Suche

Bitte mit Enter bestätigen

DSGVO-Praxisreihe: Folge 3

Datenschutzbeauftragter und Datensicherheit

Datenschutzbeauftragter

Gegebenenfalls ist ein Datenschutzbeauftragter zu ernennen. Sollte dies ein Mitarbeiter sein, sind arbeitsrechtliche Anpassungen vorzunehmen.

Nach der DSGVO ist ein Datenschutzbeauftragter unter bestimmten Voraussetzungen zu benennen, z.B. wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 Nr. 2 DSGVO). 

Kerntätigkeit: Kerntätigkeiten sind Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie entscheidend sind und nicht bloß routinemäßige Verwaltungsaufgaben darstellen. 

Keine Kerntätigkeit dürfte demgegenüber vorliegen bei der Analyse von Kundendaten neben dem Kerngeschäft des Vertriebes von Waren, um Produktvorschläge ggü. den Kunden machen zu können.

Der Unternehmern muss sicherstellen, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält (Art. 38 Abs. 3 DSGVO). Es müssen ausreichend personelle, finanzielle und zeitliche Ressourcen zur Verfügung gestellt werden. 

Ergänzend zur DSGVO benennen der Verantwortliche und der Auftragsverarbeiter eine Daten­schutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen; § 38 Abs. 1 BDSG nF.

ToDos des Verantwortlichen zur Ernennung des Datenschutzbeauftragten (DSB):

  • Prüfung, ob ein Datenschutzbeauftragter ernannt/bestellt werden muss (10 Personen im Unternehmen?)
  • Festlegung, ob es ein Mitarbeiter (dann entsprechende Anpassung des Arbeits­vertrages) oder ein externer Datenschutzbeauftragter sein soll (dann entsprechende Beauftragung)
  • Daten des Datenschutzbeauftragten an den Landesdatenschutzbeauftragten melden
  • Kontaktdaten des Datenschutzbeauftragten in der Datenschutz­erklärung und Kundeninformation benennen
 

Datensicherheit

Nach Art. 32 Abs. 1 DSGVO treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen der Verantwortliche geeignete technische und organi­sa­torische Maßnahmen, um ein dem Risiko 
angemessenes Schutzniveau zu gewährleisten.

Hierbei müssen Schwachstellen erkannt und behoben werden (bspw. Datensparsamkeit, Datenrichtigkeit, Rechtmäßigkeit, Löschfristen, Zugriffsrechte und Zugangskontrollen). 

Zudem müssen technische und organisatorische Maßnahmen („TOMs“) zum Schutz der Daten getroffen werden (bspw. Verschlüsselung, Stabilität und Wiederherstellbarkeit; ggfs. auch Cyberriskversicherung).


Übersicht der Datensicherungsmaßnahmen / TOMs

  • Zugangskontrolle: Bspw. durch Sicherheitsschlösser
  • Datenträgerkontrolle: Idealerweise mit VPN-Tunnel arbeiten
  • Speicher-, Benutzer und Zugriffskontrolle: Bspw. durch Passwortrichtlinien, Protokollierungen, Festlegung der Berechtigungen, Differenzierung zwischen Lesen/Löschen/Ändern
  • Übertragungskontrolle: Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
  • Transportkontrolle: Schutz der Daten durch Festlegung der Abläufe
  • Wiederherstellbarkeit und Schutz: Bspw. Backup, Firewall, Virenschutz, unabhängige Systeme oder entsprechend ausgestatteter Serverraum
 

Weitere Folgen unserer DSGVO-Praxisreihe finden Sie hier:


    E-Book „DSGVO-Praxisguide“

     

    Beispiele und eine praktische Checkliste finden Sie in unserem kostenlosen E-Book „DSGVO-Praxisguide“, der Ihnen hier zum Download bereitsteht.

    E-Book laden
     

    Autor
    • Tim Günther
      Tim Günther berät in Fragen des gewerblichen Rechtsschutzes und des Versicherungsrechts und vertritt Angehörige der freien Berufe in berufsrechtlichen Angelegenheiten.
      mehr ...