Sind Anwältinnen die besseren Datenschutzbeauftragten?

In der Diskussion um Datenschutzbeauftragte taucht neben der Frage der Pflicht zu ihrer Bestellung in regelmäßigen Abständen auch immer wieder eine weitere auf: muss ein Datenschutzbeauftragter eine Juristin sein?

Es gibt keine gesetzliche Anforderung für die Qualifikation einer Person als Datenschutzbeauftragte - oder auch "nur" als Datenschutzberater. Nirgends ist gesetzlich festgelegt, was jemand können muss, der oder die in diesem Beruf arbeiten will. Es ist nicht festgeschrieben, dass man für diese Tätigkeit ein Jura Studium absolviert haben muss. Anforderungen an das Berufsbild wurden im Laufe der Jahre von den Berufsverbänden, der Rechtsprechung und den Aufsichtsbehörden definiert.

Was Anwältinnen können, können nur Anwältinnen

Fest steht, dass im Datenschutz nichts geht ohne Verständnis für Recht und technische Zusammenhänge. Aber wo ist der Schwerpunkt, täglich, im Unternehmensalltag? Ich bin befangen. Trotzdem meine ich, der Einsatz einer Anwältin als Datenschutzbeauftragte ist das Beste, was ein Unternehmen tun kann. Was Anwältinnen können, können eben nur Anwältinnen - Gesetze verstehen, auslegen, anwenden, Compliance Risiken einschätzen und das in allen Feinheiten. Inzwischen müssen wir ja nicht nur die DSGVO beherrschen, sondern auch die ganze verwandte Materie: Dora, Data Act, AI-Act ... um nur ein paar aus der jüngsten Zeit zu nennen.

Gesetze

Bei aller Notwendigkeit auch technische Fragen zu verstehen und anwenden zu können, kommt es am Ende immer auf die Beurteilung an, ob eine bestimmte Situation gegen ein Gesetz verstößt oder nicht und welche möglichen Folgen sich ein Unternehmen damit ggfls. einhandelt. Sollte es zu einem Rechtsstreit mit einer Aufsichtsbehörde kommen, hat ein Unternehmen den nötigen Sachverstand gleich im Haus, sofern der Datenschutzbeauftragte auch Anwalt ist.

Wir stehen Ihnen mit Rat und Tat zur Seite, auch wenn Sie keinen Datenschutzbeauftragten brauchen. Sprechen Sie uns gerne an und vereinbaren Sie ein unverbindliches erstes Gespräch.

Datenschutzbeauftragter

Ich bin in letzter Zeit wieder öfter gefragt worden, was eine Datenschutzbeauftragte eigentlich können muss. Im Jahr 2017 habe ich auf Bitten eines englischen Kollegen einmal einen kurzen Vortrag gehalten. Das Thema des kurzen Vortrags war “Privacy challenges in the new decade”.

Ich zitiere hier einen kurzen Auszug, der die Frage zumindest in Teilen beantwortet:

Herausforderungen für die Datenschutzbeauftragte

Privacy challenges in the new decade? Talking about privacy and challenges, I think there are actually two major challenges.

Number one: to work for the better transparency of IT-systems. Number two: to invest in the knowledge about privacy and IT security on any level in the companies.

On a personal level the challenge for us will be that we have many roles: we are the hunters that push the CEOs to action, the staff to get the information that we need in order to do our work. We are the patient mothers, explaining necessary procedures again and again until they work without us. And sometimes, too, we are knights in the shining armor who get things straight again when they went terribly wrong. To combine these very different roles will be our very own challenge, but if we succeed, we will be able to work towards a better working privacy and IT-security on any level.

IT-Sicherheitsbeauftragter

Jetzt, rund acht Jahre später kann ich hinzufügen: diese Beschreibung gilt immer noch und diese "soft skills" braucht auch eine/einen IT-Sicherheitsbeauftragte/r. Letztere waren 2017 noch nicht so weit verbreitet wie heute.

Haben Sie Fragen zur Bestellung eines externen Datenschutzbeauftragten oder eines externen Sicherheitsbeauftragten? Sprechen Sie uns gerne an.

Phishing erkennen

Wie erkennt man gefälschte E-Mails und gefälschte Webseiten war gestern das Thema bei einer internen Runde von Führungskräften bei einem Auftraggeber. Ich fasse die wichtigsten Erkenntnisse hier zusammen.

