Bestellpflicht

Was kostet ein externer Datenschutzbeauftragter?

von Sascha Kuhrau
22. April 202030. November 2020
4 Kommentare

“Es kommt darauf an” — Was kostet ein externer Datenschutzbeauftragter?

“Was kostet ein externer Datenschutzbeauftragter?”, diese Frage wird desöfteren per Email oder als Blog-Kommentar an uns herangetragen. Eine nachvollziehbare Frage, gerade wenn das eigene Unternehmen unter die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten fällt. Und gerade in wirtschaftlich anstrengenden Phasen sind die Kosten ein relevanter Faktor. Sind keine weiteren Angaben vorhanden, dann fällt die Beantwortung in etwa so leicht wie die von Fragen wie

Was kostet ein Auto?
Wie teuer ist es, ein Haus zu bauen?
Wie viel muss ich für den nächsten Sommerurlaub bezahlen?

Die ehrliche Antwort auf die Frage nach den Kosten für einen externen Datenschutzbeauftragten kann in diesem Fall nur lauten: “Es kommt darauf an!”

Auf was kommt es bei den Kosten für einen externen Datenschutzbeauftragten an?

Datenschutz ist kein Produkt von der Stange, auch wenn das eine oder andere reißerische Billigheimer-Angebot das glauben machen will. Datenschutz ist stets eine individuelle Leistung maßgeschneidert auf Ihre Organisation. Jede Unternehmung verfügt über eine eigene Ausgangssituation (Status Quo wie Anzahl der Mitarbeiter, Filialen, Betriebsrat, Richtlinien etc.), unterschiedliche Ressourcen zur Umsetzung, eine Vielfalt an zu betrachtenden Faktoren (beispielsweise die unterschiedlichsten IT-Lösungen) und ein notwendiges Schutzniveau je nach Branche und Art der personenbezogenen Daten in der Organisation.

All diese Punkte bedeuten ein Mehr oder Weniger an Aufwand in der Umsetzung und Betreuung im Rahmen der Aufgaben eines Datenschutzbeauftragten nach Art. 39 DSGVO. Sie wirken sich demnach direkt auf die entstehenden Kosten aus. Umso wichtiger ist es, möglichst viele dieser Aspekte zu kennen, um die eingangs genannte Frage seriös und vor allem ohne spätere Preisnachverhandlungen beantworten zu können. Zu diesem Zweck können Sie unser komfortables Online-Formular nutzen und damit Ihr Angebot anfordern. Ihre Angaben werden selbstverständlich vertraulich behandelt.

Wussten Sie schon, dass zahlreiche unserer Leistungen aus offiziellen Fördermitteln bezuschusst werden können? Hier erfahren Sie mehr über Fördermöglichkeiten und Zuschüsse für Beratungsleistungen Datenschutz & Informationssicherheit von a.s.k. Datenschutz. Ein weiterer Faktor, der Sie unterstützt, die Belastung für die Kosten eines externen Datenschutzbeauftragten gering zu halten.

Wie geht a.s.k. Datenschutz als externe Datenschutzbeauftragte vor?

Im Rahmen eines ein- bis mehrtägigen Datenschutz-Audits vor Ort (zu Corona-Zeiten erst mal nur remote) wird der Status Quo des Datensicherheit- und Datenschutz-Niveaus Ihrer Organisation ermittelt. Klar definierte Fragenkataloge zusammen mit Einzel- und Gruppengesprächen ergeben ein deutliches Bild und bilden die Grundlage für alle weiteren Aktivitäten. Nach Auswertung des Audits und der Gespräche steht ein Katalog von Maßnahmen und Empfehlungen fest, mit dessen Umsetzung die gesetzlich vorgeschriebenen Notwendigkeiten in Ihrem Unternehmen sichergestellt werden. Der Katalog wird in der sog. “Einführungsphase” gemeinsam unter Zuhilfenahme eines Online Projekt Tools umgesetzt. Der Aufwand für diese Phase wird in Manntagen gemäß Ihren Angaben kalkuliert und abgerechnet. Zumeist ist ein Pauschalpreis vereinbart, der alle Leistungen dieser Phase umfasst. Beachten Sie mögliche Fördermittel und Zuschüsse.

Nachdem in der Einführungsphase die notwendige Basis geschafften wurde, schließt sich nun die “Betreuungsphase” als externer Datenschutzbeauftragter an. Diese umfasst einmalige und wiederkehrende Aufgaben wie sie Artikel 39 DSGVO vorsieht. Selbstverständlich haben wir diese Aufgaben um einige weitere Tätigkeiten für Sie ergänzt, sofern dadurch keine Interessenskonflikte zu den Kernaufgaben des Datenschutzbeauftragten entstehen. Zu den Aufgaben lesen Sie mehr in unserem separaten Blog-Beitrag.

Was kostet es Sie auf jeden Fall …

… wenn Sie keinen Datenschutzbeauftragten benennen, obwohl Sie gesetzlich dazu verpflichtet sind.

Bußgeld (Ausnahme: öffentliche Stellen)
Ihren guten Ruf z.B. bei Datenpannen
Viel Ärger mit der Aufsichtsbehörde

Internen oder externen Datenschutzbeauftragten bestellen?

Die Vorteile einer externen Bestellung liegen für kleine und mittelständische Unternehmen aber auch Kommunen klar auf der Hand. Dabei spielen nicht nur die kalkulierbaren und überschaubaren Kosten eine große Rolle. Ihre Organisation profitiert spürbar vom Einsatz eines externen Datenschutzbeauftragten.

Das Anheben der Mitarbeitergrenze für die Bestellpflicht eines Datenschutzbeauftragten senkt nicht die Bürokratie

von Sascha Kuhrau
1. Juli 2019

Datenschutz-Anpassungsgesetz 2019 und die Folgen

Die Unionsparteien lassen sich feiern bzw. feiern sich selbst. Von einem Wegfall der Bürokratie im Datenschutz für kleine Betriebe und Vereine ist die Rede. Das Thema Datenschutz sei jetzt viel einfacher und weniger aufwändig für eine Vielzahl von Betrieben und Vereinen. Anlass ist die Verabschiedung eines Anpassungsgesetzes mit notwendigen Korrekturen in 154 nationalen Gesetzen im Bundestag am vergangenen Freitag, zu nächtlicher Unzeit. Und es stimmt, eine Anpassung zahlreicher nationaler Gesetze und Regelungen war durch die DSGVO aus Mai 2018 notwendig geworden. Doch was aktuell in verschiedenen Medien als Erfolg für den Abbau von Bürokratie gefeiert wird, allen voran bei Handwerkskammern und Vereinen, das entbehrt einer Grundlage. Noch dazu zeugt es davon, dass die Beteiligten, das Thema Datenschutz und die rechtlichen Anforderungen nicht ganz umrissen haben.

Hintergrund ist die Anhebung der Mitarbeitergrenze, ab der für Unternehmen und Vereine die Bestellpflicht für einen Datenschutzbeauftragten vorliegt. War hier bisher die Grenze von mindestens 10 (mit der Verarbeitung personenbezogener Daten befassten) Mitarbeitern gezogen, soll zukünftig — die Zustimmung im Bundesrat vorausgesetzt — erst ab 20 Mitarbeitern eine Bestellpflicht für einen Datenschutzbeauftragten vorliegen. Die Verantwortlichen versprechen den betroffenen Unternehmen und Vereinen eine spürbare bürokratische Entlastung im Datenschutz. Ist dem so?

