Die Datenschutz-Grundverordnung (DSGVO oder DS-GVO, Verordnung (EU) 2016/679) ist eine Verordnung der europäischen Union, mit der Regeln zur Verarbeitung von personenbezogenen Daten durch die meisten Verantwortlichen, sowohl private wie öffentliche, EU-weit vereinheitlicht werden.

Dadurch soll, wie in Art.1 DSGVO beschrieben, einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. 

Die DSGVO umfasst insgesamt 99 Artikel in 11 Kapiteln.

Die DSGVO gilt grundsätzlich für jegliche Verarbeitung personenbezogener Daten. Unabhängig davon, ob es sich um eine Behörde, eine Einzelperson, ein Unternehmen, eine Arztpraxis oder eine Anwaltskanzlei handelt. Die Größe des Unternehmens ist irrelevant.

Selbst wenn Sie ausschließlich Papierakten führen, gilt die DSGVO.

Sofort. Oder besser gesagt seit dem 25. Mai 2018. An diesem Tag endete die zweijäjrige Übergangsfrist. Weitere Übergangsfristen sieht die DSGVO nicht vor.

Zögern Sie nicht und riskieren Sie keine Bußgelder. Sofern Sie Unterstützung bei der Umsetzung benötigen, sind wir gerne für Sie da. Auch wenn Sie keinen Datenschutzbeauftragten benötigen.

Der Datenschutzbeauftragte hat mindestens die Aufgabe der Beratung bei der Verarbeitung von personenbezogenen Daten, Unterrichtung bzgl. des Datenschutzes und Überwachung der Einhaltung von Datenschutzvorschriften.

Nicht jedes Unternehmen braucht einen Datenschutzbeauftragten, aber viele Probleme können so verhindert werden. Unter bestimmten Voraussetzungen sind Unternehmen sogar dazu verpflichtet einen Datenschutzbeauftragten zu benennen. Eine Solche Pflicht besteht zum Beispiel für Unternehmen ab 20 Mitarbeitern, welche ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind.

Bei der Berechnung der Personenzahl  werden alle Personen mitgezählt, die tatsächlich auf die automatisierte Datenverarbeitung der privaten Stelle zugreifen. Nicht entscheidend ist, wie häufig oder intensiv auf die Daten zugegriffen wird. Es ist ausreichend, dass es zur regelmäßigen Aufgabenwahrnehmung der Personen gehört, personenbezogene Daten automatisiert zu verarbeiten und es sich hierbei nicht nur um eine vorübergehende Tätigkeit (z.B. Urlaubsvertretung) handelt. Damit werden Teilzeitkräfte und Beschäftigte von Zeitarbeitsfirmen während ihrer Tätigkeit im Unternehmen mitgezählt. Das gilt auch für die Mitglieder der Geschäftsleitung.

Hierfür kann ein interner Mitarbeiter eingesetzt oder ein externer Datenschutzbeauftragter beauftragt werden. Allerdings müssen von der Person bestimmte Voraussetzungen erfüllt werden, um tätig werden zu können. Dazu gehört vor allem die Berufliche Qualifikation und insbesondere das Fachwissen im Bereich des Datenschutzrechts. Darüber hinaus sind gute Kommunikation- und Koordinationsfähigkeit, sowie Branchenerfahrung sinnvolle Ergänzungen. 

Weitere Informationen hierzu gibt es bspw. auf der Seite des Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und im Kurzpapier Nr. 12 der Datenschutzkonferenz. Gerne können Sie sich auch an uns wenden.

Das sogenannte Verarbeitungsverzeichnis müssen gemäß der DSGVO eigentlich nur Firmen führen, die mehr als 250 Mitarbeiter beschäftigen. Die Ausnahmen von dieser Regel sind jedoch sehr weit gefasst. So müssen Unternehmen auch dann ein Verarbeitungsverzeichnis führen, wenn

• sie ein besonderes Risiko bei der Verarbeitung innehaben oder
• sensible Daten (z.B. Gesundheitsdaten) verarbeiten oder
• nicht nur gelegentlich personenbezogene Daten verarbeiten.

