Zum Inhalt springen

FAQ

Hier finden Sie die am häufigsten gestellten Fragen (Frequently Asked Questions) zum Thema Datenschutz.

Informieren Sie sich hier über die wichtigsten Fragen des Datenschutzes hier!

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung: Nutzen Sie dazu unser Kontaktformular.

Die Antworten finden Sie per Mausklick auf die entsprechende Frage.

Häufig gestellte Fragen

Die Aufgaben der oder des Datenschutzbeauftragten ergeben sich aus Art. 39 DSGVO:

Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;

Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;

Außerdem übernimmt der Datenschutzbeauftragte in Abstimmung mit der Geschäftsleitung die Kommunikation mit der Aufsichtsbehörde.

Das BDSG-neu schreibt die Bestellung des Datenschutzbeauftragten vor, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.“ (§38 BDSG-neu).

Aber auch falls das nicht zutrifft müssen die einschlägigen Vorschriften eingehalten werden. Hier sind die Meldepflicht von Datenpannen (Art. 33 DSGVO), die Nachweispflicht (Art. 24 DSGVO)  und die Vorschriften zur Auftragsdatenverarbeitung (Art. 28f DSGVO) besonders zu nennen. Letztere gelten auch schon für Dienstleister, die unternehmenseigene EDV-Systeme "nur" warten. Unabhängig von der Größe der beteiligten Unternehmen.

Es ist gleichgültig, ob Sie die Stelle des Datenschutzbeauftragten intern oder extern besetzen. Die Bestellung eines CAPCAD-Experten als externen Datenschutzbeauftragten bringt Ihnen den Vorteil, dass Sie sich auf Ihre Aufgaben konzentrieren können und wir uns um den Datenschutz kümmern.

Der Datenschutzbeauftragte muss über eine entsprechende berufliche und datenschutzrechtliche Qualifizierung verfügen (Art. 37 Abs.5 DSGVO). Außerdem dürfen weitere Aufgaben und Pflichten im Unternehmen zu keinen Interessenskonflikten mit seiner Tätigkeit als DSB führen (Art. 38 Abs.6 DSGVO). Der Datenschutzbeauftragte ist der zuständigen Aufsichtsbehörde zu melden. Diese kann im Zweifel der Ernennung widersprechen.

Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zur Fachkunde gehören neben umfassenden Kenntnissen im IT-Bereich auch gute juristische und organisatorische Kenntnisse. Das bedeutet, dass die grundsätzlichen sowie bereichsspezifischen datenschutzrechtlichen Regelungen sicher angewandt werden können.

Kenntnisse über Datenverarbeitung und ein Mindestmaß an technischem Verständnis sollten es einer oder einem Datenschutzbeauftragten ermöglichen, Aufbau, Funktionsweise und Anforderungen der eingesetzten Datenverarbeitungssysteme, -verfahren und -netze soweit zu beurteilen, dass Datenschutz- und Datensicherheitsmaßnahmen vorgeschlagen, bewertet und geprüft werden können.

Des Weiteren sollten Datenschutzbeauftragte mit den Aufgaben, der Arbeitsweise und den betrieblichen Datenströmen sowie der Organisationsstruktur des Unternehmens besonders vertraut sein, um ihren Beratungs- und Kontrollaufgaben nachkommen zu können.

Die erforderliche Fachkunde kann beispielsweise durch den Besuch von Fortbildungsveranstaltungen - ausnahmsweise im Einzelfall auch nach Aufnahme der Tätigkeit einer oder eines Datenschutzbeauftragten - erworben werden. Eine Prüfung oder Zertifizierung ist gesetzlich nicht vorgeschrieben. Entscheidend ist, dass die ausgewählte Person tatsächlich befähigt ist, die die Aufgabe als Datenschutzbeauftragten wahrzunehmen.