Wegfall des Datenschutzbeauftragten bedeutet weniger Datenschutz-Bürokratie?

Ein klares NEIN. Und das ist auch ganz ohne juristische Kenntnisse ganz leicht zu beantworten. Die DSGVO schreibt (wie übrigens auch das vorherige Datenschutzrecht) die Bestellpflicht eines Datenschutzbeauftragten unter gewissen Voraussetzungen vor. Ebenso beinhaltet das Bundesdatenschutzgesetz in neuer Fassung 2018 die Bestellpflicht eines Datenschutzbeauftragten und konkretisiert im Rahmen einer sog. Öffnungklausel weitere Voraussetzungen. So heißt es im § 38 Abs. 1 BDSG n.F.

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Diese Grenze von mindestens 10 Personen für die Bestellpflicht eines internen oder externen Datenschutzbeauftragten soll nun mit den aktuellen Anpassungen, denen der Bundesrat noch zustimmen muss (was sehr wahrscheinlich ist), auf 20 Personen angehoben werden. Weder in den bisherigen Begründungen und Erläuterungen zu diesem Gesetzesentwurf noch in den zahlreichen Presseartikeln der Unionsparteien, den Befürwortern dieser Änderung oder Wirtschaftsverbänden ist jedoch eine nachvollziehbare Erklärung vorhanden, wieso dies nun weniger Bürokratie für die betroffenen Unternehmen und Vereine bedeutet.

Es wird auch sehr schwer sein, eine solche Erklärung zu finden. Denn der Datenschutzbeauftragte sorgt nicht für die Bürokratie im Datenschutz. Das übernehmen die Gesetze und teilweise auch die nicht immer klaren bzw. gelegentlich praxisfernen Auslegungen der Landesdatenschutzbehörden.

“Ja, aber jetzt müssen kleine Unternehmen und Vereine für den Datenschutz nichts mehr tun!”

Auch hier wieder eine klare Aussage: DOCH! Ohne jetzt mal eine Unterscheidung zwischen Behörden, Unternehmen oder Vereinen vorzunehmen: Ein Paragraph von 85 insgesamt im BDSG n.F. wurde angepasst, die sonstigen Anforderungen aus dem BDSG und der DSGVO (99 weitere Artikel) bleiben von der Grenze zur Bestellpflicht eines Datenschutzbeauftragten unberührt. Rechnen wir doch einfach mal:

85 BDSG + 99 DSGVO = 184 DATENSCHUTZ
1 von 184 = 0,54% Änderung

Da kann schon mathematisch keine allzugroße Entlastung bei herauskommen. Denn um es mit aller Deutlichkeit zu sagen, ALLE Anforderungen, die von Unternehmen und Vereinen als bürokratische “Belastung” empfunden werden, bleiben weiterhin bestehen und müssen entsprechend erfüllt werden (einige Beispiele):

Pflicht zum Erstellen und Pflegen eines Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Identifikation, Bewertung und Meldung von Datenpannen an Aufsichtsbehörde und Betroffene nach Art. 33, 34 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Prüfen ausreichender technischer und organisatorischer Maßnahmen von externen Dienstleistern und Vereinbarung zur Auftragsverarbeitung gemäß Art. 28, 32 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Bearbeiten und Sicherstellen von Betroffenenrechten nach Art. 12–23 DSGVO inkl. Zusammenstellen und Zurverfügungstellen der Angaben zu den Informationspflichten? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Sicherheit der eigenen Verarbeitung regelmäßig prüfen und notwendige Anpassungen sicherstellen nach Art. 32 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Risikoabschätzung von Verarbeitungstätigkeiten bis hin zur Datenschutz-Folgenabschätzung nach Art. 32+35 DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Regelmäßige Schulung und Sensibilisierung von Mitarbeitern, nicht nur am Tag der Einstellung, nach Art. 39 Abs. 1 lit b DSGVO? CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden
Und diese Liste ließe sich noch um viele weitere (durchaus auch mal) “bürokratiebehaftete” Tätigkeiten fortführen .… CHECK — muss auch ohne Datenschutzbeauftragten umgesetzt werden

Die von der beschlossenen Anpassung ausgesendete Botschaft ist durchaus als toxisch zu bezeichnen. Der Fehlglaube, mit Wegfall der Bestellpflicht entfielen auch alle anderen datenschutzrechtlichen Anforderungen war auch im alten BDSG vor 2018 weit verbreitet. Aus unserer Erfahrung quälen sich seit der DSGVO gerade die Betriebe und Vereine mit dem Datenschutz am meisten, welche es in den Jahren davor unter dem alten Datenschutzrecht etwas lässig haben angehen lassen. Für diese Versäumnisse und auch die generellen rechtlichen Formalitäten im Datenschutzrecht kann der Datenschutzbeauftragte jedoch nichts. Im Gegenteil: Der Datenschutzbeauftragte wäre der ideale Ansprechpartner mit ausreichend Wissen und Sachverstand, um diese bürokratischen Anforderungen problemlos zu meistern und für eine Datenschutz-Kultur in der Organisation zu sorgen.

Datenschutzverstöße und Bußgelder werden zunehmen

Man muss kein Wahrsager sein, dass sowohl die Zahl der Datenschutzverstöße und die der Bußgelder nun zunehmen wird. Die Landesdatenschutzbehörden haben bereits in 2018, in der Planungsphase für dieses Anpassungsgesetz signalisiert, mit der vorhandenen Personalausstattung keine beratenden, sondern nur noch kontrollierende Tätigkeiten ausüben zu können. Eine Aufstockung ist nach unserem Kenntnisstand in keinem Bundesland geplant. Sorgte bisher der Datenschutzbeauftragte für das notwendige Wissen in kleinen Unternehmen und Vereinen, so geht dieses Wissen nun im Rahmen der vermeintlichen “Entbürokratisierung” von Bord. Damit stehen üblicherweise Inhaber, Geschäftsführer und Vereinsvorstände in der Pflicht, für die korrekte Umsetzung und den Betrieb des Datenschutzes Sorge zu tragen. Und da reden wir bisher nur von den Formalitäten, siehe Abschnitt zuvor. Ein aktiver Datenschutzbeauftragter ist Berater, Coach, Motivator und Kontrolleur zugleich. Ein aktiver Datenschutzbeauftragter sorgt bei guter Aufgabenerfüllung für einen gelebten Datenschutz in der Organisation. Auch diese Aufgabe obliegt nun anderen Verantwortlichen. Woher kommt der notwendige Zeitanteil dafür, wo doch alle Unternehmen personell auf spitzer Kante fahren? Woher kommt das notwendige Wissen für die korrekte Umsetzung des Datenschutzes? Wird es jetzt 4‑stündige Crash-Kurse der einschlägigen Anbieter geben “DSGVO ohne Bürokratie und Aufwand für Geschäftsführer und Vereinsvorstände”, selbstverständlich mit buntem Zertifikat auf Hochglanz? Gute Kurse zum Einstieg für einen DSB dauern 5 Tage. Und danach hat der DSB immer noch einen langen Weg vor sich, bis er weiß, was und wie es konkret zu tun ist!

