Interessenskonflikte des betrieblichen Datenschutzbeauftragten

Wenn Unternehmen einen Datenschutzbeauftragten bestellen müssen, scheint es günstig, einen Mitarbeiter mit dieser Aufgabe zu betrauen. Für die Auswahl eines geeigneten Datenschutzbeauftragten gelten jedoch einige wichtige Regeln. Zu diesen zählt auch, dass der Datenschutzbeauftragte keinen Interessenkonflikten ausgesetzt sein darf. Gerade in kleinen Betrieben kann dies schnell zur Herausforderung werden.

Die Problematik bei betrieblichen Datenschutzbeauftragten

Grundsätzlich muss ein Datenschutzbeauftragter laut Datenschutz-Grundverordnung (DSGVO) über eine entsprechende Qualifikation verfügen. Entsprechend empfiehlt es sich für Unternehmen, gemäß Art. 37 Abs. 5 DSGVO den Datenschutzbeauftragten auf Grundlage seiner beruflichen Qualifikation sowie insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benennen.

Vor allem in kleinen und mittleren Unternehmen wird häufig ein Mitarbeiter als betrieblicher Datenschutzbeauftragter in Teilzeit tätig. Art. 38 Abs. 6 DSGVO nennt diesen Fall explizit. Gleichzeitig schreibt die Regelung vor, dass dies nicht zu einem Interessenskonflikt führen darf.

Positionsbedingte Fälle von Interessenskonflikten

Doch wann besteht nun die Gefahr von Interessenskonflikten bei einem Datenschutzbeauftragten? Grundsätzlich gilt zunächst, dass eine Bestellung nicht erfolgen darf, sobald der Beauftragte sich in irgendeiner Weise selbst überwachen müsste.

In welchen weiteren Fällen ein Interessenskonflikt vorliegen könnte, hängt vom Einzelfall ab. Grundsätzlich gilt, dass der Datenschutzbeauftragte seine Tätigkeit unabhängig ausüben muss. Nicht möglich ist dies zum Beispiel bei Personen mit einer leitenden Position im Unternehmen. Ein Geschäftsführer etwa ist niemals unabhängig. Auch der Leiter einer IT-Abteilung kommt nicht als interner Datenschutzbeauftragter in Frage. Als Faustregel lässt sich festhalten: Da sich Überwachung und Entscheidung grundsätzlich ausschließen, kann der für den entsprechenden Fachbereich verantwortliche Mitarbeiter die datenschutzrechtliche Kontrolle im Unternehmen (etwa bei der Sicherheit der Verarbeitung) nicht gewährleisten. Ebenso wenig unabhängig wäre beispielsweise der Personal- oder Marketingleiter.

Persönliche Interessenskonflikte von Datenschutzbeauftragten

Aber auch unabhängig von der Position im Betrieb kann es Interessenskollisionen geben. Dies ist zum Beispiel dann der Fall, wenn zwischen dem Verantwortlichen und dem Datenschutzbeauftragten ein besonderes Beziehungsverhältnis – etwa eine enge Verwandtschaft – besteht. Aufgrund der emotionalen Nähe kann der Datenschutzbeauftragte dann gegebenenfalls nicht mehr unabhängig agieren.

Leitlinien zum Datenschutzbeauftragten

Die Artikel-29-Datenschutzgruppe hat in einem Working-Paper (WP 243 rev.01, 16/DE, S.19) Leitlinien für die Auswahl des Datenschutzbeauftragten aufgestellt. Danach kann es ratsam sein, im Unternehmen entsprechende Compliance-Regeln in Bezug auf den Datenschutzschutzbeauftragten festzulegen. Konkret sollten diese folgende Punkte enthalten:

  • die Jobpositionen, die mit der Funktion des Datenschutzbeauftragten unvereinbar sind
  • Richtlinien zur Vermeidung von Interessenskonflikten
  • allgemeine Erläuterungen potenzieller Interessenkonflikte
  • die Regel, eine Erklärung des Datenschutzbeauftragen einzuholen, nach der er sich in Bezug auf seine Funktion in keinem Interessenskonflikt befindet
  • interne Sicherheitsvorkehrungen, um sicherzustellen, dass die Stellenbeschreibung des Datenschutzbeauftragen in Bezug auf die Vermeidung von Interessenskonflikten hinreichend genau und präzise formuliert ist

Drohende Sanktionen bei Interessenskonflikten des Datenschutzbeauftragten

Bestellt ein Unternehmen einen betrieblichen Datenschutzbeauftragten trotz bestehender Interessenskonflikte, kann die Aufsichtsbehörde den Beauftragten abberufen und außerdem unter bestimmten Umständen ein Bußgeld verhängen. In einer Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 20. Oktober 2016 betonte dessen Präsident:

„Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“

Der externe Datenschutzbeauftragte als Alternative

Sollte es im Einzelfall nicht möglich sein, Interessenskonflikte zu verhindern oder aufzulösen, besteht auch die Option, einen externen Datenschutzbeauftragten zu bestellen. Dies kann etwa dann erforderlich sein, wenn andere Mitarbeiter im Unternehmen aus diversen Gründen nicht zur Disposition stehen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Datenschutzkonformer Einsatz von Fotoboxen auf betrieblichen Veranstaltungen

Sie sind ein beliebter Zeitvertreib auf Veranstaltungen, etwa bei Firmenevents: Fotoboxen, auch bekannt als Fotoautomaten. Generell funktionieren die Geräte nach einem ähnlichen Prinzip wie ein Passbildautomat. Eine oder mehrere Personen können sich vor die Kamera stellen und per Selbstauslöser Bilder machen und diese direkt im Anschluss im Passbildformat ausdrucken. Auf Wunsch können sie die Fotos auch in eine Galerie oder Soziale-Netzwerke wie Facebook oder Instagram hochladen. Doch wenn Sie eine Fotobox bei einer betrieblichen Veranstaltung aufstellen wollen, müssen Sie einige datenschutzrechtliche Vorgaben beachten.

Wann greift die DSGVO beim Einsatz von Fotoboxen?

Wenn Sie eine Fotobox auf einem privaten Event, etwa einer Familienfeier, einer Hochzeit oder einem Geburtstag aufstellen, fällt dies nicht in den Bereich der Datenschutz-Grundverordnung (DSGVO). Gemäß Art. 2 Abs. 2 lit. c DSGVO findet das Gesetz keine Anwendung, wenn die Verarbeitung „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“, erfolgt.

Anders sieht es bei Firmenveranstaltungen aus. Technisch betrachtet, verwenden Fotoboxen Digitalkameras, welche die Bilder auf einem Chip speichern. Damit handelt es sich um eine automatisierte Verarbeitung personenbezogener Daten. Diese fällt grundsätzlich in den Regelungsbereich der DSGVO.

Grundlagen des Datenschutzes bei Fotoboxen

Wie können Sie nun konkret vorgehen? Zunächst müssen Sie mit dem Fotoboxen-Anbieter neben dem eigentlichen Leistungs- auch einen Auftragsverarbeitungsvertrag mit ihm abschließen. Schließlich handelt es sich um einen Dienstleister, der personenbezogene Daten im Auftrag verarbeitet. Sollte der Anbieter keinen eigenen Auftragsverarbeitungsvertrag zur Verfügung stellen, können Sie unsere kostenlose Vorlage für einen AV-Vertrag auf Basis der DSGVO verwenden. Ausführliche Informationen zum Thema finden Sie in unserem Schwerpunkt Auftragsverarbeitung.

Wichtig ist außerdem, dass Sie sich von denjenigen Gästen, die die Fotobox nutzen, eine entsprechende Einwilligung zur Verarbeitung ihrer personenbezogenen Daten einholen (Art. 6 Abs. 1 lit. a DSGVO). Grundsätzlich liegt die Beweiskraft hierbei beim verantwortlichen Unternehmen. Dieses muss nachweisen können, dass die betroffenen Personen ihre Einwilligung erteilt haben.

In welcher Form Sie diese nun einholen, hängt davon ab, wie Sie die Fotobox nutzen. Wenn das Gerät die Bilder lediglich ausdruckt und nicht weiterverarbeitet, genügt eine konkludente Einwilligung. Hängen Sie in diesem Fall ein gut sichtbares Schild auf, das auf das Einverständnis durch die Benutzung des Automaten hinweist und die Informationspflichten nach Art. 13 DSGVO erfüllt. Die Inhalte einer solchen Einwilligungserklärung können Sie unserer kostenlosen Vorlage entnehmen.

Komplizierter wird es, wenn Sie die Bilder in eine Galerie oder in die sozialen Medien hochladen wollen. Hier reicht eine konkludente Einwilligung nicht aus, da mit dem Hochladen der Fotos ein weiterer Verarbeitungsvorgang erfolgt. In diesem Fall sollten Sie sich die Einwilligung nachweisbar (zum Beispiel schriftlich oder elektronisch) bestätigen lassen. Für die Erstellung einer Einwilligungserklärung können Sie ebenfalls unsere kostenlose Vorlage verwenden und entsprechend anpassen.

