iqanta

FAQ’s

Sollten Sie weitere Fragen haben, kontaktieren Sie uns gerne.

Die DSGVO hat bei vielen Unternehmen Fragen aufgeworfen und Verunsicherung geschaffen.

Wir haben Ihnen häufig gestellte Fragen zum Thema Datenschutz im Unternehmen, einfach und verständlich beantwortet und zusammengefasst.

Interner oder externer Datenschutzbeauftragter?

Grundsätzlich ist es möglich den betrieblichen Datenschutzbeauftragten intern, in Form eines Mitarbeiters oder extern, in Form eines Dienstleisters zu bestellen.

Die Wahl des Datenschutzbeauftragten sollte auf Grundlage seiner beruflichen Qualifikation, im Besonderen seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis erfolgen.

Ein interner Datenschutzberater kann diese Qualifikationen und Erfahrungen nur selten vorweisen und es besteht meist nur unzureichend die Möglichkeit, sein Wissen ständig zu erweitern und dies auch in der Praxis umzusetzen.

Um interne Ressourcen zu schützen und Interessenkonflikten vorzubeugen, wählen viele Unternehmen deshalb einen externen Dienstleister.

Somit ist sichergestellt, dass die notwendigen Maßnahmen zur Umsetzung der DSGVO, effizient und zielorientiert realisiert werden.

Was macht ein externer Datenschutzbeauftragter im Unternehmen?

Zu Beginn ermittelt der externe Datenschutzbeauftragte den Ist- Zustand der datenschutzrelevanten Themen im Unternehmen. Er durchleuchtet Geschäftsprozesse und entwickelt ein Optimierungskonzept zur Einhaltung der DSGVO Richtlinien. Die Kontrolle der technischen und organisatorischen Maßnahmen, sowie die Überprüfung von Dienstleistungsverträgen gehört genauso zu den Leistungen des externen Datenschutzbeauftragten, wie die Schulung von Mitarbeitern, die mit personenbezogen Daten arbeiten.

Zudem begleitet der externe Datenschutzbeauftragte das Unternehmen kontinuierlich und passt die Abläufe stetig den EU Vorgaben an.

Auch bei Bedarf an projektbezogener Unterstützung zur Implementierung der DSGVO Richtlinien kann ein externer Datenschutzbeauftragter unterstützen.

Welche Pflichten hat ein Datenschutzbeauftragter (intern/extern)?

Der Datenschutzbeauftragte übernimmt im Unternehmen einen vielfältigen Aufgabenbereich. Neben der unterrichtenden und beratenden Funktion muss der Datenschutzbeauftragte auch kontinuierlich die Einhaltung der DSGVO Richtlinien kontrollieren und für eine Sensibilisierung für das Thema Datenschutz im Unternehmen Sorge tragen.

Zudem ist der Datenschutzbeauftragte die Schnittstelle zur Aufsichtsbehörde und ist erster Ansprechpartner für Betroffene.

Zu beachten ist, dass das Unternehmen für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich bleibt und der Datenschutzbeauftragte lediglich zur Einhaltung hinwirkt.

Muss jedes Unternehmen einen Datenschutzbeauftragten benennen?

Sofern mehr als 9 Mitarbeiter im Unternehmen regelmäßig mit personenbezogenen Daten arbeiten, ist die Bestellung eines Datenschutzbeauftragten verpflichtend.

Auch kleinere Unternehmen, deren Tätigkeit durch komplexe Datenverarbeitungsvorgänge ausgezeichnet ist und somit aus datenschutzrechtlicher Sicht besondere Aufmerksamkeit verdient oder wenn die Art der verarbeiteten Daten besonders sensibel ist, besteht eine rechtliche Verpflichtung zur Bestellung einen Datenschutzbeauftragten.

Zudem kann auch auf freiwilliger Basis ein Datenschutzbeauftragter bestellt werden. Denn auch Unternehmen, die laut Gesetzgeber nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, müssen die Richtlinien der DSGVO einhalten.

Was passiert, wenn trotz Notwendigkeit kein Datenschutzbeauftragter bestellt wird?

Vor in Kraft treten der DSGVO stellte die Nicht- Bestellung eines Datenschutzbeauftragten lediglich eine Ordnungswidrigkeit dar und wurde mit einem Bußgeld von maximal 50.000€ festgesetzt.

Die DSGVO hat diese Sanktion deutlich gesteigert. Sie sieht ein Bußgeld in Höhe von 10.000.000€ oder 2% des weltweit erzielten Jahresumsatz vor, je nachdem was höher ist.

Wann kommt es zu Kontrollen der Aufsichtsbehörde?

Zu einer Kontrolle durch die zuständige Aufsichtsbehörde kommt es in der Regel, sobald ihr Umstände bekannt werden, die eine Überprüfung rechtfertigen.

