FAQ aktuell
In jeder Phase des DSGVO-Umsetzungsprozesses ergeben sich immer neue Fragen, die wir an dieser Stelle natürlich nicht alle beantworten können. Mit unseren FAQ konzentrieren wir uns daher auf Basisfragen, um allen, die sich erstmals mit der Thematik auseinandersetzen, eine kleine Hilfestellung zu geben.
01. Wann brauche ich einen Datenschutzbeauftragten?
- wenn besondere Arten von personenbezogenen Daten (besonders Schutzwürdige Datenkategorien – z. B. Informationen zu politischen/religiösen Überzeugungen, Ethnie/Rasse, Gesundheit und Sexualleben) verarbeitet werden
- oder wenn die Kerntätigkeit des Unternehmens in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt.
Die DSGVO und das BDSG-neu knüpfen die Benennungspflicht für einen Datenschutzbeauftragten also an verschiedene, niedrigschwellige Voraussetzungen.
02. Wer darf im Unternehmen die Rolle des Datenschutzbeauftragten wahrnehmen?
Mitarbeiter*innen in bestimmten Positionen sind nach aktueller Auffassung nicht für die Bestellung zum internen Datenschutzbeauftragten geeignet. Konkret ist zu prüfen, welche Aufgaben ein Mitarbeiter*in im Unternehmen übernimmt und welche Weisungsbefugnis mit der Aufgabenstellung einher geht. Verallgemeinert gilt, dass für folgenden Unternehmenspositionen ein Interessenskonflikt nicht ausgeschlossen werden kann:
- Geschäftsleistung, z.B. Vorstand oder Geschäftsführer
- Betriebsleiter
- EDV-Leiter
- Personal-Leitung
- Geldwäschebeauftragte
Neben dem Ausschluss eines möglichen Interessenkonfliktes wird erwarten, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, welches er auf dem Gebiet des Datenschutzes besitzt.
03. Wir sind ein kleines Unternehmen und benötigen keinen Datenschutzbeauftragten - was müssen wir trotzdem beachten?
Auch ohne Datenschutzbeauftragten müssen sämtliche Vorgaben wie z.B.
- Erstellung der Pflichtdokumentation
- Umsetzung der Betroffenen-Rechte
- Umsetzung der Pflichten des Verantwortlichen
- Einhaltung der Grundsätze der Verarbeitung
- Gewährleistung der Sicherheit der Verarbeitung
vollständig erfüllt werden.
04. Als Privatperson muss ich von der DSGVO nicht berücksichtigen, oder?
05. Gelten alle Anforderungen auch für Information, die nicht in einem IT-System verarbeitet werden?
Grundsätzlich gilt, dass personenbezogene Daten losgelöst vom Speichermedium zu schützen sind.
06. Was sind Öffnungsklauseln?
07. Wer kontrolliert die Einhaltung der DSGVO?
n der DSGVO wurden 3 Kontrollstufen angelegt:
- Eigenkontrolle
Die betroffene Person übt Ihre Rechte aus.
Sie kann Auskunft über gespeicherte Daten beantragen und ggf. Berichtigung, Löschung, Sperrung oder eine Portierung erwirken. - Selbstkontrolle
Der Verantwortliche (Unternehmen / Verein) hat die Verantwortung, dass die Verarbeitung personenbezogener Daten nur entsprechen dem Datenschutz erfolgt und organisiert hierfür eine datenschutzsichere Verfahren. Unterstützt wird das Unternehmen hierbei durch den Datenschutzbeauftragten sowie durch die Mitarbeiter*innen, die wertvolle Hinweise zu potentiellen Datenschutzverletzungen liefern können. - Fremdkontrolle
Der Staat kontrolliert die Einhaltung durch die jeweils zuständigen Landesbehörden. Die Datenschutz-Aufsichtsbehörde kann unzulässige Verfahren beanstanden, Bußgelder verhängen und Strafanträge stellen.
08. Welche Konsequenzen hat die Nichteinhaltung für mein Unternehmen?
Datenschutz ist der Schutz von Grundrechten für die Betroffenen (Recht auf informationelle Selbstbestimmung). Neben der öffentlichen Wahrnehmung, einem Reputationsverlust bzw. Schädigung ihrer Markenstrategie können im Fall einer Datenschutzverletzung Strafgelder und Schadensersatzleistungen auf Ihr Unternehmen zukommen.
- Ordnungswidrigkeiten
= vorsätzliche oder fahrlässige Datenschutzverstöße eines Verantwortlichen.
Die Bußgeldandrohung ist massiv und beträgt bis zu 20 Millionen EUR oder 4% des weltweit erzielten (Konzern-) Umsatzes. - Schadensersatzpflichten
entstehen für das Unternehmen, wenn eine betroffene Person durch unzulässig oder unrichtige Datenerhebung, Verarbeitung oder Nutzung einen Schaden erleidet. Dies kann auch ein immaterieller Schaden sein.
09. Ich suche Informationen zum betrieblichen Datenschutz (Mitarbeiterdaten) – finde in der DSGVO aber nichts?
Ergänzend zur DSGVO enthält das neue Bundesdatenschutzgesetz (BDSG) zusätzliche Vorschriften. Die Neuregelungen im BDSG n.F. entsprechen weitgehend den bisherigen Vorschriften
10. Darf mein Arbeitgeber ohne meine Einwilligung Bilder von mir im Internet veröffentlichen?
Da der Verantwortliche seine – sich aus dem Arbeitsvertrag ergebenen – Verpflichtungen auch ohne die Veröffentlichung Ihres Bildnisses nachkommen kann, kann sich dieser (bei der Veröffentlichung von Bildern) nicht auf den Arbeitsvertrag berufen.
Soweit Ihr Arbeitgeber sich nicht auf ein eigenes berechtigtes Interesse beruft – und hierzu in einer Risikoabwägung belastbar dargelegt hat, dass er seine Interessen nicht über die Interessen des Arbeitsnehmers stellt – benötigt ihr Arbeitgeber Ihre Einwilligung.