Wichtig ist außerdem, dass Sie den Informationspflichten, gemäß Art. 13 DSGVO nachkommen. Eine Anleitung, wie Sie diese gestalten können, finden Sie in unserem Ratgeber zu den Informationspflichten. Sie können die Informationspflichten dann entweder an der Fotobox anbringen oder beispielsweise mit der Veranstaltungseinladung einen entsprechenden Link versenden. Auf Seite 3 unserer kostenlosen Vorlage (Einwilligung in die Nutzung von Mitarbeiterfotos) finden Sie ein entsprechendes Template, welches Sie nur noch ausfüllen müssen.

Außerdem ist es wichtig, sich bereits im Vorfeld Gedanken über die Umsetzung der Betroffenenrechte zu machen. Wenn Sie Bilder in den sozialen Medien oder einer Online-Galerie hochladen, ist es wichtig, dass diese auf Wunsch schnell gelöscht werden können. Außerdem ist es empfehlenswert, die Fotos nur für eine begrenzte Zeit online zu stellen. Legen Sie hierfür am besten einen konkreten Zeitraum fest. Danach können Sie die Bilder den Personen zur Verfügung stellen, die Kenntnis davon haben.

Fazit: Datenschutzkonformer Fotospaß ist nicht schwer

Zusammenfassend empfehlen wir Ihnen bei der Nutzung von Fotoboxen auf Ihrem Firmenevent folgende Maßnahmen:

  • Schließen Sie mit dem Fotobox-Anbieter einen Auftragsverarbeitungsvertag ab.
  • Sorgen Sie für eine nachweisbare Form der Einwilligung.
  • Denken Sie an die Informationspflichten bzgl. der Betroffenenrechte.

Wenn Sie all dies beachten, steht dem datenschutzkonformen Fotospaß nichts mehr im Wege.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Datenschutz bei Bonitätsprüfungen im Onlinehandel

Zahlungsausfälle stellen für Onlinehändler ein erhebliches Risiko dar. Es ist daher verständlich, dass Händler im Onlinegeschäft überprüfen möchten, ob potenzielle Vertragspartner fähig und willig sind, die geschuldete Gegenleistung zu erbringen. Doch die EU-Datenschutz-Grundverordnung (DSGVO) erlaubt es Onlinehändlern nicht, einfach bei jedem Kauf eine Bonitätsprüfung des Kunden vorzunehmen.

Um welche Daten geht es bei Bonitätsprüfungen?

Wenn Unternehmen die Kreditwürdigkeit eines Verbrauchers prüfen, werden zahlreiche personenbezogene und wirtschaftliche Daten berücksichtigt. In der Regel gibt ein Unternehmen Vor- und Zuname, Geburtsdatum sowie Anschrift an die Auskunftei weiter. Anhand dieser Daten ist der jeweilige Kunde eindeutig identifizierbar.

In sogenannten Scoring-Verfahren wird nicht die persönliche Zahlungsmoral untersucht, sondern es werden allgemeine statistische Informationen zu Grunde gelegt. Händler greifen auf die bei den Auskunfteien gespeicherten Daten zurück (z.B. von Banken, Versicherungen, Energieversorgern oder Immobiliengesellschaften). So glaubt die Auskunftei die Wahrscheinlichkeit eines Zahlungsausfalls anhand von Daten wie Alter, Geschlecht, Wohnort oder der Anzahl an Girokonten – unabhängig von deren Deckung – errechnen zu können. Der Händler erhält dann die Bonitätsauskunft in Form eines Scoring-Wertes, anhand dessen er seine Entscheidung fällt.

Was ist an Bonitätsprüfungen zu kritisieren?

Auch wenn es im Interesse der Auskunftei liegt, Daten auf dem aktuellen Stand zu halten, können Auskunfteien Fehler unterlaufen oder sie kommen z. B. mit der Löschung von Einträgen nicht hinterher. So können beispielsweise bestimmte Daten veraltet sein, getilgte Kredite wurden noch nicht gelöscht oder unrechtmäßige Mahnbescheide werden aufgeführt.

Um dem zu begegnen, wurde eigens Art. 22 DSGVO geschaffen. Danach hat der Betroffene zumindest das Recht, nicht einer Entscheidung unterworfen zu sein, die ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruht. Das Profiling darf daher nur als Entscheidungsgrundlage dienen. Die abschließende Entscheidung muss eine natürliche Person, etwa ein Mitarbeiter der Auskunftei oder des Zahlungsdienstleisters, und keine Maschine vornehmen.

Wann darf eine Bonitätsprüfung überhaupt nur vorgenommen werden?

Die Zulässigkeit einer vorgelagerten Bonitätsabfrage kann schwerlich durch eine Einwilligung zu Beginn des Zahlungssteuerungsprozesses erreicht werden, da dies dem Grundsatz der Freiwilligkeit zuwiderlaufen würde. Eine Einwilligung in den Allgemeinen Geschäftsbedingungen (AGB) genügt wegen der mangelnden Bestimmtheit und Transparenz wiederum nicht den zivilrechtlichen Anforderungen, da der Kunde eine Bonitätsprüfung nicht erwartet und ihn eine solche Regelung unangemessen benachteiligt.

Als möglicher Erlaubnistatbestand zur Rechtfertigung von Bonitätsprüfungen kommt demnach die Verarbeitung zur Wahrung der berechtigten Interessen des Onlinehändlers gem. Art. 6 Abs. 1 lit. f DSGVO in Betracht. Dem berechtigten Interesse liegt wiederum eine Interessenabwägung zugrunde, bei der die Interessen des Händlers mit denen des Betroffenen unter objektiven Gesichtspunkten abgewogen werden.

Allzu leichtfertig bejahen viele Onlinehändler ihr überwiegendes berechtigtes Interesse an einer Bonitätsprüfung. Es genügt jedoch nicht, dass sich ein Händler auf sein individuell erhöhtes Bedürfnis nach Sicherheit beruft. Das berechtigte Interesse liegt darin, tatsächlich bestehenden Zahlungsausfallrisiken vorzubeugen. Dann muss aber bereits feststehen, dass der Kunde eine der Zahlungsarten wünscht, die ein Zahlungsausfallrisiko begründen. Das heißt: Ein berechtigtes Interesse umfasst nicht, dass zunächst die Bonitätsabfrage gestartet wird, um anschließend auf diese gestützt eine Vorauswahl unter den Zahlungsarten zu treffen!

Wann bestehen Zahlungsausfallrisiken für den Onlinehändler?

Zahlungsausfallrisiken bestehen ausschließlich, wenn Onlinehändler in Vorleistung treten und durch die Warenübergabe an den Empfänger ein unzumutbarer Nachteil entstehen könnte. Nur im Falle dieses finanziellen Ausfallrisikos für den Händler überwiegt das berechtigte Interesse im Rahmen der Interessenabwägung.

Ein Beispiel ist der Kauf auf Rechnung. Hierbei versendet der Händler die Ware ohne die Zahlungsdaten vom Verbraucher zu erhalten, versendet die Ware also bereits vor Zahlung. Gleiches gilt, wenn die Parteien eine Ratenzahlung vereinbaren. Eine Bonitätsprüfung bei einer Zahlungsart mit kreditorischem Risiko ist gemäß Art. 6 Abs. 1 lit. f – dem berechtigten Interesse –  demnach zulässig.

Streng abzugrenzen davon ist die Auswahl von Zahlung per Vorkasse oder Nachnahme, Kreditkarte, Lastschriftverfahren und PayPal. Diese Zahlungsformen sind mit dem originären Barkauf gleichzusetzen und haben bargeldersetzenden Charakter. In allen Fällen erwirbt der Zahlungsempfänger einen abstrakten Anspruch auf Forderungsausgleich. Auch beim Lastschriftverfahren besteht nur das allgemeine Risiko der Rückbuchung, das immer besteht, auch wenn die Versendung der Ware dem Zahlungseingang nachfolgt. In diesen Fällen besteht für den Onlinehändler keine Erforderlichkeit eine Bonitätsprüfung vorzunehmen.

Welche Pflichten entstehen bei Bonitätsprüfungen im Onlinehandel?

Zu Beginn des Bestellprozesses muss der Onlinehändler auf verständliche Weise darüber aufklären, welche Zahlungswege ein Ausfallsrisiko bedeuten und deshalb Bonitätsabfragen erforderlich machen. Zu den Informationen gehören gem. Art. 13 DSGVO zum Beispiel die Nennung der Rechtsgrundlage und des berechtigten Interesses sowie der Adressat der Kundendaten und der Zweck der Verarbeitung.

