in der DSGVO

Fakten

„Die erbarmungsloseste Waffe ist die gelassene Darlegung der Fakten.“

Raymond Barre (1924-2007)

Die Fakten der DSGVO beleuchten eindrucksvoll, wie der Datenschutz zu einem unverzichtbaren Eckpfeiler für Unternehmen geworden ist.

Datenschutz ist im Detail komplex. Insgesamt stellt die DS-GVO hohe Anforderungen an die Aufgaben eines Datenschutzbeauftragten. Durch die Aufschlüsselung der wichtigsten Fakten haben wir die Komplexität der DS-GVO nur angerissen. Die DS-GVO bleibt in der Gesamtheit sehr umfangreich. Mit der Benennung zum betrieblichen Datenschutzbeauftragten erhält ihr Unternehmen die vollumfängliche “Anwendung“, „Beratung“ und die „Überwachung“ aller Regeln und Pflichten der DS-GVO.
rechtsgrundlage datenverarbeitung

Ein wissender externer Datenschutzbeauftragter erkennt, dass jegliche Datenverarbeitung eine solide Rechtsgrundlage erfordert.

Gemäß Artikel 6 darf der Verantwortliche personenbezogenen Daten nur dann verarbeiten, wenn es hierfür eine spezifische Rechtsgrundlage gibt. Typischerweise wäre dies eine gesetzliche Grundlage oder ein Vertrag oder eine Einwilligung. Die DS-GVO und das BDSG bieten hier ca. 30 Möglichkeiten. Bei sensiblen Daten gelten besonders hohe Hürden.

Bei Zweckänderungen ist eine gründliche Prüfung unerlässlich, und ein externer Datenschutzbeauftragter in Hamburg kann Ihnen dabei helfen.

Gemäß Artikel 6 (4) sind Zweckänderungen nur unter sehr engen Voraussetzungen erlaubt. Genau genommen kann man nur von „Zweck-Erweiterungen“ sprechen. Gibt es hierfür keine Einwilligung und kein Gesetz als Rechtsgrundlage, so hat der Verantwortliche eine ausführliche Abwägung durchzuführen.

Die Unterstützung eines externen Datenschutzbeauftragten in Hamburg, kann bei der datenschutzfreundlichen Technikgestaltung und Voreinstellungen wesentlich sein.

Gemäß Artikel 25 muss der Verantwortliche schon in der Konzeptionsphase für Datenschutz sorgen, indem er so wenig Daten wie möglich speichert. Je weniger Daten er speichert, desto weniger Maßnahmen sind später zu deren Schutz notwendig (das spart Zeit und Geld). Ganz wichtig ist auch: Für jede Information, die man nicht besitzt, muss man später keine Auskunft erteilen oder Berichtigungsverlangen bearbeiten etc. (das spart Zeit und Nerven).

Die sorgfältige Verwaltung von Einwilligungen betroffener Personen, ist ein zentrales Anliegen, dem sich auch ein Datenschutzbeauftragter in einem Unternehmen widmet.

Gemäß Artikel 7 muss das Unternehmen die Einwilligungen der betroffenen Personen nachweisen können. Der Einwilligungs-Nachweis hat eine große Bedeutung im Datenschutzrecht. Erfahrungsgemäß resultieren viele Konflikte (mit Betroffenen und Aufsichtsbehörden) daraus, dass die betroffene Person behauptet keine Einwilligung gegeben zu haben. In den klassischen Fällen (z.B. bei Newsletter-Anmeldung) lässt sich dies meist einfach widerlegen, sofern man die Anmeldungen gewissenhaft protokollierte. Es bedarf also einer ausführlichen Dokumentation darüber WER seine Einwilligung WANN und WIE gegeben hat und welcher WORTLAUT genau vorlag.

einwilligung betroffene personen dsgvo
Image

Der Nachweis der "Grundsätze" wird durch die Fachkompetenz eines externen Datenschutzbeauftragten erheblich erleichtert.

