Was sind die Auf­ga­ben des exter­nen Datenschutzbeauftragten?

Arti­kel 39 Absatz 1 DSGVO defi­niert die Auf­ga­ben des Daten­schutz­be­auf­trag­ten. Dar­aus erge­ben sich 1:1 die Auf­ga­ben des exter­nen Daten­schutz­be­auf­trag­ten, denn hier wird kei­ne Unter­schei­dung zwi­schen intern und extern getroffen:

Dem Daten­schutz­be­auf­trag­ten oblie­gen zumin­dest fol­gen­de Aufgaben:

a) Unter­rich­tung und Bera­tung des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters und der Beschäf­tig­ten, die Ver­ar­bei­tun­gen durch­füh­ren, hin­sicht­lich ihrer Pflich­ten nach die­ser Ver­ord­nung sowie nach sons­ti­gen Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mitgliedstaaten;

b) Über­wa­chung der Ein­hal­tung die­ser Ver­ord­nung, ande­rer Daten­schutz­vor­schrif­ten der Uni­on bzw. der Mit­glied­staa­ten sowie der Stra­te­gien des Ver­ant­wort­li­chen oder des Auf­trags­ver­ar­bei­ters für den Schutz per­so­nen­be­zo­ge­ner Daten ein­schließ­lich der Zuwei­sung von Zustän­dig­kei­ten, der Sen­si­bi­li­sie­rung und Schu­lung der an den Ver­ar­bei­tungs­vor­gän­gen betei­lig­ten Mit­ar­bei­ter und der dies­be­züg­li­chen Überprüfungen;

c) Bera­tung – auf Anfra­ge – im Zusam­men­hang mit der Daten­schutz-Fol­gen­ab­schät­zung und Über­wa­chung ihrer Durch­füh­rung gemäß Arti­kel 35;

d) Zusam­men­ar­beit mit der Aufsichtsbehörde;

e) Tätig­keit als Anlauf­stel­le für die Auf­sichts­be­hör­de in mit der Ver­ar­bei­tung zusam­men­hän­gen­den Fra­gen, ein­schließ­lich der vor­he­ri­gen Kon­sul­ta­ti­on gemäß Arti­kel 36, und gege­be­nen­falls Bera­tung zu allen sons­ti­gen Fragen.

Als exter­ne Daten­schutz­be­auf­trag­te kann und darf man durch­aus noch etwas mehr an Auf­ga­ben übernehmen

  • Pfle­ge des Ver­zeich­nis­ses von Ver­ar­bei­tungs­tä­tig­kei­ten nach inter­ner Zuarbeit
  • Kon­ti­nu­ier­li­che Schu­lung und Sen­si­bi­li­sie­rung Ihrer Mit­ar­bei­ter durch eLear­ning, Webi­na­re, Vor-Ort-Schu­lun­gen, Mit­ar­bei­ter­zei­tung, News­let­ter und vie­les mehr
  • Prü­fung von Ver­ein­ba­run­gen mit exter­nen Dienst­leis­tern nach Art. 28 DSGVO Auftragsverarbeitung
  • Prü­fen und Über­wa­chen der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men Ihrer exter­nen Dienst­leis­ter nach Art. 28 + 32 DSGVO
  • und noch so eini­ges mehr

Was ein Daten­schutz­be­auf­trag­ter nicht leis­ten kann?