Fazit: Es gibt keinen Freibrief für Bonitätsprüfungen

Es besteht grundsätzlich kein Anspruch auf Prüfung der Bonität von möglichen Vertragspartnern im Onlinehandel. Stattdessen muss eine informierte Einwilligung des Betroffenen eingeholt werden. Alternativ darf eine Bonitätsprüfung ohne Einwilligung nur dann durchgeführt werden, wenn der Onlinehändler durch den Vertragsschluss tatsächlich ein finanzielles Risiko eingeht, weil er in Vorleistung tritt.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Als KMU zur erfolgreichen Zertifizierung nach ISO 27001 in nur sechs Monaten (Best Practice)

Wenn geschäftsrelevante Lieferanten plötzlich auf einer Zertifizierung der Informationssicherheit bestehen, kann das für Unternehmen zur großen Herausforderung werden. Vor allem für kleinere Unternehmen mit einer überschaubaren Zahl von Mitarbeitern, die nicht über eine eigene Abteilung für IT-Sicherheit verfügen. Wie mit richtiger Begleitung eine erfolgreiche Zertifizierung nach ISO 27001 dennoch innerhalb eines halben Jahres möglich ist, zeigt das Best Practice der Mobilka GmbH aus Berlin.

Informationssicherheit bei KMU

Die Mobilka GmbH ist mit der Marke Simka ein auf Auslandstelefonate spezialisierter Mobilfunkanbieter. Durch eine schlanke Vertriebsstruktur und effiziente Prozesse wirtschaftet das Unternehmen erfolgreich mit möglichst wenigen Mitarbeitern. Wie bei den meisten Unternehmen dieser Größe, gibt es bei der Mobilka GmbH keinen Mitarbeiter, der sich ausschließlich mit der IT-Sicherheit befasst.

„Wir waren deswegen ziemlich verunsichert, als einer unserer wichtigsten Lieferanten plötzlich forderte, dass wir ein ISO/IEC 27001-Zertifikat vorlegen sollten“, erzählt Pavel Fomine, Geschäftsführer bei der Mobilka GmbH. „Insbesondere die knappe Frist bis zum Zertifizierungsnachweis bereitete uns Bauchschmerzen.“

Logo Mobilka GmbH

Fakten zur Mobilka GmbH

  • Sitz: Berlin
  • Mitarbeiter < 50
  • IT-Standorte: einer (Deutschland)
  • Branche: Telekommunikation
  • Website: www.mobilka.de

ISMS mit Erfolgsgarantie

Nach ersten erfolglosen Versuchen mit einem anderen Anbieter holte die Mobilka GmbH deswegen im April 2019 einen unserer Experten der activeMind AG als externen Informationssicherheitsbeauftragten an Bord. Eine Besonderheit war, dass wir vertraglich eine Erfolgsgarantie für das Bestehen des ISO 27001-Zertifizierungsaudits gaben, wenn von beiden Seiten die erforderliche Mitarbeit erfolgte.

Innerhalb von knapp einem halben Jahr entwickelten wir bei der Mobilka GmbH ein vollständiges Informationssicherheits-Managementsystem (ISMS). Für ein kleines Unternehmen wie die Mobilka GmbH hat die ISO 27001 den Vorteil, dass die Norm einen Spielraum bei der Implementierung bietet. So konnten wir das ISMS leichter an die vorhandene Unternehmensstruktur anpassen, die sich natürlich von der eines Konzerns deutlich unterscheidet.

Im September und Oktober 2019 führten wir den Klienten erfolgreich durch das Zertifizierungsaudit und lösten unsere vertraglich zugesicherte Erfolgsgarantie ein.

„Die Zusammenarbeit mit der activeMind AG war höchst professionell. Innerhalb kürzester Zeit bekamen wir nicht nur glasklare Erklärungen dazu, welche Vorgaben wir für den Aufbau des ISMS zu erfüllen hatten. Unser externer Informationssicherheitsbeauftragter zeigte uns auch, wie das am besten zu erreichen ist und unterstützte uns praxisorientiert“, freut sich Pavel Fomine rückblickend. „Jetzt zeigen wir all unseren Geschäftspartnern und Kunden, dass auch ein kleines Unternehmen die weltweit wohl bekannteste Norm für Informationssicherheit erfüllen kann. Ich bin mir sicher, dass die ISO 27001-Zertifizierung mittelfristig unsere Wettbewerbsfähigkeit über die EU-Grenzen hinaus stärkt.“

Zeigen Sie Ihren Geschäftspartnern und Kunden, was Ihnen die Sicherheit ihrer Daten bedeutet und lassen Sie sich nach ISO 27001 zertifizieren. Unser externer Informationssicherheitsbeauftragter führt Sie bis zum erfolgreichen Audit!

Geschrieben am:

Das neue Bundesdatenschutzgesetz (BDSG) und Konkretisierungen der DSGVO

Das Bundesdatenschutzgesetz (BDSG) ergänzt die europäische Datenschutz-Grundverordnung (DSGVO) in einigen wichtigen Punkten. Dabei hat der deutsche Gesetzgeber von zahlreichen Öffnungsklauseln der DSGVO Gebrauch gemacht. Nachdem das neue Bundesdatenschutzgesetz mit der DSGVO 2018 in Kraft trat, wurde es mittlerweile erneut überarbeitet. In unserem Artikel finden Sie die wichtigsten Konkretisierungen des deutschen Datenschutzrechts der DSGVO.

BDSG-alt und BDSG-neu

Auch wenn es grundsätzlich zu begrüßen ist, dass der Gesetzgeber bereits bekannte Gesetzestitel weiternutzt, so wäre es in diesem Fall doch angebracht gewesen eine neue Bezeichnung zu finden. Damit hätte man einiger Verwirrung vorbeugen können. Der Grund liegt darin, dass das Gesetz in seiner Gesamtheit neu gefasst wurde und nun nichtmehr den Datenschutz in Deutschland vollumfassend regelt, sondern lediglich auf die vom europäischen Gesetzgeber zugestandenen Öffnungsklauseln eingeht. Seit Geltung kann daher nicht nur auf ein Gesetz zurückgegriffen werden, sondern es muss stets die DSGVO und das BDSG gemeinsam herangezogen werden.

Kenntnisse zu den Normen des alten BDSG helfen daher bei der Arbeit mit dem neuen BDSG nur bedingt weiter. Wenige Normen wurden nahezu unverändert übernommen, so findet man etwa den § 32 BDSG-alt mit kleinen Anpassungen in § 26 BDSG-neu wieder. Die Paragraphennummern haben sich hingegen vollständig geändert, so dass gerade bei der Arbeit mit veralteten Materialien besonders hierauf zu achten ist.

Im Folgenden (sowie in allen anderen Artikeln auf dieser Website) verwenden wir nur den Begriff „BDSG“ und beziehen uns damit auf das am 25. Mai 2018 in Kraft getretene Bundesdatenschutzgesetz – verkündet als Art. 1 des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) und angepasst durch das zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU).

Warum überhaupt ein neues Bundesdatenschutzgesetz?

Wenn nun die DSGVO den Datenschutz vollumfassend regelt, wofür braucht man dann ein neues Bundesdatenschutzgesetz? Der Grund liegt in den Öffnungsklauseln in der DSGVO.

Öffnungsklauseln sind Regelungen in der DSGVO, die es den nationalen Gesetzgebern ermöglichen, gewisse Sachverhalte abweichend von der DSGVO zu regeln und diese für den Mitgliedsstaat zu konkretisieren. Zu beachten ist jedoch, dass die durch Öffnungsklauseln legitimierten nationalen Bestimmungen das Datenschutzniveau der DSGVO nicht unterschreiten dürfen.

Kritiker führen an, dass dies einer Harmonisierung des europäischen Datenschutzrechts entgegensteht, da dies wieder zu einer Zersplitterung der europäischen Datenschutzregelungen führt. Jedoch ist zu bedenken, dass die DSGVO den Datenschutz in ganz Europa für jede Branche und den öffentlichen wie nichtöffentlichen Bereich regelt. Diese Regelungsbreite macht es notwendig, dass gewisse Punkte von den Ländern abweichend geregelt werden, um die Umstellung auf die neuen Datenschutzbestimmungen nicht zu drastisch ausfallen zu lassen. Gerade in der Strafverfolgung gibt es nationale Besonderheiten in den Mitgliedsstaaten, die sich in der DSGVO nicht zufriedenstellend abbilden ließen. Daher hat der europäische Gesetzgeber hier sogar die Richtlinie (EU) 2016/680 zur Strafverfolgung und -Vollstreckung geschaffen und diese nicht in die DSGVO implementiert.

Ein praxisrelevantes Beispiel ist die Öffnungsklausel in Art. 88 DSGVO, die es den nationalen Gesetzgebern ermöglicht, über die Datenverarbeitung im Beschäftigungskontext abweichend zu bestimmen. Hiervon hat der deutsche Gesetzgeber in § 26 BDSG Gebrauch gemacht und die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses auf nationaler Basis geregelt.