Gemäß Artikel 5 unterliegt der Verantwortliche einer generellen „Rechenschaftspflicht“ (engl. „Accountability“). Inhaltlich basierend auf Artikel 5 (1) sind verschiedene Themenbereiche zu behandeln. Dabei ist insbesondere der Artikel 5 (1a) hervorzuheben, der ziemlich direkt ein Compliance-Managementsystem einfordert. Es ist zu erwarten, dass die Aufsichtsbehörden hier eine überzeugende Gesamtdokumentation anfordern.

Durch die fachkundige Unterstützung eines Datenschutzbeauftragten in Hamburg, wird die präzise und verantwortungsvolle Erteilung von Auskünften gewährleistet.

Das Recht auf Auskunft gemäß Artikel 15 ist sehr weitreichend. Die betroffenen Personen (bzw. Bevollmächtigte, wie z.B. Erben) müssen einen entsprechenden Antrag stellen. Es müssen keine Details beauskunftet werden. Diese Pflicht ist ernst zu nehmen, weil fehlende oder grob unvollständige Auskünfte von Jedermann leicht festzustellen sind.

Die gezielte Überwachung und Umsetzung von Maßnahmen zur Einschränkung der Verarbeitung, erfolgt effektiv durch einen externen Datenschutzbeauftragten.

Gemäß Artikel 18 können betroffene Personen unter bestimmten Umständen eine „Einschränkung der Verarbeitung“ verlangen; oftmals wird dies auch als „Sperrung“ bezeichnet. Der Sinn dieser „Einschränkung“ liegt darin, dass in verschiedenen Streitfällen die Daten erst einmal „eingefroren“ werden, bis eine Klärung der Sachlage erfolgt ist.

Image

Die akribische Erstellung und Pflege des Verarbeitungsverzeichnisses durch den Verantwortlichen, wird durch die Expertise eines Datenschutzbeauftragten sinnvoll ergänzt.

Die Dokumentation der Verarbeitungstätigkeiten gemäß Artikel 30 durch den Verantwortlichen ist besonders wichtig. Jede einzelne Verarbeitung muss präzise dokumentiert werden. Ohne eine solche Dokumentation kann das Unternehmen nicht garantieren, dass der Umgang mit personenbezogenen Daten datenschutzrechtlich zulässig ist.

Ein umfassendes Informieren bei der Datenerhebung, gewährleistet Transparenz und Vertrauen. Hierbei unterstützt ein externer Datenschutzbeauftragter auf professionelle Weise.

Gemäß Artikel 13 muss das Unternehmen die betroffenen Personen schon bei der Datenerhebung sehr ausführlich informieren. Dies soll die Fairness und Transparenz der Verarbeitung sicherstellen. Man könnte diese Information als eine Art „Beipackzettel“ ansehen.

einwilligung betroffene personen dsgvo
Image

Die Möglichkeit zur Berichtigung von Daten, wird durch die Fachkenntnis eines Datenschutzbeauftragten in Hamburg gewährleistet.

Gemäß Artikel 16 haben betroffene Personen das Recht auf eine Berichtigung von unrichtigen Daten. In der Datenverarbeitung ist ein Datenfeld aufzunehmen, wo die betroffene Person eine „ergänzende Erklärung“ hinterlegen kann (um den Kontext korrekt und unmissverständlich klarzustellen).

Die verlässliche Aushändigung von Datenkopien, wird durch die Expertise eines Datenschutzbeauftragten in einem Unternehmen gewährleistet.

Das Recht auf Datenkopien gemäß Artikel 15 (3) und Artikel 15 (4) gibt den Betroffenen ein (fast) uneingeschränktes Recht auf Kopien ihrer Daten. Gemäß Erwägungsgrund 63 kann der Verantwortliche um eine Präzisierung bitten (um nicht immer ALLE Daten kopieren zu müssen); doch die betroffene Person kann trotzdem ALLE Daten einfordern.

einwilligung betroffene personen dsgvo
einwilligung betroffene personen dsgvo

Das sichere und rechtskonforme Löschen von Daten, wird durch die professionelle Begleitung eines externen Datenschutzbeauftragten sichergestellt.

Im Artikel 17 werden verschiedene Gründe und Umstände für das Löschen von Daten beschrieben. Das Unternehmen muss demnach selbst laufend prüfen, ob es die Daten noch speichern darf, oder ob es diese unverzüglich löschen muss. Ein „versehentliches Liegenlassen“ von personenbezogenen Daten kann mit Geldbußen geahndet werden.

