Kanzlei Nickert //images.kanzleinickert.de/nickert-logo-fb.jpg KANZLEI NICKERT | Rechtsanwälte und Steuerberater, Offenburg, kompetent in Rechts-, Steuerberatung, Finanz-, Lohnbuchhaltung, spezialisiert auf Branchen Bau, Handel und Industrie. info@kanzlei-nickert.de
Rammersweierstraße 120 77654 Offenburg

kanzlei nickert logo

header-tax-blog-recht

Freitag, 11 Mai 2018 08:08

FAQs zum Datenschutz: Grundpflichten für Unternehmer

Jeder Unternehmer speichert Daten, wie z. B. Name, Anschrift, Kommunikationsdaten, Bankverbindung von Kunden oder Mitarbeitern. So fällt praktisch jedes Unternehmen in den Anwendungsbereich der Datenschutzverordnung (DSGVO) sowie den des Bundesdatenschutzgesetzes (BDSG).
Sie sind als Unternehmer damit Verantwortlicher im datenschutzrechtlichen Sinn.

In Zusammenhang mit der DSGVO und der Neufassung des BDSG gehen wir in diesem Beitrag insbesondere auf die Pflicht der Benennung eines Datenschutzbeauftragten sowie die Informationspflichten nach Art. 13 DSGVO ein.

1. Muss der Unternehmer einen Datenschutzbeauftragten benennen?

Eine Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) kann sich sowohl aus der DSGVO als auch nach dem BDSG ergeben. Hierzu kann der Verantwortliche oder auch der Auftragsverarbeiter, der Daten nach Weisung des Verantwortlichen verarbeitet, verpflichtet sein.

Die Benennung eines DSB kann unabhängig von der Anzahl der im Unternehmen mit der Datenverarbeitung beschäftigten Personen erforderlich sein, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in Datenverarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung von Personen erfordern.

Dies betrifft nicht nur private Sicherheitsunternehmen, sondern soll jede Form der Verfolgung und Profilerstellung im Internet umfassen, auch die zu Zwecken der verhaltensbasierten Werbung – z. B. Treueprogramme, Standortverfolgung durch Mobilanwendungen oder vernetzte Geräte, wie intelligente Haustechnik.

Einen Datenschutzbeauftragten braucht aber auch derjenige, dessen Kerntätigkeit in der Verarbeitung besonders sensibler Daten besteht oder eng mit dieser verbunden ist, wie z. B. bei Gesundheitsberufen.

Soweit also z. B. ein Unternehmen sensible Daten (Religionszugehörigkeit, Gesundheitsdaten usw.) nur im Rahmen der Lohnbuchhaltung verarbeitet oder Standard-IT-Verarbeitungen vornimmt (Betrieb einer Webseite mit Auswertung der Besuche), stellt die Verarbeitung der personenbezogenen Daten keine Kerntätigkeit des Unternehmens dar.

Als weitere Voraussetzung müsste in den oben genannten Fällen jeweils eine umfangreiche Datenverarbeitung vorliegen. Dies ist nach den Umständen des Einzelfalls anhand des Datenvolumens, der geografischen Ausdehnung, der Anzahl der betroffenen Personen und der Dauer oder Permanenz der Verarbeitungstätigkeit zu ermitteln.

Nach ErwgGr. 91 DSGVO soll es sich bei einer Verarbeitung von Patienten- oder Mandantendaten durch einen einzelnen allein tätigen Berufsträger regelmäßig nicht um eine die Benennungspflicht auslösende „umfangreiche“ Datenverarbeitung handeln. Im Einzelfall kann sich dies aufgrund einer hoch automatisierten Verarbeitung mit großen Datenvolumen jedoch auch anders darstellen. Im Zweifel sollten Sie die zuständige Aufsichtsbehörde befragen.

Viele Unternehmen werden allein aufgrund der Anzahl der in ihrem Unternehmen regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigten Personen einen DSB benennen müssen. Sind dies mehr als 9 Personen, dann müssen Sie einen DSB benennen. Daneben gibt es eine Pflicht zur Benennung eines DSB, wenn Verarbeitungen mit hohen Risiken für die Rechte und Freiheiten der Betroffenen vorgenommen werden, wie z. B. bei der geschäftsmäßigen Verarbeitung zum Zweck der Datenübermittlung.

