer, als nichts zu tun. Daher empfehlen wir, nicht bis zum 25.05.2018 abzuwarten. Holen Sie bereits heute einen versierten Datenschutzberater an Bord, der Ihre Kommune fit für den Datenschutz und die Anforderungen der EU-Datenschutzgrundverordnung macht. Damit legen Sie erfolgreich den Grundstein für die erfolgreiche Tätigkeit des externen Datenschutzbeauftragten für (bayerische) Kommunen ab dem 25.05.2018.

Die externen Datenschutzbeauftragten von a.s.k. Datenschutz für bayerische Kommunen

Speziell für bayerische Kommunen stehen die ausgebildeten Berater und späteren externen Datenschutzbeauftragten von a.s.k. Datenschutz bereit. Mit dem Thema Datenschutz zumeist bereits seit Jahren befasst, haben unsere Mitarbeiter die Datenschutz-Kurse der Bayerischen Verwaltungsschule (BVS) erfolgreich absolviert oder sich in anderen geeigneten Maßnahmen für den Einsatz in öffentlichen und nicht-öffentlichen Stellen qualifiziert. Zusätzlich sind unsere Mitarbeiter zertifizierte Informationssicherheitsbeauftragte (BVS) und können Ihren Bezirk, Ihr Landratsamt, Ihre Stadt oder Ihre Gemeinde vollumfänglich unterstützen. Sollten Sie einen externen Informationssicherheitsbeauftragten für bayerische Kommunen benötigen, stehen wir Ihnen damit ebenfalls zur Verfügung.

Angebot für einen externen behördlichen Datenschutzbeauftragten für bayerische Kommunen anfordern

Sie wünschen ein Angebot für einen externen behördlichen Datenschutzbeauftragten für Ihre Kommune? Nutzen Sie einfach das Formular aus unserem Flyer (Download am Ende des Beitrags) oder schreiben Sie uns eine Email.

[wpfilebase tag=file path=‘flyer/1703ask_Flyer_Ext_DSB_DIN-A4_DD.pdf’ /]

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) stellt Tätigkeitsbericht 2015/2016 vor

von Sascha Kuhrau
8. März 2017
1 Kommentar

Auf 158 Seiten gibt der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig einen Überblick über die Arbeit der Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern für die Jahre 2015 und 2016 ab.

Das BayLDA ist für ca. 700.000 verantwortliche Stellen im nicht-öffentlichen Bereich (Unternehmen, Vereine, Verbände, freiberuflich Tätige etc.) in Bayern zuständig.

Im vorderen Teil des Berichts wird anschaulich auf die Entwicklung von Bürgerbeschwerden, Datenpannen, aber auch Beratungsanfragen seitens nicht-öffentlicher Stellen eingegangen. Der Übersicht ab 2013 ist zu entnehmen, dass es sich bei der zunehmenden Steigerung nicht um einzelne Spitzen, sondern klar um einen Trend handelt. Sind 2013 “nur” 925 Beschwerden über bayerische Unternehmen und Unternehmer eingegangen, so waren es 2016 schon 1.424. Identisch verhält es sich mit der Zahl der Datenpannen (2013 32 gegenüber 85 in 2016). Wobei hier eine deutlich höhere Dunkelziffer seitens des Amts vermutet wird. Bei den Beschwerden liegt das Thema Videoüberwachung auf dem vordersten Platz. Unter anderem sind dafür die mittlerweile sehr preiswerten Überwachungskameras (wie Wildkameras, Dashcams usw.) verantwortlich, jedoch auch ein gesteigertes Sicherheitsbedürfnis. Letzteres führt schnell mal dazu, nicht nur (zulässigerweise) das eigene Grundstück zu observieren, sondern (zumeist unzulässig) angrenzende Grundstücke oder öffentliche Verkehrsflächen mit einzuschließen.

