Dipl.Ing.FH Rainer Pfabe      
 
Datenschutz   * Beauftragter * Berater * Koordinator  

zum
Impressum-Datenschutzerklärung, Tel. 037325-6330 pfabe @ datenschutz-pfabe.de
IHK-Zertifizierter betrieblicher Datenschutzberater , Mitgl. GDD 06158  Gesellschaft für Datenschutz und Datensicherheit e.V.

Datenschutzberater, Erklärung kurz
>>>Hinweise, News R.Pfabe
(nur für Mandanten)

EU-Datenschutz-Grundverordnung
So könnte der Fahrplan aussehen. >ausführlicher
DSGVO Dokumente  klein   mittelgross  
gross
Achtung, die Datenschutzunterlagen sind von allen "Verantwortlichen" zu erstellen !        Begriffe

Es geht darum Schaden von Personen und Unternehmen
abzuwenden.


Sie können mich gern  als:
-Datenschutzbeauftragten
-Datenschutzberater
-Datenschutzkoordinator"
bestellen oder beauftragen,
Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten.
Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO
festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden:
Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit,
Rechenschaftspflicht
War bisher noch allgemein gültig, dass Schuld der Datenschutzverletzung nachgewiesen werden musste so gilt nun, dass das Unternehmen die Einhaltung des Datenschutzes aktiv betreiben muss. Das, sehr wichtig, auf Grundlage betrieblicher Dokumentationen und Verantwortlichkeiten.

Es betrifft eigentlich jedes Unternehmen, Behörde, Verein und ähnliche Organisationen.
Die Verantwortlichkeit liegt beim Geschäftsführer bzw verantwortlichen Leiter. Ab bestimmter Merkmale ist ein Datenschutzbeauftragter Pflicht.
Es wird eine freiwillige Bestellung eines DSB empfohlen.
*Jedes Unternehmen, Selbsständiger, Verein hat die Pflicht der Führung der Dokumentation zum Datenschutz.
*Ab 10 Mitarbeiter
welche Daten empfangen, speichern, verarbeiten ist ein Datenschutzbeauftragter Pflicht.
*Bis 9 Mitarbeiter, die regelmäßig Daten speichern usw. (dazu gehören auch Mails) ist kein Datenschutzbeauftragter notwendig. Das übernimmt die Geschäftsleitung.
Diese sind aber gut beraten einen Datenschutzbeauftragten zu bestellen.
* Er ist zu bestellen und bei der Landesdatenschutzbehörde namentlich regestrieren zu lassen.

* Der Datenschutzberater,- beauftragte ist im Auftrag des Verantwortlichem tätig und hat sich dem Verantwortlichem gegenüber loyal zu verhalten.

Datenschutzkonferenz-Dokumente:
Massnahmenplan.pdf 
Datenschutzbeauftragte.pdf
AufsichtsbefugnisseSanktionen.pdf 
Verzeichnis von Verarbeitungstaetigkeiten.pdf 
Auftrag.pdf 
Videoüberwachung.pdf
Auskunftsrecht.pdf
Beschäftigtendatenschutz.pdf
Informationspflichten.pdf 
RechtaufVergessenwerden.pdf 


Betrieblicher Datenschutzbeauftragter
(innerbetrieblich oder extern)

Allgemeine

§4g I 1 BDSG bestimmt, dass der Datenschutzbeauftragte auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hinwirkt.

Er analysiert und kontrolliert den Stand des Datenschutzniveaus im Unternehmen und macht der Geschäftsführung und den einzelnen Abteilungen Vorschläge zur Verbesserung oder Implementierung einer Datenschutzorganisation im Unternehmen. Der Datenschutzbeauftragte selbst hat also keine Entscheidungsgewalt sondern ist organisatorisch gemäß §4f III 1 BDSG der Geschäftsleitung unterstellt.

Aufgabenbereiche

Der Datenschutzbeauftragte hat erhebliche Verantwortung im Unternehmen. Denn mit zunehmender Komplexität der gesetzlichen Regelungen steigt der Aufgabenbereich ständig. Und bei Verstößen gegen Datenschutzbestimmungen – auch wenn sie aus bloßer Unkenntnis geschehen sind – drohen Schadensersatzforderungen der Betroffenen und Ordnungsgelder der Aufsichtsbehörden. Nicht zu reden vom Imageschaden für das Unternehmen.

Einhaltung der Datenschutzreglungen

Der Datenschutzbeauftragte hat sämtliche Datenschutzregelungen und deren Auslegung durch aktuelle Gerichtsentscheidungen zu befasse.

Überwachung der Datenverarbeitungsprogramme

Schwerpunkt der Tätigkeit ist die Überwachung der Datenverarbeitungsprogramme. Datenschutzverstöße sind dadurch bereits im Vorfeld vermeidbar.