Lei­der immer noch viel zu oft ist eine etwas irra­tio­na­le Erwar­tungs­hal­tung anzu­tref­fen. Mit der Benen­nung eines (exter­nen) Daten­schutz­be­auf­trag­ten ist eine Orga­ni­sa­ti­on mit­nich­ten von den Ver­pflich­tun­gen aus der DSGVO für die Orga­ni­sa­ti­on und die damit ver­bun­de­nen Tätig­kei­ten, Auf­ga­ben und Zuar­bei­ten befreit. Es sind nach wie vor alle Orga­ni­sa­ti­ons­ebe­nen gefor­dert, aktiv das The­ma Daten­schutz zu gestal­ten und dem Daten­schutz­be­auf­trag­ten zuzu­ar­bei­ten. Wenn Sie sich die Auf­stel­lung der Auf­ga­ben des Daten­schutz­be­auf­trag­ten aus Art. 39 DSGVO zu Beginn die­ses Bei­trags noch mal in Erin­ne­rung rufen, sind des­sen Beratungs‑, Kon­troll- und Über­prü­fungs­auf­ga­ben kon­kret defi­niert. Bei die­ser Auf­zäh­lung fehlt zu Recht der Begriff “Umset­zen”. Daten­schutz wird durch alle Mit­ar­bei­ter einer Orga­ni­sa­ti­on “umge­setzt” bzw. gelebt. Der Daten­schutz­be­auf­trag­te wirkt auf die rechts­kon­for­me Daten­ver­ar­bei­tung in der Orga­ni­sa­ti­on hin, u.a. durch Bera­tung, und über­prüft die­se im Rah­men sei­ner Kon­troll- und Überwachungsfunktion.

Inter­es­se an einem exter­nen Daten­schutz­be­auf­trag­ten geweckt?

Sie benö­ti­gen einen (exter­nen) Daten­schutz­be­auf­trag­ten? Dann nut­zen Sie unse­re lang­jäh­ri­ge Erfah­rung und das Know How als exter­ne Daten­schutz­be­auf­trag­te für zahl­rei­che unter­schied­li­che Orga­ni­sa­tio­nen zum Schutz Ihres Unter­neh­mens. Spre­chen Sie uns an.

Rechts­la­ge: Ver­mei­dung von Inter­es­sens­kon­flik­ten bei einem Daten­schutz­be­auf­trag­ten vorgeschrieben

Bereits im Anwen­dungs­rah­men des alten BDSG (vor Mai 2018) galt es, Inter­es­sens­kon­flik­te eines Daten­schutz­be­auf­trag­ten bei der Aus­übung sei­ner Tätig­keit zu ver­mei­den. Art. 38 Abs. 6 DSGVO (exter­ner Link) regelt das seit Mai 2018 nicht anders:

“Der Daten­schutz­be­auf­trag­te kann ande­re Auf­ga­ben und Pflich­ten wahr­neh­men. Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter stellt sicher, dass der­ar­ti­ge Auf­ga­ben und Pflich­ten nicht zu einem Inter­es­sen­kon­flikt führen.”

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit von Baden-Würt­tem­berg, Dr. Ste­fan Brink hat dies in sei­nem 38. Tätig­keits­be­richt 2018 (exter­ner Link) aus­führ­li­cher beleuch­tet. “Der Ver­ant­wort­li­che bzw. Auf­trags­ver­ar­bei­ter hat aller­dings dafür Sor­ge zu tra­gen, dass […] kei­ne Unver­ein­bar­kei­ten bzw. Befan­gen­heit vorliegen.”

Wer darf bzw. darf die Funk­ti­on des Daten­schutz­be­auf­trag­ten in einem Unter­neh­men oder einer Behör­de ausüben?

In Anbe­tracht der wei­ten Prüf- und Kon­troll­pflich­ten eines Daten­schutz­be­auf­trag­ten, zieht Brink hier eine deut­li­che Grenze:

“Für eine kor­rek­te Erfül­lung der Auf­ga­ben des DSB ist viel­mehr eine wei­test­ge­hen­de Distanz gegen­über der zu kon­trol­lie­ren­den Stel­le uner­läss­lich, denn eine effek­ti­ve Kon­trol­le ist dann zu bezwei­feln, wenn der Kon­trol­leur sich selbst kon­trol­lie­ren muss.”

