Bei mehr als 9 Mitarbeitern die personenbezogene Daten verarbeiten, ist ein Datenschutzbeauftragter erforderlich.
Die Umsetzung muss erfolgen und somit kommt man in vielen Fällen nicht um die Benennung eines Datenschutzbeauftragten herum.
Bei nicht Folgeleistung, kommen teilweise empfindlich hohe Geldstrafen zustande.
Die Nichtbestellung ist bereits ein Datenschutzverstoß!
Der intern eingesetzte Datenschutzbeauftragte darf nicht im Interessenkonflikt stehen, somit ist der Geschäftsführer, Personalabteilung, interne IT-Abteilung, Lohn-/Personalabteilung, Marketing und Vertrieb eines Unternehmens eine denkbar ungünstige Wahl, da Sie sich praktisch selber überwachen müssten.
Weiterhin ist es zu beachten, dass ein eingesetzter Mitarbeiter bei der Ernennung zum Datenschutzbeauftragten rechtlich mit einem Betriebsratsmitglied gleichgestellt wird. Dadurch wird dieser Mitarbeiter nahezu unkündbar.
Das heisst, er ist nicht für die Umsetzung der Vorschriften verantwortlich, das ist die Aufgabe der Geschäftsführung.
Die Hauptaufgabe des Datenschutzbeauftragten ist den Stand des Datenschutzniveaus zu analysieren und bei der Verbesserung des Datenschutzes zu beraten.
Aufgabe:
- Mitarbeiterschulung
- Audits
- Auskunft gegenüber Behörden & Betroffene
- Dokumentation der TOM (technisch-organisatorische Maßnahmen)
- Jährliche Tätigkeitsberichte
- Überprüfung der IT-Sicherheit
- Dokumentieren der Auftragsverarbeitung
- Verarbeitungsverzeichnisse
- Überprüfung der Verpflichtung des Datengeheimnisses der Mitarbeiter
Bei einer Menge von mehr als 9 Personen die mit personenbezogenen Daten beschäftigt sind, wird laut §4 Bundesdatenschutzgesetz ein Datenschutzbeauftragter benötigt.
Oder bei bereits einer Person die mit der Verarbeitung von besonders sensiblen personenbezogenen Daten beschäftigt ist.
Zu diesen Personen gehören Festangestellte, Teilzeitkräfte, Werkstudenten, Praktikanten, Leiharbeiter, Auszubildende, Freiwillige und auch Geschäftsführer selbst.
Hierzu zählen auch die externen Dienstleister, die Zugriff auf personenbezogene Daten haben.
Es müssen alle Personen berücksichtigt werden, die regelmäßig, wenn auch in geringem Umfang, personenbezogene Daten verarbeiten.
Kurzfristige Unter- oder Überschreitung der maßgeblichen Personenanzahl ist unerheblich.
Darunter fallen besonders die Daten rund um Namen, Adressen, Geburtsdaten, Kontodaten und Telekommunikationsdaten.
Die besonders sensiblen Daten, sind die Daten aus denen
- politische Meinungen
- Herkunft
- religiöse Überzeugungen
- weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- genetischen Daten
- biometrische Daten
- Gesundheitsdaten
hervorgehen oder verarbeitet werden.
Hierzu werden die notwendigen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche benötigt.
Ebenso muss der Datenschutzbeauftragte in wichtige Planungs- und Entscheidungsabläufe mit eingebunden werden.
Die Einsicht in alle erforderlichen Daten sowie in die Verarbeitungsvorgänge muss dem Datenschutzbeauftragten gewährt werden.
Der interne Datenschutzbeauftragte wird von Ihnen innerhalb des Betriebes ernannt. Dieser Mitarbeiter ist dann generell weisungsfrei und genießt einen besonderen Kündigungsschutz.
Der externe Datenschutzbeauftragte dagegen, unterliegt keinem besonderen Kündigungsschutz. Dieser betrachtet Unternehmensabläufe neutral und unvoreingenommen, somit kann der externe Datenschutzbeauftragte optimal auf Ihre Situation eingehen.
Die Produktivzeit eines internen Datenschutzbeauftragten wird stark reduziert, damit dieser seinen Pflichten nachgehen kann. Beim Externen wiederum haben Sie keine Produktivzeiteinbußen.
Ihre Mitarbeiter können Ihrer Tätigkeit nachgehen und sich die Einarbeitungszeit sparen, während ein externer den Pflichten des Datenschutzbeauftragten nachgeht.
Anstelle von anfallenden Kosten für entsprechende Ausbildung und Fortbildungsveranstaltungen des internen Datenschutzbeauftragten, bleiben die Kosten für den Externen dadurch für Sie planbar und transparent.
Diese muss in einer verständlichen Form angegeben werden:
- Umfang der Daten, die erhoben werden
- Zweck der erhobenen Daten
- ob diese erhobenen Daten außerhalb von Europa verarbeitet werden
- wer die Daten erhält
Die Datenschutzerklärung muss über die personenbezogenen Daten die erhoben und verarbeitet werden informieren und auch ob diese Daten an Drittanbieter übermittelt werden.
Beinhaltet Ihre Webseite Facebook-Like-Buttons, Newsletter-Anmeldungen oder sogar Bereiche in denen Benutzer eine Kommentarfunktion verwenden können, muss auch das berücksichtigt werden.
Somit ist die Datenschutzerklärung ein Kernelement Ihrer Webseite.
Bei einer fehlerhaften, nicht vollständigen oder fehlenden Datenschutzerklärung können ernsthafte Konsequenzen folgen.
Nicht nur Besucher wie zum Beispiel Kunden können darauf zugreifen sondern auch Behörden, Abmahnvereine und Rechtsanwälte.
Hier besteht also Handlungsbedarf, außerdem verstößt eine fehlerhafte Datenschutzerklärung gegen das Gesetz gegen den unlauteren Wettbewerb.
Mit dem Datenschutz-Audit wird untersucht ob die Prozesse Ihres Unternehmens die Anforderungen der Datenschutzgrundverordnung erfüllen.
Es dokumentiert, welche personenbezogene Daten im Unternehmen erfasst und verarbeitet werden, welche Personen Zugriff haben und wie die Daten geschützt werden.
Jederzeit können Mitarbeiter der Behörden unangemeldet die Einsicht in Ihre Verfahren einfordern. Mit dem Verarbeitungsverzeichnnis sind sie auf der sicheren Seite.
