In der folgenden Übersicht finden Sie Informationen und Antworten zu den am
häufigsten gestellten Fragen des betrieblichen Datenschutzes.
Weitergehende und detailliertere Infor-mationen erhalten Sie per E-Mail unter
faq(at)walliser-datenschutz.de oder in einem persönlichen Beratungsgespräch.
Wer ist verantwortlich für die Einhaltung der Datenschutzbestimmungen?
Kann jeder Mitarbeiter zum Datenschutzbeauftragten bestellt werden?
Welche Voraussetzungen muss ein Datenschutzbeauftragter erfüllen?
Rahmenbedingungen einer Bestellung zum Datenschutzbeauftragten?
Personenbezogene Daten – um welche Daten handelt es sich dabei?
Wer kontrolliert die Einhaltung der Datenschutzbestimmungen?
Grundsätzlich gelten die Datenschutzbestimmungen für alle Unternehmen, unabhängig von Ihrer Größe oder Tätigkeit. Auch Kleinunternehmen oder Freiberufler sind verpflichtet, die Datenschutzgesetze (BDSG Bundesdatenschutzgesetz) einzuhalten. Dem Datenschutzgesetz unterliegen auch deutsche Niederlassungen ausländischer Unternehmen.
zurück
Verantwortlich ist immer der Inhaber, die Geschäftsführung oder Unternehmensleitung. Dies gilt auch dann, wenn ein Datenschutzbeauftragter bestellt ist. Ein Datenschutzbeauftragter kann nur bei Untätigkeit, nicht erworbener Fachkunde oder grob fahrlässiger Handlungsweise in Regress genommen werden.
zurück
Von der Bestellung eines Datenschutzbeauftragten sind in der Regel nur Unternehmen befreit, "die maximal höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen". (BDSG §4f)
Mit der Verarbeitung personenbezogener Daten sind auf jeden Fall die Personalabteilung, der Vertrieb, der Einkauf, die Mitarbeiter der IT oder EDV und das Marketing befasst.
Aufgrund der zunehmenden Vernetzung der Systeme wird inzwischen sogar davon ausgegangen, dass alle Mitarbeiter, die stationäre oder mobile Kommunikationsgeräte nutzten oder eine E-Mail Adresse haben, mit der Verarbeitung personenbezogener Daten befasst sind.
Ausnahmen stellen Geräte dar, die ausschließlich zur Steuerung oder Überwachung produktionstechnischer Anlagen genutzt werden.
Unabhängig von der Anzahl der Arbeitnehmer ist ein Datenschutzbeauftragter auf jeden Fall zu bestellen, wenn in dem Unternehmen Daten verarbeitet werden, die einer Vorabkontrolle unterliegen, oder wenn von dem Unternehmen "personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung" erhoben werden.
Unabhängig von der formellen Verpflichtung zur schriftlichen Bestellung eines Datenschutzbeauftragten muss auch in kleineren Unternehmen geregelt werden, wie die Datenschutzbestimmungen eingehalten werden. (Erstellung und Pflege der Datenschutzdokumentation)
Die Bestellung eines Datenschutzbeauftragten sollte deshalb auch in Unternehmen erwogen werden, die nicht zur Bestellung verpflichtet sind.
zurück
Neben der nachzuweisenden Fachkunde in den Bereichen Datenschutz, Recht, IT-Sicherheit und Organisation ist noch zu beachten, dass aufgrund der sonstigen betrieblichen Aufgaben keine Interessenkonflikte vorliegen, die Zweifel an der Zuverlässigkeit der Ausübung seiner Aufgabe aufkommen lassen. Aus diesem Grund wird die Bestellung zum Datenschutzbeauftragten einer Person aus der folgenden Personengruppe von den Aufsichtsbehörden geahndet und der Datenschutzbeauftragte abberufen:
Vorstände, Geschäftsführer, Mitglieder der Geschäftsführung, Prokuristen, der Personalleiter und ebenso der IT-Leiter, der sich als Datenschutzbeauftragter selbst kontrollieren müsste. Die Bestellung dieser Personen zum Datenschutzbeauftragten ist unzulässig.
zurück
Das Bundesdatenschutzgesetz nennt als Voraussetzungen die notwendige Fachkunde und Zuverlässigkeit. Notwendig sind vor allem juristische und organisatorische Kenntnisse, didaktische Fähigkeiten und IT-Kenntnisse. Fehlende Fachkunde kann auch nachträglich erworben werden, was bei neu ernannten Datenschutzbeauftragten regelmäßig der Fall sein wird.
zurück
Wenn die oben genannten Voraussetzungen zur Bestellung eines Datenschutzbeauftragten zutreffen, muss dieser innerhalb eines Monats nach Aufnahme der Unternehmenstätigkeit oder des angewandten Verfahrens bestellt werden. Der interne Datenschutzbeauftragte genießt einen besonderen Kündigungsschutz.