Klassische Datenpannen wie Verlust, Diebstahl oder Fehlversendungen sind im Berichtszeitraum nahezu gleich geblieben. Eine vermehrte Zunahme wurde jedoch im Bereich Cybercrime festgestellt. Hacking von Webseiten, Datenklau in Webshops sowie Verschlüsselungstrojaner standen dabei ganz oben auf der Liste. Gerade die ersten beiden Punkte oft ausgelöst durch fehlende Sicherheitsupdates der Webseiten- und Shop-Software inklusive dazugehöriger Erweiterungen durch die verantwortlichen Unternehmen und Unternehmer.

Im weiteren Verlauf des Tätigkeitberichts wird ein Blick auf die ab Mai 2018 geltende EU-Datenschutzgrundverordnung (EU-DSGVO) geworfen und welche Auswirkungen diese auf nicht-öffentliche Stellen haben wird. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten wird voraussichtlich in bekannter Weise fortgeführt. Neu ist jedoch die Meldepflicht der Bestellung an die Landesdatenschutzbehörde. Diese rechnet mit einem erheblichen Arbeitsaufwand aufgrund der zu erwartenden tausendfachen Meldungen. [Anmerkung des Autors: Diese Meldepflicht wird natürlich auch Auswirkungen auf Unternehmen haben, die bisher der Bestellpflicht unterlagen, sich aber eine Bestellung erspart haben. Eine Nichtmeldung kann im weiteren Verlauf unangenehme Nachfragen — und bei Verstößen auf Bußgelder auslösen.]

Eine kurze Zusammenfassung können Sie hier herunterladen. Der komplette Tätigkeitsbericht steht hier zum Download bereit.

Datenschutzbeauftragter darf keinen Interessenkonflikten unterliegen

von Sascha Kuhrau
23. Januar 201715. Oktober 2023
3 Kommentare

Bayerisches Unternehmen kassiert Bußgeld, weil IT-Manager gleichzeitig als Datenschutzbeauftragter bestellt war.

“Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten”, so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach.

Wer muss einen Datenschutzbeauftragten bestellen?

Unternehmen und auch Vereine müssen einen Datenschutzbeauftragten (DSB) bestellen, wenn bei ihnen mindestens zehn Personen (“mehr als neun”, so das Bundesdatenschutzgesetz) mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dabei ist es unerheblich, a) ob es sich dabei um interne oder externe personenbezogene Daten handelt und b) mit welchem Zeitanteil die Personen beschäftigt sind (Vollzeit, Teilzeit, Aushilfe etc.). Es zählt hier alleine die Zahl der “Köpfe”.

Zahlreiche Unternehmen und Vereine erfüllen diese Voraussetzungen. Das Gesetz stellt es dabei frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Je nach Bundesland schreiben die Landesdatenschutzgesetze einen Datenschutzbeauftragten ebenfalls für Behörden und kommunale Einrichtungen (sog. öffentliche Stellen) verpflichtend vor. In einigen Bundesländern besteht bereits heute die Möglichkeit einer externen Bestellung des behördlichen Datenschutzbeauftragten. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wird die Bestellpflicht für öffentliche Stellen vereinheitlicht. Ebenso soll dann eine generelle Möglichkeit der externen Bestellung für Behörden / Kommunen gegeben sein.

Wann ist von einem Interessenskonflikt auszugehen?

Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht zusätzlich / weiterhin für solche Aufgaben zuständig sein, welche die Gefahr von Interessenskonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können. Der Gesetzgeber verlangt hier salopp, nicht “den Bock zum Gärtner zu machen”. Ähnlich hat dies auch die EU-Datenschutzrichtlinie (Art. 18) gefordert, völlige Unabhängigkeit des DSB in seiner Funktion als Kontrollinstanz. Mit Artikel 38 und 39 der EU-DSGVO wird dies in 2018 keine Änderung erfahren.