2. Welche Informationen muss die Transparenzinformation nach Art. 13 DSGVO enthalten?

Bei einer Direkterhebung beim Betroffenen sind diesem Informationen zu folgenden Punkten mitzuteilen: Verantwortlicher/ggf. Vertreter, Datenschutzbeauftragter, Zwecke und Rechtsgrundlage, ggf. berechtigtes Interesse, Empfänger/Kategorien von Empfängern, ggf. Drittlandtransfer, Speicherdauer, Rechte des Betroffenen (Auskunft, Berichtigung, etc.), Widerrufsmöglichkeit, Beschwerderecht, Pflicht zur Bereitstellung der Daten, ggf. automatische Entscheidungsfindung.

3. Was ist bei der Form der Information zu beachten?

Betroffenen sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln, und zwar schriftlich oder in Textform auf elektronischem Übertragungsweg. Wird auf eine elektronisch verfügbare Information Bezug genommen, dann muss diese leicht auffindbar sein (2 Klicks).

Nach Angaben der Datenschutzkonferenz des Bundes und der Länder (DSK) müssen „die Informationen in der konkreten Situation verfügbar sein, so dass z. B. im Fall der Datenerhebung von einer anwesenden Person diese regelmäßig nicht auf Informationen im Internet verwiesen werden darf.“ Dies gelte gleichermaßen für eine schriftliche Korrespondenz auf dem Papierweg. Im Einzelfall ist in der konkreten Verarbeitungssituation jedoch ein Verweis auf weitere Informationen an anderer Stelle und damit ein Medienbruch unvermeidbar (z. B. Telefongeschäfte).

4. Wann muss der Betroffene informiert werden?

Bei Direkterhebung von personenbezogenen Daten sind die Informationen zum Zeitpunkt der Erhebung bereitzustellen. Außerhalb der Direkterhebung erteilt der Verantwortliche die Informationen unter Berücksichtigung der spezifischen Umstände der Verarbeitung, längstens jedoch innerhalb eines Monats nach Erlangung der Daten. Falls Sie zu einem früheren Zeitpunkt mit der betroffenen Person Kontakt aufnehmen, so muss die Information spätestens zum Zeitpunkt der ersten Kontaktaufnahme erfolgen oder, falls beabsichtigt ist, die Daten anderen Empfängern offenzulegen, spätestens zum Zeitpunkt der ersten Offenlegung

5. Transparenzinformation auch für Bestandskunden?

Die Transparenzinformationspflicht knüpft an den Zeitpunkt der Datenerhebung an. Betroffene, deren personenbezogene Daten in der Vergangenheit unter dem Regime der bis zum 24.5.2018 geltenden Fassung des BDSG ordnungsgemäß erhoben wurden, sind nicht automatisch erneut nach den Vorgaben der DSGVO zu informieren.

Allerdings ist zu beachten, dass die Informationspflicht auch im Fall einer Zweckänderung erneut greift und der Verantwortliche auch für eine nach altem Recht erfolgte ordnungsgemäße Datenerhebung nachweispflichtig ist.

Hier finden Sie Formulierungshilfen

Informationen rund um die DSGVO und Formulierungshilfen z. B. für Auftragsverarbeitungsverträge oder Verzeichnisse von Verarbeitungstätigkeiten bieten insbesondere die Datenschutzaufsichtsbehörden wie z. B. das BayLDA ((www.lda.bayern.de)) aber auch des LfDI BW sowie die Gesellschaft für Datenschutz und Datensicherheit e.V. ((www.gdd.de)).

Weiterführende Blog-Beiträge der KANZLEI NICKERT zum Thema

Autoreninfo

huka testKatja Huber

Rechtsanwältin

HINWEIS

Falls Sie über den Beitrag hinausgehende Fragen haben, stehen wir Ihnen gerne zur Verfügung. Allerdings weisen wir Sie darauf hin, dass wir diese individuelle Leistung nach dem Rechtsdienstleistungsgesetz auch abrechnen.

Alle Angaben sind sorgfältig geprüft. Durch Gesetzgebung, Rechtsprechung und Verordnungen sowie Zeitablauf ergeben sich zwangsläufig Änderungen. Bitte haben Sie Verständnis dafür, dass wir für die Richtigkeit und Vollständigkeit des Inhalts keine Haftung übernehmen.

 

Die von uns verwendeten Cookies sollen sicherstellen, dass Sie unsere Website optimal genießen können.
Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung dieser Cookies einverstanden. Weitere Informationen zum Datenschutz