Das mit der zu kon­trol­lie­ren­den Stel­le die Orga­ni­sa­ti­on (Unter­neh­men, Behör­de, Ver­ein) gemeint ist, wel­che den Daten­schutz­be­auf­trag­ten zu bestel­len hat, liegt auf der Hand. Gene­rell soll der DSB kei­ne ande­re Funk­ti­on aus­üben, in der er oder sie über die Zwe­cke oder Mit­tel der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten selbst zu ent­schei­den hat. Doch was bedeu­tet das nun kon­kret (Sei­ten 28–30 des TB), wer schei­det für die Aus­übung des Daten­schutz­be­auf­trag­ten gene­rell aus:

  1. Leitungs‑, Chef- und Inha­ber­ebe­ne: Inha­ber, Lei­ter, Part­ner, Vor­stand, Geschäfts­füh­rer, Mit­glied der Geschäfts­lei­tung, Mana­ger, Bür­ger­meis­ter, Land­rat oder ander­wei­tig beru­fe­ne Lei­tung der Organisation
  2. Nach­ge­ord­ne­te Posi­tio­nen mit Füh­rungs­auf­ga­ben und Ent­schei­dungs­kom­pe­tenz über die Fest­le­gung von Zwe­cken und Mit­teln der Daten­ver­ar­bei­tung (IT): IT-Lei­ter, Lei­ter des ope­ra­ti­ven Geschäfts­be­reichs, Lei­ter Mar­ke­ting, Lei­ter Per­so­nal, Betriebs­lei­ter, Amts- bzw- Geschäfts­lei­ter, aber durch­aus auch nach­ge­la­ger­te Funk­tio­nen, wenn die­se ähn­li­che Inter­es­sens­kon­flik­te mit sich bringen
  3. Berei­che mit hohem Ver­ar­bei­tungs­um­fang: Mit­ar­bei­ter aus dem Personal‑, Ver­triebs- oder Marketingbereich
  4. Beauf­trag­te: Geheim­schutz­be­auf­trag­te, Geldwäschebeauftragte

Bei der Prü­fung auf mög­li­che Inter­es­sens­kon­flik­te sind auch fami­liä­re Ver­hält­nis­se zu berück­sich­ti­gen. So kann bei zu engen fami­liä­ren Bezie­hun­gen zwi­schen Orga­ni­sa­ti­ons­lei­tung bzw. Inha­ber und dem zu bestel­len­den Daten­schutz­be­auf­trag­ten die not­wen­di­ge Unab­hän­gig­keit nach Art. 38 Abs. 3 DSGVO nicht mehr gewähr­leis­tet sein. Das gilt übri­gens unab­hän­gig davon, ob der oder die Ver­wand­te bei der bestel­len­den Orga­ni­sa­ti­on beschäf­tigt ist oder nicht.

Dann bestel­len wir doch ein­fach einen exter­nen Daten­schutz­be­auf­trag­ten, der hat kei­ne Interessenskonflikte

Vom Ansatz her gut, aber auch hier gilt es, vor­han­de­ne Inter­es­sens­kon­flik­te zu ver­mei­den. So ist lt. Brink der genutz­te IT-Dienst­leis­ter eben­falls befan­gen und soll­te daher nicht als exter­ner Daten­schutz­be­auf­trag­ter bestellt wer­den. Das gilt auch für den Fall, dass der Dienst­leis­ter für die IT-Betreu­ung und den Daten­schutz zwei unter­schied­li­che Mit­ar­bei­ter ein­setzt. Soll­te der exter­ne Daten­schutz­be­auf­trag­te die Orga­ni­sa­ti­on in daten­schutz­recht­li­chen Sachen vor Gericht ver­tre­ten, ist eben­falls ein Inter­es­sens­kon­flikt anzunehmen.

Durch unse­re Fokus­sie­rung auf die bei­den The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit sind wir bei Aus­übung der Funk­ti­on des exter­nen Daten­schutz­be­auf­trag­ten frei von Inter­es­sens­kon­flik­ten. Wir sind in kei­nen ande­ren Berei­chen für Sie tätig und bestim­men wei­ter­hin nicht über Zweck und Mit­tel zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in Ihrer Orga­ni­sa­ti­on. Spre­chen Sie uns an (inter­ner Link).