Es soll auch noch darauf hingewiesen werden, dass nicht alle Normen des BDSG zweifelsfrei durch Öffnungsklausel der DSGVO abgedeckt sind. Teilweise ist der deutsche Gesetzgeber auch über das Ziel hinausgeschossen und hat Regelungen getroffen, die sich nur schwer unter den Öffnungsklauseln subsumieren lassen. Ein Beispiel hierfür ist der § 4 BDSG. Dieser Paragraph beschäftigt sich mit der Videoüberwachung, zu welcher in der DSGVO keine Öffnungsklausel existiert (siehe die Diskussion weiter unten). Inzwischen hat das Bundesverwaltungsgericht die Norm für unanwendbar erklärt, da sie europarechtswidrig ist.

Die Einteilung des Bundesdatenschutzgesetzes

In seiner Neufassung wurde das BDSG in vier Teile aufgeteilt:

  • Teil 1 (§§ 1 – 21 BDSG) regelt allgemeine Bestimmungen des deutschen Datenschutzrechts. Hierzu gehören etwa der Anwendungsbereich, Regelungen zum Datenschutzbeauftragten öffentlicher Stellen und zum Bundesbeauftragten für den Datenschutz und die Informationssicherheit sowie die Rechtsbehelfe.
  • In Teil 2 (§§ 22 – 44 BDSG) wird auf die Öffnungsklauseln der DSGVO für den öffentlichen und nichtöffentlichen Bereich Bezug genommen. In diesem Teil werden die praxisrelevanten Öffnungsklauseln geregelt.
  • Teil 3 (§§ 45 – 84 BDSG) geht auf die Richtlinie (EU) 2016/680 zur Strafverfolgung und -Vollstreckung ein. Der Anwendungsbereich dieses Teils wird in § 45 BDSG bestimmt. Demzufolge gelten die Vorschriften nur für die Verarbeitung personenbezogener Daten bei Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Straftaten oder Ordnungswidrigkeiten durch die zuständigen öffentlichen Stellen. Somit ist dieser Teil für alle nichtöffentlichen Stellen und den Großteil der öffentlichen Stellen nicht relevant. Hier wäre es durchaus zu begrüßen gewesen, wenn der Gesetzgeber ein eigenes Gesetz geschaffen hätte.
  • Teil 4 (§ 85 BDSG) befasst sich mit Datenverarbeitungsvorgängen durch öffentliche Stellen, die nicht im Anwendungsbereich der DSGVO oder der Richtlinie zur Strafverfolgung und -Vollstreckung liegen. Namentlich sind dies etwa Tätigkeiten der nationalen Sicherheit, also der Verteidigungsbereich und Geheimdienste.

Diese Aufzählung zeigt, dass für Unternehmen und die meisten nichtöffentlichen Stellen lediglich die ersten beiden Teile relevant sind. Daher beschränkt sich die folgende Erläuterung auf diese zwei Teile.

Die Regelungen des BDSG

Für wen gilt das BDSG?

Der Anwendungsbereich des BDSG ist in § 1 BDSG geregelt. § 1 Abs. 2 Satz 1 BDSG stellt klar, dass andere Rechtsvorschriften des Bundes über den Datenschutz den Vorschriften des BDSG vorgehen. Das BDSG gilt für die Verarbeitung personenbezogener Daten durch

  • öffentliche Stellen des Bundes,
  • öffentliche Stellen der Länder (soweit es kein Landesdatenschutzgesetz hierzu gibt, was jedoch aktuell nicht der Fall ist) und
  • nichtöffentliche Stellen soweit diese personenbezogene Daten ganz oder teilweise automatisiert verarbeiten sowie bei nicht automatisierten Verarbeitungen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Lediglich die Verarbeitung durch natürliche Personen zur Ausübung persönlicher oder familiärer Tätigkeiten ist ausgeschlossen. Hier ist eine gewisse Ähnlichkeit zu 2 DSGVO zu erkennen.

Der Begriff der automatisierten Verarbeitung ist weit gefasst und weder in der DSGVO noch im BDSG definiert. Er ist weit auszulegen und erfasst daher nahezu jede elektronische Verarbeitung. Für die Praxis lässt sich sagen, dass sobald ein Computer o.ä. zur Verarbeitung von Daten eingesetzt wird, liegt auch eine zumindest teilweise automatisierte Verarbeitung vor.

Hingegen wird das Dateisystem in Art. 4 Nr. 6 DSGVO beschrieben. Diese Definition ist auch im BDSG anwendbar. Ein Dateisystem ist danach

„jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird.“

Sofern also Akten, Karteikarten, etc. nach bestimmten Kriterien sortiert sind, dann fallen diese ebenso unter den Anwendungsbereich des BDSG. Zu beachten ist dabei, dass ein Dokument nicht erst mit Aufnahme in ein sortiertes System dem BDSG unterfällt, sondern bereits dann, wenn dieses später z.B. in eine Akte mit aufgenommen werden soll. Werden etwa handschriftliche Notizen während eines Mitarbeitergesprächs angefertigt, um diese später in der Personalakte abzulegen, dann gilt das BDSG bereits bei der Anfertigung der Unterlagen.

Eine Sonderstellung nehmen die öffentlichen Stellen der Länder ein, wenn diese am Wettbewerb teilnehmen. Wie bereits erwähnt haben alle Bundesländer ein eigenes Datenschutzgesetz verabschiedet, welches dem BDSG nach § 1 Abs. 1 Satz 1 Nr. 2 BDSG in diesem Fall vorgeht. Zum Teil haben die Länder Regelungen getroffen, dass öffentliche Stellen, sofern sie am Wettbewerb teilnehmen, dennoch dem BDSG unterworfen sind. Teilweise wird auch in einzelnen Vorschriften auf das BDSG verwiesen. Aus Platzgründen soll an dieser Stelle auf eine vollständige Aufzählung verzichtet werden. Was man beachten sollte ist, dass es in diesen Fällen ggf. länderspezifische Sonderregelungen gibt.

Die Notwendigkeit der Bestellung eines Datenschutzbeauftragten

Eine der wichtigsten Regelungen findet sich in § 38 BDSG. In der Norm wird von der Öffnungsklausel in Art. 37 Abs. 4 DSGVO Gebrauch gemacht und bestimmt, wann ein Unternehmen in Deutschland einen Datenschutzbeauftragten zu bestellen hat.

Während Art. 37 Abs. 1 DSGVO eher vage gehalten ist, beschreibt § 38 Abs. 1 Satz 1 BDSG die Pflicht der Bestellung eines Datenschutzbeauftragten ziemlich deutlich. Danach benennen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Auf kurzzeitige Schwankungen der Mitarbeiterzahl kommt es hierbei nicht an. Der Begriff „ständig“ ist hierbei weit auszulegen. Es ist nicht notwendig, dass die Mitarbeiter keiner anderen Tätigkeit als der Datenverarbeitung nachgehen. Hingegen genügt es, wenn Mitarbeiter nicht nur in Einzelfällen, sondern im Rahmen ihrer Tätigkeit immer wieder personenbezogene Daten automatisiert verarbeiten. Die automatisierte Verarbeitung umfasst jeglichen Zugang zu Datenverarbeitungssystemen.

Man kann also sagen, dass ein Datenschutzbeauftragter zu bestellen ist, wenn das Unternehmen 20 Mitarbeiter hat und diese einen PC zur Verfügung haben, über den personenbezogene Daten verarbeitet werden. Nicht mitzuzählen sind daher Mitarbeiter, die keinen Zugang zu einem PC oder ähnlichem haben oder darauf keine und nur in Einzelfällen personenbezogenen Daten verarbeiten. So sind etwa das Reinigungspersonal oder die Fabrikarbeiter in der Regel nicht auf die 20 Personen anzurechnen. Es steht natürlich dem Unternehmen frei, auch bei einer kleineren Mitarbeiterzahl einen Datenschutzbeauftragten zu bestellen.

Des Weiteren besteht die Pflicht zur Bestellung gem. § 38 Abs. 1 Satz 2 BDSG unabhängig von der Mitarbeiteranzahl, wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Eine weitere Besonderheit ergibt sich aus den Verweisungen in § 38 BDSG zu § 6 BDSG. Danach ist der Datenschutzbeauftragte – ähnlich einem Betriebsrat – nicht ordentlich kündbar. Die außerordentliche Kündigung bleibt jedoch möglich. Zudem besteht der Kündigungsschutz für ein Jahr nach dem Ende der Tätigkeit fort. Dies gilt jedoch nur, sofern die Pflicht besteht, nach § 38 Abs. 1 BDSG einen Datenschutzbeauftragten zu bestellen. Es besteht jedoch Streit darüber, ob diese Vorschrift noch von der Öffnungsklausel gedeckt ist.

Unabhängig davon, ob nach dem Gesetz ein Datenschutzbeauftragter zu bestellen ist, sollte jedes Unternehmen eine Person bestimmten, die für die Einhaltung des Datenschutzes zuständig ist. Dass keine Bestellpflicht besteht, bedeutet nicht, dass die datenschutzrechtlichen Vorschriften nicht einzuhalten sind. Jedes Unternehmen hat für die Einhaltung des Datenschutzes zu sorgen.

