Home » Aktuelles » Themen » Datenschutz-Grundverordnung 2018 » Datenschutzbeauftragter und Datensicherheit
DSGVO-PRAXISREIHE: FOLGE 3

Datenschutzbeauftragter und Datensicherheit

 

Datenschutzbeauftragter

Gegebenenfalls ist ein Datenschutzbeauftragter zu ernennen. Sollte dies ein Mitarbeiter sein, sind arbeitsrechtliche Anpassungen vorzunehmen.

Nach der DSGVO ist ein Datenschutzbeauftragter unter bestimmten Voraussetzungen zu benennen, z.B. wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 Nr. 2 DSGVO).

Kerntätigkeit: Kerntätigkeiten sind Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie entscheidend sind und nicht bloß routinemäßige Verwaltungsaufgaben darstellen. 

Keine Kerntätigkeit dürfte demgegenüber vorliegen bei der Analyse von Kundendaten neben dem Kerngeschäft des Vertriebes von Waren, um Produktvorschläge ggü. den Kunden machen zu können.

Der Unternehmern muss sicherstellen, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält (Art. 38 Abs. 3 DSGVO). Es müssen ausreichend personelle, finanzielle und zeitliche Ressourcen zur Verfügung gestellt werden.

Ergänzend zur DSGVO benennen der Verantwortliche und der Auftragsverarbeiter eine Daten­schutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen; § 38 Abs. 1 BDSG nF.

 

ToDos des Verantwortlichen zur Ernennung des Datenschutzbeauftragten (DSB):

  • Prüfung, ob ein Datenschutzbeauftragter ernannt/bestellt werden muss (10 Personen im Unternehmen?)
  • Festlegung, ob es ein Mitarbeiter (dann entsprechende Anpassung des Arbeits­vertrages) oder ein externer Datenschutzbeauftragter sein soll (dann entsprechende Beauftragung)
  • Daten des Datenschutzbeauftragten an den Landesdatenschutzbeauftragten melden
  • Kontaktdaten des Datenschutzbeauftragten in der Datenschutz­erklärung und Kundeninformation benennen

 

Datensicherheit

Nach Art. 32 Abs. 1 DSGVO treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen der Verantwortliche geeignete technische und organi­sa­torische Maßnahmen, um ein dem Risiko
angemessenes Schutzniveau zu gewährleisten.

Hierbei müssen Schwachstellen erkannt und behoben werden (bspw. Datensparsamkeit, Datenrichtigkeit, Rechtmäßigkeit, Löschfristen, Zugriffsrechte und Zugangskontrollen).

Zudem müssen technische und organisatorische Maßnahmen („TOMs“) zum Schutz der Daten getroffen werden (bspw. Verschlüsselung, Stabilität und Wiederherstellbarkeit; ggfs. auch Cyberriskversicherung).

 

Übersicht der Datensicherungsmaßnahmen / TOMs

  • Zugangskontrolle: Bspw. durch Sicherheitsschlösser
  • Datenträgerkontrolle: Idealerweise mit VPN-Tunnel arbeiten
  • Speicher-, Benutzer und Zugriffskontrolle: Bspw. durch Passwortrichtlinien, Protokollierungen, Festlegung der Berechtigungen, Differenzierung zwischen Lesen/Löschen/Ändern
  • Übertragungskontrolle: Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen
  • Transportkontrolle: Schutz der Daten durch Festlegung der Abläufe
  • Wiederherstellbarkeit und Schutz: Bspw. Backup, Firewall, Virenschutz, unabhängige Systeme oder entsprechend ausgestatteter Serverraum

E-Book „DSGVO-Praxisguide“

Zahlreiche Beispiele wie dieses Verzeichnis beispielsweise in Form einer Tabelle geführt werden könnte zeigen wir Ihnen ab Seite 5 unseres E-Books „DSGVO-Praxisguide“, der Ihnen hier zum Download bereitsteht.

AUTOR:

Tim Günther

Tim Günther berät in Fragen des gewerblichen Rechtsschutzes und des Versicherungsrechts und vertritt Angehörige der freien Berufe in berufsrechtlichen Angelegenheiten.