 

 

Daten­schutz © N-Media-Images — Fotolia.com

DIE EU-DSGVO macht es mög­lich – der exter­ne Daten­schutz­be­auf­trag­te für baye­ri­sche Kommunen

Die EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) macht es für baye­ri­sche Kom­mu­nen mög­lich, was in ande­ren Bun­des­län­dern schon län­ger geüb­te Pra­xis ist: Die Bestel­lung eines exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten. Sah das Baye­ri­sche Lan­des­da­ten­schutz­ge­setz (BayDSG) bis­her eine exter­ne Bestell­mög­lich­keit eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nal­ein­rich­tun­gen nicht vor, so ändert sich dies zum 25.05.2018 ein­heit­lich. Ab die­sem Zeit­punkt kön­nen und dür­fen baye­ri­sche Kom­mu­nen end­lich einen exter­nen Daten­schutz­be­auf­trag­ten zum behörd­li­chen Daten­schutz­be­auf­trag­ten bestellen.

Ent­las­tung für klei­ne­re Kommunen

Gera­de klei­ne­re Kom­mu­nen haben sich mit der Bestel­lung eines Daten­schutz­be­auf­trag­ten stets schwer getan. Neben den viel­fäl­ti­gen Auf­ga­ben einer Ver­wal­tung und den nicht gera­de üppig vor­han­de­nen Per­so­nal­res­sour­cen war meist wenig „Luft“ für die Bestel­lung eines inter­nen Daten­schutz­be­auf­trag­ten. Und selbst wenn es zu einer inter­nen Bestel­lung kam, so wur­de die Funk­ti­on nicht sel­ten mit wenig bis kei­nem Leben erfüllt. Hin­zu kamen gra­vie­ren­de Nach­tei­le eines mit wenig Zeit und Res­sour­cen aus­ge­stat­te­ten inter­nen Daten­schutz­be­auf­trag­ten. Näm­lich der viel zu gerin­ge zeit­li­che Spiel­raum zur Aus­übung der Tätig­keit, das feh­len­de Know-How (meist kei­ne Aus­bil­dung zum DSB vor­han­den) und damit ein­her­ge­hend die feh­len­de Übung im Umgang mit den all­täg­li­chen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Ent­las­tung und Unter­stüt­zung für baye­ri­sche Kom­mu­nen. Ab dem 25.05.2018 kön­nen die­se nun einen Daten­schutz­be­auf­trag­ten auch extern bestellen.

Vor­tei­le der exter­nen Bestel­lung eines Daten­schutz­be­auf­trag­ten für baye­ri­sche Kommunen

Die Vor­tei­le eines exter­nen Daten­schutz­be­auf­trag­ten für Kom­mu­nen lie­gen klar auf der Hand

  • Trans­pa­renz in Zeit und Kosten
  • Stets aktu­el­les Know-How durch Grund­aus­bil­dung, Fort- und Wei­ter­bil­dung des exter­nen Daten­schutz­be­auf­trag­ten (nicht zu Las­ten der Kommune)
  • Sofort im The­ma: Der exter­ne Daten­schutz­be­auf­trag­te kennt sich mit Theo­rie und Pra­xis im Daten­schutz­recht und Daten­schutz­all­tag bes­tens aus und kann sofort loslegen
  • Gemein­sa­me Bestel­lung mög­lich: Meh­re­re Kom­mu­nen im Land­kreis kön­nen sich im Rah­men der Inter­kom­mu­na­len Zusam­men­ar­beit zeit und Kos­ten für einen exter­nen Daten­schutz­be­auf­trag­ten teilen

Über­gangs­lö­sung durch exter­ne Bera­tung zum 25.05.2018

Nichts ist schlim­mer, als nichts zu tun. Daher emp­feh­len wir, nicht bis zum 25.05.2018 abzu­war­ten. Holen Sie bereits heu­te einen ver­sier­ten Daten­schutz­be­ra­ter an Bord, der Ihre Kom­mu­ne fit für den Daten­schutz und die Anfor­de­run­gen der EU-Daten­schutz­grund­ver­ord­nung macht. Damit legen Sie erfolg­reich den Grund­stein für die erfolg­rei­che Tätig­keit des exter­nen Daten­schutz­be­auf­trag­ten für (baye­ri­sche) Kom­mu­nen ab dem 25.05.2018.