Begriffsbestimmungen

In § 2 BDSG wird u.a. beschrieben, was unter öffentlichen und nichtöffentlichen Stellen zu verstehen ist. Leider hat der deutsche Gesetzgeber hierbei nicht die Begriffsbestimmungen der DSGVO übernommen, so dass auf die unterschiedlichen Begriffe bei der Arbeit mit dem BDSG zu achten ist.

Videoüberwachung öffentlich zugänglicher Räume

Nicht mehr anwendbar ist die Norm zur Videoüberwachung öffentlich zugänglicher Räume, die in § 4 BDSG geregelt ist, da diese Norm mangels Öffnungsklausel vom Bundesverwaltungsgericht bereits als europarechtswidrig beurteilt wurde.

Der Gesetzgeber versuchte hier das Videoüberwachungsverbesserungsgesetz, welches unter Kritik von Datenschützern bereits in das alte BDSG eingeführt wurde, in das neue BDSG zu übernehmen. Dies war besonders fragwürdig, da die DSGVO für die Videoüberwachung keine Öffnungsklausel vorgesehen hat. Daher ist die Zulässigkeit der Videoüberwachung, wie bereits zuvor empfohlen, nach Art. 6 DSGVO zu bewerten (nutzen Sie dafür einfach unseren kostenlosen Generator für ein Videoüberwachungs-Hinweisschild).

Verarbeitung von besonderen Kategorien personenbezogener Daten

§ 22 BDSG erweitert die Ausnahmen, in welchen Fällen vom Verbot des Art. 9 Abs. 1 DSGVO abgewichen und dennoch besonders schutzwürdige personenbezogene Daten verarbeitet werden dürfen. Diese Ausnahme sind in § 22 Abs. 1 BDSG geregelt. Diese Abweichungen sind von der Öffnungsklausel des Art. 9 DSGVO abgedeckt, so dass hierbei kaum Bedenken bestehen. Interessant in diesem Kontext ist noch § 22 Abs. 2 BDSG, der eine Aufzählung der notwendigen technischen organisatorischen Maßnahmen zum Schutz der Daten bei der Verarbeitung nach Absatz 1 liefert.

Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

Aufgrund der Praxisrelevanz des § 26 BDSG haben wir hierfür in unserem Datenschutzportal einen eigenen Schwerpunkt zum Beschäftigtendatenschutz entwickelt. Dort finden Sie auch alle relevanten Regelungen der DSGVO.

Rechte der betroffenen Person

Die §§ 32 – 37 BDSG beschäftigen sich mit den Rechten der betroffenen Person. Allerdings geht es hierbei weniger darum, wie diese Rechte gestärkt werden können, als vielmehr darum, wie diese Rechte weiter beschränkt werden. Der Gesetzgeber ist hier weit über das Ziel hinausgeschossen, indem die Öffnungsklauseln der DSGVO weit überstrapaziert und diese Rechte in einem Umfang eingeschränkt wurden, der nicht mehr von der DSGVO gedeckt ist. Daher ist bei der Anwendung dieser Normen Vorsicht geboten. Es besteht eine große Wahrscheinlichkeit, dass diese Normen auf kurz oder lang noch geändert werden.

Fazit: Das BDSG ist nur bedingt hilfreich für die Datenschutzpraxis

Das BDSG konkretisiert einige Bestimmungen der DSGVO, wohingegen es wenig zur Rechtssicherheit oder Klarheit beiträgt. Dies liegt einerseits daran, dass viele Normen mehr Fragen aufwerfen als sie beantworten, andererseits daran, dass Normen verabschiedet wurden, für welche die DSGVO keine Öffnungsklausel vorsieht. Es ist daher davon auszugehen, dass der Gesetzgeber von sich aus oder durch Entscheidungen der Rechtsprechung noch Änderungen am BDSG vornimmt. Es bleibt daher abzuwarten, welche Normen bestand haben bzw. wie diese abgeändert werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Wann kommt die ePrivacy-Verordnung?

Die Einführung der ePrivacy-Verordnung wird schon seit Anfang 2017 aktiv im europäischen Gesetzgebungsverfahren vorangetrieben. Ursprünglich sollte die ePrivacy-Verordnung zusammen mit der EU-Datenschutz-Grundverordnung (DSGVO) in Kraft treten, da sie diese durch speziellere Regelungen bezüglich elektronischer Kommunikationsdaten ergänzt und präzisiert. Während die DSGVO seit dem 25. Mai 2018 gilt, lässt die ePrivacy-Verordnung weiter auf sich warten. Aktuelle Entwicklungen deuten jedoch darauf hin, dass es hierbei bald wichtige Änderungen geben könnte.

Update: Wie Anfang Dezember 2019 bekannt wurde, muss der derzeitige Entwurf für die ePrivacy-Verordnung als gescheitert betrachtet werden. Mehr Informationen …

Zur Erinnerung: Was ist die ePrivacy-Verordnung?

Zum einen soll die ePrivacy-Verordnung ein hohes Schutzniveau der Privatsphäre für alle Nutzer elektronischer Kommunikationsdienste schaffen, zum anderen gleiche Wettbewerbsbedingungen für alle Marktteilnehmer gewährleisten.

In den letzten Jahren haben sich technische und wirtschaftliche Entwicklungen auf dem Markt vollzogen, die die Verabschiedung einer solchen Verordnung notwendig erscheinen lassen. Anstatt herkömmliche Kommunikationsdienste zu nutzen, verlassen sich Verbraucher und Unternehmen zunehmend auf neue Internetdienste, wie z.B. VoIP-Telefonie, Instant Messaging und webgestützte E-Mail-Dienste. Solche sogenannten Over-the-Top-Kommunikationsdienste werden in der EU derzeit aber noch nicht durch Regelungen zur elektronischen Kommunikation erfasst. Die bisher geltende ePrivacy-Richtlinie von 2002 konnte mit der technischen Entwicklung nicht mehr Schritt halten. Darauf soll mit der Vorordnung reagiert werden. Funktional gleiche oder vergleichbare Dienste wie zum Beispiel WhatsApp und SMS hätten dann auch einen gleichen rechtlichen Rahmen, was bisher nicht der Fall ist.

Weitere wichtige Regelungsaspekte, die von der ePrivacy-Verordnung betroffen sein werden, sind unter anderem:

  • neben dem Inhalt der Kommunikation auch Metadaten, wie z.B. Uhrzeiten, Datum oder Ort die mit der Kommunikation verknüpft sind;
  • Cookies und andere Trackingtechnologien, wie sie auf vielen Websites zu finden sind (z.B. Google Analytics oder Facebook Pixel);
  • die Vertraulichkeit der Kommunikation über Hotspots;
  • die E-Marketing-Kommunikation, die bisher in § 7 Abs. 3 UWG geregelt ist.

In einem gesonderten Ratgeber zur Vorbereitung auf die ePrivacy-Verordnung finden Sie eine ausführlichere Darstellung der Verordnungsinhalte.

Für welche Unternehmen ist die ePrivacy-Verordnung relevant?

Ähnlich wie die Einführung der DSGVO wird auch die Einführung der ePrivacy-Verordnung weitreichende Auswirkungen auf den unternehmerischen Alltag haben. Um das angestrebte hohe Schutzniveau für elektronische Kommunikationsdaten gewährleisten zu können, werden betroffene Unternehmen verpflichtet, einen umfangreichen Maßnahmenkatalog umzusetzen. Analog zur DSGVO soll auch in der ePrivacy-Verordnung ein generelles Verarbeitungsverbot personenbezogener Daten vorliegen wenn nicht eine gesetzliche Ausnahme vorliegt – das sogenannte Verbot mit Erlaubnisvorbehalt.

Hiervon betroffen sind nahezu alle Unternehmen und nicht nur solche, die elektronische Kommunikation als Produkt anbieten. Denn es reicht schon, eine eigene Website zu betreiben (Cookies) oder auch nur Mitarbeitern mittels Browser Zugang zum Internet zu gewährleisten (Privatsphäre-Voreinstellungen, Art. 10 ePrivacy-Verordnung).

Auch die bisher in § 7 Abs. 3 UWG geregelte gewerbliche Ansprache mittels elektronischer Kommunikation soll inhaltsgleich in Art. 16 Abs. 2 der ePrivacy-Verordnung übernommen werden. Jedoch können dann mögliche Bußgelder wegen eines Verstoßes deutlich höher ausfallen als bisher.

Im Ergebnis wird die ePrivacy-Verordnung ein strenger Regelungskatalog sein, der in seinem Anwendungsbereich Vorrang vor anderen Rechtsvorschriften hat. Insbesondere auch vor den allgemeineren Vorschriften der DSGVO! Ebenso tritt nationales Recht hinter einer EU-Verordnung zurück. Konkret bedeutet dies, dass die bisherigen Regelungen im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG), die mitunter eine Umsetzung der ePrivacy-Richtlinie von 2002 darstellen, durch die neue Verordnung abgelöst werden.