Und wenn etwas passiert oder im Falle einer Überprüfung als Mangel festgestellt wird, die Haftung bleibt. Die bisherige Art von “Versicherung” oder zumindest die Möglichkeit zur Verringerung von Eintrittswahrscheinlichkeiten von Risiken und Mängeln, die wird jetzt per Gesetz von Bord geschickt, wenn der Bundesrat nicht noch zur Vernunft kommt.

Der Bundesdatenschutzbeauftragte Ulrich Kelber twitterte nicht zu Unrecht:

Mit der Verwässerung der Anforderung zur Ernennung eines betrieblichen Datenschutzbeauftragten wird den Unternehmen nur Entlastung suggeriert. Datenschutzpflichten bleiben, Kompetenz fehlt ohne bDSB. Folge werden mehr Datenschutzverstösse und Bußgelder sein ☹️

Im Ergebnis haben kleine Unternehmen und Vereine nur wenige Möglichkeiten:

Ignoranz des Themas Datenschutz: Siehe Haftung und Bußgelder
Eigenregie und Prinzip Hoffnung: Inhaber, Geschäftsführer oder Vereinsvorstand eignen sich in ihrer eh schon knappen Zeit das notwendige Know How an, halten dieses aktuell und kümmern sich um die korrekte Umsetzung in der eigenen Organisation. Wie realistisch wird das sein?
Externes Know How zukaufen: Da das notwendige Wissen und die Möglichkeit zur Weiterbildung nicht gegeben sind, wird das Know How extern zugekauft
Internen Mitarbeiter für das Thema Datenschutz ausbilden und Aufgaben übertragen: Kosten für die Aus- und Weiterbildung, notwendige Zeitanteile müssen eingeplant werden

Übrigens sind die Varianten 3 und 4 ganz nah am externen und internen Datenschutzbeauftragten. Und ob Varianten 1 und 2 so geschickt sind, die Erfahrung muss jetzt jeder Verantwortliche für sich selbst machen. Sofern dieser in Betracht zieht, die Aufweichung zur Grenze der Bestellpflicht nach oben für die eigenen Organisation zu nutzen.

Was hätte der Gesetzgeber besser machen können?

Die Sinnhaftigkeit der Anhebung der Grenze für die Bestellpflicht eines Datenschutzbeauftragten kann man durchaus in Zweifel ziehen. Dabei hätte der Gesetzgeber — zumindest in Teilen — durchaus die Möglichkeit gehabt, für Klarheit zu sorgen. Diese wurde jedoch versäumt. So hätte der immer noch schwelende Konflikt mit dem Recht auf freie Meinungsäußerung und dem Recht auf informationelle Selbstbestimmung auch oder gerade im Rahmen journalistischer Tätigkeiten gelöst werden können. Ein paar klärende Paragraphen zu der noch immer herrschenden Unsicherheit beim Anfertigen und Nutzen von Fotografien im Konflikt mit dem KUG hätten durchaus auch Charme gehabt. Ob es zweckdienlich für das Thema Datenschutz ist, das BSI von Teilen der Betroffenenrechte zukünftig auszunehmen und die Rechenschaftspflicht hier einzuschränken, darf durchaus auch in Zweifel gezogen werden. Man hätte sich aber auch um den vom Bundesverfassungsgericht vor kurzem für ungültig erklärten § 4 Abs. 1 BDSG zur Videoüberwachung kümmern können oder zumindest klarstellen können, dass europäisches Recht hier gilt. Da kann man es auch nur noch mit einem leichten Schmunzeln zur Kenntnis nehmen, dass jetzt auch der Digitalfunk der Polizei einer 75-tägigen Vorratsdatenspeicherung unterworfen werden soll. Und das, wo die aktuelle Frist von 70 Tagen zur Zeit ausgesetzt ist und vor dem Bundesverfassungsgericht geklärt wird.

Es gibt viel Verbesserungspotential im Bereich Datenschutz, gar keine Frage. Einheitliche und praxisnahe Auslegungen seitens der Landesdatenschutzbehörden hätten enormes Potential, auch die Akzeptanz des Themas Datenschutz generell zu erhöhen. Hier kann der Gesetzgeber jedoch nicht regelnd eingreifen, außer man würde die Landesdatenschutzbehörden auflösen und in einer zentralen Organisation des Bundes zusammenfassen. Stattdessen wird nun in kleinen Schiffen und Booten der Lotse von Bord geschickt. Die Zukunft wird zeigen, ob die gewünschte Entbürokratisierung damit Einzug hält. Es steht nicht zu vermuten.

Übrigens ein Schelm, wer Böses dabei denkt: Der Passus zur Anhebung der Grenze von 10 auf 20 Mitarbeiter wurde erst Montag, den 24.06.2019 — also sehr kurzfristig vor der Verabschiedung am Freitag im Bundestag — (wieder) eingefügt.

Ihr Unternehmen benötigt einen externen Datenschutzbeauftragten?

Kompetente Beratung, pragmatische Einführung eines DSMS und anschließende Betreuung als externer Datenschutzbeauftragter erhalten Sie selbstverständlich vom Team von a.s.k. Datenschutz. Fordern Sie Ihr unverbindliches Angebot über unser Formular an. Wir melden uns bei Ihnen zeitnah.

Die DSGVO Schonfrist ist vorbei — Aufsichtsbehörden machen ernst

von Sascha Kuhrau
27. November 201815. Oktober 2023

Seit Mai 2018 ist die EU Datenschutz-Grundverordnung (DSGVO) wirksam, nachdem sie bereits Mai 2016 in Kraft getreten ist. Zeit bestand ausreichend, sich auf die Neuerungen vorzubereiten. Die eine oder andere Organisation hat die Gelegenheit genutzt, bestehende Lücken in der eigenen Datenschutz-Organisation zu schließen. In den letzten Monaten haben wir öfter mal den Satz gehört „Woher soll ich wissen, was da im Datenschutz zu tun ist?“. Hier gilt eine Holschuld durch die Organisationsleitung getreu dem Motto „Unwissenheit schützt vor Strafe nicht“. Für die Einhaltung gesetzlicher Vorschriften ist die Leitung zuständig und verantwortlich. Für Geschäftsführer gilt hier § 130 Gesetz über Ordnungswidrigkeiten (OWiG) mit der treffenden Bezeichnung “Verletzung der Aufsichtspflicht in Betrieben und Unternehmen“. Ähnliche Verpflichtungen für Behörden trifft sogar unser Grundgesetz.

Die DSGVO-Schonzeit ist vorbei

Die meisten Landesdatenschutzbehörden haben jedoch in den letzten Monaten ein Auge zugedrückt und eine im Gesetz nicht vorgesehene freiwillige Karenzzeit eingeschoben. In diesem Zeitraum sollten Organisationen die Gelegenheit letztmalig nutzen, die rechtlichen Verpflichtungen aus der DSGVO in Verbindung mit dem neuen Bundesdatenschutzgesetz (BDSG) für Unternehmen und den Landesdatenschutzgesetzen für Landesbehörden und kommunale Einrichtungen umzusetzen. Diese Schonzeit ist nun vorbei!

Es wird ernst — aber Bußgelder sind nicht das eigentliche Problem

Ende Oktober wurde ein erstes Bußgeld gegen ein portugiesisches Krankenhaus verhängt. 400.000 Euro für den laxen Umgang mit Patientendaten. Das ist erst mal ein Brocken. Weitere Bußgelder und verstärkt Sanktionen in Form von Auflagen haben jetzt auch die deutschen Landesdatenschutzbehörden angekündigt. In den nächsten Wochen wird in der Presse davon zu lesen und zu hören sein. Glücklicherweise gilt es für die Aufsichtsbehörden nach wie vor, bei der Bemessung von Bußgeldern Angemessenheit und Verhältnismäßigkeit zu wahren. Die in der Presse oder auch in Beratungsangeboten gerne zitierten 10 bis 20 Millionen Euro (bzw. 2–4% des weltweiteren Konzernumsatzes im Vorjahr) sind natürlich im Gesetz so vorgesehen. In der unreflektierten Kommunikation sind diese Zahlen jedoch reine Panikmache. Kleine und mittelständische Betriebe werden sich mit solchen Summen sicher nicht konfrontiert sehen. Das heißt aber nicht, sich weiter zurücklehnen und das Thema aussitzen zu können.

Denn abgesehen von Bußgeldern und Sanktionen, geht schnell mit Datenschutzverstößen auch ein Imageschaden einher. Auch Schadenersatz ist im Datenschutz möglich. Grund genug, zumindest ein paar „Basics“ in der eigenen Organisation umzusetzen.

Hier ein paar Tipps und Hinweise zur Umsetzung der DSGVO Anforderungen:

1. Verzeichnis der Verarbeitungstätigkeiten (VVT)

Ihre Organisation wird im Zweifel mit einer Vielfalt und Vielzahl an personenbezogenen Daten von Mitarbeitern, Kunden, Bürgern, Interessenten, Geschäftspartnern etc. umgehen. Aus diesem Grund trifft eigentlich (fast) jede Organisation die Pflicht, ein sog. Verzeichnis der Verarbeitungstätigkeiten zu führen. Dabei handelt es sich um detaillierte Übersichten, wo und wie und in welchen sog. „Verfahren“ (nicht immer identisch mit Programmen) Ihre Organisation personenbezogene Daten verarbeitet. Das VVT ist Grundlage für weitere Datenschutz-Tätigkeiten und elementarer Bestandteil Ihrer Rechenschaftspflicht, die rechtlichen Datenschutz-Anforderungen in Ihrer Organisation umgesetzt zu haben

2. Rechte der Kundschaft sicherstellen

Im Rahmen der DSGVO haben sich die Rechte der sog. Betroffenen weiter verbessert. So kann jede Person von Unternehmen und Behörden sehr umfänglich Auskunft über die gespeicherten und verarbeiteten Daten verlangen. Neben der reinen Auskunft ist eine sog. „Datenkopie“, sowohl von vorhandenen analogen als auch digitalen Daten in geeigneter Form mitzuliefern. Wenn Sie keine Übersicht haben, wo und wie welche personenbezogenen Daten in Ihrer Organisation gespeichert sind, wird es schwerfallen, diesem ausführlichen Anspruch ohne Fehler und / oder Beanstandung gerecht zu werden.
Weiterhin sind personenbezogene Daten nach Ablauf der gesetzlichen Aufbewahrungsfrist umgehend zu löschen. Peinlich, wenn Sie im Rahmen der Auskunft Informationen herausgeben, die schon längt hätten gelöscht sein müssen.

3. Informationspflichten

Jede Organisation muss Betroffene bei direkter und indirekter Erhebung über die Verarbeitung der personenbezogenen Daten aufklären (Art. 13+14 DSGVO). Diese Pflichtangaben sind recht umfangreich und müssen leicht zugänglich sein. Hier gilt es, diese Pflichtangaben für die Verarbeitungen in der Organisation zusammenzustellen und dann z.B. über Webseite, Aushänge, Hinweise auf die Angaben auf der Webseite an die Betroffenen zu kommunizieren. Bitte verwechseln Sie das nicht mit der Datenschutzerklärung auf Ihrer Webseite. Das ist ein ganz anderes Thema.
Da das Vorhandensein und Durchführen der Informationspflichten mit einem Blick auf die Webseite oder einem einfachen Anruf bei Ihnen sofort festgestellt werden kann, sind fehlende Umsetzungen schnell festzustellen.

4. Einwilligungen

Wenn Sie personenbezogene Daten zur Durchführung eines Vertrages oder aufgrund einer Rechtsvorschrift erheben, benötigen Sie keine Einwilligung (das wird auch nicht wahrer, wenn viele Medien das Gegenteil behaupten). In vielen anderen Fällen (Email-Werbung, Telefon-Werbung etc.) ist eine Einwilligung unerläßlich. Einwilligungen müssen aktiv, freiwillig, transparent und ausführlich sowie mit Hinweis auf die Widerrufsmöglichkeit erteilt werden. Prüfen Sie Ihre Einwilligungen, ob diese den Anforderungen entsprechen.

5. Werbung

Briefwerbung (also wirklich klassische Post) ist nach der DSGVO im Einklang mit dem UWG (Gesetz gegen den unlauteren Wettbewerb) ohne Einwilligung möglich. Für Email-Werbung gilt dies nur für Bestandskunden. Dabei darf aber der vorgeschriebene Hinweis auf die jederzeitige Widerrufsmöglichkeit nicht vergessen werden. Alle anderen Daten dürfen nur mit gültiger Einwilligung (siehe 4) für Werbezwecke genutzt werden.

6. Sicherheit der Datenverarbeitung

Ungeschützte Datenspeicherung, unverschlüsselte Datenübertragung, Endgeräte (PC, Laptops, Tablet und Smartphone) ohne Passwortschutz, unzureichende oder nicht dem Stand der Technik entsprechende Datensicherungen sind Geschichte. Die DSGVO schiebt dem laxen Umgang mit der IT-Sicherheit einen heftigen Riegel vor. Zukünftig muss nicht der Betroffene im Schadenfall nachweisen, dass Ihre Organisation keine ausreichenden Schutzmaßnahmen für dessen personenbezogene Daten ergriffen hat. Stattdessen ist Ihre Organisation beweispflichtig, das alles Mach- und Zumutbare an Sicherheitsmaßnahmen eingeführt und regelmäßig auf Funktionsfähigkeit geprüft wurde.

7. Meldepflicht von Datenpannen

Verbummelte Papierunterlagen, verlorene technischen Geräte, fehlerhafter Versand (Post / Email), mit Schadcode befallene IT-Systeme und viele Anlässe mehr führen schnell zu einer meldepflichtigen Datenpanne, wenn personenbezogene Daten im Spiel sind. Diese Datenpannen sind allesamt intern zu dokumentieren und auf Risiko für den Betroffenen zu bewerten. Liegt ein Risiko für Betroffene vor, gilt es die Datenpanne innerhalb von 72h an die zuständige Aufsichtsbehörde online zu melden. Bei besonders hohem Risiko müssen zusätzlich die Betroffenen durch Sie informiert werden. Schauen Sie auf die Webseite Ihrer Landesdatenschutzbehörde mit dem dazugehörigen Meldeformular. Sie werden staunen, wie schnell und umfangreich eine solche Meldung getätigt werden muss. Ohne interne Prozesse zur Erkennung, Bewertung und Meldung sind die Anforderungen nicht zu erfüllen. Damit ist nicht zu spaßen. Und nach der Datenpanne nicht die Nachbearbeitung vergessen: Was ist zu tun, damit sich diese Art der Datenpanne möglichst nicht wiederholt.

