2. Zulassung als Rechtsanwalt seit 03/2003
TÜV Süd zertifizierter Datenschutzbeauftragter (DSB-TÜV) seit 2012
Video-Trainer bei LinkedIn Learning / Microsoft (ehem. video2brain) seit 2012
Vorstandsmitglied des Webmasters Europe e.V. seit 09/2010
Mitglied im Expertenrat des Webmasters Europe e.V. seit 03/2019
Fachautor & Dozent seit 1997
05.09.2019Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich2
Michael Rohrlich
Rechtsanwalt
3. Agenda
05.09.2019Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich3
1. Einführung
2. Wer braucht einen Datenschutzbeauftragten?
3. Stellung des Datenschutzbeauftragten
4. Aufgaben des Datenschutzbeauftragten
5. Haftung des Datenschutzbeauftragten
5. 5 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Einführung
Wer oder was ist ein Datenschutzbeauftragter eigentlich?
in Art. 4 DSGVO werden über 20 Begriffe definiert, mit Ausnahme des „Datenschutzbeauftragten“
in Art. 37-39 DSGVO werden Benennung, Stellung & Aufgaben des DSB geregelt
DSB erwähnt in ErwGr 97:
„In Fällen, in denen die Verarbeitung [...] durch einen Verantwortlichen erfolgt, [...], sollte der Verantwortliche oder
der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von
einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren
verfügt, unterstützt werden.“
6. 6 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Einführung
Wer oder was ist ein Datenschutzbeauftragter eigentlich?
auch im BDSG keine genauere Definition der DSB-Tätigkeit
§§ 5, 38 BDSG regeln lediglich Details zum DSB von öffentlichen bzw. nicht-öffentlichen Stellen
DSB ist kein geschützter / reglementiert Beruf… manche sagen eher eine „Berufung“
7. 7 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Einführung
Checkliste DSB:
Punkt 1: Prüfung der DSB-Pflicht
Punkt 2: Auswahl des DSB (Eignung, Fachkunde, keine Interessenskonflikte)
Punkt 3: Benennung des DSB (intern oder extern, schriftlich)
Punkt 4: Meldung des DSB bei der zuständigen Aufsichtsbehörde
Punkt 5: frühzeitig Einbindung des DSB bei allen Verarbeitungstätigkeiten von personenbezogenen Daten
aber: auch wer keinen DSB benötigt muss alle anderen Datenschutzpflichten erfüllen!
9. 9 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Wer braucht einen Datenschutzbeauftragten?
Datenschutzbeauftragter (DSB) in Unternehmen:
Wer muss einen DSB benennen?
2-stufige Prüfung der DSB-Pflicht für Unternehmen
Öffnungsklausel in Art. 37 Abs. 4 S. 1 DSGVO:
„In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter [...] einen
Datenschutzbeauftragten benennen [...].“
dt. Regelungen in §§ 5, 38 BDSG
10. 10 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Wer braucht einen Datenschutzbeauftragten?
Datenschutzbeauftragter (DSB) in Unternehmen:
Prüfung Stufe 1 / Art. 37 Abs. 1 DSGVO:
DSB-Pflicht, wenn…
die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (Ausnahme: Gerichte),
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von
Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine
umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung
besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche
Verurteilungen und Straftaten gemäß Art. 10 besteht
11. 11 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Wer braucht einen Datenschutzbeauftragten?
Datenschutzbeauftragter (DSB) in Unternehmen:
„Kerntätigkeit“?
Tätigkeit, mit der Unternehmen am Markt auftreten (Branche, Hauptbetätigungsfeld)
keine Kerntätigkeit daher z.B. Personalverwaltung, Marketing, Video-Überwachung des Firmenparkplatzes…
Pflicht zur Benennung eines DSB danach z.B. nur für spezielle „sensible“ Branchen, wie z.B. Detektivbüro, Online-
Werbenetzwerk, Krankenhaus oder IT-Dienstleister für Gesundheitssektor
12. 12 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Wer braucht einen Datenschutzbeauftragten?
Datenschutzbeauftragter (DSB) in Unternehmen:
Prüfung Stufe 2 / § 38 Abs. 1 BDSG (Unternehmen):
DSB-Pflicht bei…
Verantwortlichen, bei denen mind. 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener
Daten befasst sind,
Datenverarbeitungen, für die eine Pflicht zur DSFA besteht,
geschäftsmäßiger Übermittlung von Daten (z.B. Adresshändler) oder
Markt- / Meinungsforschung
zukünftig wird die Grenze bei 20 Personen liegen!