Aktueller Stand des Gesetzgebungsverfahrens

Nach den neuesten Verlautbarungen aus dem Gesetzgebungsvorgang rückt die Verabschiedung der ePrivacy-Verordnung immer näher. Gerade unter dem Aspekt, dass die Verordnung dann direkt in allen EU-Staaten gilt und nicht erst durch nationales Recht umgesetzt werden muss, ist das Thema von hoher Relevanz für alle Betroffenen.

Die wesentlichen Punkte scheinen inzwischen inhaltlich ausgehandelt zu sein. Darunter fallen insbesondere alle oben aufgeführten Aspekte der Verordnung. Die Kritik der Digitalverbände und Interessenvertreter der Digitalwirtschaft, die eine Lockerung der Vorschriften zugunsten von Werbetreibenden fordern, wird vom Gesetzgeber vermutlich vernachlässigt. Das Schutzniveau soll nicht aufgeweicht werden.

Diskussionsbedarf besteht vor allem noch im Hinblick auf zwei Punkte:

  • Im Bereich neuer Technologien im Kontext Machine-to-Machine-Communication, Internet-of-Things (IoT) und Künstliche Intelligenz soll die ePrivacy-Verordnung zukunftssicher gestaltet werden.
  • Regelungen, die eine Datenverarbeitung zu Zwecken des Auffindens, Löschens und Meldens von kinderpornographischem Material erlauben sollen.

Diese Punkte waren in einem Kompromissvorschlag des EU-Ratsvorsitzes vom Februar 2019 und in einem Sachstandsbericht von Ende Mai 2019 die noch offenen Hauptdiskussionspunkte.

Wann tritt die ePrivacy-Verordnung in Kraft und wird anwendbar?

In seiner achten Sitzung am 13. März 2019 forderte der Europäische Datenschutzausschuss den europäischen Gesetzgeber erneut auf, die ePrivacy-Verordnung schnellstmöglich zu verabschieden. Mit weiteren großen Verzögerungen sollte man daher nicht rechnen.

Gemäß aktuellem Entwurf wird die ePrivacy-Verordnung 24 Monate nach ihrem Inkrafttreten anwendbar. Mit einer verbindlichen Anwendbarkeit der ePrivacy-Verordnung ist deshalb frühestens Ende 2021 zu rechnen.

Die Einführung der ePrivacy-Verordnung kann allerdings einiges an Aufwand bedeuten. Wichtig ist es daher, rechtzeitig vorzusorgen und frühzeitig mit der Umsetzung zu beginnen. Ansonsten droht die Gefahr, dass Produkte und Dienstleistungen nach Inkrafttreten der Verordnung nicht mehr angeboten werden dürfen oder hohe Bußgelder verhängt werden. Nach dem aktuellsten Entwurf sind Bußgelder in Höhe von bis zu 20 Millionen Euro oder alternativ bis zu vier Prozent des weltweit erzielten Jahresumsatzes möglich.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten und wir sorgen dafür, dass Sie rechtzeitig alle Verarbeitungen auf die ePrivacy-Verordnung anpassen können!

Geschrieben am:

Tipps für das Abschließen eines AV-Vertrages

Lässt ein Verantwortlicher personenbezogene Daten durch einen Dienstleister im Auftrag verarbeiten, müssen beide Parteien einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) nach Art. 28 Abs. 3 S. 1 DSGVO abschließen. Doch welche Maßnahmen kann ein Auftragsverarbeiter treffen, wenn sich Neu- oder Altkunden weigern, einen solchen Vertrag zu unterschreiben? Was können Verantwortliche tun, wenn Dienstleister sich sperren?

Die Pflicht zum AV-Vertrag

Der Abschluss eines Vertrages über die Verarbeitung im Auftrag ist eine notwendige Voraussetzung, damit eine Rechtsgrundlage für die Auftragsverarbeitung besteht. Wurde ein solcher Vertrag nicht abgeschlossen, darf grundsätzlich keine Datenübermittlung vom Auftraggeber an den Auftragnehmer erfolgen. Die sogenannte Privilegierung des Auftragsverarbeiters entfällt.

Wenn Sie neue Verträge mit Kunden abschließen, sollten Sie den AV-Vertrag als eine Anlage zum Standardvertrag anfügen. Hierdurch wird sichergestellt, dass mit dem Abschluss des eigentlichen Vertrages auch die datenschutzrechtlichen Vorgaben einer Auftragsverarbeitung einzuhalten sind.

Tipp: Nutzen Sie unsere kostenlose Vorlage für einen AV-Vertrag, um die Auftragsverarbeitung mit Verantwortlichen oder Dienstleistern rechtlich abzusichern.

Was tun, wenn ein AV-Vertrag verweigert wird?

Schwieriger stellt es sich dar, wenn sich ein (Bestands-)Kunde bzw. (wichtiger) Auftragnehmer weigert, den AV-Vertrag zu unterschreiben. Zwar besteht sowohl für den Verantwortlichen als auch den Auftragsverarbeiter eine gesetzliche Pflicht, einen AV-Vertrag zu schließen, wenn Daten im Auftrag verarbeitet werden sollen. Jedoch kann niemand gezwungen werden, einen Vertrag abzuschließen.

Zunächst empfiehlt es sich, den Verantwortlichen bzw. Dienstleister auf seine Pflicht zum Abschluss eines AV-Vertrages hinzuweisen und ihm einen solchen in dokumentierter Weise anzubieten. So können Sie wenigstens nachweisen, dass Sie Ihr Gegenüber auf die gesetzliche Pflicht hingewiesen und ernsthafte Versuche zur Vertragsunterschrift unternommen haben.

Tipps für Auftragsverarbeiter

Sperrt sich ein Kunde gegen den Abschluss eines Vertrages über Auftragsverarbeitung, könnte es helfen, einen zusätzlichen kostenlosen Service-Rahmenvertrag mit dem AV-Vertrag als Annex anzubieten. So freut sich Ihr Kunde über ein (scheinbares) Mehr an Service und Sie stehen als Auftragsverarbeiter datenschutzrechtlich (mehr) auf der sicheren Seite.

Eine vermutlich noch sicherere Variante ist die Abgabe einer einseitigen Garantieerklärung durch den Auftragsverarbeiter. Dabei erklärt er einseitig, den konkreten Pflichten aus Art. 28 Abs. 3 DSGVO nachzukommen. Ob eine solche Erklärung von den Aufsichtsbehörden als wirksame Alternative zu einem AV-Vertrag akzeptiert werden wird, bleibt abzuwarten. Es ist jedoch davon ausgehen, dass eine Garantieerklärung in den Augen der Aufsichtsbehörde ein überzeugenderes Argument gegen ein Bußgeld sein wird, als der bloße Versuch einen Vertrag über Auftragsverarbeitung zu schließen. Der entscheidende Hinweis findet sich u.a. in Art. 28 Abs. 3 S. 1 DSGVO, woraus sich ergibt, dass die Verarbeitung im Auftrag auf der Grundlage eines Vertrages oder „eines anderen Rechtsinstruments“ erfolgt.

Tipps für Verantwortliche

Dass Auftragsverarbeiter sich weigern, einen AV-Vertrag abzuschließen, dürfte deutlich seltener vorkommen – gibt es doch für die allermeisten Dienstleister mehr oder weniger gute Alternativen. Sollte dies jedoch nicht der Fall oder ein Wechsel des Auftragnehmers mit unverhältnismäßigen Kosten verbunden sein, bleibt Ihnen als Verantwortlicher entweder nur das Risiko einzugehen oder auf einen anderen Dienstleister auszuweichen. Bei der Marktmacht einiger Dienstleister kann sich das schwierig gestalten. Die DSGVO hat aber gezeigt, dass auch größere Dienstleister einlenken und mittlerweile Auftragsverarbeitungsverträge anbieten. Diese können in der Regel auch auf elektronischem Wege geschlossen werden. Informieren Sie sich diesbezüglich bei Ihrem Dienstleister.

Künftig sollten Datenschutz-Gesichtspunkte bereits im Vorfeld der Auswahl im Rahmen des Vertragsmanagements berücksichtigt werden. Die Auswahl eines Dienstleisters kann dann unter anderem vom Bestehen eines Auftragsverarbeitungsvertrages der die Anforderungen aus Art. 28 DSGVO erfüllt abhängig gemacht werden.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am:

Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde

Wird ein Datenschutzbeauftragter bestellt, muss er laut Art. 37 Abs. 7 DSGVO vom Verantwortlichen bzw. vom Auftragsverarbeiter an die Datenschutz-Aufsichtsbehörde gemeldet werden. Dies gilt sowohl für betriebliche bzw. interne als auch für externe Datenschutzbeauftragte.

Die Meldung des Datenschutzbeauftragten soll online per Formular über die Website der jeweiligen Aufsichtsbehörde erfolgen. Auch bei einem etwaigen Wechsel des Datenschutzbeauftragten ist dies der Aufsichtsbehörde mitzuteilen. Bei einer Verletzung der Meldepflicht droht ein Bußgeld.