Die gewissenhafte Korrektur bei Dritten, wird in Zusammenarbeit mit einem Datenschutzbeauftragten zu einem vertrauensvollen und datenschutzkonformen Prozess.

Gemäß Artikel 19 muss sich jede Forderung nach Berichtigung, Löschung oder Verarbeitungseinschränkung möglichst auf die gesamte Datenkette beziehen (in Bezug auf die Artikel 16, Artikel 17 und Artikel 18). Über dieses Verlangen der betroffenen Person sind Auftragsverarbeiter und Dritte darüber zu informieren. Die betroffene Person kann außerdem verlangen, dass die Namen der Empfänger genannt werden (um kontrollieren zu können, ob die Daten insgesamt bei allen Beteiligten korrekt gehandhabt werden).

Datenübertragbarkeit ermöglicht auch der Datenschutzbeauftragte im Unternehmen

Betroffene Personen haben gemäß Artikel 20 das Recht, dass die von ihnen bereitgestellten Daten exportiert (und zu einem Konkurrenz-Anbieter übertragen) werden können. Dies betrifft nur die automatisierten Verarbeitungen, die auf einem Vertragsverhältnis oder einer Einwilligung beruhen. Dieses Recht darf nicht verwechselt werden mit dem „Recht auf Kopie“ gemäß Artikel 15.

Die strikte Gewährung des Widerspruchsrechts, wird unter der sachkundigen Leitung eines externen Datenschutzbeauftragten in Hamburg durchgesetzt.

Gemäß Artikel 21 kann eine betroffene Person einer Verarbeitung widersprechen, sofern die Rechtsgrundlage der Verarbeitung auf (a) öffentlichen Interessen oder (b) berechtigten Unternehmensinteressen beruht. Die Person muss „eine besondere Situation“ nachweisen. Das Unternehmen kann dies ablehnen, wenn die Verarbeitung zwingend notwendig ist.

Mit einem externen Datenschutzbeauftragten an Ihrer Seite, vermeiden Sie nicht nur automatisierte Entscheidungen, sondern setzen auch auf eine menschliche Prise Datenschutz!

Gemäß Artikel 22 darf eine Person nicht einer voll automatisierten Entscheidung (bzw. Profiling im Sinne des Artikel 4 Nr. 4) unterworfen werden, wenn daraus erhebliche Nachteile für sie erwachsen. Stattdessen muss immer auch ein Mensch an solchen Entscheidungen beteiligt werden.

Die Auftragsverarbeitung kann so detailverliebt geregelt werden, dass selbst der Datenschutzbeauftragte in Hamburg mit einem Daumen nach oben winkt – und das ist mehr als nur ein Emoji.

Gemäß Artikel 28 kann der Verantwortliche externe Dienstleister einbinden, um personenbezogene Daten dort verarbeiten zu lassen. Geschieht dies streng weisungsgebunden, so spricht man von einer Auftragsverarbeitung („Outsourcing“). Für diese Offenlegung von Daten bedarf es keiner Einwilligung durch die betroffenen Personen; der Auftragsverarbeiter (siehe Artikel 4 ) ist gemäß kein Dritter! Allerdings entsteht ein großer bürokratischer Aufwand, bevor eine Auftragsverarbeitung rechtskonform durchgeführt werden kann.

einwilligung betroffene personen dsgvo
einwilligung betroffene personen dsgvo

Die gemeinsame Verantwortlichkeit kann so engmaschig überwacht werden, dass der Datenschutzbeauftragte im Unternehmen fast zu einem Verantwortlichkeits-Tango einlädt.

Die gemeinsame Verantwortlichkeit gemäß Artikel 26 soll es mehreren Unternehmen erlauben, eine Verarbeitung gemeinsam – und zu den jeweils eigenen Zwecken – durchzuführen. In Hinblick auf Schadenersatzforderungen haften alle Verantwortlichen gemäß Artikel 82 gemeinschaftlich. Ein ausführlicher Vertrag ist dringend angeraten (die wesentlichen Inhalte sind den betroffenen Personen zur Verfügung zu stellen). Auch ohne Vertrag – also durch faktische gemeinschaftliche Handlung – entsteht dieses rechtliche Gebilde.

