FAQ´s & Webinaraufzeichnung

EU-Datenschutz-Grundverordnung

Wir antworten auf Ihre Fragen:
FAQ´s

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Das sind beispielsweise Namen, Geburtsdaten, Geschlecht, Kontaktdaten und Bankdaten. Das sind auch, gemäß Urteilen des EuGH, IP-Adressen, weil Provider gerichtlich veranlasst werden können, eine Person zu benennen, die diese IP-Adresse benutzt hat; das sind Antworten von Personen, die eine schriftliche Prüfung abgelegt haben, weil diese Antworten eine Aussage über die Kenntnisse dieser Prüflinge geben. Auch Einkaufgewohnheiten sind personenbezogene Daten, weil sie Rückschlüsse auf Vorlieben und Lebenssituationen ermöglichen.

Unternehmensdaten, wie

Unternehmen GmbH
Geschäftsstraße 1
12345 Schaffingen
info@unternehmen.de
0321-987654-0

sind keine personenbezogenen Daten, sondern Daten einer juristischen Person. Diese fallen nicht unter den Anwendungsbereich der DS-GVO. Werden diese Daten aber mit einem Beschäftigten verknüpft, etwa

Max Mitarbeiter
Beschäftigter
Unternehmen GmbH
Geschäftsstraße 1
12345 Schaffingen
m.mitarbeiter@unternehmen.de
0321-987654-123

sind es personenbezogene Daten, weil sie sich auf eine bestimmte natürliche Person beziehen, hier Max Mitarbeiter.

Die DS-GVO kennt, in Fortführung des alten Datenschutzrechts, auch besondere Kategorien personenbezogener Daten, die besonders schützenswert sind und für deren Verarbeitung eigene Erlaubnistatbestände gelten. Das sind beispielsweise Gesundheitsdaten, genetische Daten, Informationen über weltanschauliche Überzeugungen (etwa die Religionszugehörigkeit), Informationen über das Sexualleben und die sexuelle Orientierung sowie biometrische Daten zur Identifizierung von Personen (siehe Art. 9 Abs. 1 DS-GVO).

Um personenbezogene Daten verarbeiten zu dürfen, benötigt man immer einen konkreten Zweck, also einen klar abgegrenzten Grund, weshalb Daten verarbeitet werden sollen oder müssen, und einen diesen Zweck legitimierenden Erlaubnistatbestand. Denn für personenbezogene Daten gilt der Grundsatz des Verbots mit Erlaubnisvorbehalt. Das heißt, die Verarbeitung personenbezogener Daten ist verboten, außer es liegt ein gesetzlich legitimierter Erlaubnistatbestand für die Verarbeitung vor. Generell sind diese Erlaubnistatbestände in Art. 6 DS-GVO benannt. Die wichtigsten für Unternehmen sind

  • die Durchführung eines Vertrags,
  • eine rechtliche Verpflichtung bestimmte Daten zu verarbeiten,
  • das Geltendmachen eines berechtigten Interesses an der Verarbeitung,
  • die Einwilligung der von der Verarbeitung betroffenen Person.

Für besondere Kategorien personenbezogener Daten, wie beispielweise Gesundheitsdaten, gelten spezielle Erlaubnistatbestände, die in Art. 9 Abs. 2 der DS-GVO festgelegt sind.

Solange ein Zweck und ein diesen Zweck legitimierender Erlaubnistatbestand gegeben sind, müssen bzw. dürfen personenbezogene Daten nicht gelöscht werden. Ein klassisches Beispiel ist die gesetzliche Pflicht, steuerlich relevante Daten 10 Jahre aufzubewahren. Personenbezogene Daten, auf die eine solche Aufbewahrungsfrist zutrifft, dürfen erst nach Ablauf dieser Frist gelöscht werden. Sofern dann nicht noch ein anderer Zweck als die Aufbewahrung, mit einem weiteren Erlaubnistatbestand greift, müssen die Daten nach Ablauf einer solchen Aufbewahrungsfrist gelöscht werden (s. Art. 17 DS-GVO).

