Datenschutzbeauftragter
Wer kommt als Datenschutzbeauftragter nicht in Betracht
Zum Datenschutzbeauftragten dürfen daher nicht bestellt werden: Inhaber, Vorstände, Geschäftsführer und sonstige gesetzliche oder verfassungsmäßig berufene Leiter und Personen, die in dieser Funktion in Interessenkonflikte geraten könnten (z.B.: Leiter der EDV, IT- Admin, Personalleiter, Personen mit leitenden Aufgaben in Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten). Auch externe Rechtsanwälte unterliegen einem Interessenkonflikt als externer DSB, wenn sie für das Unternehmen als Anwalt tätig sind und gleichzeitig die Aufgabe des externen Datenschutzbeauftragten übernehmen!
Wird eine der vorgenannten Personen bestellt, liegt keine wirksame Bestellung als Datenschutzbeauftragter vor. Aus Gründen möglich Interessenkollisionen sind auch Bestellungen von engeren Verwandten zu vermeiden. Eine zuverlässige Funktionserfüllung setzt außerdem voraus, dass ausreichend Zeit zur Erfüllung der Aufgabe als Datenschutzbeauftragter zur Verfügung steht. (Die „Zeit“ ist das größte Problem der meisten internen Datenschutzbeauftragten!)
Neue Gesetzgebung
- BDSG ist schon seit 2009 verpflichtend eingeführt
- Für eine Nicht- oder Scheinbestellung des DSB sieht das BDSG ein Bußgeld von 50.000 EUR vor. Bei fahrlässig unbefugter Erhebung und Verarbeitung personenbezogener Daten sind bis zu 300.000 EUR Strafe möglich (§42 BDSG)
- Fazit für Geschäftsleitung: Strafen werden nicht durch eine „Directors and Officers“ Versicherung abgedeckt.
- Anscheinend kümmert es bisher wenige?
- Neu: IT-Sicherheitsgesetz
- Neu: Europäische Datenschutzverordnung
- Rel. Neu: IT-Sicherheitskatalog
- BSI, Landesämter und EU rüsten auf – Personal, Finanzmittel, Equipment
Zusammenhänge
Bedeutende Rechtszusammenhänge
Eine Reihe von Datenschutzstraftaten sind im BDSG unter Strafe gestellt (vgl. § 44 BDSG). Daneben sind folgende Vorschriften von Bedeutung:
Zurechnung fremden Verschuldens | Erfüllungsgehilfe (§278 BGB) | Verrichtungsgehilfe (§831 BGB) | Organe (§31 BGB) GF / Vorstand.. |
Verletzung von Privatgeheimnissen /ärztliche Schweigepflicht, (§203 StGB) | Verletzung von Dienstgeheimnissen (§353b StGB) | Verletzung des Steuergeheimnisses (§353 StGB) | Verstöße gegen Sozialgesetzbuchs (§85 SGB X), (SGB) | Verrat von Betriebs und Geschäfts- geheimnissen nach (§17 UWG) |
Generelle Gefahren im Bereich der Datensicherheit
Gefahren:
Aufgrund der im Unternehmen eingesetzten Hard- und Softwarekomponenten sowie der Komplexen Struktur des Unternehmens, ist eine Gefahr hierbei generell nicht auszuschließen.
Es ist u.a. der menschliche Faktor sowie die Faktoren der Umwelt zu berücksichtigen!
Fehlverhalten:
der externen Stellen die Daten aufgrund der Übermittlung erhalten / zweckgebunden Verstoß gegen das BDSG herbeiführen von Straf- und Bußgeldvorschriften im Hinblick auf das Bundesdatenschutzgesetz (BDSG) sowie anderer relevanter Gesetze.
|
|
Vorghensweise "Erste Schritte"
- Einsicht in das Organigramm des Unternehmens, Workflow des Unternehmens erstellen
- IT- Struktur (Netzwerkpläne, Ablaufpläne)
- interne Strukturen einsehen, SOP (Standard Operation Procedures)
- Arbeitsabläufe der einzelnen Abteilungen (Dokumente anfordern)
- Arbeitsanweisungen (Dokumente anfordern)
- OM- Handbuch, Managementhandbuch, IT- Dokumentationen
- Verträge mit Dienstleistern einsehen, ggf. erstellen (Lieferanten, Provider usw.)
- Bestehende Dienstanweisungen bzw. Betriebsvereinbarungen, Arbeitsanweisungen einsehen ggf. ändern
- aktueller Handelsregisterauszug (Unternehmenszweck)
- Meldevordruck zu automatisierten Verarbeitung nach § 4e BDSG
- Vorabkontrolle der einzelnen Verfahren durchführen
- Einsicht der Unterlagen aus den jeweiligen Fachbereichen sowie aus dem OM- Handbuch
- Löschungsfristen- Pflichten einsehen nach §247 HGB und §147 AO
- Die Unterlagen sind seitens der Unternehmensleitung sowie der Verantwortlichen Abteilung dem Datenschutzbeauftragten (DSB) zu übergeben. (Bringschuld des Unternehmens laut § 4g BDSG)
Themen des Datenschutzes
- Aufgaben des DSB
- Benötigte Informationen zur Aufgabenerfüllung
- Öffentliches Verfahrensverzeichnis / Datenschutzerklärung
- Private Nutzung von Internet / E-Mail / Telefon
- Datenübermittlung – Ausland
- Datenverarbeitung durch Dritte / Fremdfirmen
- Funktionsübertragung (FÜ)
- Auftragsdatenverarbeitung (ADV)
- Ergänzende Informationen zur Datenübermittlung
- Datenschutz international
- Verfahrensmeldepflicht
- Dokumentationspflicht
Aufgaben des DSB
Was muss der Datenschutzbeauftragte (DSB) nach dem Bundesdatenschutzgesetz (BDSG) für das Unternehmen erstellen, vornehmen, prüfen bzw. umsetzen?