Die exter­nen Daten­schutz­be­auf­trag­ten von a.s.k. Daten­schutz für baye­ri­sche Kommunen

Spe­zi­ell für baye­ri­sche Kom­mu­nen ste­hen die aus­ge­bil­de­ten Bera­ter und spä­te­ren exter­nen Daten­schutz­be­auf­trag­ten von a.s.k. Daten­schutz bereit. Mit dem The­ma Daten­schutz zumeist bereits seit Jah­ren befasst, haben unse­re Mit­ar­bei­ter die Daten­schutz-Kur­se der Baye­ri­schen Ver­wal­tungs­schu­le (BVS) erfolg­reich absol­viert oder sich in ande­ren geeig­ne­ten Maß­nah­men für den Ein­satz in öffent­li­chen und nicht-öffent­li­chen Stel­len qua­li­fi­ziert. Zusätz­lich sind unse­re Mit­ar­bei­ter zer­ti­fi­zier­te Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te (BVS) und kön­nen Ihren Bezirk, Ihr  Land­rats­amt, Ihre Stadt oder Ihre Gemein­de voll­um­fäng­lich unter­stüt­zen. Soll­ten Sie einen exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten für baye­ri­sche Kom­mu­nen benö­ti­gen, ste­hen wir Ihnen damit eben­falls zur Verfügung.

Ange­bot für einen exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten für baye­ri­sche Kom­mu­nen anfordern

Sie wün­schen ein Ange­bot für einen exter­nen behörd­li­chen Daten­schutz­be­auf­trag­ten für Ihre Kom­mu­ne? Nut­zen Sie ein­fach das For­mu­lar aus unse­rem Fly­er (Down­load am Ende des Bei­trags) oder schrei­ben Sie uns eine Email.

[wpfi­le­ba­se tag=file path=‘flyer/1703ask_Flyer_Ext_DSB_DIN-A4_DD.pdf’ /​]

Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT-Mana­ger gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war.

“Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ansbach.

Wer muss einen Daten­schutz­be­auf­trag­ten bestellen?

Unter­neh­men und auch Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten (DSB) bestel­len, wenn bei ihnen min­des­tens zehn Per­so­nen (“mehr als neun”, so das Bun­des­da­ten­schutz­ge­setz) mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind. Dabei ist es uner­heb­lich, a) ob es sich dabei um inter­ne oder exter­ne per­so­nen­be­zo­ge­ne Daten han­delt und b) mit wel­chem Zeit­an­teil die Per­so­nen beschäf­tigt sind (Voll­zeit, Teil­zeit, Aus­hil­fe etc.). Es zählt hier allei­ne die Zahl der “Köp­fe”.

Zahl­rei­che Unter­neh­men und Ver­ei­ne erfül­len die­se Vor­aus­set­zun­gen. Das Gesetz stellt es dabei frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Je nach Bun­des­land schrei­ben die Lan­des­da­ten­schutz­ge­set­ze einen Daten­schutz­be­auf­trag­ten eben­falls für Behör­den und kom­mu­na­le Ein­rich­tun­gen (sog. öffent­li­che Stel­len) ver­pflich­tend vor. In eini­gen Bun­des­län­dern besteht bereits heu­te die Mög­lich­keit einer exter­nen Bestel­lung des behörd­li­chen Daten­schutz­be­auf­trag­ten. Mit der EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) wird die Bestell­pflicht für öffent­li­che Stel­len ver­ein­heit­licht. Eben­so soll dann eine gene­rel­le Mög­lich­keit der exter­nen Bestel­lung für Behör­den /​ Kom­mu­nen gege­ben sein.

