FAQ aktuell

Grundsätzlich kann jeder Mitarbeiter*in die Rolle des internen Datenschutzbeauftragten wahrnehmen, soweit es durch die Benennung nicht zum Interessenskonflikt kommt.

Mitarbeiter*innen in bestimmten Positionen sind nach aktueller Auffassung nicht für die Bestellung zum internen Datenschutzbeauftragten geeignet. Konkret ist zu prüfen, welche Aufgaben ein Mitarbeiter*in im Unternehmen übernimmt und welche Weisungsbefugnis mit der Aufgabenstellung einher geht. Verallgemeinert gilt, dass für folgenden Unternehmenspositionen ein Interessenskonflikt nicht ausgeschlossen werden kann:

• Geschäftsleistung, z.B. Vorstand oder Geschäftsführer
• Betriebsleiter
• EDV-Leiter
• Personal-Leitung
• Geldwäschebeauftragte

Neben dem Ausschluss eines möglichen Interessenkonfliktes wird erwarten, dass der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, welches er auf dem Gebiet des Datenschutzes besitzt.

Die Tatsache, dass Ihr Unternehmen keinen Datenschutzbeauftragten benennen muss ist nicht damit gleichzusetzten, dass Ihr Unternehmen sich nicht um den Datenschutz kümmern muss.

Auch ohne Datenschutzbeauftragten müssen sämtliche Vorgaben wie z.B.

• Erstellung der Pflichtdokumentation
• Umsetzung der Betroffenen-Rechte
• Umsetzung der Pflichten des Verantwortlichen
• Einhaltung der Grundsätze der Verarbeitung
• Gewährleistung der Sicherheit der Verarbeitung

vollständig erfüllt werden.

Sofern Sie personenbezogene Daten ausschließlich für private Zwecke verarbeiten, stellt die DSGVO keine weiteren Anforderung an Sie. Sollten Sie hingegen personenbezogene Daten (Informationen zu Personen, Bilder oder Kontaktdaten) auf Ihrer Internetseite oder in den sozialen Medien veröffentlichen, haben Sie den privaten Bereich verlassen, so dass auch hier die DSGVO für Sie greift.

Das Thema Datenschutz stellt in erster Linie sicher, dass das Grundrecht auf informationelle Selbstbestimmung gewahrt bleibt. Hierbei ist es nicht weiter relevant, ob personenbezogene Daten durch ein IT-System oder beleggebunden verarbeitet wird.
Grundsätzlich gilt, dass personenbezogene Daten losgelöst vom Speichermedium zu schützen sind.

Die sogenannten Öffnungsklauseln räumen den EU-Ländern bei der Umsetzung der Verordnung (EU) 2016/679 (DSGVO) in nationales Recht gewisse Möglichkeiten zu Konkretisierung oder zur Nutzung von Optionen ein. Die auf nationaler Ebene vereinbarten Konkretisierungen dürfen die Regelungen der DSGVO hierbei jedoch nicht „aufweichen“. Daher verwendet die EU-Kommission bevorzugt den Begriff „Konkretisierungsklauseln“, da der Begriff „Öffnungsklauseln“ implizieren könnte, dass hierunter Regelungen erlassen werden, die den Regelungen der DSGVO widersprechen.

n der DSGVO wurden 3 Kontrollstufen angelegt:

• Eigenkontrolle
  Die betroffene Person übt Ihre Rechte aus.
  Sie kann Auskunft über gespeicherte Daten beantragen und ggf. Berichtigung, Löschung, Sperrung oder eine Portierung erwirken.
• Selbstkontrolle
  Der Verantwortliche (Unternehmen / Verein) hat die Verantwortung, dass die Verarbeitung personenbezogener Daten nur entsprechen dem Datenschutz erfolgt und organisiert hierfür eine datenschutzsichere Verfahren. Unterstützt wird das Unternehmen hierbei durch den Datenschutzbeauftragten sowie durch die Mitarbeiter*innen, die wertvolle Hinweise zu potentiellen Datenschutzverletzungen liefern können.
• Fremdkontrolle
  Der Staat kontrolliert die Einhaltung durch die jeweils zuständigen Landesbehörden. Die Datenschutz-Aufsichtsbehörde kann unzulässige Verfahren beanstanden, Bußgelder verhängen und Strafanträge stellen.

Datenschutz ist der Schutz von Grundrechten für die Betroffenen (Recht auf informationelle Selbstbestimmung). Neben der öffentlichen Wahrnehmung, einem Reputationsverlust bzw. Schädigung ihrer Markenstrategie können im Fall einer Datenschutzverletzung Strafgelder und Schadensersatzleistungen auf Ihr Unternehmen zukommen.

• Ordnungswidrigkeiten
  = vorsätzliche oder fahrlässige Datenschutzverstöße eines Verantwortlichen.
  Die Bußgeldandrohung ist massiv und beträgt bis zu 20 Millionen EUR oder 4% des weltweit erzielten (Konzern-) Umsatzes.
• Schadensersatzpflichten
  entstehen für das Unternehmen, wenn eine betroffene Person durch unzulässig oder unrichtige Datenerhebung, Verarbeitung oder Nutzung einen Schaden erleidet. Dies kann auch ein immaterieller Schaden sein.

Die DSGVO regelt die grundsätzlichen Eingangsvoraussetzungen, um die Verarbeitung von personenbezogenen Daten vornehmen zu können. Mit der Einführung und Umsetzung der DSGVO wurde jedoch weiterhin kein konkretes Beschäftigtendatenschutzgesetz eingeführt.

Ergänzend zur DSGVO enthält das neue Bundesdatenschutzgesetz (BDSG) zusätzliche Vorschriften. Die Neuregelungen im BDSG n.F. entsprechen weitgehend den bisherigen Vorschriften

Für jede Verarbeitung von personenbezogenen Daten benötigt der Verantwortliche eine rechtliche Grundlage. Im Rahmen eines arbeitsvertraglichen Verhältnisses kann und muss der Verantwortliche eine Vielzahl an personenbezogenen Daten verarbeiten, um den Verpflichtungen aus dem Arbeitsvertrag nachkommen zu können.

Da der Verantwortliche seine – sich aus dem Arbeitsvertrag ergebenen – Verpflichtungen auch ohne die Veröffentlichung Ihres Bildnisses nachkommen kann, kann sich dieser (bei der Veröffentlichung von Bildern) nicht auf den Arbeitsvertrag berufen.

Soweit Ihr Arbeitgeber sich nicht auf ein eigenes berechtigtes Interesse beruft – und hierzu in einer Risikoabwägung belastbar dargelegt hat, dass er seine Interessen nicht über die Interessen des Arbeitsnehmers stellt – benötigt ihr Arbeitgeber Ihre Einwilligung.