Wir begleiten Sie durch das Audit für die DSGVO
und betreuen Sie als Datenschutzbeauftragter

Gerald Oswald
Zertifizierter Datenschutzbeauftragter

Gerne übernehme ich für Sie die Aufgabe des Datenschutzbeauftragten in Ihrem Unternehmen. Wir erstellen für Sie die nötigen Verzeichnisse und Formulare wie zum Beispiel das Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Verpflichtung von Beschäftigten, Verträge zur Auftragsverarbeitung, Datenschutz-Folgeabschätzung, Hinweisbeschilderung zur Videoüberwachung und vieles mehr. Kurz gesagt, „ich kümmere mich um Sie„!

Bayerisches Landesamt für Datenschutzaufsicht

Hausanschrift
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 27 (Schloss)
91522 Ansbach

Erreichbarkeit
Telefon: +49 (0) 981 53 1300
Telefax: +49 (0) 981 53 98 1300
E-Mail: poststelle@lda.bayern.de

Zum Beschwerdeformular

Weiterbildungen / Schulungen

Diese FAQ stellt keine Rechtsberatung, im Sinne des Rechtsdienstleistungsgesetzes, dar.
Wir empfehlen immer die Konsultation eines Rechtsanwaltes. Wir hegen weder Anspruch darauf, vollständig noch fehlerfrei zu sein.

Wann wird ein Datenschutzbeauftragter benötigt?

Die EU DS-GVO legt für bestimmte Konstellationen unmittelbar die Pflicht zur Bestellung eines Datenschutzbeauftragten fest (Art. 37 Abs.1). In Ergänzung zur EU DS-GVO legt darüber hinaus das BDSG-neu weitere Konstellationen fest (§38).

BDSG-Neu
„…soweit Sie in der Regel min. 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“

„Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutzfolgeabschätzung nach Art. 35 der Verordnung (EU) 2016/679 unterliegen oder verarbeiten Sie personenbezogene Daten geschäftsmäßig…haben Sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen.“

Welche Konzepte zum Datenschutz sind zwingend notwendig?

Grundlegende Konzepte des technischen Datenschutzes sind:

1. Clean-Desk-Policy
2. IT-Sicherheitskonzept
3. Berechtigungskonzept
4. Passwortrichtlinien
5. Datensicherungskonzept
6. Kryptografiekonzept
7. Fernwartungskonzept
8. Löschkonzept
9. Wieder-Anlauf-Konzept
10. Konzept für Leasing- und Mietgeräte
11. Mobile Device Konzept
12. Konzept für Home-Office-Arbeitsplätze
13. Etc.s.

Wer sorgt für Datenschutz?

Geschäftsführer
Die Geschäftsführung unterliegt einer besonderen Verantwortung bei der Umsetzung des Datenschutzes. Dies gilt nicht für die Haftung der Geschäftsführung, sondern auch für das Erstellen und Transportieren einer Datenschutzkultur im eigenen Unternehmen sowie jeglicher Geschäftsbeziehungen. Hier müssen Entscheidungen getroffen werden, Budgets berücksichtigt und Richtlinien definiert werden.

Mitarbeiter
Der Verantwortliche (Geschäftsführung) hat die, bei der Verarbeitung von personenbezogenen Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz vertraut zu machen. Hier ist ein wichtiger Baustein die Fortbildung der entsprechende Mitarbeiter. Dies kann u. a. auch durch Ihren Datenschutzbeauftragten (durch Belehrung und Schulung) geschehen. Nur wenn die Mitarbeiter sensibilisiert wurden und über das notwendige Wissen verfügen, kann ein Datenschutz auch konsequent abgebildet werden.

Datenschutzbeauftragter
Der Datenschutzbeauftragte hat Pflichtaufgaben zu erfüllen, die sich aus der EU DS-GVO herleiten lassen. Er ist für die Organisation und Überwachung zuständig, allerdings obliegen die Entscheidungen zur Ergreifung von Maßnahmen dem Verantwortlichen. Er ist in seiner Funktion weisungsfrei und darf keinem Interessenskonflikt unterliegen.

Wer ist Ansprechpartner für Betroffene?

Die EU DS-GVO betont die Funktion des Datenschutzbeauftragten (DSB) als Anlaufstelle für Betroffene (betroffene Personen). Betroffene haben das Recht, den DSB zu allen Fragen „zu Rate zu ziehen“, die mit „der Verarbeitung Ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte“ gemäß der EU DS-GVO im Zusammenhang stehen (Art. 38 Abs. 4 EU DS-GVO).

Damit Betroffene diese Kontaktmöglichkeit nutzen können, muss der Verantwortliche bzw. der Auftragsverarbeiter die „Kontaktdaten des DSB“ veröffentlichen (siehe Art. 37 Abs. 7 EU DS-GVO).

Wann ist die Verarbeitung von personenbezogenen Daten rechtmäßig?

Eine Verarbeitung von personenbezogenen Daten ist nur rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist:

1. Die betroffene Person hat ihre Einwilligung erteilt
2. Die Verarbeitung ist notwendig um einen gemeinsamen Vertrag zu erfüllen
3. Die Verarbeitung ist zur rechtlichen Erfüllung notwendig
4. Die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte des Betroffenen, die dem Datenschutz unterliegen, überwiegen

In der täglichen Praxis wird es in den allermeisten Fällen um die Punkte 1-3 gehen. Bei Punkt 1 ist wieder wichtig, dass der Verantwortliche nachweisen muss, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten freiwillig eingewilligt hat!

Wenn man die Einwilligung schriftlich abfragt, muss die Formulierung in einfacher verständlicher Sprache geschrieben sein und in leicht zugänglicher Form vorliegen. Das gilt selbstverständlich auch für das Recht auf Widerruf dieser Einwilligung.

Welche gesetzliche Grundlagen gibt es?

Gesetzliche Grundlagen des Datenschutzes

Datenschutzgesetze und Verordnungen
• EU-DSGVO
• BDSG (alt & neu) (Deutschland)
• DSG 2018 (Österreich)

Andere Gesetze
• TMG
• TKG
• BetrVG

Was sind personenbezogene Daten?

Personenbezogene Daten (Art. 4, Abs. 1)

Definiert Daten die eine natürliche Person direkt identifizieren (Vorname, Name) oder Daten die eine natürliche Person identifizierbar machen. Z. B. unter der Hinzunahme / Kombination anderer Daten. Also z. B. Adressen.


Besondere Kategorien personenbezogener Daten (Art. 9)

Die DSGVO definiert so genannte besondere Kategorien personenbezogener Daten. Darunter werden Daten verstanden aus denen
• die rassische und ethnische Herkunft
• politische Meinungen
• religiöse oder weltanschauliche Überzeugungen
• die Gewerkschaftszugehörigkeit hervorgeht,

sowie durch die Verarbeitung von
• genetischen Daten
• biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person
• Gesundheitsdaten
• Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Was sind die Ziele des Datenschutzes?

Viele der folgenden Ziele verbinden technische und organisatorische Maßnahmen. Dabei greifen diese wie Zahnräder ineinander. Das Erreichen einzelner Ziele ist zudem meist ohne die Erreichung anderer Ziele überhaupt nicht möglich.

• Authentizität
• Datensparsamkeit
• Integrität
• Intervenierbarkeit
• Nichtverkettbarkeit
• Privacy by Design / Privacy by Default
• Verbindlichkeit
• Verfügbarkeit
• Vertraulichkeit
• Zurechenbarkeit