Ob in Ihrem Unternehmen grundsätzlich ein Datenschutzbeauftragter zu bestellen ist, können Sie in unserem Special zum betrieblichen Datenschutzbeauftragten nachlesen.

Liste der Aufsichtsbehörden mit Links zur Meldung des Datenschutzbeauftragten

Bundesland

Aufsichtsbehörde

Meldung des DSB
Baden-Württemberg Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg Online möglich
Bayern Bayerisches Landesamt für Datenschutzaufsicht Online möglich (nach Registrierung)
Berlin Berliner Beauftragte für Datenschutz und Informationsfreiheit Online möglich
Brandenburg Die Landesbeauftragte für den Datenschutz und Akteneinsicht Brandenburg Online möglich
Bremen Die Landesbeauftragte für Datenschutz Online möglich
Hamburg Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Online möglich
Hessen Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Online möglich
Mecklenburg-Vorpommern Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Online möglich
Niedersachsen Die Landesbeauftragte für den Datenschutz Niedersachsen Online möglich (nach Registrierung)
Nordrhein-Westfalen Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Online möglich (nach Registrierung)
Rheinland-Pfalz Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz Online möglich
Saarland Unabhängiges Datenschutz Zentrum Saarland Online möglich
Sachsen Sächsischer Datenschutzbeauftragter Online möglich
Sachsen-Anhalt Landesbeauftragter für den Datenschutz Sachsen-Anhalt Online möglich
Schleswig-Holstein Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Online möglich
Thüringen Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit Online möglich (nach Registrierung)

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Geschrieben am:

Wie prüfen Datenschutz-Aufsichtsbehörden Unternehmen?

Die deutschen Aufsichtsbehörden prüfen verstärkt die Umsetzung der Datenschutz-Grundverordnung (DSGVO) in Unternehmen. Doch wie gehen die Aufsichtsbehörden bei einer solchen Kontrolle überhaupt vor? Worauf achten die Datenschützer besonders? Und wie können Sie sich als Unternehmen optimal auf ein Audit durch die Aufsichtsbehörde vorbereiten? Die aktuelle Veröffentlichung der Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gibt Aufschluss.

Hintergrund der Prüfung durch die Aufsichtsbehörde

In einer branchenübergreifenden Querschnittsprüfung hatte die LfD seit Juni 2018 50 großen und mittelgroßen Unternehmen Fragen zu zehn Bereichen des Datenschutzes gestellt. Laut der damaligen Pressemitteilung sollten daraus Hinweise für die zukünftige Arbeit der Aufsichtsbehörde gewonnen werden. So könnten sich zum Beispiel Schwerpunktprüfungen in bestimmten Branchen anschließen. Außerdem erwartete die Behörde Anhaltspunkte dafür, wo noch besonders viel Beratungs- und Aufklärungsbedarf besteht.

Ein gutes Jahr später veröffentlichte die Aufsichtsbehörde den Kriterienkatalog, mittels dessen die Antworten der geprüften Unternehmen ausgewertet wurden. Daraus lassen sich zwei sehr interessante Rückschlüsse ziehen: Zum einen wird klar, welche Punkte bei einer Auditierung auf DSGVO-Konformität für die Aufsichtsbehörde von besonderer Relevanz sind. Zum anderen zeigt sich, wie umfangreich die erwarteten Antworten tatsächlich sein müssen.

Was will die Aufsichtsbehörde konkret wissen?

Als roter Faden zieht sich durch das Dokument der LfD, dass die Aufsichtsbehörde nicht nur hören möchte, dass etwas getan wurde, sondern auch was konkret wie umgesetzt wurde. Standardantworten oder pauschale Aussagen zählen nicht. Es muss vielmehr gezeigt werden, dass sich die Verantwortlichen im Unternehmen konkret und im Detail mit den eigenen Anforderungen auseinandersetzten und hierfür passende individuelle Lösungen haben. Oberflächliche, allgemeine Antworten mit generalisierenden Aussagen reichen klar nicht aus.

Die Prüfung zeigt deutlich, wie wichtig eine detaillierte und dem konkreten Einzelfall angepasste Umsetzung der Datenschutzanforderungen ist. Lösungen „von der Stange“ sind hochgefährlich.

Um dies zu verdeutlichen folgt ein kurzer Überblick anhand einiger Beispiele, die aufzeigen sollen wie genau die Prüfung zu einzelnen Fragen ausgestaltet war:

  • Bei der Frage nach der Vorbereitung auf die DSGVO wurde explizit darauf geachtet, dass alle Unternehmensbereiche individuell beleuchtet, Datenschutzschulungen durchgeführt und geplante Maßnahmen auch tatsächlich umgesetzt wurden.
  • Bei der Frage nach Verzeichnissen von Verarbeitungstätigkeiten sollte ein Musterverfahren eingereicht werden. Dieses wurde anhand von zehn spezifischen Punkten einer Checkliste auf Konformität mit 30 Abs. 1 DSGVO überprüft.
  • Bei der Frage nach der Rechtsgrundlage für Verarbeitungen wurde nicht nur die Angabe einer solchen überprüft, sondern auch deren Plausibilität anhand des Verzeichnis von Verarbeitungstätigkeiten sowie die Angabe der die Rechtsgrundlage begründenden Punkte. Bei Angabe einer Einwilligung als Rechtsgrundlage wurde die konforme Einholung einer solchen detailliert überprüft.
  • Bei der Prüfung wie mit Betroffenenrechten verfahren wird, ging die Behörde auf jeden Punkt ein, der sich aus dem Gesetz ergibt. Die Checkliste allein dazu umfasst ca. drei Seiten.
  • Bei der Frage nach technischen und organisatorischen Maßnahmen kam es der Aufsichtsbehörde besonders darauf an, dass die Antwort Verständnis für die spezielle technische Thematik und deren Implikationen für den Datenschutz ausdrückt. Die Maßnahmen müssen dem konkret ermittelten Risiko entsprechen. Die Ermittlung des Risikos wird folglich als zwingend vorausgesetzt. Es wurde dabei auf konkrete für wichtig erachtete Maßnahmen eingegangen. Eine verallgemeinerte Antwort war daher nicht ausreichend.
  • Bei der Frage nach einer Datenschutz-Folgenabschätzung achtete die LfD darauf, ob nach allen relevanten Normen geprüft wurde, welche Risikobestimmungsmethodik verwendet wurde, ob konkrete Zuständigkeiten vergeben wurden und ob eine Dokumentation stattfand.
  • Bei der Frage nach Auftragsverarbeitung wurde nicht nur darauf geachtet, dass AV-Verträge Art. 28 DSGVO abgeschlossen wurden, sondern anhand einer umfangreichen Checkliste vor allem daraufhin geprüft, dass die Verträge unter allen Aspekten DSGVO-konform sind.

Interne Datenschutzaudits als Vorbereitung auf Kontrollen

Inhalt und Umfang der Kontrollen durch die Aufsichtsbehörde bestätigen wie wichtig es ist, regelmäßig interne Datenschutzaudits durchzuführen, die den Ist-Zustand des Datenschutzes im Unternehmen sowie möglichen Verbesserungsbedarf aufzeigen.

Unternehmen, die einfach darauf hoffen, dass schon alles passt, kann eine böse Überraschung ins Haus stehen, wenn die Datenschutzbehörde eine eigene Überprüfung durchführen möchte. Denn die Aufsichtsbehörden geben sich – wie aus dem Dokument der LfD Niedersachsen deutlich hervorgeht – nicht mit einfachen Antworten zufrieden.

Stattdessen wollen die Aufsichtsbehörden sehen, dass ein aktives Datenschutzmanagement betrieben wird und dafür ein konkretes Datenschutzkonzept vorgelegt bekommen. Aus diesem muss deutlich hervorgehen, dass DSGVO-Konformität im Unternehmen besteht, wie diese gewährleistet wird und wie zukünftig weitere Optimierungen und Anpassungen geschehen.

Anleitungen und Checklisten zur Durchführung eines Datenschutzaudits finden Sie in unserem Special zum Thema. Der Abgleich mit dem Bewertungskatalog der LfD Niedersachen bestätigt unser vorgeschlagenes Vorgehen.

Geschrieben am:

Datenschutzaudit für Unternehmen (Anleitung)

Ein Datenschutzaudit zeigt Ihnen auf, wie gut die Vorschriften der Datenschutz-Grundverordnung (DSGVO) in Ihrem Unternehmen umgesetzt sind. Ein gut umgesetztes Audit mach aber auch klar, wo akuter Verbesserungsbedarf besteht – und wie Sie das Datenschutzniveau konkret verbessern können.

Doch was macht ein gutes Audit des unternehmerischen Datenschutzes aus? Worauf müssen Sie beim Datenschutzaudit unter der DSGVO besonders achten? Wer sollte die Auditierung durchführen? Eine praktische Anleitung.

Wann ist eine Datenschutzprüfung im Unternehmen sinnvoll?