In einschlägigen Kommentaren zum Bundesdatenschutzgesetz (z.B. Gola / Schomerus) wird explizit darauf verwiesen, dass sich hieraus bestimmte Funktionen für die Tätigkeit des Datenschutzbeauftragten von vornherein ausschließen. Dazu zählen auf jeden Fall

Inhaber, Vorstand, Geschäftsführer (ausnahmslos),
Leiter der IT,
Personalleiter,
Vertriebsleiter (zumindest im Direktvertrieb).

Für alle anderen Funktionen ist zu prüfen, ob ein Interessenskonflikt ausgeschlossen werden kann und auch keine weiteren Beeinträchtigungen für die Ausübung der Funktion des Datenschutzbeauftragten bestehen. So ist es nicht unbedingt zielführend, einen IT-Mitarbeiter zum Datenschutzbeauftragten zu bestellen, wenn der Konflikt mit dem Vorgesetzten — dem IT-Leiter — bereits vorprogrammiert ist und der IT-Mitarbeiter seine zusätzliche Aufgabe als DSB z.B. aus Angst vor Repressalien nicht ausüben kann / wird.

Wie kam es jetzt zu diesem Bußgeld aufgrund eines Interessenskonflikts?

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) berichtet in seiner Pressmitteilung davon, dass im Rahmen der Überprüfung eines bayerischen Unternehmens die Bestellung des IT-Leiters zum internen Datenschutzbeauftragten festgestellt wurde. Dies liefe nach Meinung der Behörde “letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus”. Aus Sicht der Behörde (und der einschlägigen Rechtskommentare) widerspricht dies der Funktion des Datenschutzbeauftragten, als unabhängige Instanz im Unternehmen auf die Einhaltung des Datenschutzes hinzuwirken (eine der Kernaufgaben des DSB).

Nachdem das Landesamt das Unternehmen mehrfach über Monate aufgefordert hat, eine Bestellung ohne Interessenskonflikt herbeizuführen und dies seitens des Unternehmens zugesagt, jedoch nicht umgesetzt wurde, verhängte die Behörde ein Bußgeld. Die Geldbuße ist mittlerweile bestandskräftig.

„Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und ein sehr wichtiges Element der Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“, betont Thomas Kranig, der Präsident des BayLDA.

Was können Sie als Unternehmen tun, um solches Bußgelder zu vermeiden?

Entweder Sie vermeiden solche Interessenskonflikte oder Sie greifen zu einer transparenten und kostengünstigen externen Bestellung des Datenschutzbeauftragten, wie sie beispielsweise a.s.k. Datenschutz anbietet. Ein Angebot erhalten Sie zeitnah mittels unserer Online-Anfrage.

Übrigens gilt das Thema Interessenskonflikt auch für behördliche Datenschutzbeauftragte!!

Quelle: Pressemitteilung des BayLDA

« Zurück
1
2
3
4

Datenschutzgrundverordnung

Besinn­li­che Fei­er­ta­ge und einen guten Rutsch ins Jahr 2019

Aus­le­gungs­hil­fen zur EU Daten­schutz­grund­ver­ord­nung veröffentlicht

Kei­ne Panik: Die EU-Daten­schutz­grund­ver­ord­nung kommt

Recht­li­ches zur EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO)

Exter­ner behörd­li­cher Daten­schutz­be­auf­trag­ter (Baye­ri­sche Kommunen)

DIE EU-DSGVO macht es mög­lich – der exter­ne Daten­schutz­be­auf­trag­te für baye­ri­sche Kommunen

Ent­las­tung für klei­ne­re Kommunen

Vor­tei­le der exter­nen Bestel­lung eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kommunen

Über­gangs­lö­sung durch exter­ne Bera­tung zum 25.05.2018

Die exter­nen Daten­schutz­be­auf­trag­ten von a.s.k. Daten­schutz für baye­ri­sche Kommunen

Ange­bot für einen exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nen anfordern

Baye­ri­sches Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) stellt Tätig­keits­be­richt 2015/​2016 vor

Daten­schutz­be­auf­trag­ter darf kei­nen Inter­es­sen­kon­flik­ten unterliegen