Nichtöffentliche Stellen müssen gemäß Art. 37 Abs. 1 DS-GVO einen Datenschutzbeauftragten benennen, wenn ihre Kerntätigkeit in Verarbeitungen personenbezogener Daten liegt, die eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen erfordern, oder wenn ihre Kerntätigkeit in umfangreichen Verarbeitungen von besonderen Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO (z.B. Gesundheitsdaten) oder von Daten zu strafrechtlichen Verurteilungen und Straftaten gemäß Art. 10 DS-GVO besteht. Die Schwierigkeit in diesen beiden Fällen ist der undefinierte Begriff „umfangreich“. Die Datenschutzkonferenz hat in einem Entschluss festgehalten, dass bei ärztlichen Praxisgemeinschaften bzw. Gemeinschaftspraxen „in der Regel nicht von einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten im Sinne von Art. 37 Abs. 1 lit. c DS-GVO auszugehen ist“ (Entschließung der DSK vom 26.04.2018). Ab wann eine umfangreiche Verarbeitung anzunehmen ist, bleibt jedoch offen.

Die Regelung in § 38 BDSG, einen Datenschutzbeauftragten benennen zu müssen, wenn „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind, ist da deutlich griffiger. Zu beachten ist, dass „in der Regel“ auch bedeutet, es werden regelmäßig einmal im Jahr, etwa im Zuge jährlicher Prüfungen, personenbezogene Daten verarbeitet. Weiter ist zu beachten, dass zu den zehn Personen auch Teilzeitkräfte, Leiharbeiter, temporär Beschäftigte und Auszubildende zählen können und dass nur die automatisierte Verarbeitung hier genannt ist, nichtautomatisierte Verarbeitungen also nicht berücksichtigt werden müssen. Diese Regelung ist übrigens nicht neu. Sie stand bereits genauso im alten Bundesdatenschutzgesetz.

Neu ist in § 38 BDSG die Regelung, dass ein Datenschutzbeauftragter zu bestellen ist, wenn vor der Aufnahme einer neuen Art der Verarbeitung personenbezogener Daten, etwa vor der Anschaffung neuer Verarbeitungssysteme, eine Datenschutzfolgenabschätzung gemäß Art. 35 DS-GVO durchgeführt werden muss; diese Regelung gilt unabhängig von der 10-Personen-Regel.

Alle Beschäftigten, die im Unternehmen Anderen Weisungen zu Verarbeitungen personenbezogener Daten erteilen können, können in der Regel nicht Datenschutzbeauftragte sein. Das sind stets Mitglieder der Geschäftsführung, Leiter der Personal-, IT- oder Marketingabteilung und auch Compliance-Officer, die mit Ermittlungsbefugnissen ausgestattet sind.

Wesentlich ist, dass gemäß Art. 38 Abs. 6 DS-GVO der Datenschutzbeauftragte, bezogen auf seine weiteren Aufgaben, nicht in einen Interessenkonflikt geführt werden darf. Das bedeutet vor allem, der Datenschutzbeauftragte darf nicht in die Situation kommen, sich selbst zu überwachen. Beispielsweise wird auch ein Informationssicherheitsbeauftragter nicht gleichzeitig Datenschutzbeauftragter sein können, weil er zur Gewährleistung der Informationssicherheit möglicherweise Kontrollen von Datenverkehr anstrebt, bei denen der Datenschutzbeauftragte auf datenschutzrechtliche Schranken aufmerksam machen muss.

Ob ein interner oder externer Datenschutzbeauftragter benannt wird, ist die freie Entscheidung jedes Unternehmens. Ein interner DSB hat in der Regel den Vorteil, das Unternehmen zu kennen und vor Ort zu sein. Ein externer DSB bringt dagegen eine Außensicht mit, die hilfreich gegen mögliche Betriebsblindheit sein kann. Eine Lösung, die beides verbindet, wäre, dass ein interner DSB benannt wird, dem ein externer Datenschutzberater, der bei Bedarf hinzugezogen werden kann, zur Seite gestellt wird.

Ein Konzerndatenschutzbeauftragter ist zulässig, wenn dieser von jeder Niederlassung aus leicht erreichbar ist. Das bedeutet bei international aufgestellten Konzernen zunächst einmal, dass es für Beschäftigte und sonstige mögliche Betroffene der Datenverarbeitung keine Sprachbarrieren geben darf, wenn diese sich an den DSB wenden möchten. Auch unterschiedliche Zeitzonen könnten problematisch sein. Ob zur leichten Erreichbarkeit die telefonische und/oder die Erreichbarkeit per E-Mail ausreicht, ist nicht sicher, erscheint aber wahrscheinlich. Auf jeden Fall sollte gewährleistet sein, dass der DSB auch zu bestimmten Zeiten in den einzelnen Niederlassungen vor Ort anzutreffen ist. Für Standorte, an denen der DSB nicht ständig vor Ort ist, sollten Datenschutzkoordinatoren benannt werden, die als direkte Ansprechpartner im Namen des DSB agieren können.