Grundsätzlich sollte jedes Unternehmen in regelmäßigen Abständen Datenschutzaudits durchführen. Bei einem Audit nach DSGVO ist insbesondere zu prüfen, ob Ihr Unternehmen den Anforderungen der Datenschutz-Grundverordnung gerecht wird. Gleichzeitig können so Möglichkeiten offengelegt werden, wie Sie die Datenschutzprozesse in Ihrem Unternehmen weiter optimieren können.

Ob eine Prüfung des Ist-Zustandes Ihres betrieblichen Datenschutzes konkret sinnvoll ist, können Sie selbst anhand einiger Fragen herausfinden:

  • Ist eine ordentliche Bestellung des Datenschutzbeauftragten (sofern notwendig) erfolgt?
  • Sind Ihre Geschäftsräume und insbesondere Ihr Serverraum ausreichend geschützt?
  • Kennen Ihr Marketing und Vertrieb die seit 25. Mai 2018 gültigen Anforderungen der DSGVO?
  • Wird Ihre IT-Umgebung ausreichend durch eine funktionierende Datensicherung und Firewall geschützt?
  • Haben Sie mit Ihren IT-Dienstleistern aktuelle Auftragsverarbeitungsverträge nach 28 DSGVO geschlossen und die Dienstleister dokumentiert geprüft?
  • Besteht eine ausreichende Dokumentation Ihrer IT-Umgebung, um nicht abhängig von Ihren Administratoren zu sein?
  • Erfassen Sie von Ihren Beschäftigten nur Daten, zu deren Verarbeitung Sie auch berechtigt sind?

Sofern Sie nicht all diese Fragen mit einem ganz sicheren „Ja“ beantworten können, sollte auf jeden Fall ein Datenschutzaudit durchgeführt werden.

Wie funktioniert ein Datenschutzaudit?

Die DSGVO fordert – im Gegensatz zum alten Bundesdatenschutzgesetz – die Einführung eines sog. Datenschutzmanagementsystems. Es reicht also nicht mehr, den Datenschutz lediglich einzuhalten. Vielmehr ist erforderlich, dass der Datenschutz im Unternehmen systematisch geplant wird, um die Umsetzung später überprüfen und bei Abweichungen nachbessern zu können. Dieses Konzept entstammt der „ISO-Welt“ und wird allgemein für Managementsysteme verwendet. Aus diesem Grund bietet es sich an, das Datenschutzaudit nach dem ISO 19011-Standard durchzuführen. In diesem ist detailliert die Auditplanung, -durchführung und die -nachbereitung geregelt.

Das Audit selbst lässt sich in drei Hauptteile untergliedern: Der allgemeine Datenschutz, die Datenverarbeitung in den einzelnen Geschäftsbereichen und die Informationssicherheit bezogen auf den Datenschutz.

Allgemeiner Datenschutz

Im allgemeinen Teil werden die einzelnen Pflichten, die die Datenschutz-Grundverordnung an die verantwortliche Stelle stellt, evaluiert. Es ist zu prüfen, ob es Regelungen in den einzelnen Bereichen gibt und ob diese auch umgesetzt werden. Bei Folgeaudits wird überprüft, ob diese Regelungen eingehalten wurden und ob diese das gewünschte Ziel erfüllt haben. Sollte das nicht der Fall sein, dann findet im Anschluss eine Verbesserung der mangelhaften Punkte an. Konkret geht es hierbei um folgende Bereiche:

Tipp: Worauf Sie bei den einzelnen Bereichen achten müssen, finden Sie in unserer kostenlosen Checkliste zur Durchführung eines Datenschutzaudits.

Datenverarbeitung in den Geschäftsbereichen

Sobald die obigen Punkte, die für jedes Unternehmen gelten, überprüft sind, sollte sich den einzelnen Geschäftsbereichen zugewandt werden. Hierfür bietet es sich an, mit den jeweiligen Abteilungsleitern zu sprechen, da diese den besten Überblick über die Datenverarbeitungen in ihren Bereichen haben. In jedem Fall sollten Sie die Abteilungen IT, Personal, Marketing, Vertrieb und Service evaluieren, da diese erfahrungsgemäß mit vielen personenbezogenen Daten in Kontakt kommen. Je nach Unternehmen können zusätzliche Bereiche relevant werden.

Mit den Leitern werden die Vorgänge in den Abteilungen besprochen, um eine Übersicht über die Verarbeitungstätigkeiten zu erhalten und nicht optimierte Prozesse zu identifizieren.

Informationssicherheit

Die meisten Datenverarbeitungsvorgänge erfolgen nicht mehr auf Papier, sondern auf Computersystemen. Aus diesem Grund ist der Bereich der Informationssicherheit ein zentraler Punkt bei der Einhaltung der Vorgaben der DSGVO.

Umso erstaunlicher ist es, dass der Gesetzgeber diesen wichtigen Bereich lediglich in Art. 32 DSGVO eher rudimentär beschrieben hat. Es wird lediglich eine nicht abschließende Liste mit Maßnahmen zur Verfügung gestellt, die zu beachten sind. Daher ist es notwendig, sich weiterer Hilfestellung zu bedienen.

Dies können etwa diverse Fragenkataloge sein, die etwa von im Datenschutz engagierten Verbänden zur Verfügung gestellt werden. Diese enthalten zu den einzelnen Punkten des Art. 32 DSGVO mehrere Fragen, anhand derer die Informationssicherheit überprüft werden kann.

Eine andere Möglichkeit ist die Heranziehung der ISO 27002. Vereinfacht gesagt, stellt diese Norm die Anforderungen an ein Informationssicherheitsmanagementsystem (ISMS) dar. Da die DSGVO ein Datenschutzmanagementsystem erfordert, kann man sich dieser ISO-Norm bedienen und damit die Informationssicherheit im Bereich Datenschutz auditieren. Selbstverständlich sind nicht alle Anforderungen vollständig zu erfüllen. Es genügt, wenn diese in risikoangemessen Umfang eingehalten werden. Bei der Verwendung der ISO 27002 ist von Vorteil, wenn der Auditor bereits Erfahrung in Managementsystemen vorzuweisen hat.

Nach dem Audit

Im Anschluss an das Audit sollte zeitnah die Erstellung eines Auditberichts samt Maßnahmenliste erfolgen. Dies gewährleistet, dass die Auditierung noch geistig präsent ist, sollten die Aufzeichnungen an gewissen Stellen nicht eindeutig sein.

Der Auditbericht selbst ist eine Übersicht über den aktuellen Stand des Datenschutzes im Unternehmen. Er gibt einen schnellen Überblick über kritische Bereiche und sollte grafisch ansprechend gestaltet sein. Dies erleichtert eine schnelle Bewertung ohne die zwingende Notwendigkeit, den gesamten Bericht zu lesen.

Ebenso wichtig ist die Maßnahmenliste, die eine detaillierte Übersicht über die noch durchzuführenden Maßnahmen gibt. Sie dient als Arbeitsgrundlage zur weiteren Verbesserung des Datenschutzmanagementsystems. Je präziser die Maßnahmenliste die noch offenen Aufgaben beschreibt, desto leichter sind die später umzusetzen.

Wer soll das Audit durchführen?

Dies kann durch eigene Mitarbeiter erfolgen oder von externen Auditoren durchgeführt werden. Letztere bringen diverse Vorteile mit:

  • Es besteht keine „Betriebsblindheit“, d.h. der externe Auditor hat einen neutralen und objektiven Blick auf das Unternehmen.
  • Externe Auditoren werden von den eigenen Mitarbeitern anders wahrgenommen.
  • Mitarbeiter versuchen bei einem externen Auditor seltener das Auditergebnis zu ihren Gunsten zu beeinflussen. Sie erhalten ein objektives Ergebnis.

Wie geht die activeMind AG bei einem Audit vor?

Wir orientieren uns bei Datenschutzaudits an den oben aufgeführten Best Practices:

In einem ersten Schritt schulen unsere Experten die Geschäftsführung Ihres Unternehmens hinsichtlich der gesetzlichen Grundlagen des Datenschutzes. Anschließend führen wir mit den Leitern der Bereiche IT, Personal, Marketing und Service Gespräche und erfassen so den Ist-Zustand des Datenschutzes in Ihrem Unternehmen. Dabei profitieren Sie als Unternehmen von der langjährigen Expertise unserer Auditoren und einem eigens entwickelten System zur Reifegradmessung Ihrer Datenschutzprozesse.

Nach dem Audit erhalten Sie einen kompakten und anwendungsbezogenen Bericht sowie eine Liste mit konkreten und priorisierten Handlungsempfehlungen, um den Datenschutz in Ihrem Unternehmen rechtskonform und effizient zu optimieren. Vorlagen und Checklisten für Datenschutzbeauftragte sowie Verpflichtung und Datenschutzschulung Ihrer Mitarbeiter runden das Datenschutzaudit ab.

Dieser aktualisierte Artikel wurde zuerst am 26. November 2018 veröffentlicht.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Geschrieben am: