1. Grundlage der Bestellung eines (externen) betrieblich Beauftragten für den Datenschutz
Für die Verarbeitung von personenbezogenen Daten bei nicht öffentlichen Stellen ist ab dem 25.05.2018 die über europäisches Recht eingeführte Datenschutzgrundverordnung (DSGVO) als direkt anwendbares Europarecht flächendeckend für die gesamte EU eingeführt worden. Für nationale Spezifika bestehen Öffnungsklauseln, die spezielle Regelungen für Nationalstaaten erlauben, die Verordnung an einigen Stellen konkretisieren jedoch nicht aufweichen dürfen. Diese Konkretisierungen sind im Datenschutz-Anpassungs- und -umsetzungsgesetz EU (DSAnpUG-EU) festgelegt, das mit seinen nur für Deutschland gültigen Änderungen aus dem Bundesdatenschutzgesetz alte Fassung (BDSG a.F.) hervorgegangen ist und nun Bundesdatenschutzgesetz neu (BDSG neu) genannt wird. Ab dem 25.05.2018 gelten diese beiden Gesetze für die Regelung des Datenschutzes in Deutschland. Die DSGVO ist zwar bereits seit der Verabschiedung im Europaparlament am 15.03.2016 in Kraft, sie lief jedoch mit dem BDSG a.F. bis zum 24.05.2018 parallel.
§ 38 (1) BDSGneu gibt vor, daß nicht öffentliche Stellen, wenn sie personenbezogene Daten automatisiert
- erheben
- verarbeiten oder
- nutzen
und mehr als 19 Personen damit beschäftigt sind, einen Betrieblichen Beauftragten für den Datenschutz zu benennen haben.
Bei automatisierter Verarbeitung personenbezogener Daten mit mehr als neunzehn Personen hat die verantwortliche Stelle (Geschäftsführung des verarbeitenden Unternehmens oder bei Auftragsverarbeitung der Auftraggeber und der Auftragnehmer) einen Datenschutzbeauftragten bei der jeweils zuständigen Aufsichtsbehörde zu benennen. Dies ist in Bremen der Landesbeauftragte für den Datenschutz in Bremerhaven. Diese Meldepflicht ist seit der Einführung der DSGVO ein zentraler Baustein der Datenschutzgesetzgebung.
Die Funktion eines Betrieblich Beauftragten für den Datenschutz kann intern besetzt oder an eine Person außerhalb der verantwortlichen Stelle delegiert werden (Artikel 37 (6) DSGVO).
Betroffene müssen sich jederzeit an den betrieblichen Beauftragten für den Datenschutz wenden können. D.h., Ansprechbarkeit für Belange des Datenschutzes muß gegeben sein für das Personal der nicht öffentlichen Stelle und den Personenkreis, dessen personenbezogene Daten dort verarbeitet werden. Aus diesem Grund sind nun im Impressum einer jeden Unternehmenswebseite unter der Überschrift Datenschutz Kontaktmöglichkeiten zu benennen, um sich an den betrieblich Beauftragten für den Datenschutz direkt wenden zu können. I.d.R. reicht eine eMail-Adresse in der Form datenschutz@mustermann.de und eine Telefonnummer des Unternehmens vollkommen aus. Neu ist allerdings, daß der zeitliche Rahmen für die Beantwortung der Anfrage eines Betroffenen an ein Unternehmen innerhalb von maximal vier Wochen abschließend bearbeitet sein muß. Der anfragende Betroffene hat im Fall von inkorrekter Beantwortung der Anfrage oder Überschreitung der vorgegebenen Zeitschwelle bei der Datenschutzausfichtsbehörde ein Beschwerderecht.
2. Aufgaben des (externen) betrieblich Beauftragten für den Datenschutz
Die Aufgaben eines (externen) Betrieblichen Beauftragten für den Datenschutz sind die Überwachung der Einhaltung der Datenschutzverordnung und aller anderen Vorschriften über den Datenschutz. Er hat insbesondere
(1) die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe automatisierte Verarbeitung personenbezogener Daten stattfindeen soll, zu überwachen.
Zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig vorher zu unterrichten (für eine evtl. Datenschutzfolgenabschätzung).
(2) die bei der automatisierten Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieser Gesetze sowie anderer Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen (Datenschutzeinweisung).
(3) Die Geschäftsführung beraten und unterstützen bei der Risikoeinschätzung der Verarbeitungsprozesse und der Erstellung des Verzeichnisses der Verarbeitungstätigkeit sowie Unterstützung bei der Erstellung von Datenschutzfolgenabschätzungen.
2.1 Benötigte Unterlagen
Für jede abgrenzbare Datenverarbeitung sind die folgenden Informationen zusammen zu tragen und zusammengefaßt bei Anfragen von Betroffenen zur Verfügung zu stellen. Diese Informationen sind ebenfalls Gegenstand der Meldepflicht an die Aufsichtsbehörde, wenn kein Betrieblicher Beauftragter für den Datenschutz bestellt werden braucht, weil nicht mehr als neunzehn Personen die personenbezogene Daten automatisiert verarbeiten. Dann allerdings ist der Leiter der verantwortlichen Stelle, also der Geschüftsführer für die Einhaltung der Datenschutzvorschriften zuständig. Dies dürfte ein noch größeres Problem darstellen, da ein Geschäftsführer das Geschäft zu führen hat und damit i.d.R. ausgelastet ist. Zudem werden ihm Interessenkonflikte unterstellt. Somit sind auch andere Führungskräfte der obersten Ebene befangen. Auch der IT-Leiter z.B. ist für diese Funktion nicht zulässig.