Links prüfen

Links prüfen! Gibt man in Google einen Suchbegriff ein, sollte man vor dem Aufruf einer der angezeigten Seiten zunächst einmal mit der Maus über den Link fahren – noch ohne die Seite aufzurufen. Dabei wird dann unten links im Browser die Adresse der jeweiligen Webseite angezeigt. Handelt es sich also zum Beispiel um eine deutsche Wikipedia Seite, müsste dann unten links im Browser wikipedia.de stehen. Stimmt die Überschrift in dem Link aus der Suche nicht mit dem überein, was unten im Browser angezeigt wird, ist Vorsicht geboten. Es könnte sich um eine gefälschte Webseite handeln.

Adressen prüfen

Auf Absender Adressen in E-Mails achten! Erhalten Sie eine E-Mail mit dem Absender Amazon. Service.com würde man denken, diese stammt von Amazon. Tut sie aber nicht. Entscheidend ist der Teil, der vor dem „com“ bzw. der entsprechenden Länderkennung (de etc.) steht. Es ist relativ einfach, zu Betrugszwecken eine Webseite zu bauen und in der Adresse irgendeine bekannte Firma davor zu setzen. So wie im Beispiel eben Amazon. Wir landen dann allerdings nicht bei Amazon, sondern bei Betrügern, die unsere Zugangskennungen und Kontodaten abfangen wollen.

Nicht unter Druck setzen lassen

Nicht unter Druck setzen lassen! Alle E-Mails oder auch Meldungen auf Webseiten, die irgendwie Druck ausüben, sind verdächtig. Beispiele sind Rechnungen, die am Freitagnachmittag ganz dringend schnell überwiesen werden müssen, oder Zugangsdaten, die sofort geändert werden sollen. Oder auch: Ihr Zugang wurde gesperrt! Klicken Sie hier und ändern Sie Ihre Zugangsdaten, ansonsten ist ihr Account nicht mehr nutzbar. Dabei ist es egal, ob diese Nachrichten von einer Adresse stammen, die Sie kennen. Möglicherweise sieht die Mail mit der dringlichst zu überweisenden Rechnung aus als käme sie tatsächlich aus der Buchhaltung Ihrer Firma. Das muss aber nicht so sein. Im Zweifel gilt: lieber fragen.

Dateiformate prüfen

Seltene Dateiformate erkennen! Dateianhänge an E-Mails werden in der Regel als PDF, Word Dokument oder auch Excel Dokument verschickt. Hat eine E-Mail einen Anhang in einem Dateiformat, dass Sie noch nie gesehen haben, öffnen Sie es vorsichtshalber nicht.

Fortsetzung folgt. Haben Sie Fragen oder benötigen Sie ein Datenschutztraining für Ihre Mitarbeitenden? Kontaktieren Sie uns gerne.

Wie Datenschutz funktioniert

Einmal die Woche kaufe ich auf dem Markt vor unserer Haustür Fleisch für meine Tochter. Ich habe dort eine Kundenkarte, mit der ich ein wenig Rabatt erhalte. Kürzlich hielt mir der Verkäufer den Kassenzettel über den Tresen und fragte, ob das eigentlich so in Ordnung ginge, also so wegen Datenschutz?

Auf dem Kassenzettel stand oben meine Adresse. Wer also den Zettel finden würde, hätte meinen Namen, meine Adresse und die Information wie viel Gramm Fleisch ich gekauft habe. Es habe sich ein Kunde beschwert, so der Verkäufer weiter. Dem habe er versehentlich den Kassenzettel eines anderen Kunden gegeben.

Die Händler sind verpflichtet, die Kassenzettel der Kundinnen, die eine Kundennummer haben, mit diesen Angaben zu versehen. Warum auch immer. Alle anderen kaufen anonym.

Gehen wir davon aus, dass es eine Vorgabe aus der Steuer- und Finanzbürokratie ist, die Kassenzettel in diesem Fall personenbezogen zu gestalten. Dann hätten wir als gesetzliche Erlaubnis Art. 6 Abs. 1 lit c) DSGVO: „die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“. Daher: erstmal alles fein, es gibt eine gesetzliche Erlaubnis, diese Daten zu „haben“, weil die Bürokratie diesen Nachweis so vorschreibt.

Weiterhin wären die Daten technisch und organisatorisch so abzusichern, dass den Personen, zu denen sie gehören, kein Schaden entsteht. Auf der technischen Ebene hätten wir die Kassensysteme. Auf der organisatorischen die Anweisung an das Verkaufspersonal, mit den Kassenzetteln sorgsam zu sein und den Zettel für A auch an A zu übergeben.

