Angebot zur Gestellung des Datenschutzschutzbeauftragten gemäß der neuen DSGVO (Datenschutzgrundverordnung) und dem neuen BGSG-Neu-2018 (Bundesdatenschutzgesetz)

Wir haben diese Gestellung des Datenschutzbeauftragten auf Basis der nachfolgenden Aspekte mit Wirkung zum 16.07.2018 folgendermaßen umgesetzt:

  • Abschluss der Weiterbildungsphase unserer internen Datenschutzbeauftragten, die bereits seit 2011 für unser Haus tätig ist, bis Mitte Juli 2018.
  • Abschluss der erweiterten Ausbildungsphase unseres internen Informationssicherheitsbeauftragten (gem. ISO 27001) zum Datenschutzbeauftragten bis Mitte August 2018.
  • Eigenständige Berufshaftpflichtversicherung als eine „Vermögensschaden-Haftpflichtversicherung“ für den Bereich Datenschutzkonzepte, geltend ab Mitte Juli 2018, gemäß den Empfehlungen des BvD e.V. in seiner Publikation
    „Das berufliche Leitbild der Datenschutzbeauftragten“ (3. Ausgabe 2016, 3.6).

Ab Mitte Juli 2018 werden wir also entsprechende Kundenanfragen bedienen können. Wir bitte wegen der Verzögerungen um ihr Verständnis, da wegen der DSGVO-Inkraftsetzung ab dem 25.05.2018 die Versicherungsträger und die Aus- bzw. Weiterbildungsstellen überlastet waren.

Erfordernis eines Datenschutzschutzbeauftragten gemäß der neuen DSGVO (Datenschutzgrundverordnung) und dem neuen BGSG-Neu-2018 (Bundesdatenschutzgesetz)

DSGVO bei öffentliche Stellen:
Nach der neuen DSGVO sind öffentliche Stellen – mit Ausnahme von Gerichten – immer zur Bestellung eines Datenschutzbeauftragten verpflichtet.
Daneben trifft die Pflicht zum einen solche Stellen, deren Kerntätigkeit in der regelmäßigen und systematischen Überwachung von Personen besteht und zum anderen Stellen, die primär besonders sensible personenbezogene Daten im Sinne der Art. 9 und 10 der DSGVO verarbeiten. 

DSGVO bei nicht-öffentliche Stellen (also private Unternehmen):
Die meisten nicht-öffentlichen Stellen wären damit also nach der DSGVO (siehe Art. 37-39)  nicht von der Pflicht zur Bestellung eines Datenschutzbeauftragten betroffen. Hier ist aber die nachfolgende bundesdeutsche Zusatzregelung zu beachten:
In der DSGVO ist eine sogenannte „Öffnungsklausel“ vorgesehen, die den Mitgliedsstaaten der EU  eigene, weitergehende Regelungen in diesem Bereich erlaubt. In der neuen Fassung des BDSG hat der deutsche Gesetzgeber hiervon Gebrauch gemacht (Details siehe DSAnpUG-EU).  Allerdings unterscheidet sich die neue Regelung im BDSG nicht wesentlich von der alten.

§ 38 DSAnpUG-EU / BGSG-Neu-§ 38 erweitert die Gründe für die Benennung eines Datenschutzbeauftragten. Sie ist danach auch dann erforderlich, wenn der Verantwortliche oder Auftragsverarbeiter:

• in der Regel mindestens 10 Personen (also 10 oder mehr) ständig mit der
automatisierten Verarbeitung von personenbezogenen Daten beschäftigt
(sinngemäß im alten BGSG: mehr als 9 Personen, also   auch 10 oder mehr)
• Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen
(dies ist insbesondere relevant bei Gesundheitsdaten und damit in allen ärztlichen
Praxen, med. Laboren und ähnlichen Bereichen), da hier eine Verpflichtung
unabhängig von der Anzahl der Mitarbeiter besteht.
• Verarbeitungen vornimmt, die über Rasse, ethnische Herkunft, politische Meinung,
religiöse Überzeugungen, Gewerkschaftszugehörigkeit oder Sexualleben einer Person
informieren, da auch hier ebenfalls eine Verpflichtung besteht unabhängig von der Anzahl der Mitarbeiter
• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der
anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung
verarbeitet.