8. Datenschutzbeauftragter / DSB

Sobald mehr als 9 Mitarbeiter regelmäßig personenbezogene Daten von Kunden und / oder Mitarbeitern verarbeiten, muss Ihre Organisation einen Datenschutzbeauftragten bestellen. Öffentliche Stellen unterliegen einer generellen Bestellpflicht, ganz unabhängig von der Mitarbeiteranzahl. Die Ausführung dieser Bestellpflicht kann die Aufsichtsbehörde seit Mai 2018 ganz einfach überprüfen. Denn Ihre Organisation muss den Datenschutzbeauftragten offiziell bei der Aufsichtsbehörde mit Name und Kontaktdaten melden. Ein Abgleich bringt schnell zutage, welche Einrichtung wohl der Bestellpflicht unterliegt, aber keine Meldung vorgenommen hat. Zusätzlich müssen Sie Ihren Datenschutzbeauftragten offiziell im Rahmen der Datenschutzerklärung auf Ihrer Webseite mit Kontaktdaten benennen. Sie haben noch keinen Datenschutzbeauftragten? Dann wird es Zeit. Dieser hilft Ihnen übrigens auch sofort bei der Umsetzung der 7 anderen Punkte aus dieser Liste — und bei vielen weiteren Datenschutz-Themen, die Ihre Organisation umgesetzt haben muss.

Viel Erfolg!

PS: Die Punkte 1–8 sind einer Informationsbroschüre des Bayerischen Landesamts für Datenschutzaufsicht entnommen. Unser Artikel stellt keine Rechtsberatung dar.

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) stellt Tätigkeitsbericht 2015/2016 vor

von Sascha Kuhrau
8. März 2017
1 Kommentar

Auf 158 Seiten gibt der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig einen Überblick über die Arbeit der Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern für die Jahre 2015 und 2016 ab.

Das BayLDA ist für ca. 700.000 verantwortliche Stellen im nicht-öffentlichen Bereich (Unternehmen, Vereine, Verbände, freiberuflich Tätige etc.) in Bayern zuständig.

Im vorderen Teil des Berichts wird anschaulich auf die Entwicklung von Bürgerbeschwerden, Datenpannen, aber auch Beratungsanfragen seitens nicht-öffentlicher Stellen eingegangen. Der Übersicht ab 2013 ist zu entnehmen, dass es sich bei der zunehmenden Steigerung nicht um einzelne Spitzen, sondern klar um einen Trend handelt. Sind 2013 “nur” 925 Beschwerden über bayerische Unternehmen und Unternehmer eingegangen, so waren es 2016 schon 1.424. Identisch verhält es sich mit der Zahl der Datenpannen (2013 32 gegenüber 85 in 2016). Wobei hier eine deutlich höhere Dunkelziffer seitens des Amts vermutet wird. Bei den Beschwerden liegt das Thema Videoüberwachung auf dem vordersten Platz. Unter anderem sind dafür die mittlerweile sehr preiswerten Überwachungskameras (wie Wildkameras, Dashcams usw.) verantwortlich, jedoch auch ein gesteigertes Sicherheitsbedürfnis. Letzteres führt schnell mal dazu, nicht nur (zulässigerweise) das eigene Grundstück zu observieren, sondern (zumeist unzulässig) angrenzende Grundstücke oder öffentliche Verkehrsflächen mit einzuschließen.

Klassische Datenpannen wie Verlust, Diebstahl oder Fehlversendungen sind im Berichtszeitraum nahezu gleich geblieben. Eine vermehrte Zunahme wurde jedoch im Bereich Cybercrime festgestellt. Hacking von Webseiten, Datenklau in Webshops sowie Verschlüsselungstrojaner standen dabei ganz oben auf der Liste. Gerade die ersten beiden Punkte oft ausgelöst durch fehlende Sicherheitsupdates der Webseiten- und Shop-Software inklusive dazugehöriger Erweiterungen durch die verantwortlichen Unternehmen und Unternehmer.

Im weiteren Verlauf des Tätigkeitberichts wird ein Blick auf die ab Mai 2018 geltende EU-Datenschutzgrundverordnung (EU-DSGVO) geworfen und welche Auswirkungen diese auf nicht-öffentliche Stellen haben wird. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten wird voraussichtlich in bekannter Weise fortgeführt. Neu ist jedoch die Meldepflicht der Bestellung an die Landesdatenschutzbehörde. Diese rechnet mit einem erheblichen Arbeitsaufwand aufgrund der zu erwartenden tausendfachen Meldungen. [Anmerkung des Autors: Diese Meldepflicht wird natürlich auch Auswirkungen auf Unternehmen haben, die bisher der Bestellpflicht unterlagen, sich aber eine Bestellung erspart haben. Eine Nichtmeldung kann im weiteren Verlauf unangenehme Nachfragen — und bei Verstößen auf Bußgelder auslösen.]

Eine kurze Zusammenfassung können Sie hier herunterladen. Der komplette Tätigkeitsbericht steht hier zum Download bereit.

Landesdatenschutzbehörden prüfen Cloud-Einsatz in Unternehmen

von Sascha Kuhrau
4. November 2016
1 Kommentar

Die Landesdatenschutzbehörden in Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt wählen per Zufall 500 Unternehmen in diesen Bundesländern aus. Diese erhalten im Zuge der Prüfung einen ausführlichen Fragebogen (Download zur Selbstüberprüfung hier) zur zeitnahen Beantwortung. Bitte beachten Sie: Sie sind gemäß Bundesdatenschutzgesetz gegenüber der Behörde auskunftspflichtig. Nehmen Sie die Anfrage ernst und erteilen Sie innerhalb des genannten Rückmeldezeitraums ausführlich Auskunft. Es besteht sonst ein Bußgeldrisiko für Ihre Organisation.

“[…] viele kleinere und mittlere Unternehmen in Deutschland verarbeiten inzwischen zahlreiche personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall. Ein klassisches Beispiel hierfür sind Office-Anwendungen „aus dem Internet“, die standortunabhängig und flexibel genutzt werden können.”

Inhaltlich beschäftigt sich der Fragebogen daher zu Beginn mit generellen Datenübermittlungen außerhalb der EU (USA, sonstige Drittstaaten).

“Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind.”

Im zweiten Teil wird es ziemlich konkret im Hinblick auf in der Cloud eingesetzte Lösungen wie Reisemanagement, Customer-Relationship-Management, Bewerberportale bis hin zu kompletten Recruitment und Personalverwaltung und Abrechnung, Cloud-Speicher, Newsletter-Services, Cloud Office, aber auch Kollaborationsplattformen. Hier wollen die Behörden sehr konkrete Angaben zu den genutzten Anbietern und Lösungen.

Abgeschlossen wird der Fragebogen mit Angaben zum betrieblichen Datenschutzbeauftragten. Diesen sollten Sie bei Vorliegen der gesetzlichen Bestellpflicht hoffentlich benennen können und in die Beantwortung des Fragebogens einbezogen haben.