Geht das schief, fällt es in die Abteilung Es Gibt Keine 100% Sicherheit. Fehler passieren. Davon abgesehen hält sich der Schaden für die Personen hier in engen Grenzen. Erstens sind die Adressen in der Regel ohnehin öffentlich und zweitens ist die Information analog. Die Information, dass ich am 21. November 2024 264 Gramm Hühnerfleisch gekauft habe, kann nicht durch Knopfdruck in Sekundenschnelle im Netz verbreitet und mit anderen Informationen über mich verbunden und genutzt werden.

Mehr Sorgen als über einen vertauschten Kassenzettel am Marktstand sollte man sich über Programme wie Payback machen. Die werten gnadenlos alle Informationen aus und verkaufen sie weiter.

Der Verkäufer hörte sich meinen Kurzvortrag an, dankte und sagte nun wisse er also, wie Datenschutz funktioniere. Ja, sagte ich. So funktioniert das. Im Großen wie im Kleinen.

Welche Datenschutzfragen können wir für Sie beantworten? Melden Sie sich gerne. Auch wenn ich gerne Fragen zu Kassenzetteln beantworte: die komplizierten Fragen sind mir die liebsten.

Datenschutz Adventskalener (3)

Digitale Bildung und damit der Schutz von Menschen durch Cyberangriffe ist heute wichtiger denn je. So hingeschrieben, klingt das erstmal völlig banal. Ich wünschte, es wäre banal. Der Grund liegt in der immer schnelleren Entwicklung der künstlichen Intelligenz, was vielen außerhalb von Fachkreisen noch gar nicht bewusst ist. Schon jetzt ist es möglich, mit einem Tonschnipsel von 30 Sekunden die Stimme einer Person für gefälschte Anrufe zu benutzen – um nur eine Möglichkeit zu nennen. Es ist nicht nur möglich, es wird gemacht.

Cybercrime - allgegenwärtig

Dasselbe gilt für Angriffe auf Netzwerke, die mit den Mitteln der künstlichen Intelligenz viel schneller und einfacher konstruiert und ausgeführt werden können als bisher. Es eröffnen sich ganz neue Möglichkeiten auch für Kriminelle, die begrenzt technisch versiert sind.

Ein aktuelles Beispiel aus Australien hat The Guardian kürzlich veröffentlicht.

Stellt man diese Möglichkeiten neben die immer noch weit verbreitete digitale Unwissenheit, kann einem schon mulmig werden. Hinzu kommt, dass in vielen Unternehmen in Bezug auf die Etablierung von Informationssicherheit nunmehr eine gefühlte Sicherheit herrscht, als eine transparente und durchdachte.

„Wir haben ja ein Back-Up, also sind wir sicher“ ist eine weit verbreitete Aussage. In dieser Allgemeinheit kann aber niemand wissen, ob das Back-Up im Ernstfall standhält. „Standhalten“ heißt: sind alle Daten in einem Back-Up aktuell und verfügbar, die für den reibungslosen Betrieb des Unternehmens verfügbar sein müssen? Wird nur einmal wöchentlich eine Versicherung angefertigt, gehen im Zweifel Daten verloren. Das kann ein akzeptables Risiko sein - oder aber auch nicht. Falls nicht, muss man es wissen und gegebenenfalls weitere Maßnahmen ergreifen. Außerdem ist fraglich, ob nach einem Datenverlust das Back-Up auch zeitnah und vollständig wieder eingespielt werden kann. Um das zu wissen, sind regelmäßige Tests erforderlich.

IT-Sicherheitsbeauftragter behält den Überblick

Solche Fragen im Blick zu behalten und gezielt zu bearbeiten, ist die Aufgabe eines IT-Sicherheitsbeauftragten im Unternehmen. Unter anderem.

Sprechen Sie uns gerne an, wenn Sie Unterstützung brauchen oder einen IT-Sicherheitsbeauftragten bestellen wollen!

Datenschutz Adventskalender (2)

Der online Trickdiebstahl, dem meine Schwester kürzlich zum Opfer fiel, zeigte mir einmal mehr, wie viel Wissenslücken es in Sachen digitale Bildung immer noch gibt. Die Schreiben, mit denen Erben eines angeblichen Verstorbenen gesucht werden, der angeblich Millionen hinterlassen hat, sind sehr, sehr alt. Meistens gingen sie aber per E-Mail ein. Zufällig heißt der Verstorbene dann immer wie die Person, die angeschrieben wird. Eigentlich, so dachte ich, weiß jeder, dass das ein Betrugsversuch ist.

