Beratung in Fragen des Datenschutzes - Datenschutzbeauftragte
Dies ist nicht nur in den letzten Monaten und Wochen ein großes Thema geworden. Als (externe) Datenschutzbeauftragte mit IHK-Zertifikat (Inhalt DSGVO, BDSG neu) unterstütze ich sie in Ihrer Arbeit bei diesem wichtigen Thema.
25. Mai 2018: Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG neu)
Wir haben ein Bundesdatenschutzgesetz (BDSG), das bis Ende Mai diesen Jahres noch gültig ist. Ab dann gilt die EU-Datenschutzgrundverordnung (EU-DSGVO), die als Verordnung für uns unmittelbaren Gesetzescharakter hat und als zusätzliche Ergänzung ein Bundesgesetz, das BDSG (neu).
Die DSGVO und das neue BDSG betreffen alle Unternehmen und auch alle Vereine!
DSGVO, Art. 2, Abs. 1: "Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen."
BDSG (neu), § 1,1: Für nichtöffentliche Stellen gilt dieses Gesetz für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, es sei denn, die Verarbeitung durch natürliche Personen erfolgt zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
Damit sind auch Kleinbetriebe oder Einzelunternehmen sowie Vereine auch mit einer Anzahl von weniger als zehn Mitarbeitern in der Pflicht, die DSGVO und auch das BDSG neu anzuwenden!
Die europäische DSGVO stützt sich in weiten Teilen auf unser bisheriges Bundesdatenschutzgesetz. Wer nun aber denkt, dass damit keine große Änderungen auf alle inländischen Unternehmen zukommt, täuscht sich leider. Es gibt doch eine Vielzahl von Änderungen, die beachtet und in Betrieben (auch in Vereinen) umgesetzt werden müssen.
Was sind denn konkret die Maßnahmen, die umgesetzt werden müssen?
Im folgenden eine Checkliste, die die wichtigsten Punkte zusammenfasst - ohne Anspruch auf Vollständigkeit:
- Datenschutz ist Chefsache! (auch mit Datenschutzbeauftragtem bleibt er verantwortlich)
- Überprüfen Sie die Notwendigkeit eine Datenschutzbeauftragten oder lassen sich beraten.
- Analysieren Sie alle Datenverarbeitungsprozesse (Kunden, Lieferanten, Bewerber ...)
- Überarbeiten Sie alle datenschutz-relevanten Texte und Dokumente
- Erstellen Sie ein Verzeichnis von Verarbeitungstätigkeiten
- Überprüfen Sie die Einbindung externer Dienstleister (sog. Auftragsdatenverarbeiter)
- Prüfen Sie die Notwendigkeit von Datenschutz-Folgenabschätzungen (besonders sensible Daten)
- Prüfen Sie Datensicherheit und IT-Sicherheit
- Erstellen Sie Archivierungskonzepte
- Erstellen Sie Löschkonzepte
- Bereiten Sie sich auf Auskunftsanträge betroffener Personen vor
- Beachten Sie die Meldepflichten
- Führen Sie Schulungsmaßnahmen für Ihre Mitarbeiter durch
- Dokumentieren Sie alle Datenschutzmaßnahmen
- Überarbeiten Sie Ihre Website oder lassen Sie sie überarbeiten.
Achtung: Dieser Beitrag ist keine Rechtsberatung! Hier habe ich nur ein paar grundsätzliche Punkte zusammengestellt. Dementsprechend kann ich für die Vollständigkeit, Aktualität und Richtigkeit der von mir bereitgestellten Inhalte keine Haftung übernehmen.
Es muss dazu aber kein Datenschutzbeauftragter bestellt werden, aber der Chef von Kleinbetrieben, der Einzelunternehmer und auch der Vereinsvorstand haften für die Einhaltung des vorgeschriebenen Datenschutzes! (Das braucht Zeit und notwendiges Fachwissen!)
Wenn Sie dazu Hilfe brauchen - ich stehe Ihnen gerne zu einem ersten unverbindlichen Gespräch zu Verfügung.
Wann ist ein Datenschutzbeauftragten zu bestellen?
Dazu zwei Szenarien:
- das kommt auf die Anzahl der Mitarbeiter an, die personenbezogene Daten automatisiert verarbeiten: ab 10 Mitarbeiter, die irgendwie mit dem Computer Daten be- bzw. verarbeiten, ist ein Datenschutzbeauftragter Pflicht.
- aber unabhängig von der Beschäftigtenzahl kommt es auch auf die Art der Daten an:
Wenn Gesundheitsdaten, genetische Daten, religiöse Daten, Daten, aus denen die politische oder gewerkschaftliche Meinung hervorgeht, und ähnliches verarbeitet werden, dann ist auch bei Betrieben mit weniger als 10 Mitarbeitern, die mit der Datenverarbeitung von personenebezogenen Daten beschäftigt sind, ein Datenschutzbeauftragter Pflicht.
Es gilt also im Einzelfall zuprüfen, ob ein Datenschutzbeauftragter (intern oder extern) bestellt werden muss.
Ein paar Links zum Thema Datenschutz, die weiter in das Thema einführen:
Gesetzeslage:
DSGVO
Verordnung (EU) 2016/679 vom 27. April 2016
Berichtigung der Verordnung (EU) 2016/679 vom 27. Oktober 2016 (PDF)
BDSG
Bundesdatenschutzgesetz neu
Zusätzliche Informationsmöglichkeiten:
Auf der Website des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg finden Sie unter dem Punkt DS-GVO
die Gesetzestexte (rechtliche Grundlagen)
weitere Informationen und Mustervorlagen
u.a. auch die Kurzpapiere der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK), die als erste Orientierung dienen sollen, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DSGVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht aber unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung durch den Europäischen Datenschutzausschuss.
und auch für Vereine die Orientierungshilfe "Datenschutz im Verein nach der DS-GVO" (Aktuell 8.3.2018)
Diese Seite wird (Stand Anfang April 2018) derzeit laufend aktualisiert! - Es lohnt sich also immer einmal vorbeizuschauen.