Die Datenschutzgrundverordnung DSGVO: Ich habe eine Firma.
Die folgenden Informationen dienen vorrangig dem Interesse meiner Kunden.
Hier wird die Sache komplizierter.
Schlicht, weil wahrscheinlich auch Sie mit einem Computer z.B. personenbezogene Daten Ihrer Kunden bearbeiten.
Diese Kunden haben jetzt stärkere Rechte in Sachen Datenschutz - wie auch Sie selbst.
Auf Nachfrage müssen Sie Auskunft darüber geben, was Sie mit den Daten ihrer Kunden machen.
Oder auf die gestärkten Bürgerrechte Rücksicht nehmen, z.B. beim Löschen oder Ändern von Daten.
Versetzen Sie sich einfach in die Lage Ihrer Kunden, die ab jetzt mehr Rechte haben (wie auch Sie selbst:).
Brauche ich einen Datenschutzbeauftragten?
Mit Blick auf die Mehrheit meiner Kunden bin ich der Meinung:
Nein.
Ob Sie:
- selbst der Ansprechpartner in Sachen Datenschutz sind
- oder einen Datenschutzbeauftragten beschäftigen
- bzw. einen externen Datenschutzbeauftragten benennen,
das hängt von der Größe Ihrer Firma ab und von dem, was Sie da machen.
Grundsätzlich rate ich dazu, im konkreten Fall eine zweite Meinung einzuholen.
Am Besten eine kompetente Meinung wie die eines zertifizierten Datenschutzbeauftragten.
Allgemein gilt:
Sie müssen gemäß Art. 37 DSGVO, Abs. 1: Benennung eines Datenschutzbeauftragten auf jeden Fall einen Datenschutzbeauftragten benennen, wenn Sie
- eine Behörde oder öffentliche Stelle sind
- wenn Ihre Tätigkeiten eine "umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen"
- wenn Sie eine umfangreiche Verarbeitung besonderer Kategorien betreiben ("rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen" etc.) oder "personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten" verarbeiten (was z.B. einer meiner Kunden macht).
Die oben genannten Angaben werden ergänzt durch das Bundesdatenschutzgesetz:
§ 38 BDSG: Datenschutzbeauftragte nicht-öffentlicher Stellen
Dort heißt es wortwörtlich, dass Sie einen Datenschutzbeauftragten brauchen, wenn Sie
in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen
.
Anders gesagt: Keinen Datenschutzbeauftragten müssen Sie benennen, wenn Sie z.B.
- einen Verein haben und selbst die Daten von 1.000 Mitgliedern pflegen,
- oder stattdessen 9 Mitarbeiter mit den Daten von 100.000 Mitgliedern beschäftigen,
- oder 1.000 fleißige Asiaten das Telefonbuch abtippen lassen.
Wenn Sie aber stattdessen im Landeskriminalamt tätig sind und dort mit Hilfe der "Rasterfahndung" die Daten deutscher Staatsbürger systematisch durchforsten - dann brauchen Sie unbedingt einen Datenschutzbeauftragten!
Oder wenn Sie personenbezogene Daten mit Straftatbezug oder biometrische Daten verarbeiten (oder Videoüberwachungen durchführen). Dann sollten Sie einen Datenschutzbeauftragten zu Rate ziehen, den Sie wahrscheinlich auch brauchen werden - und dann wird es richtig kompliziert...
Die 10-Mitarbeiter-Grenze
Die Bedenkenträger und DSGVO-Geschäftemacher sind mit ihrem Bangemachertum einfach nicht unterzukriegen.
Zur Sache:
Die DSGVO spricht von der Notwendigkeit von "Datenschutzbeauftragten nichtöffentlicher Stellen" in § 38. Dort heißt es wörtlich, "soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten" beschäftigt sind.
DSGVO-Gewerbler erklären, dass "ständig" irgendwie jeden betrifft.
So sagt z.B. die Rechtsanwältin
Yvonne Bachmann:
"10-Mitarbeiter-Grenze führt regelmäßig zur Pflicht".
Zur Klärung verweise ich 1. auf den Duden, der "ständig" als "[fast] ununterbrochen wiederkehrend" definiert und 2. auf Jan Philipp Albrecht, der versucht, die Sache zu klären: "Einen Datenschutzbeauftragten muss man nur bestellen, wenn mindestens zehn Mitarbeiter*innen (nicht Ehrenamtliche) als Kerntätigkeit, also quasi in Vollzeit, persönliche Daten verarbeiten."
Fragen und Antworten
Wenn Sie wissen wollen, was so an Fragen auf Sie zukommen kann (oder welche Fragen Sie selbst stellen können), dann interessiert Sie vielleicht die "c't-Fassung von Framstags freundlichem Folterfragebogen" (ct5F), den Ihnen der Artikel DSGVO: Folterfragebogen im Selbsttest als Download-Link zur Verfügung stellt.