Meine Annahme „das weiß doch jeder“ wurde auch von meinen Erfahrungen in meinen Datenschutz Schulungen für Mitarbeitende in Unternehmen bestärkt. Da zeichnet sich seit ein paar Jahren die deutliche Tendenz ab, dass die Leute gut informiert sind. Merkmale einer gefälschten Mail können die meisten sofort beschreiben.

Datensicherheit üben

Anscheinend ist dieser Befund aber nicht ganz repräsentativ. Hinzu kommt, dass wir schwerwiegende Fehler nur durch immer wieder Üben vermeiden können, selbst wenn wir eigentlich gut Bescheid wissen. Wir müssen immer wieder hören, was eine Phishing Mail ist. Wir müssen die neusten Entwicklungen der Betrugsmethoden kennen.

Schließlich: wir müssen auch Praxistests machen. Insofern sind in Unternehmen Tests sinnvoll, die kontrolliert Phishing Mails verschicken. Wenn jemand draufklickt, landet diese Information bei dem IT-Dienstleister, der den Test aufgesetzt hat. Die Ergebnisse können zum Anlass genommen werden, in der Belegschaft nochmals das Bewusstsein für Sicherheitsthemen zu schärfen. Dabei geht es nicht darum, einzelne Beschäftigte bloßzustellen, die den Fehler gemacht haben, auf die Mail zu klicken, sondern um genau das: Sicherheitsmaßnahmen ins Gedächtnis zu rufen.

Privacy Training

„Müssen wir wirklich unsere Mitarbeitenden jährlich im Datenschutz schulen?“, fragen mich Auftraggeber oft. Meine Antwort ist ja, aus genau diesen Gründen. Im Englischen spricht man vom "Privacy Training", was ich sehr treffend finde. Wir müssen im Training bleiben.

Melden Sie sich gerne bei uns, wenn Sie für sich oder Ihre Beschäftigten ein Privacy Training brauchen.

Auftragsverarbeitung. Das ewige Ärgernis

Ich unterbreche die Datenschutz für SORMAS-X Blogreihe für eine kurze Wutrede in Sachen Auftragsverarbeitung nach Art. 28 DSGVO.

Dieses Jahr feiert die DSGVO ihren 5. Geburtstag - zählt man die seit 2016 laufende Umsetzungsfrist dazu, sind es sogar schon 7 Jahre ... 7 Jahre, in denen es sich eigentlich herumgesprochen haben sollte, wie man eine Auftragsverarbeitung (Art. 28 DSGVO) vernünftig gestaltet. Mit vernünftig meine ich: Man entwirft einen Vertrag (AV-Vertrag), der die gegenseitigen Rechte und Pflichten klar und deutlich beschreibt. Allem voran die technischen und organisatorischen Sicherheitsmaßnahmen des Auftragnehmers.

Sehr oft prüfe ich im Auftrag meiner Mandanten solche AV-Verträge, die diese wiederum von ihren Dienstleistern erhalten. Zum Beispiel, weil meine Mandanten eine neue Software einführen wollen, die von einem Dienstleister als Software as a Service betrieben wird.

Absichtserklärungen und Prosa

Statt vernünftig geregelter Beschreibungen lese ich im Abschnitt technische und organisatorische Sicherheitsmaßnahmen statt vollständiger, präziser Beschreibungen aber wieder und wieder Prosa, Absichtserklärungen, Zitate des Gesetzestextes und eine Fülle an Allgemeinplätzen.

Beispiele aus der jüngsten Zeit

Wir führen regelmäßig Penetrationstests durch. Definiere regelmäßig. Regelmäßig jährlich oder alle drei Jahre oder alle zehn? Das Ergebnis dieser Tests und die Schlussfolgerungen würden uns auch interessieren, wenn wir eine SaaS Lösung beauftragen, die von überall aus dem Internet erreichbar ist.

Grundsätzlich werden alle Daten redundant gespeichert (mindestens über ausfallsichere RAID Systeme Level 5 und 6). Schön. Ich wüsste aber gerne, wie immer gesichert wird. Wer garantiert mir, dass nicht mein Mandant als Auftraggeber vielleicht die Ausnahme vom Grundsatz ist? Ich wüsste auch gerne in welchen Abständen die Sicherungen angelegt werden.

Es finden regelmäßig Tests zur Rücksicherung von Back-Up Daten statt, durch redundante Speicherung an verschiedenen Standorten wird versucht, Ausfallzeiten zu minimieren. Es wird versucht? Und was ist, wenn der Versuch nicht klappt? Wir wüssten gerne, mit welchen Maßnahmen Ausfallzeiten minimiert werden. Und auch hier: definiere regelmäßig!

