Datenschutzbeauftragter

Zum Datenschutzbeauftragten dürfen daher nicht bestellt werden: Inhaber, Vorstände, Geschäftsführer und sonstige gesetzliche oder verfassungsmäßig berufene Leiter und Personen, die in dieser Funktion in Interessenkonflikte geraten könnten (z.B.: Leiter der EDV, IT- Admin, Personalleiter, Personen mit leitenden Aufgaben in Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten). Auch externe Rechtsanwälte unterliegen einem Interessenkonflikt als externer DSB, wenn sie für das Unternehmen als Anwalt tätig sind und gleichzeitig die Aufgabe des externen Datenschutzbeauftragten übernehmen!

Wird eine der vorgenannten Personen bestellt, liegt keine wirksame Bestellung als Datenschutzbeauftragter vor. Aus Gründen möglich Interessenkollisionen sind auch Bestellungen von engeren Verwandten zu vermeiden. Eine zuverlässige Funktionserfüllung setzt außerdem voraus, dass ausreichend Zeit zur Erfüllung der Aufgabe als Datenschutzbeauftragter zur Verfügung steht. (Die „Zeit“ ist das größte Problem der meisten internen Datenschutzbeauftragten!)

  • BDSG ist schon seit 2009 verpflichtend eingeführt
  • Für eine Nicht- oder Scheinbestellung des DSB sieht das BDSG ein Bußgeld von 50.000 EUR vor. Bei fahrlässig unbefugter Erhebung und Verarbeitung personenbezogener Daten sind bis zu 300.000 EUR Strafe möglich (§42 BDSG)
  • Fazit für Geschäftsleitung: Strafen werden nicht durch eine „Directors and Officers“ Versicherung abgedeckt.
  • Anscheinend kümmert es bisher wenige?
  • Neu: IT-Sicherheitsgesetz
  • Neu: Europäische Datenschutzverordnung
  • Rel. Neu: IT-Sicherheitskatalog
  • BSI, Landesämter und EU rüsten auf – Personal, Finanzmittel, Equipment

Eine Reihe von Datenschutzstraftaten sind im BDSG unter Strafe gestellt (vgl. § 44 BDSG). Daneben sind folgende Vorschriften von Bedeutung:

Zurechnung fremden Verschuldens Erfüllungsgehilfe (§278 BGB) Verrichtungsgehilfe (§831 BGB) Organe (§31 BGB) GF / Vorstand..
Verletzung von Privatgeheimnissen /ärztliche Schweigepflicht, (§203 StGB) Verletzung von Dienstgeheimnissen (§353b StGB) Verletzung des Steuergeheimnisses (§353 StGB) Verstöße gegen Sozialgesetzbuchs (§85 SGB X), (SGB) Verrat von Betriebs und Geschäfts- geheimnissen nach (§17 UWG)

Gefahren:

Aufgrund der im Unternehmen eingesetzten Hard- und Softwarekomponenten sowie der Komplexen Struktur des Unternehmens, ist eine Gefahr hierbei generell nicht auszuschließen.

Es ist u.a. der menschliche Faktor sowie die Faktoren der Umwelt zu berücksichtigen!

Fehlverhalten:
der externen Stellen die Daten aufgrund der Übermittlung erhalten / zweckgebunden Verstoß gegen das BDSG herbeiführen von Straf- und Bußgeldvorschriften im Hinblick auf das Bundesdatenschutzgesetz (BDSG) sowie anderer relevanter Gesetze.

    Interne Gefahren

  • Datenverlust
  • Datenmissbrauch durch Mitarbeiter
  • Datenmanipulation
  • Fahrlässigkeit der Mitarbeiter
  • Nichtbeachtung der Maßnahmen
    Externe Gefahren

  • Industriespionage
  • Externe Mitarbeiter / Dienstleister
  • Ausspähung
  • Datenmanipulation
  • Fahrlässigkeit, Viren
  • Einsicht in das Organigramm des Unternehmens, Workflow des Unternehmens erstellen
  • IT- Struktur (Netzwerkpläne, Ablaufpläne)
  • interne Strukturen einsehen, SOP (Standard Operation Procedures)
  • Arbeitsabläufe der einzelnen Abteilungen (Dokumente anfordern)
  • Arbeitsanweisungen (Dokumente anfordern)
  • OM- Handbuch, Managementhandbuch, IT- Dokumentationen
  • Verträge mit Dienstleistern einsehen, ggf. erstellen (Lieferanten, Provider usw.)
  • Bestehende Dienstanweisungen bzw. Betriebsvereinbarungen, Arbeitsanweisungen einsehen ggf. ändern
  • aktueller Handelsregisterauszug (Unternehmenszweck)
  • Meldevordruck zu automatisierten Verarbeitung nach § 4e BDSG
  • Vorabkontrolle der einzelnen Verfahren durchführen
  • Einsicht der Unterlagen aus den jeweiligen Fachbereichen sowie aus dem OM- Handbuch
  • Löschungsfristen- Pflichten einsehen nach §247 HGB und §147 AO
  • Die Unterlagen sind seitens der Unternehmensleitung sowie der Verantwortlichen Abteilung dem Datenschutzbeauftragten (DSB) zu übergeben. (Bringschuld des Unternehmens laut § 4g BDSG)
  • Aufgaben des DSB
  • Benötigte Informationen zur Aufgabenerfüllung
  • Öffentliches Verfahrensverzeichnis / Datenschutzerklärung
  • Private Nutzung von Internet / E-Mail / Telefon
  • Datenübermittlung – Ausland
  • Datenverarbeitung durch Dritte / Fremdfirmen
  • Funktionsübertragung (FÜ)
  • Auftragsdatenverarbeitung (ADV)
  • Ergänzende Informationen zur Datenübermittlung
  • Datenschutz international
  • Verfahrensmeldepflicht
  • Dokumentationspflicht

Was muss der Datenschutzbeauftragte (DSB) nach dem Bundesdatenschutzgesetz (BDSG) für das Unternehmen erstellen, vornehmen, prüfen bzw. umsetzen?