„Übermittlungen personenbezogener Daten in Nicht-EU-Staaten gehören inzwischen auch bei vielen mittelständischen Unternehmen zum Alltag, nicht zuletzt aufgrund der immer stärkeren Verbreitung von Angeboten des Cloud Computing. Unternehmen müssen sich aber dessen bewusst sein, dass hierfür besondere datenschutzrechtliche Anforderungen gelten. Durch die koordinierte Prüfaktion, an der sich zehn deutsche Datenschutzaufsichtsbehörden beteiligen, wollen wir auch die Sensibilität der Unternehmen in diesem Bereich erhöhen.“ betont Thomas Kranig, der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht. „Ausgehend von der Beantwortung des Fragebogens kann und wird das Bayerische Landesamt für Datenschutzaufsicht dort, wo sich dies als notwendig zeigt, auch in eine tiefere Prüfung einsteigen.“

Sie haben einen solchen Fragebogen erhalten, jedoch keinen betrieblichen Datenschutzbeauftragten zur Beantwortung parat? Sprechen Sie uns an.

Quelle: https://www.lda.bayern.de/media/pm2016_09.pdf

Warum ist Datenschutz für Unternehmen und Behörden wichtig?

von Sascha Kuhrau
3. Dezember 2014

Haben Sie sich auch schon diese Frage gestellt? Sascha Kuhrau, Inhaber des bundesweit tätigen Beratungsunternehmens a.s.k. Datenschutz gibt Antworten.

Herr Kuhrau, ist Datenschutz ein Modethema?

Mitnichten! Schauen Sie einfach auf die Historie des Datenschutzrechts in Deutschland und der EU. 1977 hatten wir das erste Bundesdatenschutzgesetz (BDSG) in Deutschland, seit 1995 gibt es auf EU Ebene verbindliche Regeln für alle Mitgliedsstaaten.

Wen betrifft dieses Bundesdatenschutzgesetz?

Das ist ganz einfach. Jedes Unternehmen, jeden Gewerbetreibenden, jeden Freiberufler, jede Behörde und auch jeden Verein, sofern dort personenbezogene Daten vorliegen und verarbeitet werden.

Man sollte auch nicht dem Irrtum unterliegen, ein eigenes Standesrecht würde das Datenschutzgesetz ersetzen. Obwohl die Aussage der Gesetze hier klar ist, mussten mittlerweile Gerichte bestätigen, dass solches Recht nicht pauschal ersetzend wirkt. Diese Fehleinschätzung kann gerade bei Ärzten, Steuerberatern oder auch Anwälten schnell zu Konflikten führen.

Wirklich jeden? Es gibt doch bestimmt Ausnahmen?

Da muss ich Sie enttäuschen. § 1 BDSG ist hier eindeutig. Es werden keine Unterschiede nach Branche, Mitarbeiterzahl oder Umsatz gemacht. Diesen Irrglauben trifft man öfter in Gesprächen mit Geschäftsführern, Inhabern oder auch Behördenleitern.

Eine Ausnahme gibt es jedoch bei der Bestellpflicht des sogenannten Datenschutzbeauftragten.

Welche Aufgaben hat ein solcher Datenschutzbeauftragter?

Salopp gesagt, kümmert sich dieser um die rechtskonforme Umsetzung des Datenschutzrechts in der Organisation vor Ort. Er ist Berater , Tippgeber und Ansprechpartner für Leitung und Mitarbeiter.

Und wann muss ein solcher Datenschutzbeauftragter bestellt werden?

Diese Vorschrift findet sich in § 4f BDSG und ist bis auf ganz wenige Ausnahmen ebenfalls eindeutig. Sobald mehr als 9 Mitarbeiter mit personenbezogenen Daten mittels IT arbeiten, muss ein Datenschutzbeauftragter intern oder extern bestellt werden. Und bei der Zahl der Mitarbeiter ist es unerheblich, ob Vollzeit, Teilzeit, Aushilfe oder Geschäftsführung selbst.

Dann liegt diese Bestellpflicht recht schnell vor, ohne dass die Verantwortlichen dies vielleicht wissen?

Das ist in der Praxis häufig der Fall. Wir beraten hierzu jedoch kostenlos und unverbindlich, ob eine Bestellpflicht vorliegt.

Wer kümmert sich um das Thema Datenschutz, wenn kein Datenschutzbeauftragter vorhanden ist?

Dann liegt die Umsetzung aller Rechtsvorschriften bei der Geschäftsführung oder Behördenleitung. Diese haftet im Zweifel dann auch bei Nichterfüllung oder eintretenden Datenpannen. Das BDSG hat hier einen mittlerweile sehr empfindlichen Bußgeldkatalog.

Also sollte man schon zur Vermeidung von Bußgeldern das Thema Datenschutz ernst nehmen?

Das ist nach meiner Erfahrung der falsche Ansatz. Wenn sich des Themas nur angenommen wird, weil Ängste vor rechtlichen Risiken und Bußgeldern bestehen, dann wurden die Chancen eines bewusst gelebten Datenschutzes nicht erkannt.

Datenschutz ist mehr als eine Rechtsvorschrift?

Ja! Kunden und Bürger werden immer sensibler. Nehmen Sie nur die aktuelle Presse. Nicht erst seit der NSA Affäre, ausgelöst durch Herrn Snowden, steigen das Bewusstsein und auch der Anspruch der sogenannten “Betroffenen” (im Sinne des BDSG) rund um das Recht auf informationelle Selbstbestimmung.

Komme ich diesem Anspruch als Organisation nach, dann ist gelebter Datenschutz ein Element der Kundenakquise, aber auch der Kundenbindung.

Und da Datenschutz auch sehr weit in Bereiche wie der IT-Sicherheit eingreift, kommen Faktoren wie Senkung des Ausfallrisikos oder Verkürzung von Wiederanlaufzeiten von EDV-Systemen ergänzend hinzu. Es geht hier um die Kernziele: Schutz vor Zerstörung, Verlust und Missbrauch von personenbezogenen Daten. Am Ende spart die Organisation Zeit und Geld, wenn es zum Störfall kommt..

Wie unterstützt a.s.k. Datenschutz hierbei?

Wir prüfen das vorhandene Datenschutz– und Datensicherheitsniveau, identifizieren Schwachstellen, beheben diese gemeinsam mit unseren Auftraggebern, betreuen Einzelprojekte—z.B. die Einführung einer geplanten Videoüberwachung—oder stehen als permanenter Ansprechpartner für Fragen zu diesen Themen zur Verfügung.

Selbstverständlich übernehmen wir auch die Aufgaben des (externen) Datenschutzbeauftragten oder unterstützen einen internen Datenschutzbeauftragten, wenn dieser aus Zeitgründen Support benötigt. Letzteres kommt in der Praxis recht häufig vor. Seit einiger Zeit haben wir für bayerische Kommunen auch zwei Varianten des AKDB Sicherheitschecks im Angebot.

Was steht dabei für Sie im Vordergrund?

Wichtig sind uns der absolute Praxisbezug und die Sicherstellung der rechtlichen Anforderungen. Datenschutz darf kein Selbstzweck sein oder sich zu wichtig nehmen. Nicht umsonst lautet unser Motto „Aus der Praxis für die Praxis“.

Ist Datenschutz teuer?

Ja, wenn Sie sich nicht darum kümmern 🙂

Nein, im Ernst. Wir arbeiten bei langfristigen Betreuungen und Projekten mit Pauschalen, damit unser Kunde stets weiß, mit welchen Kosten er zu rechnen hat und vor unliebsamen Überraschungen sicher ist.