Erläuterungen:
Unter einer „automatisierten Datenverarbeitung“ ist die heute gängige Datenverarbeitung mittels Informationstechnik gemeint – unabhängig auf welchem Endgerät (Computer, Laptop, Smartphone) sie erfolgt.
Damit „beschäftigt“ ist jeder Mitarbeiter, der bei der Arbeit an diesen Endgeräten mit personenbezogenen Daten in Kontakt kommt.

Ständig“ mit der Datenverarbeitung beschäftigt zu sein bedeutet nicht, dass das Aufgabenfeld dieser Mitarbeiter allein im Umgang mit personenbezogenen Daten besteht. Die Datenverarbeitung muss lediglich ein „ständiger“ Begleiter der normalen Arbeit sein. Das trifft beispielsweise auf Mitarbeiter der IT-Abteilung, Servicetechniker usw.  aber auch auf Sekretäre/innen und jeden, der E-Mail-Kontakt mit Kunden pflegt, zu.
Unberücksichtigt sind jedoch Mitarbeiter die nur gelegentlich mit personenbezogenen Daten in Kontakt kommen oder diese Tätigkeiten nur für einen kurzen Zeitraum ausüben (etwa Auszubildende).

Sollte man sich im Unternehmen mit den Voraussetzungen der Bestellung eines Datenschutzbeauftragten noch nicht befasst haben, ist eine Überprüfung der Notwendigkeit dringend anzuraten.

Aufgaben des Datenschutzschutzbeauftragten

Der Datenschutzbeauftragte hat auf die Einhaltung des Datenschutzes im Unternehmen hinzuwirken und die  verantwortliche Stelle in allen Fragen des Datenschutzes zu beraten. Dazu hat er insbesondere die gesetzlich  vorgeschriebenen, folgenden Tätigkeiten und Tätigkeitsmerkmale auszuführen, um den Erfordernissen an einen
Datenschutzbeauftragten genüge zu tun:

  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme,
  • Unterweisung der Mitarbeiter mit den Vorschriften des DSGVO / BDSG-Neu und anderer Vorschriften des Datenschutzes und Auskunfterteilung an Betroffene,
  • Führung der Übersicht über die Verfahren automatisierter Verarbeitungen,
  • Erstellungshilfestellung und Verfügbarmachung der internen Verfahrensübersicht sowie des externen Verfahrensverzeichnisses,

Durchführung der Vorabkontrolle sowie Beratung aller beteiligten Stellen im Unternehmen, Zusammenarbeit mit externen Stellen und Aufsichtsbehörden in enger Abstimmung mit der Firmenleitung.

Der Unternehmer trägt jedoch die Verantwortung für die Erfüllung dieser Aufgabe in seinem Betrieb.

Der Datenschutzbeauftragte soll den Verantwortlichen eines Betriebes, z.B.

  • den Arbeitgeber/Unternehmer,
  • den bereichsverantwortlichen Abteilungsleitern,
  • den einzelnen Firmenmitarbeitern und
  • den Behördenleiter

in allen Fragen des vorbeugenden, abwehrenden und organisatorischen Datenschutzes, insbesondere bei den
nachfolgenden Aufgaben und Tätigkeitsaspekten beraten und unterstützen.