Wann ist von einem Inter­es­sens­kon­flikt auszugehen?

Wird ein Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten bestellt, so darf er jedoch dane­ben nicht zusätz­lich /​ wei­ter­hin für sol­che Auf­ga­ben zustän­dig sein, wel­che die Gefahr von Inter­es­sens­kon­flik­ten mit sei­ner Funk­ti­on als Daten­schutz­be­auf­trag­ter mit sich brin­gen kön­nen. Der Gesetz­ge­ber ver­langt hier salopp, nicht “den Bock zum Gärt­ner zu machen”. Ähn­lich hat dies auch die EU-Daten­schutz­richt­li­nie (Art. 18) gefor­dert, völ­li­ge Unab­hän­gig­keit des DSB in sei­ner Funk­ti­on als Kon­troll­in­stanz. Mit Arti­kel 38 und 39 der EU-DSGVO wird dies in 2018 kei­ne Ände­rung erfahren.

In ein­schlä­gi­gen Kom­men­ta­ren zum Bun­des­da­ten­schutz­ge­setz (z.B. Gola /​ Schome­rus) wird expli­zit dar­auf ver­wie­sen, dass sich hier­aus bestimm­te Funk­tio­nen für die Tätig­keit des Daten­schutz­be­auf­trag­ten von vorn­her­ein aus­schlie­ßen. Dazu zäh­len auf jeden Fall

  • Inha­ber, Vor­stand, Geschäfts­füh­rer (aus­nahms­los),
  • Lei­ter der IT,
  • Per­so­nal­lei­ter,
  • Ver­triebs­lei­ter (zumin­dest im Direktvertrieb).

Für alle ande­ren Funk­tio­nen ist zu prü­fen, ob ein Inter­es­sens­kon­flikt aus­ge­schlos­sen wer­den kann und auch kei­ne wei­te­ren Beein­träch­ti­gun­gen für die Aus­übung der Funk­ti­on des Daten­schutz­be­auf­trag­ten bestehen. So ist es nicht unbe­dingt ziel­füh­rend, einen IT-Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten zu bestel­len, wenn der Kon­flikt mit dem Vor­ge­setz­ten — dem IT-Lei­ter — bereits vor­pro­gram­miert ist und der IT-Mit­ar­bei­ter sei­ne zusätz­li­che Auf­ga­be als DSB z.B. aus Angst vor Repres­sa­li­en nicht aus­üben kann /​ wird.

Wie kam es jetzt zu die­sem Buß­geld auf­grund eines Interessenskonflikts?

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) berich­tet in sei­ner Press­mit­tei­lung davon, dass im Rah­men der Über­prü­fung eines baye­ri­schen Unter­neh­mens die Bestel­lung des IT-Lei­ters zum inter­nen Daten­schutz­be­auf­trag­ten fest­ge­stellt wur­de. Dies lie­fe nach Mei­nung der Behör­de “letzt­lich auf eine Daten­schutz­kon­trol­le eines der maß­geb­li­chen zu kon­trol­lie­ren­den Funk­ti­ons­trä­ger im Unter­neh­men durch sich selbst hin­aus”. Aus Sicht der Behör­de (und der ein­schlä­gi­gen Rechts­kom­men­ta­re) wider­spricht dies der Funk­ti­on des Daten­schutz­be­auf­trag­ten, als unab­hän­gi­ge Instanz im Unter­neh­men auf die Ein­hal­tung des Daten­schut­zes hin­zu­wir­ken (eine der Kern­auf­ga­ben des DSB).

Nach­dem das Lan­des­amt das Unter­neh­men mehr­fach über Mona­te auf­ge­for­dert hat, eine Bestel­lung ohne Inter­es­sens­kon­flikt her­bei­zu­füh­ren und dies sei­tens des Unter­neh­mens zuge­sagt, jedoch nicht umge­setzt wur­de, ver­häng­te die Behör­de ein Buß­geld. Die Geld­bu­ße ist mitt­ler­wei­le bestandskräftig.