Und da unsere Leistungen modular buchbar sind, kann der Kunde selbst entscheiden, welchen Anteil an Zeit er selbst einbringen will und kann, und welchen er an uns auslagert.

Wenn jemand noch Fragen zum Thema hat?

Einfach anrufen oder eine kurze Email schreiben.

Wozu Big Brother Container? Waschanlage reicht!

von Sascha Kuhrau
14. August 2014
1 Kommentar

Personal, aber auch Kunden standen im Fokus einer ausgedehnten Videoübewachung der Essener Autowaschkette Mr. Wash. In 8 von 33 Filialen wurden 60 Kameras nicht rechtskonform betrieben. Das war dem NRW-Landesbeauftragten für Datenschutz ein Bußgeld in Höhe von 64.000 Euro wert, meldet WAZ. Dabei kam der Kette zu Gute, sich bei den Ermittlungen im Verfahren “kooperativ” verhalten zu haben.

Interessant ist die Aufteilung des Bußgeldes. 54.000 Euro wurden wegen des schweren Verstoßes gegen das Bundesdatenschutzgesetz durch die Videoüberwachung verhängt. Die restlichen 10.000 Euro wurden dafür fällig, bisher keinen Datenschutzbeauftragten bestellt zu haben, obwohl die gesetzliche Bestellpflicht vorlag.

In unserem Datenschutz Blog finden Sie einen Beitrag zur umsichtigen und rechtskonformen Umsetzung einer Videoüberwachung.

Planen Sie die Installation einer Videoüberwachungsanlage? Haben Sie bereits eine solche Lösung im Einsatz und sind sich über die Rechtskonformität im Unklaren? Dann fragen Sie doch Ihren Datenschutzbeauftragten. Sie haben keinen? Sprechen Sie uns an.

IT-Sicherheit in Unternehmen verbessern und für mehr Datenschutz sorgen

von Sascha Kuhrau
20. August 201215. Oktober 2023
2 Kommentare

Datenschutz und Datensicherheit

Datenschutz ist gesetzliche Vorschrift für Unternehmen aller Größen in Deutschland. So gibt es zwar einige Regelungen, wie z.B. die Bestellpflicht für einen sog. Datenschutzbeauftragten, die erst ab einer gewissen Mitarbeiterzahl greifen, doch das entbindet nicht von der Verpflichtung die übrigen Vorschriften im Unternehmen umzusetzen. Aufgrund des stetig zunehmenden Einsatzes von IT steigen sowohl die Ansprüche an Unternehmen als auch die Zahl der zu treffenden Schutzmaßnahmen durch das Unternehmen. Ohne ausreichende IT-Sicherheit ist der gesetzlich vorgeschriebene Datenschutz heute kaum mehr zu gewährleisten.

Klassische Brennpunkte

Ganz oben auf der Themenliste stehen nach wie vor Klassiker wie Passwort-Sicherheit oder auch die Backup-Strategie. Im Rahmen unserer Datenschutz-Audits sind immer wieder noch Kombinationen für den System-Login zu finden wie Benutzername = Vorname und Passwort = Nachname, sogar für Zugänge mit Administrator-Rechten. Aber auch die Rechte und Pflichten des Administrators wollen genau definiert und festgeschrieben sein. Ob der Leitsatz “Backup ist nur für Feiglinge” im Falle eines Datenverlusts wirklich weiterhilft? Ich wage es zu bezweifeln.

Neue Technologien und Verfahrensweisen

Doch neben diesen Dauerbrennern gilt es mit aktuellen Entwicklungen und Trends mitzuhalten. Nutzen Ihre Mitarbeiter eigene elektronischen Geräte für das Unternehmen wie z.B. Smartphones, Notebook oder Pads? Dann werden Sie nicht darum herumkommen, sich mit dem Begriff BYOD (Bring Your Own Device) auseinanderzusetzen. Denn so charmant das Mitbringen von eigener Hardware durch Mitarbeiter sein kann, z.B. durch den Kosteneinsparungseffekt, so riskant ist der Einsatz von nicht in die Sicherheitsmechanismen des Unternehmens eingebundenen Geräten im Hinblick auf Datensicherheit und Datenschutz.

Licht ins Dunkel bringen

Das Bundesministerium für Wirtschaft hat zur Unterstützung den IT-Sicherheitsnavigator im Web ins Leben gerufen. Hier können Unternehmen und Unternehmer zielgenau nach Branche und Fragestellung Hilfe in Form von Anleitungen, Formulierungsvorschlägen und Tipplisten finden.

Alternativ sprechen Sie doch einfach mit Ihrem Datenschutzbeauftragten? Sie haben keinen? Dann prüfen Sie, ob die gesetzliche Bestellpflicht für Ihr Unternehmen vorliegt. Der Gesetzgeber hat mit dem externen Datenschutzbeauftragten eine kostengünstige und transparente Möglichkeit geschaffen, dieser Verpflichtung nachzukommen -> Angebot anfordern. Doch selbst ohne Bestellpflicht stehen wir beratend zu den Themen Datensicherheit und Datenschutz für Ihr Unternehmen zur Verfügung. Sprechen Sie uns einfach an.

Unternehmen sicher machen, Fördermittel nutzen

Übrigens können Teile unserer Beratungsleistungen mit Fördermitteln aus dem ESF bezuschusst werden — nutzen Sie doch diese Gelegenheit, Ihr Unternehmen überprüfen zu lassen und sicherer zu machen.

Irrtümer im Datenschutz (Teil 3): Wir haben keine schützenswerten Daten im Unternehmen

von Sascha Kuhrau
3. August 2012
4 Kommentare

“Wir haben keine personenbezogenen Daten im Unternehmen, daher betrifft uns das Bundesdatenschutzgesetz gar nicht” — diese Aussage trifft man immer wieder z.B. im Rahmen von Informationsveranstaltungen oder Kundengesprächen. Im ersten Moment ist man gerade bei reinen B2B-Unternehmen geneigt, zuzustimmen. Doch schnell regen sich Zweifel, denn nur wenige Unternehmen kommen ohne Mitarbeiter aus.

§ 3 BDSG definiert den Begriff der personenbezogenen Daten:

“(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).”

Damit wäre bereits festgestellt, das personenbezogene Daten im Unternehmen alleine schon durch die Beschäftigung von Mitarbeitern vorliegen. Zieht man jetzt noch die Daten zu Kunden, Lieferanten, Dienstleistern und Interessenten hinzu, wird schnell klar: Es gibt eigentlich immer personenbezogene Daten im Unternehmen.

Bleiben wir jedoch bei den Mitarbeiterdaten unseres Beispiels und in § 3 BDSG:

“(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.”

Mitarbeiterdaten sind demnach nicht nur reine personenbezogene Daten, sondern nach dieser Definition sogar eine besondere Art personenbezogener Daten (enthalten sie doch einige der og. Merkmale).

§ 3 BDSG definiert im weiteren Verlauf den Begriff “Beschäftigte” detailliert:

“(11) Beschäftigte sind:

Arbeitnehmerinnen und Arbeitnehmer,
zu ihrer Berufsbildung Beschäftigte,
Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
nach dem Jugendfreiwilligendienstegesetz Beschäftigte,
Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist,
Beamtinnen, Beamte, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.”