Ja. Datenschutz ist eine Organisationspflicht. Diese Organisationspflicht trifft in einem Unternehmen die Geschäftsführer/innen beziehungsweise die Vorstände. Diese müssen Aufgaben, die sie nicht selbst übernehmen können, delegieren.

Es wird von verschiedenen Autoren empfohlen, im Unternehmen einen Datenschutzverantwortlichen zu benennen, der als Angestellter unter der Geschäftsführung die operative Umsetzung des Datenschutzes im Unternehmen verantwortet und mit entsprechenden Durchsetzungsbefugnissen ausgestattet ist. Ein solcher Datenschutzverantwortlicher ist nicht der Datenschutzbeauftragte, der die Pflicht zur Überwachung der Datenschutzkonformität hat. Wäre der DSB auch für die operative Umsetzung des Datenschutzes zuständig, würde er sich dabei selbst überwachen. Das wäre ein Interessenkonflikt, der gemäß Art. 38 Abs. 6 DS-GVO zu vermeiden ist.

Bei größeren Unternehmen ist es sicher sinnvoll, ein Organigramm zum Datenschutz zu erstellen, dass Auskunft darüber gibt, wer etwa Datenschutzverantwortlicher (Datenschutzmanager, Privacy Officer) ist und welche Stellen oder Personen für Datenschutzbelange in unterschiedlichen Bereichen oder an verschiedenen Standorten zuständig sind, etwa als Datenschutzkoordinatoren. Für die entsprechenden Stellen oder Rollen sollten unbedingt Beschreibungen erstellt werden, die Auskunft über Aufgaben und Befugnisse der Stellen-/Rolleninhaber geben und die Teil des jeweiligen Arbeitsvertrags sind.

Allgemein muss der Umgang mit personenbezogenen Daten in betrieblichen Anweisungen festgelegt werden, da Beschäftigte personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen (also des Unternehmens) verarbeiten dürfen und der Verantwortliche sicherstellen muss, dass entsprechende Weisungen erteilt werden (Art. 29 und Art. 32 Abs. 4 DS-GVO). Solche betrieblichen Anweisungen sollten mindestens das Befolgen der Grundsätze der Datenverarbeitung gemäß Art. 5 Abs. 1 DS-GVO, die Umsetzung der technischen und organisatorischen Maßnahmen zu Datenschutz und Datensicherheit (gemäß Art. 24, 25, 32 DS-GVO), das Bedienen von Betroffenenrechten (Art. 12 ff. DS-GVO) und den Umgang mit Datenschutzverletzungen (Art. 33 DS-GVO) regeln. Auch sollten sie, etwa über einen Verweis auf das Verzeichnis der Verarbeitungstätigkeiten, festlegen, welche Datenkategorien, zu welchen Zwecken, mit welchen Mitteln, von wem verarbeitet werden sollen.

Datenschutz ist eine klassische Querschnittsaufgabe, die sich nur wirksam umsetzen lässt, wenn die einzelnen Unternehmensbereiche hierin einbezogen werden. Ein isoliertes Datenschutzmanagement kann nicht funktionieren. Wenn im Unternehmen bereits Managementsystemstandards etabliert sind, sollte das Datenschutzmanagement im Sinne eines integrierten Managementsystems daran angeschlossen werden. Am besten geeignet für ein Ankoppeln des Datenschutzes sind Informationssicherheits-, Compliance- und Qualitätsmanagementstandards, aber auch mit Managementstandards zum Umweltschutz oder zur Arbeitssicherheit ergeben sich Überschneidungen, etwa hinsichtlich der Dokumentenlenkung, des Risikomanagements, der Durchführung interner Audits, der Schaffung und Erhaltung des betrieblichen Bewusstseins (Schulungs- und Unterweisungspläne) oder der Mechanismen zur fortlaufenden Verbesserung. Diese Synergieeffekte sollten auf jeden Fall genutzt werden.