Berücksichtigung der Grundsätze des Datenschutzes durch Technik und der datenschutzfreundlichen Grundeinstellungen (Privacy by Design, Privacy by Default) im Datenschutzkonzept. Ein solcher Satz nützt genau gar nichts. In ein Konzept kann ich schreiben, was immer ich will. Es ist ein Konzept, ein Plan. In einem Vertrag geht es aber um die Maßnahmen, die etabliert sind, und die Beschreibung ihrer Umsetzung.

Sichere Aufbewahrung von Datenträgern. Das ist keine Beschreibung der Umsetzung, das ist die Anforderung. Beschreibe sicher! In der Anfangszeit von PrivCom Datenschutz im Jahr 2002/2003 haben wir die Daten unseres Servers auf CDs gesichert. Die lagen im selben Büroraum wie der Server. Sicher, da kam außer den damals zwei Mitarbeitern von PrivCom niemand rein. Solange sicher, bis eines Tages das Büro nebenan abbrannte und unseres nur mit Glück keinen Schaden nahm.

Ärger von allen Seiten

Leute, ich habe es so satt. Jeder kleine Autounfall wird besser dokumentiert als technisch-organisatorische Sicherheitsmaßnahmen im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO.

Für uns kommt der Ärger dabei von allen Seiten. Einerseits sind mitunter unsere Mandanten genervt, wenn sie Aufwand mit formalen Dingen haben, wenn sie doch nur eine neue Software nutzen wollen. Verständlich, aber leider nicht zu ändern. Das Argument: „Das ist doch so ein großer Anbieter, der wird doch keine Sicherheitsrisiken haben“, zählt nicht. Ein Blick in die Liste der Datenschutzvorfälle der letzten 12 Monate genügt um festzustellen, dass alles angegriffen wird, was sich im Netz bewegt. Groß oder klein.

Von Seiten der Dienstleister hören wir „was sind Sie denn so pingelig, nach solchen Details fragt sonst niemand“, wenn wir Nachbesserungen in den AV-Verträgen verlangen.

Warum fragt eigentlich niemand?

Auch ich bin verwundert, warum außer mir offenbar niemand fragt. Liebe Kolleginnen und Kollegen Datenschutzbeauftragte, was tut ihr den ganzen Tag? Der Softwareanbieter, aus dessen AV-Vertragsmuster die meisten der oben zitierten Beispiele stammen, sagte mir, er habe im letzten Jahr 37 Verträge abgeschlossen, u.a. mit großen Krankenhäusern und anderen medizinischen Einrichtungen. Keiner habe den Text beanstandet. Keine Geschäftsführung, kein Datenschutzbeauftragter, niemand.

Nicht beschrieben, nicht existent

Ja – ich bin pingelig. Verflixt noch mal! Alle Unklarheiten und Auslassungen in der Beschreibung der Sicherheitsmaßnahmen im AV-Vertrag gehen zu Lasten meines Mandaten, des Auftraggebers! Im Streitfall existiert im Zweifel nicht, was nicht beschrieben ist. Dafür haftet dann der Auftraggeber – und der kann den Schaden bei mir geltend machen, wenn ich unzureichende Vertragsklauseln durchwinke, nur weil niemand Mühe haben will. Auch Auftragnehmer haben die Vorgaben des Art. 32 DSGVO zu erfüllen! Warum ist es nicht möglich, diese dann einmal sorgfältig und ausführlich zu beschreiben?

Der Poet

Mein Kollege hat in seinem früheren Leben (wie er es nennt) Software entwickelt. Als er irgendwann feststellte, dass in seiner Firma niemand mehr mit der Dokumentation der Software hinterherkam, hat er dafür jemanden beauftragt. Das war ein ehemaliger Deutschlehrer, genannt der Poet. Dieser tat nichts anderes, als die Software zu dokumentieren.

Wenn Sie es nicht schaffen, Ihre technischen und organisatorischen Sicherheitsmaßnahmen zu beschreiben, lassen Sie mich das machen. Es tut nicht weh und kostet nicht viel. Der Poet in mir müsste sich nicht länger ärgern, Sie hätten Ihre Haftungsrisiken minimiert. Eine klassische Win-Win-Situation.

Brauchen Sie eine (externe) Datenschutzbeauftragte?

Wie funktioniert die Bestellung eines betrieblichen Datenschutzbeauftragten?

Das Bundesdatenschutzgesetz verpflichtet nichtöffentliche Stellen, die personenbezogene Daten verarbeiten, unter bestimmten Umständen zur Bestellung eines betrieblichen Datenschutzbeauftragten. In diesem Artikel erfahren Sie, unter welchen Bedingungen Ihr Unternehmen davon betroffen ist und wann Sie mich und die PrivCom Datenschutz GmbH dafür engagieren können.