Der Datentransfer an Drittländer wird von unserem Datenschutzbeauftragten so aufmerksam überwacht, dass er sogar den Datenpaketen mit einer Lupe hinterherjagt, um sicherzustellen, dass sie die Regeln nicht verlassen!

Gemäß der Artikel 44, 45, 46, 47, 48 und 49 ist ein Transfer von personenbezogen Daten an Drittländer bzw. internationale Organisationen streng reglementiert. Dies ist wichtig, weil die Daten den EU-Rechtsraum verlassen und danach nicht mehr „kontrolliert“ werden können.

einwilligung betroffene personen dsgvo
einwilligung betroffene personen dsgvo

Die Datenschutz-Folgenabschätzung und die Konsultation der Aufsichtsbehörde können von einem externen Datenschutzbeauftragten durchgeführt werden.

Die Datenschutz-Folgenabschätzung gemäß Artikel 35 soll die Risiken für die Rechte und Freiheiten der betroffenen Personen analysieren und dann vorbeugend minimieren (ähnlich der datenschutzfreundlichen Technikgestaltung bzw. Voreinstellungen). Bei einem hohen Restrisiko muss gemäß Artikel 36 die Aufsichtsbehörde konsultiert werden.

Externer vs. interner Datenschutzbeauftragter

Natürlich können Sie den Datenschutz durch einen internen Datenschutzbeauftragten selbst übernehmen. Die Praxis hat aber gezeigt, dass dies nicht in jedem Unternehmen möglich ist. Schließlich geht es nicht nur um die notwendige Zeit oder einen zusätzlichen Mitarbeiter, sondern auch um das Fachwissen. Ein Datenschutzbeauftragter muss sich ständig sowohl im technischen als auch im juristischen Umfeld fortbilden. Es ist für den Datenschutzbeauftragten ein großer Aufwand nötig, um die notwendige Datenschutz Fachkunde aufrecht zu erhalten und zu erweitern. Dazu zählen neben dem kontinuierlichen Austausch mit Datenschutz Fachkollegen und den regelmäßigen Datenschutz Fortbildungsmaßnahmen auch die Sichtung von Datenschutz Fachzeitschriften, juristischen Kommentaren und die Beobachtung der aktuellen Datenschutz Rechtsprechung.

einwilligung betroffene personen dsgvo

Interner Datenschutzbeauftragter

  • Mögliche „Betriebsblindheit“
  • Besonderer Kündigungsschutz
  • Wenig Erfahrung vorhanden
  • Geringe gleichzeitige Kenntnis von Recht und IT
  • Keine neutrale Stellung
  • Hoher Schulungs- und Arbeitsmittelaufwand
  • Minimale Verknüpfung mit Gleichgesinnten
einwilligung betroffene personen dsgvo

Externer Datenschutzbeauftragter

  • Absolute Unvoreingenommenheit
  • Kein Arbeitsverhältnis, Abberufung unkompliziert
  • Erfahrungen aus anderen Projekten
  • Vorhandene Mehrfachqualifikation, Recht / IT
  • Neutrale Stellung, Vermittlungsfähigkeit zwischen Unternehmen und Mitarbeitern
  • Umfangreiche Qualifikation
  • Vorhandene Literatur
  • Mitgliedschaft in themen-orientierten Verbänden & Gruppen sichert laufende Aktualität durch Erfahrungs- und Meinungsaustausch

Zertifizierung

logo dekra Fachkraft Datenschutz

Mitgliedschaft

logo bvd ev
logo bsb mit system

Kontakt

Externer Datenschutzbeauftragter in Hamburg
André Schombel

Harksheider Strasse 93b, 22399 Hamburg

Tel: 040-97 07 19 15
Fax: 040-97 07 19 15

Rechtliches

Datenschutz

für Unternehmen in Hamburg, Schleswig-Holstein, Mecklenburg-Vorpommern und Niedersachsen
© 2023, André Schombel