Ein Beauftragter für den Datenschutz hat gemäß den Vorschriften des DSGVO / BDSG-Neu die Sicherstellung des Datenschutzes durch Überwachung, Beratung, Empfehlungen als Hauptaufgabengebiet. Ferner muss er beachten:

  • Erfüllung Meldepflichten nach DSGVO-Art. 33 / BGSG-Neu-§§ 65+66
  • Auskunftserteilungen nach DSGVO-Art. 34 / BGSG-Neu-§ 66
  • Verzeichnisse von Verarbeitungstätigkeiten bzgl. personenbezogener Daten
    nach DSGVO-Art. 30 / BGSG-Neu-§§ 48-50, 70
  • Dokumentation der Datenverarbeitungen im Unternehmen
  • Unterstützung bei der Umsetzung notwendiger technischer und organisatorischer Maßnahmen (§ 9 BDSG sowie Anlage zu § 9 Satz 1 BDSG)
  • Einbindung und Darlegung der Rechte auf Berichtigung, Löschung, Einschränkung und Übertragbarkeit usw. nach DSGVO-Art. 16, 17, 18, 19 und 20 / BDSG-Neu-§§ 56-59
  • Unterstützung bei der Umsetzung notwendiger technischer und organisatorischer Maßnahmen (§ 9 BDSG sowie Anlage zu § 9 Satz 1 BDSG)
  • Festlegung und Optimierung betriebsinterner Regelungen zum datenschutzkonformen Umgang mit personenbezogenen Daten bei Nutzung von PC‘s, Tablets, Laptops, Handys, Datenspeicher usw. nach
    DSGVO-Art. 40 + 41 / BDSG-Neu-§ 71 und deren Überwachung
  • Datenschutz-Folgeabschätzungen nach DSGVO-Art. 35 + 36 / BGSG-Neu-§ 67 und
  • Mitarbeit von externen Auftragsverarbeitungen nach DSGVO-Art. 28 / BGSG-Neu-§ 62
  • Durchführung aller erforderlichen Mitarbeiterschulungen und Erstunterweisungen / Instruktionen sowie Erstellung Teilnehmerlisten und Teilnahmebescheinigungen
  • Prüfung der Verpflichtung von Mitarbeitern zur Vertraulichkeit sowie ausschließlichen Datenver-arbeitung auf Weisung des Verantwortlichen entsprechend Art. 29 zur DSGVO / BGSG-Neu-§ 52-54,
  • abschließendes, internes Datenschutzaudits nach BGSG-Neu-§ 9a
  • Externer Datenschutz
  • Automatisierte Einzelentscheidung
  • Zusammenarbeit des Datenschutzbeauftragten mit dem Betriebsrat
  • Datenverarbeitung zur Übermittlung an Kunden, Behörden und sonstigen externen Stellen
  • Hilfestellung bei der Auswahl von Software für den Datenschutzbeauftragten
  • Automatische Abrufverfahren
  • Zusammenarbeit mit Aufsichtsbehörden
  • Technischer Datenschutz / Systemdatenschutz
  • Vorabkontrolle aller datenschutzrechtlichen Abläufe
  • Organisationskontrolle
  • Zutrittskontrolle von Personen zu Räumen bzw. Anlagen des IT- Bereiches
  • Zugangskontrolle
  • Zugriffskontrolle
  • Weitergabekontrolle von elektronischen Dokumenten in interner Form und an den Kunden,  Lieferant oder sonstige externe Stellen
  • Eingabekontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungsgebot

 

Qualifikation unseres Datenschutzschutzbeauftragten

Wesentliche Qualifikationsmerkmale des Datenschutzbeauftragten sind grundlegende Kenntnisse und Fähigkeiten zu den oben genannten Aufgaben des Datenschutzbeauftragten.

Unser Datenschutzbeauftragter hat zudem an einer qualifizierten Schulung mit anschließender schriftlicher Abschlussprüfung der DEKRA mit besonderem Erfolg teilgenommen.

Die IT- Erfahrung, vereint mit der Zusatzausbildung zum Datenschutzbeauftragten, qualifiziert und berechtigt  auch zum Einsatz als extern tätiger Datenschutzbeauftragter.

(siehe nachfolgende Kopie des Ernennungszertifikates).