Neben der charakterlichen Eignung gehört hierzu auch, dass es bei der Ausübung der Tätigkeit der oder des Datenschutzbeauftragten nicht zu einer Interessenkollision mit ihrem bzw. seinem sonstigen Aufgabenbereich im Unternehmen kommt. Es gilt das Grundprinzip, dass die zu Kontrollierenden nicht selbst die Kontrolle ausüben dürfen. Daraus ergibt sich, dass die Leitung sowie Beschäftigte der Personal- und EDV-Abteilung nicht gleichzeitig Datenschutzbeauftragte sein können. Daneben ist auch die Bestellung von Betriebsratsvorsitzenden kritisch zu sehen. Betriebsräte wirken auch bei Personalentscheidungen mit und haben in diesem Rahmen umfassenden Zugang zu den personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter, so dass ein Interessenkonflikt nicht ausgeschlossen werden kann.

Datenschutzbeauftragte sind schriftlich von der Unternehmensleitung zu bestellen, die Beschäftigten des Unternehmens und die Aufsichtsbehörde sind über die Bestellung zu informieren.

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürliche Person, z.B.

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail Adresse
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Vorstrafen
  • genetische Daten und Krankendaten
  • biometrische Daten
  • Werturteile wie zum Beispiel Zeugnisse
  • auch IP-Adressen (laut der juristischen Mehrheitsmeinung)

Dabei ist die technische Form dieser Angaben nicht von Bedeutung. Auch Fotos, Videoaufnahmen, Röntgenbilder oder Tonbandaufnahmen können personenbezogene Daten enthalten.

Um Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Bestimmbar ist eine Person, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann.

Die Angaben müssen sich auf einen Menschen beziehen (lassen). Einzelangaben über juristische Personen, wie zum Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, z.B. bei der GmbH einer Einzelperson oder bei einer Einzelfirma, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen.

Nein. Bei den Mitgliedern der Leitung einer verantwortlichen Stelle fehlt es an einer klaren Trennung zwischen den Aufgaben der Stelle und der oder des Datenschutzbeauftragten und somit an der notwendigen Unabhängigkeit bei der Wahrnehmung der Aufgabe als Datenschutzbeauftragte oder Datenschutzbeauftragter. Gleiches gilt für die Leiter(innen) der Personalabteilung und der IT-Abteilung.

Von einer Verarbeitung von Daten im Auftrag, oder kurz Auftragsdatenverarbeitung (ADV) spricht man - im Sinne der Datenschutzgrundverordnung (DSGVO)- in aller Regel dann, wenn die verantwortliche Stelle einen externen Dienstleister mit der Verarbeitung von personenbezogenen Daten beauftragt. Trifft dies zu, ist eine Vereinbarung hinsichtlich des Datenschutzes zu treffen, deren Inhalte  durch den Art. 28 DSGVO vorgegeben sind. Ohne eine solche Vereinbarung ist die Verarbeitung nicht zulässig.

Auch Dienstleistungen, die vermeintlich nicht unter die DSGVO fallen, sind hiervon betroffen. Jede (Fern-)Wartung und Prüfung von EDV-Systemen ist mit der Verarbeitung von personenbezogenen Daten gleichgestellt, da hier im Rahmen der Tätigkeit Zugriff auf personenbezogene Daten erlangt werden könnte.

Mit in Kraft treten der Datenschutz-Grundverordnung muss jeder Datenschutz-Vorfall, bei dem ein Nachteil für die Betroffenen nicht ausgeschlossen werden kann, innerhalb einer Frist von 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Dabei ist es unerheblich, ob eine Verletzung der Vertraulichkeit absichtlich oder unabsichtlich, intern oder gegenüber Dritten erfolgt ist (Art. 33 DSGVO). Nicht zuletzt wegen der Höhe der drohenden Bußgelder sind Unternehmen gut beraten, Maßnahmen zu ergreifen, durch die die Einhaltung der Meldefrist bei Datenpannen sichergestellt wird.

Die Datenschutz-Grundverordnung fordert, dass bereits bei der Entwicklung neuer Technologien zur Verarbeitung personenbezogener Daten datenschutzgerechte Grundeinstellungen berücksichtigt werden müssen. Unternehmen sind damit verpflichtet, bereits bei der Technikgestaltung datenschutzfreundliche Voreinstellungen vorzunehmen und dies auch entsprechend zu dokumentieren (Art.25 DSGVO).

Nehmen Sie Kontakt mit uns auf!