Bei der Bestellung eines externen Datenschutzbeauftragten sollte die Dauer der Bestellung mindestens drei Jahre betragen, um der gesetzlichen Forderung der Nachhaltigkeit der Bestellung genüge zu leisten.
zurück
Personenbezogene Daten werden in zwei Klassen unterteilt. Die normalen personenbezogenen Daten und die besonderen personenbezogenen Daten. Diese sind unter anderen die folgenden:
Eine Vorabkontrolle ist dann vorgeschrieben, wenn entweder die rechtlichen Grundlagen für ein Verfahren der Datenverarbeitung genauer geprüft werden müssen, da zum Beispiel keine schriftliche Einverständniserklärung der Betroffenen vorliegt, oder wenn bei der Datenverarbeitung besondere Risiken für die Betroffenen bestehen. Dies ist immer dann der Fall, wenn die „besonderen Arten personenbezogener Daten“ verarbeitet werden. Die Vorabkontrolle eines Verfahrens mit solchen Daten muss durch den Datenschutzbeauftragten erfolgen.
zurück
Es gibt zwei Arten von Verfahrensverzeichnissen. Das öffentliche und das interne. Grundsätzlich ist ein Verfahrensverzeichnis eine Auflistung von Angaben über die verarbeiteten personenbezogenen Daten. Wer ist verantwortlich, welche Daten werden verarbeitet, wer bekommt diese Daten und welche Schutzmaßnahmen sind getroffen worden. Das öffentliche Verfahrensverzeichnis kann von jedermann angefordert und eingesehen werden.
zurück
Für Unternehmen der Privatwirtschaft gilt das Bundesdatenschutzgesetz. Die Datenschutzgesetze der einzelnen Bundesländer gelten für Institutionen wie Landesbehörden, die Polizei oder für kommunale Einrichtungen. Weiterhin sind spezielle datenschutzrechtliche Vorschriften, die bereichsspezifisch gelten, zu beachten, etwa Vorschriften aus dem Sozialgesetzbuch, dem Gesetz gegen den unlauteren Wettbewerb oder dem Telekommunikationsgesetz.
Außerdem sind auch die rechtlichen Bestimmungen zu beachten, die sich wie z.B. der Arbeitnehmerdatenschutz nicht auf ein einzelnes Gesetz stützen, sondern durch eine jahrelange Rechtsprechung geprägt wurden.
zurück
In Deutschland haben wir entgegen anderer EU Staaten das Prinzip der Selbstkontrolle. Diese wird durch die Bestellung des betrieblichen Datenschutzbeauftragten wahrgenommen.
Ein weiteres Element der Kontrolle ergibt sich durch die Auskunftspflicht der Unternehmen gegenüber den Betroffenen. So hat jeder Betroffene das Recht, von einem Unternehmen Auskunft über die Verarbeitung seiner Daten zu verlangen. Unternehmen, die Daten an andere Unternehmen zur Verarbeitung weitergeben, haben sogar die Pflicht, die Einhaltung der datenschutzrechtlichen Bestimmungen durch den Empfänger zu überprüfen.
Und es gibt die Datenschutz-Aufsichtsbehörde, welche die Einhaltung der gültigen Datenschutzbestimmungen und die formal richtige Bestellung des Datenschutzbeauftragten überprüft. Sie hat außerdem Kontrollrechte gegenüber den Unternehmen und verhängt Bußgelder bis zu 250.000 Euro, wenn es zu Datenschutzverletzungen kommt.
zurück
Bei einem Datenaustausch innerhalb der EU gelten die deutschen Datenschutzbestimmungen, die den EU-Richtlinien zum Datenschutz entsprechen. Für den Datenaustausch mit Ländern außerhalb der EU muss im einzelnen geprüft werden, welche Bestimmungen dort gelten und ob die Datenschutzgesetzgebung dieser Länder als ausreichend angesehen wird. Eventuell gibt es Sondervereinbarungen oder freiwillige Verpflichtungserklärungen wie „Save Harbour“ für die USA, die den Datenaustausch mit dem ausländischen Unternehmen regeln und zulassen.
Es kann aber auch sein, dass ein Datenaustausch personenbezogener Daten nicht erlaubt ist und das Unternehmen beim Datenaustausch eine Straftat begeht.
Kritische Länder können sein z. B. China, USA, Indien oder gewisse Ostblockstaaten.
zurück zum Anfang
© 2003-2011 Matthias Walliser, Unternehmensberatung für Datenschutz & Datensicherheit – Alle Rechte vorbehalten.