Insbesondere der letzte Tatbestand führt dazu, dass nahezu jedes Unternehmen, dass personenbezogene Daten verarbeitet ein Verarbeitungsverzeichnis führen muss, da die nur gelegentliche Verarbeitung selten anzutreffen sein wird.

Über das Verarbeitungsverzeichnis hinaus werden Sie weitere Dokumentationen pflegen müssen anhand derer Sie Ihre  Aktivitäten zur Einhaltung der DSGVO nachweisen können.  Ähnlich wie beim der Qualitätssicherungsmanagement ist auch beim Datenschutz eine gute Dokumentation unerlässlich.

Zunächst einmal spricht nichts gegen einen internen Datenschutzbeauftragten. Im Gegenteil hat der interne Datenschutzbeauftragte sogar den Vorteil, dass er das Unternehmen und die Prozesse bestens kennt. Voraussetzung hierfür ist jedoch, dass der auserwählte Mitarbeiter über ausreichende Kenntnisse auch im Datenschutz verfügt und diese Kenntnisse durch regelmäßige Schulungen aktuell gehalten werden.

Ob ein interner Datenschutzbeauftragter günstiger ist als ein externer Datenschutzbeauftragt kommt sicher auf den Einzelfall an.

Bei der Entscheidung für einen internen Datenschutzbeauftragten sollten Sie jedoch berücksichtigen, dass die Abberufung eines internen Datenschutzbeauftragten gegen dessen Willen fast unmöglich ist und dass dieser Mitarbeiter einen umfassenden Kündigungsschutz geniesst, der ein Jahr über die aktive Tätigkeit als Datenschutzbeauftragter hinaus geht. Daher sollten Sie nicht vorschnell eine Entscheidung treffen.

Die Vertragslaufzeit beträgt bei Erstbeauftragung ein Jahr.

Die Länge der Vertragslaufzeit steht in unmittelbarem Zusammenhang mit der Unabhängigkeit der Stellung des externen Datenschutzbeauftragten. Hierdurch soll es dem Datenschutzbeauftragten ermöglicht werden auch für den Verantwortlichen unliebsame Themen anzusprechen. Die DSGVO und auch das Datenschutzgesetz gibt hier keine Vorgaben.

Einige Landesbeaufragte für den Datenschutz sehen aber bereits jetzt längere Laufzeiten bei einer Folgebeauftragung vor.

Die Einhaltung des Datenschutzes in Deutschland wird von den zuständigen Aufsichtsbehörden kontrolliert.

Es gibt einen Bundesbeauftragten für Datenschutz, dessen Aufgaben nach §14 BDSG-neu geregelt werden. Dazu gehört die Anwendung der DSGVO und des BDSG durchzusetzen und die Öffentlichkeit für die Verarbeitung von persönlichen Daten zu sensibilisieren und darüber aufzuklären. Darüber hinaus hat jedes Bundesland eine eigene Aufsichtsbehörde für den Datenschutz, welche über umfangreiche, in Art. 58 DSGVO geregelte, Untersuchungsbefugnisse verfügt. Dazu gehören unter anderem Datenschutzprüfungen, Zugang zu relevanten personenbezogenen Daten und Informationen und Zugang zu Räumlichkeiten und Hardware.

Welche Aufsichtsbehörde zuständig ist, richtete sich nach dem Hauptsitz des Unternehmens.

Nachdem die DSGVO in Kraft getreten ist, sind die Bußgelder deutlich angezogen worden. So können bei bestimmten Verstößen, wie etwa gegen die Rechte der Person oder Übermittlung von personenbezogenen Daten in ein Drittland oder internationale Organisation, die Bußgelder eine Höhe von bis zu 20 Mio. Euro oder für Unternehmen bis zu 4 Prozent des gesamten weltweiten erzielten Jahresumsatzes des vergangenen Geschäftsjahres erreichen. Darüber hinaus können sogar Freiheitsstrafen von bis zu 3 Jahren gegen Personen drohen, welche personenbezogenen Daten weitergeben oder unberechtigt personenbezogene Daten verarbeiten oder erschleichen.