Wenn Sie wissen wollen, wie Sie selbst auf solche Anfragen reagieren können, dann hilft Ihnen hoffentlich die Beispielantwort des Justitiars des heise-Verlages.
Antwortfristen
Eine Antwort auf Fragen zum Datenschutz sollte innerhalb von 4 Wochen erfolgen.
Im Rahmen einer schriftlichen Begründung kann diese Frist um weitere 8 Wochen verlängert werden.
Auftragsdatenverarbeitung
Sie sind verpflichtet zu prüfen, ob Sie personenbezogene Daten mit anderen Unternehmen austauschen oder nicht.
Wenn das der Fall sein sollte, dann müssen Sie mit diesem Unternehmen eine Auftragsdatenverarbeitung abschließen.
Leider sind Behörden nicht nur mit dem Datenschutz heillos überfordert, sondern auch mit ihren Webangeboten.
Stand 12.2018 bot die "Landesbeauftragte für den Datenschutz Niedersachsen" eine solche Mustervereinbarung online an:
Auftragsverarbeitung nach Art. 28 DS-GVO
Anforderungen und ein Verzeichnis von Verarbeitungstätigkeiten
Mit der DSGVO verbunden sind leider noch weitere Pflichten für manche Unternehmer.
Von der Pflicht der Erstellung einer Liste von Anforderungen und Verarbeitungstätigkeiten werden die meisten meiner Kunden erfreulicher Weise befreit sein.
Denn der "Bundesbeauftragte für den Datenschutz und die Informationsfreiheit" sagt in Hinweise zum Verzeichnis von Verarbeitungstätigkeiten in klaren Worten in "5. Ausnahmen: Stellen mit weniger als 250 Beschäftigten":
Kein Verzeichnis von Verarbeitungstätigkeiten müssen nach Art. 30 Abs. 5 DS-GVO
Verantwortliche und Auftragsverarbeiter mit weniger als 250 Mitarbeitern führen, es sei denn ...
Es sei denn, die von Ihnen erhobenen Daten beinhalten:
- "ein Risiko für die Rechte und Freiheiten der betroffenen Personen"
- oder Religionsdaten, Gesundheitsdaten ... oder über strafrechtliche Verurteilungen und Straftaten
- oder erfolgen "nicht nur gelegentlich"
Das "Bayerische Landesamt für Datenschutzaufsicht" veröffentlicht freundlicher Weise Beispiele für Kleinunternehmen.
Daran mag verwirren, dass diese Beispielunternehmen typischer Weise die genannten Punkte 1., 2. und 3. nicht erfüllen und ebenso typisch "weniger als 250 Mitarbeitern" haben.
Damit sollten sie von der Pflicht befreit sind, ein Verzeichnis von Verarbeitungstätigkeiten führen zu müssen.
Solche Widersprüche sind symptomatisch für "Unwuchten" der DSGVO, die beim Versuch der Konkretisierung durch Kommentare und "working papers" sichtbar werden.
Z.B. weil eine justitiable Deutung der gegensätzlichen Begriffe nicht nur gelegentlich
und regelmäßig
sich nur langsam zeigt.
Deswegen lautet meine persönliche Empfehlung: Erstellen Sie trotzdem ein "Verzeichnis von Verarbeitungstätigkeiten".
Nicht weil Sie es unbedingt müssen, sondern weil Sie es können:)
Das hört sich schlimmer an, als es ist - und es dauert nur ein paar Minuten.
Perfekt ist es, wenn Sie einmal im Jahr einen kontrollierenden Blick darauf werfen und das auf den Dokumenten vermerken.
Damit sind Sie für das Thema sensibilisiert und gut vorbereitet, wenn Sie jemals mit Fragen konfrontiert werden.
Deswegen verweise ich nochmals auf das "Bayerische Landesamt für Datenschutzaufsicht" und seine hilfreichen Beispiele für verschiedene Kleinunternehmen: Handreichungen für kleine Unternehmen und Vereine
Orientieren Sie sich
- an einem der "Anforderungen für ..."-pdfs und
- an einem der "Musterverzeichnis der Verarbeitungstätigkeiten für ..."-pdfs
- und korrigieren Sie die Beispielangaben, so dass diese für Sie passen.
Wenn das BayLDA für ein Beispielgewerbe kein Musterverzeichnis anbietet, dann nehmen Sie einfach ein anderes:)
Wenn Sie jemals auf die "Anforderungen der DSGVO" oder ein "Verzeichnis von Verarbeitungstätigkeiten" angesprochen werden sollten, dann können Sie mit den beiden Dokumenten zeigen, dass Sie sich im erforderlichen Maße mit der Sache beschäftigt haben.