„Der betrieb­li­che Daten­schutz­be­auf­trag­te ist ein Erfolgs­mo­dell und ein sehr wich­ti­ges Ele­ment der Daten­schutz­or­ga­ni­sa­ti­on in Deutsch­land. Die Funk­ti­on des Daten­schutz­be­auf­trag­ten kann aber nicht durch eine Per­son wahr­ge­nom­men wer­den, die dane­ben im Unter­neh­men noch Auf­ga­ben inne­hat, die in einem Span­nungs­ver­hält­nis mit einer unab­hän­gi­gen, effek­ti­ven inter­nen Auf­sicht über den Daten­schutz ste­hen. Unter­neh­men, die gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet sind, kön­nen daher nur eine sol­che Per­son zum Daten­schutz­be­auf­trag­ten bestel­len, die in der Lage ist, die­se Auf­ga­be frei von sach­frem­den Zwän­gen aus­zu­üben. Und wenn sie das trotz wie­der­hol­ter Auf­for­de­rung nicht machen, müs­sen sie not­falls mit Buß­geld dazu gezwun­gen wer­den.“, betont Tho­mas Kra­nig, der Prä­si­dent des BayLDA.

Was kön­nen Sie als Unter­neh­men tun, um sol­ches Buß­gel­der zu vermeiden?

Ent­we­der Sie ver­mei­den sol­che Inter­es­sens­kon­flik­te oder Sie grei­fen zu einer trans­pa­ren­ten und kos­ten­güns­ti­gen exter­nen Bestel­lung des Daten­schutz­be­auf­trag­ten, wie sie bei­spiels­wei­se a.s.k. Daten­schutz anbie­tet. Ein Ange­bot erhal­ten Sie zeit­nah mit­tels unse­rer Online-Anfra­ge.

Übri­gens gilt das The­ma Inter­es­sens­kon­flikt auch für behörd­li­che Datenschutzbeauftragte!!

Quel­le: Pres­se­mit­tei­lung des BayLDA

 

Per­so­nal, aber auch Kun­den stan­den im Fokus einer aus­ge­dehn­ten Video­ü­bewa­chung der Esse­ner Auto­wasch­ket­te Mr. Wash. In 8 von 33 Filia­len wur­den 60 Kame­ras nicht rechts­kon­form betrie­ben. Das war dem NRW-Lan­des­be­auf­trag­ten für Daten­schutz ein Buß­geld in Höhe von 64.000 Euro wert, mel­det WAZ. Dabei kam der Ket­te zu Gute, sich bei den Ermitt­lun­gen im Ver­fah­ren “koope­ra­tiv” ver­hal­ten zu haben.

Inter­es­sant ist die Auf­tei­lung des Buß­gel­des. 54.000 Euro wur­den wegen des schwe­ren Ver­sto­ßes gegen das Bun­des­da­ten­schutz­ge­setz durch die Video­über­wa­chung ver­hängt. Die rest­li­chen 10.000 Euro wur­den dafür fäl­lig, bis­her kei­nen Daten­schutz­be­auf­trag­ten bestellt zu haben, obwohl die gesetz­li­che Bestell­pflicht vor­lag.

In unse­rem Daten­schutz Blog fin­den Sie einen Bei­trag zur umsich­ti­gen und rechts­kon­for­men Umset­zung einer Video­über­wa­chung.

Pla­nen Sie die Instal­la­ti­on einer Video­über­wa­chungs­an­la­ge? Haben Sie bereits eine sol­che Lösung im Ein­satz und sind sich über die Rechts­kon­for­mi­tät im Unkla­ren? Dann fra­gen Sie doch Ihren Daten­schutz­be­auf­trag­ten. Sie haben kei­nen? Spre­chen Sie uns an.