Auftragsverarbeitung liegt vor, wenn die Dienstleistung darin besteht, für den Auftraggeber personenbezogene Daten zu verarbeiten. Diese Verarbeitung führt ein Auftragsverarbeiter nur gemäß der Weisung der Auftraggeber aus, ohne eigene Entscheidungen über die Zwecke der Verarbeitung zu treffen oder ein eigenes Interesse an der Verarbeitung der Daten zu verfolgen; klassische Beispiele sind Clouddienstleister, die die Speicherung von Daten übernehmen, und Aktenvernichter, die personenbezogene Daten allein zudem von dem Auftraggeber klar vorgegebenen Zweck bekommen, diese Daten zu vernichten.

Dienstleister, die von dem Auftraggeber personenbezogene Daten zur Verfügung gestellt bekommen, um eine Leistung erbringen zu können, die nicht primär in der Verarbeitung eben dieser Daten besteht, sind keine Auftragsverarbeiter. Das betrifft beispielsweise Lieferanten, die von dem Auftraggeber Kontakt- und Adressdaten erhalten, um Produkte an einen Kunden des Auftraggebers zu liefern.

 

Steuerberater gehören, wie auch Rechtsanwälte und Ärzte, zu den freien Berufen, deren Leistung grundsätzlich keine Auftragsverarbeitung darstellt. Für die klassischen Steuerberatungsleistungen ist ein Steuerberater also kein Auftragsverarbeiter.

Umstritten ist die Frage, ob Steuerberater bezogen auf die Leistung Lohnbuchhaltung Auftragsverarbeiter sind. Hierzu gibt es noch keine abschließende Klärung. Wenn ein Steuerberater nicht bereit ist, für die Durchführung der Lohnbuchhaltung einen Auftragsverarbeitervertrag zu unterschreiben, dann muss man das akzeptieren oder die Lohnbuchhaltung anderweitig vergeben.

Verstöße gegen die DS-GVO und das BDSG sind Ordnungswidrigkeiten. Um eine datenschutzrechtliche Straftat zu begehen, muss man Daten unberechtigt gewerblich oder mit Gewinnerzielungsabsicht verarbeiten.

Generell signalisieren die Aufsichtsbehörden, dass sie nicht beabsichtigen, im ersten Angang Bußgelder aufzuerlegen. Das Risiko mit einem Bußgeld belangt zu werden ist aber ohne Zweifel um so höher, je weniger man für den Datenschutz nachweislich getan hat und tut. Auf jeden Fall sollte jedes Unternehmen mindestens über ein ordentliches Verzeichnis der Verarbeitungstätigkeiten verfügen, das die Anforderungen des Art. 30 DS-GVO erfüllt, und der Aufbau eines strukturierten Datenschutzmanagements sollte nachweisbar begonnen sein (das muss nicht ein auf einem Standard basierendes System sein).

Hautnah am Thema:
DQS-Webinaraufzeichnung

Wir bieten Ihnen auf dieser Seite unsere Webinar­aufzeichnung mit dem Thema "DS-GVO für Geschäfts­führer: Was Sie wissen, beachten und tun müssen" an. Unter Angabe weniger Daten erhalten Sie Ihr persönliches Passwort, um sich das Webinar aus dem September 2018 anzuhören.

Alle Unternehmen, die mit personenbezogenen Daten umgehen, sind mit der seit 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung (DS-GVO) mehr als zuvor in der Pflicht. Die DS-GVO ist fokussiert auf den Verantwortlichen, der alle Belange des Datenschutzes verantwortet und entsprechend für Verstöße haftet. In unserem Webinar geben wir Ihnen einen kompakten Überblick, welche wesentlichen rechtlichen Forderungen die DS-GVO stellt, welche Organisationspflichten es gibt und wie Sie sich als geschäftsführende Person rechtlich absichern können.

Moderator: Volker Caumanns, envigration GmbH

  • Projektmanagement
  • System- und Prozessanalyse, Konzeption und Durchführung von Schulungen (Datenschutz, Informationssicherheit, HSE-Management, Audit nach ISO 19011)
  • externer Datenschutzbeauftragter
  • Fachreferent Datenschutz und Managementsysteme

Sprechen Sie uns an

Team Datenschutz

Sprechen Sie uns an

Team Datenschutz

datenschutz@dqs.de