Zum besseren Verständnis:
- In einem kleinen Unternehmen ist meist der Inhaber für Fragen des Datenschutzes zuständig.
- Die "wesentlichen DS-GVO-Anforderungen" bestehen in den Beispielen des "Bayerischen Landesamtes für Datenschutzaufsicht" aus exemplarischen 10 ja/nein-Fragen, die Sie locker in 2 Minuten beantworten können. Orientieren Sie sich an dem Beispiel, das am besten zu Ihnen passt.
- Das "Verzeichnis von Verarbeitungstätigkeiten" ist da schon abschreckender, denn da soll auf einem Blatt beschrieben werden, was in Sachen Daten getan wird und wer es tut. Orientieren Sie sich auch hier an einem passenden Beispiel und Sie haben das evtl. in 30 Minuten erledigt.
Interne und öffentliche Verfahrensverzeichnisse
Ein Beispiel dafür, weshalb an so vielen Fronten Verwirrung herrscht.
Im Internet finden sich viele sachliche Beiträge dazu, aber Sie werden schwerlich herausfinden, ob Sie als Firmenbetreiber ein "Verfahrensverzeichnis" brauchen oder nicht.
Deswegen auch hier gleich mal eine Klarstellung:
In
Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO
steht eingangs unmissverständlich: Die bisher als Verfahrensverzeichnis, Verfahrensbeschreibung oder Dateibeschreibung bekannten Dokumentationspflichten
(§ 4g Abs. 2 Satz 1 Bundesdatenschutzgesetz (BDSG) bzw. jeweiliges Landesdatenschutzgesetz) werden hinfällig.
.
Deutlicher geht es nicht - dennoch wird da draußen ein Haufen Verwirrung gestiftet:
Z.B. betreibt die "intersoft consulting services AG" unter der Webadresse "datenschutzbeauftragter-info.de" ein Blog, in dem der Beitrag Öffentliches Verfahrensverzeichnis: Muster-Vorlage zum Download beispielhaft auf eine GmbH abzielt, obwohl ein "öffentliches Verfahrensverzeichnis" gar nicht mehr benötigt wird.
Obendrein dürfte auch die Aussage verunsichern, dass Sie als evtl. Betroffene angeblich sowohl ein internes wie auch ein öffentliches Verfahrensverzeichnis anlegen müssen, obwohl Sie keines von beiden mehr brauchen.
Im selben Webangebot
Verzeichnis von Verarbeitungstätigkeiten - Infos & Tipps zur Umsetzung,
heißt es obendrein wörtlich:
Es wird also nicht mehr zwischen internen und öffentlichen Verzeichnissen unterschieden.
Stimmt, weil beide "hinfällig" geworden sind.
Doch es wird noch schlimmer:
Hinter der amtlich wirkenden Webadresse "dsgvo-vorlagen.de" steht eine "DeinData UG". Dort heißt es, dass Sie ein "Verfahrensverzeichnis nach DSGVO" auch dann führen müssen, wenn "keine automatische Verarbeitung" erfolgt.
Und dass es unter Umständen eine Ausnahme für Unternehmen gibt, die weniger als 250 Mitarbeiter beschäftigen.
Zusätzlich verwirren Begriffskombinationen wie "Verfahrensverzeichnis nach DSGVO", wo doch die DSGVO in Artikal 30 unmissverständlich von einem "Verzeichnis von Verarbeitungstätigkeiten" spricht.
Da entsteht der Eindruck: "nichts Genaues weiß man nicht" und nach meinen Erfahrungen werden Sie dazu selbst von Rechtsanwälten und zertifizierten Dienstleistern seltenst verbindliche Aussagen erhalten.
Meine persönliche Meinung und Empfehlung:
Lesen Sie bitte einfach mal die Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO...
... ansonst gilt aus meiner Sicht:
- als großes mittelständisches Unternehmen haben Sie auch einen Hausjustiziar, der sich darum kümmern soll
- als kleineres Unternehmen kümmern Sie sich um Ihre Webseite sowie die "Anforderungen und Verarbeitungstätigkeiten"
Datenschutzkonforme Datenverarbeitung
Wer sich für Details und Hintergründe der Umsetzung von Datenschutz-Vorgaben im Unternehmen interessiert, kann von den Leitfäden des "Arbeitskreises Datenschutz des Bitkom" profitieren: Datenschutzkonforme Datenverarbeitung nach der EU-Datenschutz-Grundverordnung.
Die schlimmsten Befürchtungen nehmen Ihnen vielleicht die Ausführungen in Details und Hintergründe: Verschwörungstheorien.