Der Datenschutzbeauftragte ist dazu bereits rechtzeitig vor Einführung neuer Programme zu informieren, damit er Gelegenheit hat, eine entsprechende Stellungnahme abzugeben. Da Datenverarbeitung grundsätzlich nur zulässig ist, wenn sie erforderlich ist, d.h. das mildeste Mittel zur Erreichung des gewünschten Zwecks darstellt, ist es wichtig, dass der Datenschutzbeauftragte neben umfassenden rechtliche Kenntnissen auch Kenntnis der technischen Umsetzungen hat.

Aufgabenbereich

Die Kontrollkompetenz erstreckt auf alle Abteilungen und Bereiche, in denen personenbezogenen Daten verarbeitet werden oder könnten.

Der Datenschutzbeauftragte erstellt Gutachten, hat Verträge mit Dienstleistern zu prüfen, Betriebsvereinbarungen und Unternehmensrichtlinien zu entwerfen, Auskünfte zu erteilen und mit Behörden zu kommunizieren.

  • Prüfung der einzelnen Datensicherungsmaßnahmen, §9 BDSG
  • Kontrolle der Protokolldaten, §31 BDSG
  • Prüfung und Kontrolle der Auftragsdatenverarbeitung, §11 BDSG
  • Bearbeitung von Auskunftsersuchen Betroffener, §§34, 35 BDSG
  • Prüfung der Zulässigkeit der Übermittlung in Drittstaaten, §§4b, 4c BDSG
  • Prüfung der Videoüberwachung in öffentlich zugänglichen Bereichen, §6b BDSG und am Arbeitsplatz, § 32 BDSG
  • Prüfung der Regelungen zur Mitarbeiterkontrolle
  • Rechtmäßigkeit der Profilbildung, §6a BDSG
  • Datennutzung zum Marketing und Kundenwerbung, §28 BDSG, §7 UWG

Schulungen der Mitarbeiter

Datenschutz und Datensicherheit kann nur effizient im Unternehmen gehandhabt werden, wenn die Mitarbeiter informiert und qualifiziert sind. Dazu ist es erforderlich, dass Mitarbeiter, die mit personenbezogenen Daten arbeiten, entsprechend sensibilisiert werden. Diese Aufgabe ist in §4g Abs. 1 Satz 2 Nr.  3 BDSG dem Datenschutzbeauftragten aufgeführt.

Verfahrensverzeichnis

Der Datenschutzbeauftragte führt das Verfahrensverzeichnis gemäß §4g II BDSG über die Art und Umfang der Datenverarbeitung im Unternehmen. Konkret handelt es sich dabei um die meldepflichtigen Informationen i.S.d. §4e Satz 1 Nrn. 1-8 BDSG, die der Datenschutzbeauftragte jedermann verfügbar machen muss.

Zwar bestimmt §4g II 1 BDSG, dass die erforderlichen Informationen dem Datenschutzbeauftragten vom Unternehmen zur Verfügung gestellt werden müssen. In der Praxis ist es aber oft so, dass der Datenschutzbeauftragte diese Informationen erst durch Anfordern von Informationen aus den unterschiedlichen Abteilungen selbst zusammentragen und ständig aktualisieren muss.

Vorabkontrolle

Weitere originäre Aufgabe des Datenschutzbeauftragten ist die Vorabkontrolle bei „Verfahren automatisierter Verarbeitungen“ i.S.d. §4d V BDSG, wenn dadurch besondere Risiken drohen. Dies ist regelmäßig der Fall bei Daten besonderer Art nach §3 IX BDSG (etwa ethnische Herkunft, Gesundheit, Sexualleben, Religion, politische Ansichten) und dann, wenn die Datenverarbeitung zur Bewertung der Persönlichkeit des Betroffenen geeignet ist.

Das sind etwa Verfahren der Personalverwaltung, Telefondatenerfassung (Mitarbeiter und Kunden), Videoüberwachung oder Kundenbetreuung (etwa Bildung von Persönlichkeitsprofilen, Warndateien von Versicherungen).

Haftung bei Fehlern- Risiken für das Unternehmen und die Geschäftsleitung

Die formal schwache Stellung des Datenschutzbeauftragten verleitet manches Unternehmen, die Position bewusst intern mit einer Person zu besetzen, von der keine Probleme zu erwarten sind und die eher geneigt ist, kritische Verfahren im Zweifel durchzuwinken. Eine solche Haltung kann aber für das Unternehmen und die Geschäftsleitung selbst erhebliche nachteilige Auswirkungen haben.

Denn das Unternehmen ist für Verstöße gegen Datenschutzbestimmungen nach §43 BDSG selbst verantwortlich. Hierbei sind Ordnungsgelder bis 300.000,- EUR oder darüber hinaus möglich. Unternehmen können sich im Falle von Datenschutzverstößen auch nicht dadurch freizeichnen, dass der Datenschutzbeauftragte falsch oder ungenügend beraten hat.

