Datenschutzbeauftragter und Datensicherheit
Datenschutzbeauftragter
Nach der DSGVO ist ein Datenschutzbeauftragter unter bestimmten Voraussetzungen zu benennen, z.B. wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 Nr. 2 DSGVO).
Kerntätigkeit: Kerntätigkeiten sind Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie entscheidend sind und nicht bloß routinemäßige Verwaltungsaufgaben darstellen.
Keine Kerntätigkeit dürfte demgegenüber vorliegen bei der Analyse von Kundendaten neben dem Kerngeschäft des Vertriebes von Waren, um Produktvorschläge ggü. den Kunden machen zu können.
Der Unternehmern muss sicherstellen, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält (Art. 38 Abs. 3 DSGVO). Es müssen ausreichend personelle, finanzielle und zeitliche Ressourcen zur Verfügung gestellt werden.
Ergänzend zur DSGVO benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen; § 38 Abs. 1 BDSG nF.
ToDos des Verantwortlichen zur Ernennung des Datenschutzbeauftragten (DSB):
- Prüfung, ob ein Datenschutzbeauftragter ernannt/bestellt werden muss (10 Personen im Unternehmen?)
- Festlegung, ob es ein Mitarbeiter (dann entsprechende Anpassung des Arbeitsvertrages) oder ein externer Datenschutzbeauftragter sein soll (dann entsprechende Beauftragung)
- Daten des Datenschutzbeauftragten an den Landesdatenschutzbeauftragten melden
- Kontaktdaten des Datenschutzbeauftragten in der Datenschutzerklärung und Kundeninformation benennen
Datensicherheit
angemessenes Schutzniveau zu gewährleisten.
Hierbei müssen Schwachstellen erkannt und behoben werden (bspw. Datensparsamkeit, Datenrichtigkeit, Rechtmäßigkeit, Löschfristen, Zugriffsrechte und Zugangskontrollen).
Zudem müssen technische und organisatorische Maßnahmen („TOMs“) zum Schutz der Daten getroffen werden (bspw. Verschlüsselung, Stabilität und Wiederherstellbarkeit; ggfs. auch Cyberriskversicherung).
Übersicht der Datensicherungsmaßnahmen / TOMs
- Zugangskontrolle: Bspw. durch Sicherheitsschlösser
- Datenträgerkontrolle: Idealerweise mit VPN-Tunnel arbeiten
- Speicher-, Benutzer und Zugriffskontrolle: Bspw. durch Passwortrichtlinien, Protokollierungen, Festlegung der Berechtigungen, Differenzierung zwischen Lesen/Löschen/Ändern
- Übertragungskontrolle: Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
- Transportkontrolle: Schutz der Daten durch Festlegung der Abläufe
- Wiederherstellbarkeit und Schutz: Bspw. Backup, Firewall, Virenschutz, unabhängige Systeme oder entsprechend ausgestatteter Serverraum
E-Book „DSGVO-Praxisguide“
Zahlreiche Beispiele wie dieses Verzeichnis beispielsweise in Form einer Tabelle geführt werden könnte zeigen wir Ihnen ab Seite 5 unseres E-Books „DSGVO-Praxisguide“, der Ihnen hier zum Download bereitsteht.

Weitere Folgen unserer DSGVO-Praxisreihe finden Sie hier:
AUTOR:

Tim Günther
Tim Günther berät in Fragen des gewerblichen Rechtsschutzes und des Versicherungsrechts und vertritt Angehörige der freien Berufe in berufsrechtlichen Angelegenheiten.