13. 13 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Wer braucht einen Datenschutzbeauftragten?
Datenschutzbeauftragter (DSB) in Unternehmen:
„ständig mit Datenverarbeitung befasst“?
nach wie vor strittig, aber wohl eng auszulegen
in der Praxis sollten alle Mitarbeiter gezählt werden, egal ob Voll- oder Teilzeitbeschäftigte, Praktikanten, Azubis,
freie Mitarbeiter etc.
ausgenommen sind i.d.R. nur solche Mitarbeiter, die keinerlei Zugang zu Datenverarbeitungssystemen haben, wie
z.B. Reinigungspersonal, Lager- / Fabrikarbeiter o.ä.
aber: es kommt immer auf den Einzelfall an!
14. 14 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Wer braucht einen Datenschutzbeauftragten?
Datenschutzbeauftragter (DSB) in öffentlichen Stellen / Behörden:
Brauchen Behörden einen DSB?
simple Antwort: ja, immer
vgl. § 5 BDSG:
„Öffentliche Stellen benennen […] einen Datenschutzbeauftragten. Dies gilt auch für öffentliche Stellen […], die am
Wettbewerb teilnehmen.“
auch gem. Art. 37 Abs. 1 lit. a) DSGVO
15. 15 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Wer braucht einen Datenschutzbeauftragten?
Datenschutzbeauftragter (DSB) :
Neue Pflichten bzgl. DSB:
Veröffentlichung der Kontaktdaten des DSB (z.B. in Online-Datenschutzerklärung)
Mitteilung der Kontaktdaten an zuständige Aufsichtsbehörde (i.d.R. über Online-Meldeformular)
Name des DSB muss nicht zwingend angegeben werden (ggü. Aufsichtsbehörde wohl schon)
generische E-Mail-Adresse empfehlenswert (z.B. datenschutz@xyz.de)
16. 16 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Wer braucht einen Datenschutzbeauftragten?
18. 18 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Stellung des Datenschutzbeauftragten
Welche Stellung hat ein DSB?
DSB ist weisungsfrei, aber nicht weisungsbefugt
DSB berichtet unmittelbar der höchsten Management- / Führungsebene
Betroffene können sich mit Fragen / Problemen an DSB wenden
DSB unterliegt Geheimhaltungspflicht
DSB darf aufgrund seiner Stellung nicht abberufen oder benachteiligt werden
19. 19 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Stellung des Datenschutzbeauftragten
Was ist sonst noch zu beachten?
DSB ist ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden
Fragen einzubinden
Gewährung des Zugangs zu personenbezogenen Daten bzw. zu Verarbeitungsvorgängen
Unterstützung des DSB durch Bereitstellen der erforderlichen Ressourcen für Erfüllung seiner Aufgaben sowie zur
Erhaltung seines Fachwissens
20. 20 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Stellung des Datenschutzbeauftragten
Ressourcen für internen DSB (falls möglich & sinnvoll) z.B.
eigener Arbeitsplatz / Computer
separater E-Mail-Account
Möglichkeit zur sicheren Ablage von Unterlagen (separater Aktenschrank, separater Datei-Ordner bzw. Laufwerk…)
ausreichende Fachliteratur (Bücher, Zeitschriften, Online-Datenbanken…)
ausreichendes DSB-Zeitbudget neben eigentlicher Tätigkeit
Ermöglichen der Teilnahme an Fortbildungen zur Entwicklung bzw. Aufrechterhaltung der Fachkunde
21. 21 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Stellung des Datenschutzbeauftragten
Anforderungen an den DSB
Fähigkeit zur Erfüllung seiner Aufgaben
keine Interessenskollision
beruflichen Qualifikation
Fachwissen in Datenschutzrecht & Datenschutzpraxis
ext. DSB: Nachweis einholen vor Benennung
int. DSB: i.d.R. Aufbau des Fachwissens
22. 22 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Stellung des Datenschutzbeauftragten
mögliche Interessenskollisionen bei…
Mitgliedern der Geschäftsführung / Behördenleitung
Leitern der Abteilungen Personal, Buchhaltung, Revision, Recht, IT…
