Heute setzt sich das Management aktiv mit dem Thema Datenschutz auseinander

Sind mindestens 20 Mitarbeiter regelmäßig mit der automatisierten Datenverarbeitung (Erhebung und Nutzung) beschäftigt, muss das Unternehmen einen Datenschutzbeauftragten benennen (gemäß DSGVO).

Wenn Ihr Unternehmen besondere Arten von personenbezogenen Daten verarbeitet (Bspw: politische/religiöse Überzeugung, Ethnie, Gesundheit, etc.), oder die Kerntätigkeit Ihres Unternehmen in der Erhebung, Verarbeitung, Nutzung oder Übermittlung von personenbezogenen Daten liegt, gelten die Anforderungen unabhängig von der Anzahl der Mitarbeiter

Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten verarbeiten, unabhängig von der Unternehmensgröße. Die Umsetzung des Datenschutzes in der Praxis hängt von verschiedenen Parametern ab (z.B. Ausrichtung des Unternehmens, B2B oder B2C, Branche, Art der Verarbeitungen, etc.) und muss individuell beurteilt werden. 

Die wichtigsten Fähigkeiten eines Datenschutzbeauftragten sind:

• IT-Kenntnisse und Kenntnisse in der Informationssicherheit
• Fachkunde (Datenschutzrecht und Datenschutzpraxis) nachweisbar
• Betriebswirtschaftliche Kenntnisse
• Juristische Kenntnisse
• Unabhängigkeit und Zuverlässigkeit

Zum Datenschutzbeauftragten eines Unternehmens ist geeignet, wer die berufliche Qualifikation und die Fähigkeit besitzt, um angedachten Aufgaben ordnungsgemäß erfüllen zu können (Art. 37 Abs. 5 DSGVO).

Die Überwachung der Einhaltung der DSGVO gehört zu den Kernaufgaben des Datenschutzbeauftragten (Art. 39 Abs. 1 lit. B DSGVO). Er hat das Unternehmen zu unterrichten, sollte es zu einem Verstoß gegen die DSGVO kommen. Dabei hat der Datenschutzbeauftragte keine Exekutivfunktion. 

Auftragsverarbeiter ist nach Art. 4 Abs. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h., mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar. Verantwortlicher ist gemäß Art. 4 Abs. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Hierbei kommt es maßgeblich auf die Entscheidung über die Verarbeitungszwecke an.

Die zentrale Vorschrift für Auftragsverarbeiter in der DSGVO ist Art. 28, wonach dem Verantwortlichen gemäß Absatz 1 vor Auftragsvergabe zunächst eine Prüfung der Datenschutzzuverlässigkeit des Auftragsverarbeiters auferlegt wird. Der Verantwortliche darf sich danach nur solcher Auftragsverarbeiter bedienen, die hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz anwenden, so dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet. Zum Beleg solcher Garantien können auch genehmigte Verhaltensregeln des Auftragsverarbeiters nach Art. 40 DSGVO oder Zertifizierungen nach Art. 42 DSGVO als Faktoren herangezogen werden. In jedem Fall muss der Verantwortliche mit dem Auftragsverarbeiter einen Vertrag gemäß Art. 38 Abs. 3 DSGVO über die weisungsgebundene Tätigkeit schließen, der schriftlich oder in einem elektronischen Format abgefasst sein kann.

Ein wesentlicher Bestandteil der DSGVO ist der Grundsatz der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO. Das Unternehmen ist verpflichtet Nachweise erbringen zu können, dass die DSGVO im Unternehmen umgesetzt wird. Um dies zu erfüllen ist eine Basis-Datenschutzdokumentation erforderlich. Weiterhin gibt es Dokumente, die das Unternehmen vorhalten muss. Ein mandatorisches Dokument ist das Verzeichnis der Verarbeitungstätigkeiten. In diesem Dokument wird beschrieben, wie personenbezogene Daten im Unternehmen verarbeitet werden. Die genauen Inhalte ergeben sich aus Art. 30 DSGVO. 

Zu Datenschutzverletzungen kann es aus verschiedenen Gründen kommen (z.B. technischer Fehler, menschlicher Fehler, Angriff von außen, etc.). 

Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese an die zuständige Datenschutzaufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.  Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Daher ist es unabdingbar, dass das Unternehmen Prozesse einführt, die sicherstellen, dass Datenschutzverletzungen erkannt, intern gemeldet und evaluiert werden. 

Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. Aber auch der Katalog von weniger gewichtigen Verstößen (Art. 83 Abs. 4) führt Geldbußen von bis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs an, je nachdem, welcher der Beträge höher ist. Bußgelder können auch dann verhängt werden, wenn keine oder eine verspätete Meldung ohne schlüssige Begründung erfolgt. Weiterhin ist es möglich durch ein implementiertes und nachweisbares Datenschutzmanagementsystem mögliche Bußgelder zu verringern. 

Häufig stellt sich die Frage, ob eine Videoüberwachung mit den Regelungen des Datenschutzes vereinbar ist. Grundsätzlich ist eine Videoüberwachung aus Datenschutzsicht zulässig, wenn einige Punkte berücksichtigt werden. Die Anforderungen an die Einrichtung und den Betrieb von Videoüberwachungsanlagen richten sich in der Regel nach Art. 6 Abs. 1 lit. f DSGVO, der eine Abwägung zwischen den berechtigten Interessen des Verantwortlichen mit den Grundrechten und Grundfreiheiten der betroffenen Personen fordert. Zudem sind die Anforderungen an die Transparenz (Art. 5 Abs. 1 lit. a, Artt. 12 lit. f DSGVO), die Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) sowie die Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) zu beachten.

Die Datenschutzaufsichtsbehörden kontrollieren die DSGVO-konforme Erhebung und Verarbeitung personenbezogener Daten von Unternehmen und öffentlich-rechtlichen Einrichtungen. Die Zuständigkeit ist abhängig von dem Unternehmen bzw. der Institution, das/die Ihre Daten verarbeitet. Unterschieden wird zwischen dem Bundesbeauftragten für Datenschutz (BfDI), den Landesdatenschutzbehörden und den spezifischen Datenschutzbehörden.

So ist der BfDI unter anderem zuständig, wenn folgende Stellen überprüft werden sollen:

• Bundesbehörden und öffentliche Stellen des Bundes
• Telekommunikationsunternehmen
• Postdienstleistungsunternehmen
• bundesweite gesetzliche Kranken- und Pflegekassen

Im Gegensatz dazu sind die Landesdatenschutzbehörden die zuständigen Aufsichtsbehörden für die DSGVO, wenn es um folgende Institutionen geht:

• zugehörige Landesbehörden
• öffentliche Stellen des Landes oder einer Kommune
• Unternehmen, die nicht in die Zuständigkeit des BfDI fallen

In Deutschland gibt es aktuell 16 Landesdatenschutzbehörden.

Bei einigen Institutionen existieren Datenschutzbeauftragte, die anstelle vom Bundesbeauftragten für Datenschutz oder den Landesdatenschutzbehörden zuständig sind. Bekannte Beispiele sind die Kirchendatenschutzbeauftragten oder die Rundfunkdatenschutzbeauftragten für den öffentlich-rechtlichen Rundfunk (ARD, ZDF etc.).

Zusätzlich gibt es die deutsche Datenschutzkonferenz (DSK), also die Arbeitsgruppe der Datenschutzaufsichtsbehörden von Bund und Ländern, die regelmäßig Anwendungshinweise veröffentlicht.