2.1.1 Daten der Meldepflicht über die verantwortliche Stelle
- Name oder Firma der verantwortlichen Stelle
- Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen.
- Anschrift der verantwortlichen Stelle.
- Zweckbestimmung der Datenerhebung, -verarbeitung, oder -nutzung.
- Eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien.
- Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können.
- Regelfristen für die Löschung der Daten.
- Eine (evtl. geplante) Datenübermittlung in Drittstaaten.
- Eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.
2.1.2 Daten über die Verarbeitungs- und Nutzungsart
- Zweckbestimmung
- Wofür werden die Daten erhoben?
- Wie ist der Verarbeitungsweg?
- Welcher Nutzen wird erzielt?
- Welche Personengruppen sind betroffen?
- Welche Daten oder Datenkategorien werden verarbeitet (explizite Benennung)?
- Welche Empfänger oder Empfängerkategorien können die Daten erhalten?
2.1.3 Festgelegte Regelfristen über die Löschung von Daten
- Welche Regelfristen sind für die Löschung festgelegt?
- Explizite Zeitangaben, die sich aus dem Grund der Erhebung, d.h. Erfassung und der Nutzungsdauer abgeleitet aus dem Grund der Erhebung bei Verarbeitung für eigene Zwecke ergeben.
- Bei geschäftsmäßiger Verarbeitung zum Zweck der der Übermittlung ist eine Löschung am Ende des vierten Kalenderjahres vorzunehmen, wenn die Daten für den Grund für den sie erhoben wurden nicht mehr benötigt werden.
- Ist aus anderen Verwaltungsvorschriften abgeleitet eine längerfristige Aufbewahrung erforderlich (z.B. fiskalisch zehn Jahre), sind die Daten bis zum Ablauf dieser Frist zu sperren und dann zu löschen.
2.1.4 Technische und organisatorische Maßnahmen
Die sogenannten Technischen- und Organisatorischen Maßnahmen (TOMs), die aus dem alten Datenschutzgesetz bekannt waren, sind nun nicht mehr einzeln aufgeführt. Artikel 25 (2) spricht nur noch von geeigneten technischen und organisatorischen Maßnahmen.
Nun allerdings sind explizit Zertifizierungen ermöglicht worden, so daß eine Unternehmen seine technischen Maßnahmen durch eine ISO/IEC27001 Zertifizierung absichern und den Nachweis darüber über das Zertifikat führen kann.
2.2 Schulung des Betriebspersonals
Nach Artikel 39 (1) lit b DSGVO hat der Betrieblich Beauftragte für den Datenschutz die mit der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieser Verordnung sowie anderer Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.
Dies erstreckt sich auf die Sensibilisierung für Datenschutzbelange im Allgemeinen sowie auf die expilizite Verarbeitung an jedem Arbeitsplatz im Besonderen.
Desweiteren sind die organisatorischen und technischen Maßnahmen anzusprechen und die Notwendigkeit dafür darzulegen, da diese bestimmte spezielle Verfahrensweisen an den Arbeitsplätzen erfordern. Eine Akzeptanz zu schaffen, die gelebt wird, ist das oberste Ziel.
2.3 Überprüfen oder Ausarbeiten einer Verpflichtungserklärung auf das Datengeheimnis
Da die bei der Datenverarbeitung beschäftigten Personen angehalten sind auf Zweckbindung und Datensparsamkeit zu achten, sowie ihnen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen, sind sie bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach der Beendigung ihrer Tätigkeit unbegrenzt fort.
3. Vertragsverhältnis
Die Übernahme des Mandates beginnt mit einer Analyse der datenschutzrelevanten Prozesse und deren Dokumentation. Der Stundenaufwand der jährlichen Betreuung wird anhand der betroffenen Mitarbeiter veranschlagt und geht so in das Angebot ein. Etwaige vorher nicht kalkulierbare zusätzliche Leistungserbringung wird nach Absprache zusätzlich abgerechnet und gesondert ausgewiesen.
Die Abrechnung der zusätzlichen Leistung erfolgt nach der Leistungserbringung. Bei größerem Auftragsvolumen ist ein Abschlag obligatorisch.
Aufgewendete Stunden für die Pflege und Aktualisierung der Dokumentation, sowie Beratung der mit der Verarbeitung personenbezogener Daten betrauter Personen oder Auskunfterteilung Betroffener ist mit der Jahresgebühr abgegolten. Die Bestellung zum externen Betrieblich Beauftragten für den Datenschutz erfolgt für zwei Jahre und verlängert sich dann stillschweigend um ein weiteres Jahr. Es sei denn, es erfolgt drei Monate vor Vertragseende eine Kündigung. Die Kündigung bedarf der Schriftform.
Die Abrechnung erfolgt jährlich im voraus.
Für Schulungen wird eine pauschale Summe berechnet, die eine angemessene Vorbereitungszeit für die aktuelle Erstellung der Schulungsunterlagen beinhaltet. Material wird gesondert berechnet.
Die Abrechnung erfolgt nach Abschluß der Schulung.