Dies geschieht zum Beispiel bei öffentlich bekannt gewordenen Datenschutzverletzungen oder aufgrund einer Beschwerde eines Betroffenen. Binnen einer festgelegten Frist muss der Verantwortliche anhand eines Fragebogens schriftliche Auskünfte zum Sachverhalt erteilen. Zusätzlich können Vor-Ort- Kontrollen durchgeführt werden.

Besteht der Verdacht auf gravierende Verstöße gegen das Datenschutzrecht, sind unangekündigte Kontrollen der Aufsichtsbehörde zulässig.

Wer ist verantwortlich bei ausgelagerter Verarbeitung personenbezogener Daten?

Grundsätzlich ist es möglich, die Verarbeitung personenbezogener Daten an Dienstleister auszulagern. Diese Auslagerung der Datenverarbeitungsprozesse führt aber nicht zu einer Verlagerung der Verantwortlichkeit!

Neben der sorgfältigen Auswahl des Dienstleisters muss dieser auch datenschutzrechtlich korrekt verpflichtet und später auch kontrolliert werden. Dies wird über einen Auftragsverarbeitungsvertrag schriftlich geregelt.

Wer benötigt einen Vertrag zur Auftragsverarbeitung?

Einen Vertrag zur Auftragsverarbeitung muss abgeschlossen werden, sobald personenbezogene Daten im Auftrag verarbeitet werden. Der Betrieb einer Website geht meist mit der Verarbeitung personenbezogener Daten einher, so werden z.B. beim Hosting Anbieter sog. Serverlogfiles abgefragt. Auch bei der Einbindung verschiedener Web-Dienste werden Daten verarbeitet und gespeichert.

Doch nicht nur beim Betrieb einer Website werden personenbezogene Daten im Auftrag verarbeitet und gespeichert. Fast jede externe Dienstleistung, bei der personenbezogene Daten verarbeitet werden, sollte mit einem AV Vertrag abgesichert werden.

Gibt es Ausnahmen?

Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer, Inkassobüros mit Forderungsübertragung, Bankinstitute für den Geldtransfer und Postdienste für den Brieftransport sind als fremde Fachleistung eingestuft und laut der Aufsichtsbehörden selbst für die Daten verantwortlich.

Somit muss an dieser Stelle kein AV Vertrag abgeschlossen werden.

Was passiert, wenn kein Vertrag zur Auftragsdatenverarbeitung abgeschlossen wird?

Wenn ein Unternehmen mit einem externen Dienstleister keinen Vertrag zur Auftragsverarbeitung abgeschlossen hat oder dieser nicht den Anforderungen § 11 Abs. 2 Satz 2 BDSG entspricht, kann es zur Verhängung von Bußgeldern durch die zuständige Aufsichtsbehörde kommen.

Zusätzlich können Personen, deren Daten betroffen sind, von beiden Parteien, Auftraggeber und Auftragnehmer, Schadensersatz verlangen.

Müssen sich die externen Dienstleister nicht um den Datenschutz kümmern?

Als Auftraggeber dürfen Sie sich nicht darauf verlassen, dass der Dienstleister das Datenschutzrecht einhält. Sie selbst sind der Hauptverantwortliche für den Datenschutz.

Zusätzlich zum Abschluss eines AV Vertrages, sollten Sie als Auftraggeber regelmäßig die Einhaltung der Datenschutzrichtlinien durch Ihren Dienstleister kontrollieren. Diese Kontrollen sollten unbedingt protokolliert werden.

Was ist bei Dienstleistern aus dem Ausland zu beachten?

Sofern ein Unternehmen Daten im Inland erhebt, dürfen ohne Zustimmung der betroffenen Personen oder eine gesetzliche Erlaubnis nur dann Daten ins Ausland abgeführt werden, wenn es sich um Mitgliedstaaten der EU oder des Europäischen Wirtschaftsraums handelt (vgl. § 3 Abs. 8 Satz 3 BDSG). Die Auftragsdatenverarbeitung in Drittstaaten (bspw. in den USA) ist nur zulässig, wenn
und soweit das BDSG dies erlaubt (vgl. u. a. § 28 BDSG),

  • eine spezielle gesetzliche Regelung dies erlaubt,
  • der Betroffene freiwillig und gemäß § 13 Abs. 2 Telemediengesetz (TMG) bewusst und eindeutig in die Datenverarbeitung eingewilligt hat.

Was muss einen AV Vertrag beinhalten?

Laut Art. 28 DSGVO müssen in einer Vereinbarung zur Datenverarbeitung im Auftrag Regelungen zu folgenden Punkten enthalten sein:

  • Gegenstand und die Dauer des Auftrags,
  • Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung,
  • die Art der Daten und der Kreis der Betroffenen,
  • die zu treffenden technischen und organisatorischen Maßnahmen (Art. 32 DSGVO),
  • Regelungen zu Berichtigung, Löschung und Sperrung von Daten,
  • die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  • die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  • die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  • mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  • Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  • Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Was ist ein Verzeichnis der Verarbeitungstätigkeiten?