Die Geschäftsleitung haftet im Innenverhältnis unmittelbar selbst gegenüber dem Unternehmen gemäß §93 I 1 AktG bzw. §43 GmbHG, wenn nicht die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters angewandt wird.

Beschluss des Düsseldorfer Kreises, der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich: 
Mindestanforderungen, die an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz.
Die Geschäftsleitung muss dies bei der Wahl des Datenschutzbeauftrageten berücksichtigen und dokumentieren.

  • umfassende Kenntnisse und Fähigkeiten sämtlicher relevanten gesetzlichen Bestimmungen zum Datenschutz sowie zur Datensicherheit und deren konkrete Umsetzung im Unternehmen (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

Die Geschäftsleitung hat sich vor Auswahl zu versichern und zu dokumentieren, dass der Kandidat solche Spezialkenntnisse hat,
um seiner Sorgfaltspflicht  gerecht zu werden.

Ab 10 Personen (intern und extern), welche mit der Be- und Verarbeitung von Daten beschäftigt sind bzw. Kenntnise daraus erhalten ist ein Datzenschutzbeauftragter (DSB) zu bestellen.
In dieser "Bestellung" sind das Aufgabengebiet und die Konditionen beschrieben.
Vorteile eines externen DSB:
- eigenverantwortlich in der Qualifizierung
- Vertragskündigung möglich
- Haftungsübernahme bei Falschberatung
- breiter Erfahrungsschatz
- kostengünstiger

In Unternehmen bis 9 der oben genannten Personen, ist ein Datenschutzbeauftragter nicht Pflicht. Diese Funktion begleitet in dem Fall der Geschäftsführer.

 Links:

Landesdatenschutzbeauftrage Bayer zu Fragen DSGVO im Vereinsleben
Sächsischer Datenschutzbeauftragte Missverstaendnisse und Fehleinschaetzungen
Sächsischer Datenschutzbeauftragter 
Sächsischer Datenschutzbeauftragter, nichtoeffentlicher-bereich (Unternehmen, Selbstständige, Vereine u.ä.)
Bundesbeauftragte für Datenschutz   
Bundesdatenschutzgesetz
Google-Hackerstatistik-Suche
landtag.sachsen.de/de/landtag/landesbeauftragte/der-saechsische-datenschutzbeauftragte-99.cshtml
bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.pdf%3F__blob%3DpublicationFile%26v%3D24
datenschutz.org/
ihk-bonn.de/fileadmin/dokumente/Downloads/Recht_und_Steuern/IT-Recht_Datenschutz/Der_betriebliche_Datenschutzbeauftragte.pdf  
ihk-muenchen.de/ihk/documents/Recht-Steuern/datenschutzbeauftragter.pdf 
leipzig.ihk.de/mediathek/Betrieblicher%20Datenschutzbeauftragter.pdf
itseccity.de/

rdp-law.de/themen/datenschutzbeauftragter-externer-datenschutzbeauftragter.html
rechtsindex.de
sec.hpi.uni-potsdam.de/ilc/search oder experte.de/email-check  (Mailaccount gehackt?)
www.onlinewarnungen.de aktuelle Sicherheitswarnungen

 

Verfahrensverzeichnis nach DSGVO

Das gehört ins vorgeschriebene Verfahrensverzeichnis (DSGVO) bei Verantwortlichen

Das gehört ins vorgeschriebene Verfahrensverzeichnis (DSGVO) bei Auftragsverarbeitern

Das gehört ins Verfahrensverzeichnis (nach BDSG)

In das Verfahrensverzeichnis müssen folgende Angaben aufgenommen werden:

  1. der handelsrechtlich korrekte Name des Unternehmens
  2. Angaben über den Inhaber oder Geschäftsleiter des Unternehmens sowie den IT-Leiter
  3. die Anschrift des Unternehmens
  4. die einzelnen Zwecke der Datenerhebung und -verwendung, also die verschiedenen Verfahren der Datenverwendung
  5. eine gattungsmäßige Beschreibung der Personen, deren Daten verwendet werden (beispielsweise Interessenten), und der von ihnen erhobenen und zu verwendenden Daten
  6. die möglichen Empfänger, denen die Daten mitgeteilt werden sollen
  7. die Frist, in denen die Daten mit Rücksicht auf gesetzliche Vorschriften wieder gelöscht werden sollen
  8. eine geplante Datenübermittlung in Drittstaaten, also in Länder außerhalb der EU und des EWR
  9. eine allgemeine Beschreibung, die es ermöglicht zu beurteilen, ob die Datensicherheitsmaßnahmen (Datensicherung) angemessen sind