Geldwäschebeauftragten
ggf. Betriebsrats- / Personalratsmitgliedern (strittig)
ext. IT-Dienstleister
Wirtschaftsprüfer
Steuerberater
„Haus- und Hof-Anwalt“
24. 24 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Aufgaben des Datenschutzbeauftragten
DSB-Tätigkeit (Art. 39 Abs. 2 DSGVO):
DSB trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend
Rechnung, wobei er folgendes berücksichtigt:
• Art,
• Umfang,
• Umstände und
• Zwecke der Datenverarbeitung
25. 25 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Aufgaben des Datenschutzbeauftragten
DSB-Aufgaben (Art. 39 Abs. 1 DSGVO):
Unterrichtung und Beratung des Verantwortlichen / Auftragsverarbeiters und der Beschäftigten bzgl. ihrer
datenschutzrechtlichen Pflichten
Überwachung der Einhaltung des Datenschutzrechts sowie der Strategien des Verantwortlichen /
Auftragsverarbeiters für den Schutz personenbezogener Daten einschl. der Zuweisung von Zuständigkeiten, der
Sensibilisierung und Schulung der Mitarbeiter und der diesbezüglichen Überprüfungen
Beratung bzgl. DSFA und Überwachung ihrer Durchführung (auf Anfrage)
ggf. Zusammenarbeit mit der Aufsichtsbehörde
Tätigkeit als Anlaufstelle für Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen
26. 26 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Aufgaben des Datenschutzbeauftragten
keine DSB-Aufgaben mehr:
Erstellen / Führen de Verarbeitungsverzeichnisses
Prüfung / Umsetzung der TOM
Durchführung einer DSFA
DSB wird i.d.R. nur noch beratend tätig
28. 28 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Haftung des Datenschutzbeauftragten
Grundsätzlich:
Sanktionen von Aufsichtsbehörden nie ggü. DSB, sondern immer ggü. verantwortlicher Stelle bzw. ggf. auch ggü.
vertretungsberechtigten Personen des Verantwortlichen (z.B. GmbH-Geschäftsführer, Behördenleitung…)
Verantwortung für Einhaltung des Datenschutzes liegt bei verantwortlicher Stelle, nicht beim DSB
DSB hat nur Beratungs- und Kontrollfunktion
29. 29 Der Datenschutzbeauftragte: Auch für kleine Unternehmen hilfreich 05.09.2019
Haftung des Datenschutzbeauftragten
Haftung des DSB?
i.d.R. keine Haftung des DSB
nur bei nachgewiesenem Pflichtverstoß (Fehler mit adäquatem Schaden), z.B. erkannter, aber nicht bemängelter
Datenschutzverstoß, fehlerhafte Infos in Mitarbeiterschulung…
int. DSB: Haftung nach arbeits- / dienstrechtlichen Grundlagen („Haftungsquart“ / Amtshaftung)
ext. DSB: Haftung nach allg. Regeln (Möglichkeit zur vertraglichen Vereinbarung)
30. Vielen Dank
In Kürze in Ihrer Mediathek
▪ Video-Aufzeichnung der Online-Schulung
▪ Fragen- & Antworten-Dokument
03.07.2019DSGVO in der Praxis: Das müssen Unternehmer beachten30
Klicken Sie hier, um Ihre Teilnahmebestätigung anzufordern.
31. Falls Sie keine Zeit haben weiter zuzuhören, dann verpassen Sie trotzdem nichts:
In Ihrer Mediathek finden Sie eine Zusammenstellung aller Fragen und Antworten.
Zeit für Ihre Fragen
03.07.2019DSGVO in der Praxis: Das müssen Unternehmer beachten31
32. Weitere Online-Schulungen,
die Sie interessieren könnten
Die optimale
Zusammenarbeit mit dem
Steuerberater
Lohnzusatzleistungen –
mehr Netto vom Brutto
Abmahnung und
verhaltensbedingte
Kündigung:
Grundlagenwissen mit
Praxisbeispielen
Elektronische
Rechnungen -
rechtssichere
Einführung in der Praxis
Di, 09.07.2019, 09:00 Uhr Fr, 12.07.2019, 09:00 Uhr Mi, 17.07.2019, 10:00 Uhr Mi, 24.07.2019, 09:00 Uhr
ca. 80 Min. ca. 80 Min. ca. 80 Min. ca. 80 Min.
49,95 € 49,95 € 49,95 € 49,95 €
59,44 € inkl. MwSt. 59,44 € inkl. MwSt. 59,44 € inkl. MwSt. 59,44 € inkl. MwSt.
Zur Schulung Zur Schulung Zur Schulung Zur Schulung