Das Bundesdatenschutzgesetz spendiert in seiner aktuellen Fassung den Beschäftigten sogar einen eigenen Paragraphen:

§ 32 Datenerhebung, ‑verarbeitung und ‑nutzung für Zwecke des Beschäftigungsverhältnisses

“(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.

(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.”

Womit feststeht:

Beschäftigt ein Unternehmen Mitarbeiter, liegen personenbezogene Daten vor.
Aufgrund der vorliegenden Daten eines Mitarbeiters handelt es sich dabei sogar um besondere Arten personenbezogener Daten, die einen erhöhten Schutzstatus besitzen.
Das Bundesdatenschutzgesetz legitimiert das Erheben, Verarbeiten und Nutzen der Mitarbeiterdaten zum Zwecke des Beschäftigungsverhältnisses.
Das Bundesdatenschutzgesetz findet auf Unternehmen mit Mitarbeitern Anwendung.
Es bleibt zu prüfen, ob die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten zusätzlich vorliegt.

Unsicher in Bezug auf die weitere Vorgehensweise? Dann sprechen Sie uns einfach an. Wir helfen schnell, unbürokratisch und unkompliziert.

Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:

Irrtümer im Datenschutz (Teil 2): Ein Datenschutzbeauftragter ist zu teuer und daher kann auf die Bestellung verzichtet werden

von Sascha Kuhrau
12. Juli 2012

Irrtümer im Datenschutz (Teil 2)

Weiter geht es mit dem zweiten Teil der Serie “Irrtümer im Datenschutz”. Nicht auszurotten ist ein Gerücht, auf das ich im Rahmen von zahlreichen Beratungsgesprächen immer wieder stoße. Hier wird argumentiert, auf die Bestellung eines gesetzlich vorgeschriebenen Datenschutzbeauftragten kann verzichtet werden, wenn die dafür anfallenden Kosten für das Unternehmen nicht zumutbar sind.

Was sagt das Bundesdatenschutzgesetz (BDSG) dazu?

Die gesetzliche Bestellpflicht für einen Datenschutzbeauftragten regelt § 4f Absatz 1 Beauftragter für den Datenschutz BDSG.

(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet.

Weiter führt § 4f BDSG aus

Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Damit ist klar definiert: Unternehmen mit mehr als 9 Mitarbeitern, die mittels EDV mit personenbezogenen Daten zu tun haben, sind gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet — und zwar bis spätestens 4 Wochen nach Aufnahme der Geschäftstätigkeit.

Zumutbarkeit?

Von einer Zumutbarkeit ist an dieser Stelle nicht die Rede. Im Gegenteil! § 4f Absatz 1 BDSG führt sogar noch weitere Verpflichtungskriterien an:

Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.

Auch hier ist keine Rede von einer Zumutbarkeit für Unternehmen. Bestellpflicht ist Bestellpflicht! Jedoch gestattet der Gesetzgeber mit § 4f Absatz 2 BDSG eine externe Bestellung:

Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt werden; die Kontrolle erstreckt sich auch auf personenbezogene Daten, die einem Berufs- oder besonderen Amtsgeheimnis, insbesondere dem Steuergeheimnis nach § 30 der Abgabenordnung, unterliegen

Diese Möglichkeit bietet gerade kleinen und mittleren mittelständischen Unternehmen ein hohes Maß an Flexibilität, Kostentransparenz und auch Einsparpotential. Denn die Bestellung eines externen Datenschutzbeauftragten bringt zahlreiche Vorteile für ein Unternehmen mit sich.

Die Vorteile des externen Datenschutzbeauftragten

Ein intern bestellter Datenschutzbeauftragter ist nicht weisungsgebunden und frei in seiner Zeiteinteilung. Er genießt einen erweiterten Kündigungsschutz und kann nicht einfach so abberufen werden. Gleichzeitig trägt das Unternehmen die Kosten für Aus- und Weiterbildung (diese ist gesetzlich vorgeschrieben) und muss Raum und Material zur Verfügung stellen. Ein interner Datenschutzbeauftragter bringt keinen Versicherungsschutz mit sich. Kostentransparenz und Kostenkontrolle Fehlanzeige!

Bestellen Sie jedoch einen externen Datenschutzbeauftragten, liegen die Vorteile klar auf der Hand. Dieser Externe arbeitet im Rahmen eines Projektauftrags. Die Kosten sind transparent und überschaubar. Seine Bestellung kann widerrufen werden, besonderen Kündigungsschutz kennt ein externer Vertrag nicht. Die Kosten für seine Aus- und Weiterbildung trägt der Externe selbst, ebenso wie für die notwendige Ausstattung mit Software (Lizenzen), Literatur und sein Büro. Ein externer Datenschutzbeauftragter verfügt über ausreichenden Versicherungsschutz, welcher sich auf seine Tätigkeit für das Unternehmen erstreckt (lassen Sie sich diese stets nachweisen!!). Zielkonflikte sind durch die Ausgliederung kein Thema. Als Sahnehäubchen erhält Ihr Unternehmen Zugriff auf dessen branchenübergreifendes Know How.

Wer nicht, zu spät oder pro forma bestellt, setzt sich einem erheblichen Bußgeldrisiko bis 50.000 Euro aus.

Überzeugt? Dann vereinbaren Sie doch gleich in unverbindliches und kostenloses Erstberatungsgespräch!

[vfb id=3]

Lesen Sie hier die anderen Teile der Serie “Irrtümer im Datenschutz”:

Teil 1: Irrtümer im Datenschutz (Teil 1): Datenschutz betrifft mein Unternehmen nicht
Teil 2: Irrtümer im Datenschutz (Teil 2): Ein Datenschutzbeauftragter ist zu teuer und kann auf die Bestellung verzichtet werden
Teil 3: Irrtümer im Datenschutz (Teil 3): Wir haben keine schützenswerten Daten im Unternehmen

Bestellpflicht

“Es kommt dar­auf an” — Was kos­tet ein exter­ner Datenschutzbeauftragter?

Auf was kommt es bei den Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten an?

Wie geht a.s.k. Daten­schutz als exter­ne Daten­schutz­be­auf­trag­te vor?

Was kos­tet es Sie auf jeden Fall …

Inter­nen oder exter­nen Daten­schutz­be­auf­trag­ten bestellen?

Daten­schutz-Anpas­sungs­ge­setz 2019 und die Folgen

Weg­fall des Daten­schutz­be­auf­trag­ten bedeu­tet weni­ger Datenschutz-Bürokratie?

“Ja, aber jetzt müs­sen klei­ne Unter­neh­men und Ver­ei­ne für den Daten­schutz nichts mehr tun!”

Daten­schutz­ver­stö­ße und Buß­gel­der wer­den zunehmen

Was hät­te der Gesetz­ge­ber bes­ser machen können?

Ihr Unter­neh­men benö­tigt einen exter­nen Datenschutzbeauftragten?

Die DSGVO-Schon­zeit ist vorbei

Hier ein paar Tipps und Hin­wei­se zur Umset­zung der DSGVO Anforderungen:

1. Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten (VVT)

2. Rech­te der Kund­schaft sicherstellen

3. Infor­ma­ti­ons­pflich­ten

4. Ein­wil­li­gun­gen

5. Wer­bung

6. Sicher­heit der Datenverarbeitung

7. Mel­de­pflicht von Datenpannen

8. Daten­schutz­be­auf­trag­ter /​ DSB