Anfang ist, wo Sie stehen

Gut, dass Sie hier sind und sich dem Thema widmen! Es ist egal, wie lange Sie schon überlegen und welche Schritte Sie bisher unternommen haben. Wir holen Sie da ab, wo Sie gerade stehen.
Im Laufe der Jahre habe ich als Beraterin gelernt, mit der Führungsebene in Unternehmen Geduld zu haben, was die Bewertung der Wichtigkeit des Datenschutzes und seiner Umsetzung im Unternehmen angeht. Mehr als einmal erlebte ich, dass auch Geschäftsführungen, die Datenschutz zunächst als ein Thema betrachteten, dass zwar irgendwie bearbeitet werden müsste, aber kein weiteres Engagement bräuchte, im Laufe der Zeit umgedacht haben. Dieses Umdenken führte dann oft zu einem Engagement, das aus einer gewachsenen Überzeugung resultierte.

Die ungeliebten Themen endlich angehen

Insofern sind die mir liebsten Geschäftsführungen diejenigen, die Datenschutz und Informationssicherheit zwar mit einer gewissen Skepsis betrachten und von der Wichtigkeit im Grunde ihres Herzens nicht überzeugt sind, die aber gleichzeitig wissen, dass gute Standards ein Baustein ihres geschäftlichen Erfolgs sind. Bestenfalls wächst aus dieser Haltung eben jene Überzeugung, aus der heraus das Thema unternehmensintern bearbeitet wird.

Die Pflicht zur Bestellung einer / eines Datenschutzbeauftragten

…besteht für Unternehmen und Organisationen, sofern sie

„in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“;

§ 38 BDSG

und unabhängig von der Anzahl der beschäftigten Personen, wenn

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht"

Art. 37 Abs. 1 lit. c DSGVO

oder

"die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen"

Art. 37 Abs. 1 lit. b DSGVO

Datenschutzbeauftragte können unternehmensintern oder extern bestellt werden.

Bitte beachten Sie: Sofern Ihr Unternehmen nach den Vorgaben des § 38 BDSG nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, sind Sie trotzdem gehalten, die Anforderungen der DSGVO umzusetzen!

Bitte beachten Sie außerdem: Die mögliche Verpflichtung, eine Datenschutzbeauftragte zu bestellen, gilt sowohl für Verantwortliche (Unternehmen, die ihre eigenen Daten verarbeiten) als auch für Auftragsverarbeiter (Unternehmen, die die Daten anderer verarbeiten, z.B. Rechenzentren).

Auslagern hat Vorteile

Auch und gerade für kleine Unternehmen kann es vorteilhaft sein, die Bearbeitung der Datenschutz-Aufgaben auszulagern, anstatt sie selber bearbeiten zu wollen. Wir lösen Probleme in 15 Minuten, für die Sie Tage bräuchten, da wir uns seit vielen Jahren ausschließlich mit diesen Themen beschäftigen. Und wir übernehmen die Gewähr, dass unsere Lösungen richtig und rechtskonform sind.

... und die Kosten?

Für kleine Unternehmen haben wir Bausteine zu den wichtigsten Themen, die Sie auch ohne Bestellung als Datenschutzbeauftragte buchen können.

Für größere Unternehmen vereinbaren wir eine individuelle Beratung.

In beiden Fällen gilt: eine Auslagerung und externe Beratung ist günstiger als selber machen.

Nachlese: Vortrag. Datenschutz in kleinen Unternehmen

Lange im Voraus geplant, war ich am 10. März mit einem Vortrag bei der Tagung des Deutschen Boots- und Schiffbauer-Verbandes zu Gast. "... auch das noch! Ein Erste-Hilfe-Plan Datenschutz und Informationssicherheit für kleine Unternehmen" hatte ich meinen Beitrag genannt.

Es war das erste Mal seit gefühlen hundert Jahren, dass ich mal wieder live und vor Ort bei einer Veranstaltung war. Umso mehr freute ich mich über einen kurzen Bericht über meinen Auftritt in der Verbandszeitsschrift der Boots- und Schiffsbauer.

"Die Referentin, Dr. Bettina Kähler, ... skizzierte anschaulich und verständlich, was in Bezug auf Daten zu tun und zu lassen sei. Fazit: ob man will oder nicht ... man kommt nicht darum herum, sich mit den Anforderungen des Datenschutzes zu befassen und das eigene Unternehmen rechtskonform aufzustellen. ... Der korrekte Umgang mit Daten ist keine Option, die man wählt oder nicht, sondern eine Selbstverständlichkeit im geschäftlichen Umgang."

bootswirtschaft, Nr. 2 April 2022

Der Auftritt hat mir viel Spaß gemacht und ich nehme gerne Aufträge für weitere Vorträge entgegen. Melden Sie sich gerne hier.

