Datenschutzbeauftragter

Datenschutz muss sein ! Externer Datenschutzbeauftragter

Die Europäische Datenschutzgrundverordnung (DSGVO) ist seit Mai 2018 “live”. Viele Regelungen sind aufwändig in der Umsetzung. Wer jetzt noch nicht damit begonnen hat, sollte sofort anfangen. Nehmen Sie unsere Datenschutzberatung in Anspruch, die Zeit drängt. Wir unterstützen Sie gerne.

Unsere Datenschutzberatung (TÜV SÜD Zertifizierung) im Überblick:

  • Externer Datenschutzbeauftragter
  • Benennung des Datenschutzbeauftragten bei den verantwortlichen Behörden
  • Erstellung eines öffentlichen Verfahrensverzeichnisses
  • Interne Verfahrensbeschreibungen und -verzeichnisse
  • Erstellung und Umsetzung des Datenschutzkonzepts und der Datenschutzrichtlinen
  • Datenschutzerklärungen und -hinweise auf der Website
  • Datenschutzberatung - Externer Datenschutzbeauftragter für Lüneburg und HamburgDatenverarbeitung mit Bezug auf personenbezogene Daten
  • Verpflichtungserklärung nach §5 BDSG (Einweisung und Überprüfung der Mitarbeiter)
  • Verträge zur Auftragsdatenverarbeitung (ADV)
  • Definition und Dokumentation der technischen und organisatorischen Maßnahmen (TOMs)

Unsere Datenschutzberatung bei HR-Fragestellungen:

  • Beschäftigtendatenschutz / Bewerberdatenschutz
  • Wirksamer Schutz personenbezogener Daten / Personalunterlagen
  • Dokumentationspflichten und Auskunftspflichten (Informationspflichten)
  • AGG (Allgemeines Gleichbehandlungsgesetz)
  • Erhebung, Verarbeitung und Nutzung von Mitarbeiter- und Bewerberdaten
  • Talentmanagement (Nutzung von personenbezogenen Daten)
  • Personalentwicklung / Diagnose / Testverfahren
  • Webanalysetools für Stellenangebote (z.B. Google Analytics, PIWIK)
  • Betriebsrat und Datenschutz
  • Whistleblower

Hintergrund der Datenschutzgrundverordnung (DSVGO oder GDPR):

Das BDSG trat am 25. Mai 2018 in Kraft und setzt die Europäische Datenschutzgrundverordnung (EU-DSGVO) um und regelt die nationalen Öffnungsklauseln im BDSG. Bei der DSGVO handelt es sich um eine Verordnung, nicht um eine Richtlinie. Die Unterscheidung ist bedeutsam. Denn eine Richtlinie zwingt die 28 EU-Staaten, entsprechende nationale Gesetze zu verabschieden, was zu sehr unterschiedlichen Regelungen und Interpretationen des vorgegebenen Rechtsrahmens führt. Eine Verordnung hingegen hat unmittelbar Gesetzeskraft. Erklärtes Ziel der DSGVO ist es, ein gemeinsames und homogenes europäisches Datenschutzrecht zu schaffen, das einheitliche Schutzstandards in allen EU-Mitgliedstaaten sicherstellt.

Die DSGVO definiert neue Regeln für Unternehmen, Behörden, gemeinnützige und andere Organisationen, die Waren und Dienstleistungen für Menschen in der EU anbieten oder Daten im Zusammenhang mit EU-Bürgern erfassen und analysieren. Sie trat am 25. Mai 2018 endgültig in Kraft. All jene, die darauf setzen, nach dem 25. Mai 2018 trete bestimmt eine Übergangszeit ein, unterliegen einem Irrglauben: Die Verordnung trat bereits am 25. Mai 2016 mit einer zweijährigen Übergangszeit in Kraft. Da die drohende Höchststrafe bei Verstößen 20 Millionen Euro oder vier Prozent des Jahresumsatzes beträgt – es gilt der größere Betrag –, lohnt es sich für Unternehmen, peinlich genau auf die Umsetzung der Vorschriften zu achten. Die nötigen Vorarbeiten können sehr umfangreich sein, und viele Unternehmen kennen gar nicht alle Regelungen und deren Folgen. Die Zeit drängt.

Das »Data Mapping«, also das Erstellen oder Aktualisieren eines Verfahrensverzeichnisses, gilt als der aufwändigste Aspekt der DSGVO. Das Verfahrensverzeichnis hilft Unternehmen zu verstehen, welche Daten verarbeitet werden und wo diese gespeichert sind, mit wem die Daten geteilt und wie sie geschützt werden. Das Wissen über diese Informationen ist ein absolutes Muss. Schließlich können Unternehmen keine Daten schützen, von denen sie nicht wissen, wo sie liegen, was sie enthalten und wie sie gegenwärtig kontrolliert werden. Das gilt auch für Daten, die in die Cloud fließen.

Bisher sind Unternehmen bereits verpflichtet, die Aufsichtsbehörden oder die Betroffenen bei Datenschutzverstößen in Form von Datenpannen oder »Data Breaches« zu informieren. Diese Verpflichtungen werden mit der DSGVO deutlich verschärft. Künftig muss grundsätzlich jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde gemeldet werden. Die bisherige Beschränkung auf Risikodaten kennt die DSGVO nicht. Die Meldefrist beträgt 72 Stunden.

Die Bestellpflicht eines Datenschutzbeauftragten für nicht-öffentliche Stellen wird im neuen BDSG abweichend zur DSGVO erweitert: Demnach muss ein Datenschutzbeauftragter bestellt werden, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Die »Datenschutzfolgeabschätzung« kommt zum Teil der deutschen Vorabprüfung gleich, ist aber umfassender. Sie dienst der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.

Ein elementarer Grundsatz des Datenschutzrechts ist die Transparenz. Betroffene sollen wissen, »wer was wann und bei welcher Gelegenheit über sie weiß«, wie es das Bundesverfassungsgericht formulierte. Das BDSG kennt viele Ausnahmeregelungen, die mit der DSGVO wegfallen. Etwas grundsätzlich Neues ist das »Recht auf Datenübertragbarkeit« im Rahmen der »Betroffenenrechte«. Es soll die Kontrolle der Betroffenen über ihre personenbezogenen Daten stärken, die automatisiert verarbeitet werden. Ein Anwendungsfall wären etwa soziale Netzwerke. Der Wechsel von einer Plattform wie Facebook zu einem anderen Anbieter soll durch die Möglichkeit zur Mitnahme der eingestellten Daten erleichtert werden. Was Unternehmen auch beachten müssen: Bestehende Dienstleisterverträge zur Auftragsdatenverarbeitung müssen angepasst werden. Bei Konflikten zwischen der Pflicht zur Aufbewahrung und der Pflicht zur Löschung von Daten gilt der Grundsatz: Aufbewahrungspflicht geht vor Löschpflicht.

Top