Mehr Schutz für Angestellte, Kunden oder LieferantenAnzeige
 
grundmann 01 
Der Datenschutzbeauftragte
Herbert Grundmann informiet Sie gerne
umfangreich über die neue Datenschutz-Grundverordnung (DSGVO)
Die Rechtsgrundlage:
Am 27. April 2016 wurde vom Europäischen Parlament die Datenschutz-Grundverordnung (DSGVO) verabschiedet und trat am 25.05.2016 in Kraft. Stichtag ist demzufolge der 25.05.2018, denn dann endet die zweijährige Übergangsfrist. Europäische Verordnungen gelten unmittelbar in jedem Mitgliedsstaat. Das deutsche Datenschutzgesetz (BDSG) wurde zwischenzeitlich an die neue europäische Verordnung angepasst (BDSG-neu).

Worauf bezieht sich die DSGVO:
Nach dem Artikel 4 der EU-Verordnung fallen alle Daten „die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ darunter. Ebenso ist es klar geregelt, welche personenbezogenen Daten einem besonderen Schutz dabei unterliegen (z.B. rassische und ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen, politische Meinungen, Daten zum Sexualleben oder sexuellen Orientierung).

Wer sind die Profiteure:
Die Profiteure der Datenschutz-Grundverordnung DSGVO sind vor allem die Bürger. Betroffene erhalten nun mehr Rechte und im gleichen Atemzug wirksame Instrumente zur Durchsetzung. Ob Angestellte, Kunden oder Lieferanten, allen Gruppen wird ein besonderes Höchstmaß an Datenschutz zugestanden. Die Geldbußen können bei besonders schwerwiegenden Verstößen bis zu 20 Millionen Euro betragen – etwa bei der Verarbeitung von Personendaten ohne Rechtgrundlage.
Die Beweislast bei Verstößen wurde umgekehrt – Artikel 5, Absatz (2): „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“) -, nicht mehr die Betroffenen sind beweispflichtig vielmehr muss der Unternehmer nachweisen, dass er durch geeignete Maßnahmen dafür Sorge getragen hat, dass die Vorgaben nach der DSGVO erfüllt wurden.

Wo besteht Handlungsbedarf:
Artikel 30 der DSGVO schränkt die Geltung ein und nimmt „Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen“ aus, macht aber im gleichen Satz Ausnahmen bindend „sofern die von Ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien“ betrifft.
Es ist obsolet anzumerken, dass jedes noch so kleine Unternehmen, Daten nicht nur „gelegentlich“ verarbeitet oder „keine besonders sensiblen Daten“ – hierzu gehören auch die Relegionszugehörigkeit und die Erfassung von Krankheitstagen – erfasst.

Der Datenschutzbeauftragte:
Nach §4f sind Unternehmen, die mehr als neun Personen, welche mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, verplichtet einen Datenschutzbeauftragten zu bestellen, dessen Kontaktdaten auf der Homepage des Unternehmens bekanntgegeben und den Aufsichtsbehörden der Länder mitgeteilt werden muss. Es kann ein interner – hier gilt jedoch die Einschränkung, dass es sicht nicht um ein Mitglied der Geschäftsführung, einen Gesellschafter, den Personalchef oder Leiter der IT Abteilung handeln darf – oder externer Datenschutzbeauftragter bestimmt werden. Die Wahl bleibt dem Unternehmer überlassen.
Die Bestellung eines externen Datenschutzbeauftragten hat den Vorteil, dass dieser von außen objektiv auf das Unternehmen blicken und so unbefangen den Datenschutz einbringen kann.  Außerdem genießt der externe Datenschutzbeauftragte, anders als der interne Datenschutzbeauftragte, keinen besonderen Kündigungsschutz. Zudem bringt er oftmals eine größere Fachkunde und mehr Erfahrung mit. Diese sind im Hinblick auf die steigenden Anforderungen an die Position des Datenschutzbeauftragten selbst, aber auch wegen der nach der DSGVO hinzukommenden erforderlichen Nachweis- und Rechenschaftspflichten für Unternehmen nicht zu unterschätzende Faktoren.

Der Datenschutzbeauftragte erstellt ein Konzept in Form von TOM’s - Beschreibung der Technischen und Organisatorischen Maßnahmen – zur Einhaltung des Datenschutzes im Unternehmen und steht für Fragen jederzeit unterstützend zur Seite. Er ist der Behörde berichtspflichtig, unterliegt der Schweigepflicht und hat Zeugnisverweigerungsrecht gegenüber Behörden je nach Art des Unternehmens, in dem er eingesetzt ist (Bsp.: ärztliche Schweigepflicht).

Fazit:
In diesem Artikel sind nicht alle ­Aspekte der DSGVO behandelt, es wird auch kein Anspruch auf Vollständigkeit erhoben. Das Unternehmen kann nur in einem persönlichen Gespräch analysiert und die daraus resultierenden Maßnahmen bestimmt werden. Blinden Aktionismus sollte man vermeiden und die Herausforderung strukturiert und mit Sachkenntnis angehen. Unternehmen, die nach den vorangegangenen Ausführungen verpflichtet sind, einen Datenschutzbeauftragten zu bestimmen, sollten trotzdem schnellstens handeln.

Für alle anderen Unternehmen gilt § 4g, Absatz (2a): „Soweit bei einer nichtöffentlichen Stelle keine Verpflichtung zur Bestellung eines Beauftragten besteht, hat der Leiter der nichtöffentlichen Stelle die Erfüllung der Aufgaben“ beschrieben in der DSGVO „in anderer Weise sicherzustellen“.

Sollten Sie zur DSGVO Fragen haben oder Interesse an einem externen Datenschutzbeauftragten, steht Herr grundmann Ihnen gerne zur Verfügung. Er steht auch gerne bei der Analyse einem internen Datenschutzbeauftragten zur Seite. Sie erreichen Herrn Herbert Grundmann in 66538 Neunkirchen am Mantes-La-Ville-Platz 6, Tel.: 06821-7425495 oder per Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.