Auszug aus dem Bericht über die Frühjahrstagung

Privacy Challenges for the New Decade

Bei der Sortierung alter Texte traf ich auf einen kurzen Vortrag zum Europäischen Datenschutztag, den ich online gehalten habe. Ich war der Bitte eines Kollegen in einem internationalen Konzern gefolgt, der online Fortbildungen organisiert. Obwohl der Europäische Datenschutztag ja schon eine eine ganze Weile zurückliegt (28. Januar), veröffentliche ich den Vortrag hier noch mal. Vielleicht ist es ja ganz gut ein paar Gedanken abseits von Covid-19 zu lesen. Das Thema des kurzen Vortrags war: “Privacy challenges in the new decade”.

(mehr …)

Auskunftsersuchen in Unternehmen

Wechseln wir die Perspektive. 

Ihnen kommt nun - auf welchem Weg auch immer - das Auskunftsersuchen einer betroffenen Person in ihr Unternehmen geflattert. 

Was nun? 

Generell gilt: bei Fragen beziehungsweise Unsicherheiten wenden Sie sich jederzeit an Ihre Datenschutzbeauftragte bzw. Ihren Datenschutzbeauftragten.

Es gibt keine unsinnigen oder peinlichen Fragen!

Ihre Datenschutzbeauftragte (oder Datenschutzbeauftragter) steht außerdem unter Schweigepflicht. Sollten Sie es nicht wollen landet also auch keine Ihrer Fragen bei Ihren Vorgesetzten. 

Zu allererst sollten Sie überprüfen, ob Sie die anfragende Person kennen. Haben Sie Daten über die Person gespeichert?

Anschließend überprüfen Sie, ob die Identität der Person belegt ist.

Stellen Sie sich vor, Hans Meyer gibt sich als sein Kollege Max Mustermann aus, und Sie schicken sämtliche Informationen über Herrn Mustermann an Herrn Meyer, dann haben Sie zweifelsfrei ein Problem.

Wenn Sie nun von der Identität, der um Auskunft ersuchenden Person überzeugt sind, geht es an das Zusammenstellen der Informationen. 

Wer trägt die Kosten?

Diese müssen laut DSGVO kostenlos zur Verfügung gestellt werden. Allerdings besteht die Möglichkeit, dass die Kosten die betroffene Person trägt, wenn sie zum wiederholten Male um Auskunft ersucht. 

Welche Fristen sind einzuhalten? 

Sie als Firma haben vier Wochen Zeit auf das Ersuchen zu reagieren. Wenn Sie diese Frist nicht einhalten können, dann können Sie die Frist um bis zu zwei Monate verlängern.

Es ist allerdings darauf zu achten, dass Sie dies begründen müssen. Auch gegenüber der Person, die um Auskunft ersucht! 

So eine Begründung könnte zum Beispiel sein, dass Sie erst die Identität klären müssen oder der Datensatz sehr groß ist. 

Berichtigung von Daten

Die betroffene Person hat außerdem das Recht von Ihnen zu verlangen, dass ihre personenbezogenen Daten korrigiert werden.

Das geht natürlich nur, wenn die Informationen falsch sind. 

Darüberhinaus hat jede Person, deren personenbezogene Daten verarbeitet werden, das Recht auf Löschung dieser Daten.

Sie kann also verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden (Art. 17 DSGVO). 

Dazu sind Sie dann auch verpflichtet, allerdings gibt es auch Gründe, nach denen Sie die Daten nicht einfach so löschen dürfen. Das ist zum Beispiel in der Medizin der Fall oder bei Bewerbungen.

Sie müssen als Unternehmen oder Ärztin bzw. Arzt beispielsweise entweder belegen, dass Sie keinen Behandlungsfehler begangen haben oder dass Sie nicht diskriminiert haben. Zum Beispiel, indem Sie eine Person auf Grund ihres Geschlechts oder ihres Namens nicht eingestellt haben. Für diesen Beleg brauchen Sie ggfls. die Daten der Person.

Sie leiten also bitte nicht einfach die Email von Hans Mustermann mit der Bitte um Löschung sämtlicher personenbezogener Daten an die IT Abteilung weiter. Sie löschen dann auch bitte nicht einfach als IT Abteilung sämtliche personenbezogenen Daten über Herrn Mustermann. 

