Fragen und Antworten zu Datenschutz im Unternehmen und zu Datenschutzbeauftragten
Wann muss ich einen Datenschutzbeauftragten benennen oder bestellen?
Nach nationalem Recht (Bundesdatenschutzgesetz) müssen Sie (als private Einrichtung/Unternehmen) einen Datenschutzbeauftragten benennen
- wenn Sie in der Regel (!) 20 oder mehr Mitarbeiter (Festangestellte in Vollzeit oder Teilzeit, Azubis, Praktikanten, Freiberufler) beschäftigen und diese ständig personenbezogene Daten automatisiert verarbeiten oder
- wenn Sie personenbezogene Daten derart verarbeiten, das dies einer Datenschutzfolgenabschätzung unterliegt oder
- wenn Sie personenbezogene Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung (z. B. Auskunfteien aber auch Bewertungsportale) oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
In den meisten Fällen greift bei Unternehmen eher die 20-Mitarbeiterregel. Wenn Sie um diese 20 Mitarbeiter herum liegen, sollten Sie genau prüfen, welche Mitarbeiter davon tatsächlich "ständig automatisiert personenbezogene Daten" verarbeiten. Auch die Einschränkung "in der Regel" kann (falls es Spitz-auf-Knopf steht) für Sie ausschlaggebend sein.
Machen Sie sich lieber erstmal selber ein Bild davon, ob Sie diese Grenze reißen. Denn Sie kennen Ihr Unternehmen am besten. Wenn Sie einen externen Datenschutzbeauftragten fragen, wird der Ihnen mit Sicherheit sagen, dass Sie ihn definitiv benennen müssen! Oder Sie fragen mich und Sie erhalten eine wertneutrale Einschätzung.
Machen Sie sich lieber erstmal selber ein Bild davon, ob Sie diese Grenze reißen. Denn Sie kennen Ihr Unternehmen am besten. Wenn Sie einen externen Datenschutzbeauftragten fragen, wird der Ihnen mit Sicherheit sagen, dass Sie ihn definitiv benennen müssen! Oder Sie fragen mich und Sie erhalten eine wertneutrale Einschätzung.
Nach europäischen Recht (EU-Datenschutz-Grundverordnung) müssen Sie (als private Einrichtung/Unternehmen) einen Datenschutzbeauftragten benennen, falls Ihre Kernverarbeitungstätigkeit entweder (kumulativ)
- eine umfangreiche (viele Personen oder große Mengen an personenbezogenen Daten), regelmäßige (fortlaufend oder periodisch) und systematische (nach einem organisierten, strategischen oder methodischen Ansatz) Beobachtung betroffener Personen erforderlich macht oder
Anders ausgedrückt müssen Sie nach europäischen Recht einen Datenschutzbeauftragten benennen, falls Sie ein Altersheim betreiben, eine Arztpraxis führen, zu anderen Dienstleistern im Gesundheitssektor gehören (z. B. Apotheke, Hospiz, Fitnessstudio), wenn Sie klinische Studien durchführen, wenn Sie eine Gewerkschaft managen oder wenn Sie ein Strafverteidiger mit eigener Kanzlei sind.
- diese eine umfangreiche Verarbeitung besonderer Kategorien von Daten einschließt oder diese sich auf eine Verarbeitung über strafrechtliche Verurteilungen und Straftaten bezieht.
Auch müssen Sie einen Datenschutzbeauftragten benennen, falls Sie eine Profilbildung von Personen (analog oder digital) vornehmen bzw. wenn Sie Videoüberwachung oder GPS-Tracking vornehmen. Also wenn Sie eine Auskunftei betreiben, wenn Sie Apps mit Standortdatenverarbeitung anbieten, als Detektei, als Personenschützer oder als Personalvermittler bzw. Partnervermittlungsagentur.
Was ist eine Datenpanne?
Eine Datenpanne ist passiert, wenn bei der Verarbeitung von Daten eine der Schutzziele des Datenschutzes verletzt werden, also entweder der
- Verlust der Vertraulichkeit
- Verlust der Integrität oder
- Verlust der Verfügbarkeit
Falsch dagegen ist die Definition einer Datenpanne (nach DSGVO), welche Sie in Wikipedia finden. Da ist nur die Rede von einer Datenpanne als "ein Vorfall, bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten".
Wikipedia schränkt die Datenpanne als Szenario ein, bei dem der Verlust der Vertraulichkeit vorliegt. Aber auch wenn die (personenbezogenen) Daten unberechtigt verändert wurden (Verlust der Integrität) oder wenn die Daten nicht mehr vorhanden sind (weil sie z. B. unerlaubt verschlüsselt wurden) liegt ganz eindeutig eine Datenpanne vor. In allen drei Fällen sollten Sie Ihren internen oder externen Datenschutzbeauftragten direkt einbinden, denn ab dem Zeitpunkt der Kenntnis zu der Datenpanne läuft eine 72h-Frist, auf die bei einer weiteren Frage näher eingehen werde.
Sie haben Fragen ?
Rufen Sie uns jetzt an oder schreiben Sie uns eine Nachricht!
Ingo Goblirsch LL.M.
Datenschutz & Informationssicherheit
Externer Datenschutzbeauftragter
EuroPriSe Certified European Privacy Expert // CEPE LT
52076 Aachen / NRW
Datenschutz & Informationssicherheit
Externer Datenschutzbeauftragter
EuroPriSe Certified European Privacy Expert // CEPE LT
52076 Aachen / NRW