Das Verzeichnis der Verarbeitungstätigkeiten ist das zentrale Datenschutz-Dokument im Unternehmen und dient bei Prüfungen durch die zuständige Behörde als Grundlage. Im Verzeichnis der Verarbeitungstätigkeiten werden die Datenschutzkategorien zusammengefasst, die durch die technisch-organisatorischen Maßnahmen geschützt werden sollen. Es ist Grundlage für die Dokumentation der Zweckbindung und der Speicherbegrenzung. Es wird ausgewiesen, an wen welche personenbezogenen Daten übermittelt werden und ist die Grundlage für die Durchführung einer Datenschutz-Risikoanalyse und einer Datenschutz-Folgenabschätzung sowie für die Erfüllung der Transparenzvorschriften.

Was ist eine Verarbeitungstätigkeit?

Eine Verarbeitung oder Verarbeitungstätigkeit kann mit einem Geschäftsprozess gleichgesetzt werden, in dem personenbezogene Daten verarbeitet werden. Dementsprechend ist das Verzeichnis der Verarbeitungstätigkeiten eine Prozesslandkarte für die Geschäftsabläufe, in denen personenbezogene Daten verarbeitet werden.

Muss jedes Unternehmen die Verzeichnisse der Verarbeitungstätigkeiten aufsetzen?

  • Generell ist das Verzeichnis der Verarbeitungstätigkeiten nicht von Unternehmen oder Einrichtungen zu führen, „die weniger als 250 Mitarbeiter beschäftigen, es sei denn,
  1. die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  2. die Verarbeitung erfolgt nicht nur gelegentlich
  3. oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw.
  4. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.“

Wer führt verantwortlich für das Verzeichnis der Verarbeitungstätigkeiten?

Bisher (BDSG 2001) hatte die Regelung vorgesehen, dass Geschäftsprozessverantwortliche dem Datenschutzbeauftragten Veränderungen am Geschäftsprozess melden und dieser das Verfahrensverzeichnis aktualisiert. Dies entfällt mit der DSGVO. Nun muss der  Geschäftsprozessverantwortliche die Änderungen an den Geschäftsprozessen selbständig in das Verzeichnis der Verarbeitungstätigkeiten pflegen und ist auch für die Archivierung und der Möglichkeit des sofortigen Zugriffs bei Prüfungen verantwortlich.

Welche Verarbeitungen gibt es in Unternehmen?

Eine Geschäftsprozesslandkarte sämtlicher Geschäftsprozesse eines Unternehmens kann zum Beispiel dem „QM Handbuch“ entnommen werden. Die dort abgebildeten Geschäftsprozesse sind identisch mit den Verarbeitungen des Unternehmens.

Was muss ein Verzeichnis der Verarbeitungstätigkeiten beinhalten?

Folgende Angaben hat der Verantwortliche zu führen (Art. 30 DSGVO):

  • Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
  • Zweck der Verarbeitung,
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien,
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
  • allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Wann muss eine Datenpanne gemeldet werden?

Laut DSGVO gibt es unterschiedliche Voraussetzungen zur Auslösung einer Meldepflicht an die Aufsichtsbehörde und zur Auslösung einer Meldepflicht an den Betroffenen.

Artikel 33,DSGVO regelt die Meldepflicht an die Aufsichtsbehörde. Demnach hat eine Meldung an die Aufsichtsbehörden grundsätzlich bei jeder Datenpanne zu erfolgen, es sein denn, der Verantwortliche kann sicherstellen, dass „die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.

Gibt es eine Frist für die Meldung?

Die DSGVO gibt eine konkrete Frist vor, bis wann die Meldung zu erfolgen hat. Der Verantwortliche hat „unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde“, diese der zuständigen Aufsichtsbehörde zu melden.

Ist die Einhaltung der Frist in begründeten Ausnahmefällen nicht möglich, so ist der Aufsichtsbehörde zusammen mit der verspätet durchgeführten Meldung, die Begründung für die Verzögerung zu übermitteln.

Wann müssen die betroffenen Personen informiert werden?

Die betroffenen Personen sind nur dann zu unterrichten, sofern die „Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge“ hat.

Im Gegensatz zu den Voraussetzungen zur Auslösung einer Meldepflicht an die Behörden, wir hier also ein „hohes Risiko“ verlangt. Auch die Vorgaben zur Meldefrist ist nicht eindeutig, sie hat lediglich „unverzüglich“ zu erfolgen.

Wie hat die Meldung zu erfolgen?

Die Meldung nicht an eine bestimmte Form gebunden. Um eine fristgerechte Meldung im Zweifelsfall nachweisen zu können, sollte die Meldung per Fax oder noch besser als Einschreiben durchgeführt werden.