In so einem Fall wenden Sie sich bitte an Ihre Vorgesetzten und die Datenschutzbeauftragte. Dann entscheiden Sie gemeinsam das weitere Vorgehen und überprüfen, ob eine Löschung rechtens ist. 

Rechte betroffener Personen (Art. 15 DSGVO)

Vor ein paar Wochen fragte mich ein Freund, wie dass denn nun eigentlich ginge, wenn er wissen wolle, welche Firmen welche Daten über ihn verarbeiten. Dieser Freund hatte erfahren, dass ich bei der PrivCom Datenschutz GmbH arbeite. Ich hatte mich aus diesem Grund näher mit der Datenschutz-Grundverordnung (DSGVO), die ja das zentrale Gesetz zum Thema Datenschutz ist, beschäftigt.

Die Rechte betroffener Personen nach der DSGVO

Ich erklärte ihm seine Rechte an folgendem Beispiel: Die Firma „Pflegeelfen“ verarbeitet personenbezogene Daten von Ihnen. Die Pflegeelfen vermittelt Pflegefachkräfte. 

Damit diese an Sie vermittelt werden können, brauchen die Pflegeelfen verschiedene Informationen von Ihnen. Dazu gehören zum Beispiel Ihr Name, Ihr Geburtsdatum, Ihre Anschrift, Ihre Mailadresse, Ihre Telefonnummer, Gesundheitsdaten und noch einige andere. 

Nach einiger Zeit fragen Sie sich, welche Ihrer Daten genau von den Pflegeelfen verarbeitet werden. 

Art. 15 DSGVO

Dazu können Sie nun ein Schreiben an die Pflegeelfen aufsetzen und unter anderem um folgende Informationen ersuchen: 

  1. Welche personenbezogenen Daten konkret (zum Beispiel Name, Geburtsdatum, medizinische Diagnosen, Anschrift, Beruf …) verarbeitet werden;
  2. Welche Kategorien von personenbezogenen Daten verarbeitet werden;
  3. Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden;
  4. Zu welchem Zweck die Daten erhoben und gespeichert werden;
  5. Die geplante Speicherdauer bzw. die Kriterien für die Feststellung der Speicherdauer;
  6. Die Herkunft der Daten;
  7. Falls eine Datenübermittlung in Drittländer stattfindet, welche Garantien gemäß Art. 46 DSGVO vorgesehen sind.

Doch was bedeutet das konkret? 

Kategorien von personenbezogenen Daten sind zum Beispiel allgemeine Personendaten. Dazu gehören Name, Geburtsdatum, Anschrift, Mailadresse, Telefonnummer etc. Aber auch Kennnummern, so wie die Krankenversichertennummer, sind eine Kategorie. 

Empfänger sind Personen, Behörden, Einrichtungen, Dienstleister oder andere Stellen, denen personenbezogene Daten offengelegt werden. 

Die Pflegeelfen in meinem Beispiel haben nun maximal vier Wochen Zeit diese Anfrage zu bearbeiten. Diese Frist kann zwar um weitere zwei Monate verlängert werden, allerdings müssen Sie auch darüber innerhalb von vier Wochen nach Eingang der Anfrage informieren. 

Ansonsten können Sie sich dann an die zuständige Datenschutzaufsichtsbehörde oder eine Anwältin wenden, die die weitere Kommunikation mit dem Unternehmen für Sie regelt. Spätestens dann wird den meisten Unternehmen klar, dass das Ganze kein Witz war, sondern durchaus ernst. Wichtig: die Kosten der Anwältin muss anschließend das Unternehmen tragen, das keine Auskunft gegeben hat. 

Welche Rechte gibt es noch? 

Mit dem Ersuchen um Auskunft ist es aber noch nicht getan. Ganz am Anfang der Erhebung der Daten müssen Sie weitere, allgemeine Informationen erhalten:

  1. Die Kontakdaten des/der Datenschutzbeauftragten (sofern vorhanden);
  2. Informationen zum Zweck der Datenverarbeitung;
  3. Die Erlaubnis für die Datenverarbeitung (Rechtsgrundlage);
  4. Bei welcher Stelle Sie sich beschweren können, falls Sie einen unrechtmäßigen Umgang mit Ihren Daten vermuten.

Die Informationen müssen präzise, transparent, verständlich und leicht zugänglicher Form an die betroffene Person gegeben werden. Darüberhinaus müssen Sie in leichter Sprache zugänglich gemacht werden, insbesondere, wenn sich die Information an Kinder richten.