Dresden-Datenschutzbeauftragter für Unternehmen

Unternehmen und Konzerne in Dresden setzen gerade mit hohem Aufwand die Datenschutzgrundverordnung um.

Viele Unternehmen lesen den Art. 30 DS-GVO und sind der Auffassung, dass sie keine Verarbeitungsverzeichnis führen müssen, da dort etwas 250 Mitarbeitern steht und darunter liegen.

Verarbeitungsverzeichnis (auch unter 250 Mitarbeitern)

Dieser Anschein trügt, denn es folgt die Einleitung ” es sei denn” in Art. 30 Abs.5 DS-GVO und die hat es in sich.

“es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.”

Die Ausnahme gilt also nur, wenn keine besonderen personenbezogenen Daten verarbeitet werden, was aber fast bei jedem Unternehmen erfolgt, da Religionsdaten bspw. in der Lohnabrechnung, die Schwerbehinderteneigenschaft in der Personalabteilung oder die Nationalität des Bewerbers verarbeitet werden. Krankheitstage des Arbeitnehmers werden selbsverständlich auch erfasst oder es läuft eine Wiedereingliederungsphase nach einer Krankheit oder einem Unfall.

Folglich hat jedes Unternehmen, welches Angestellte hat, mit der Verarbeitung besonderer personenbezogener Daten zu tun.

Eine gelegentliche Verarbeitung von personenbezogenen Daten ist kaum noch vorstellbar, wenn täglich das Backup läuft.

Art. 30 Abs. 5 DS-GVO führt daher für die meisten Unternehmen, ab einem Mitarbeiter, zur Pflicht der Führung eines Verarbeitungsverzeichnisses.

Auftragsverarbeitung

Verträge, die sich auf Dienstleistungen beziehen und bei denen personenbezogene Daten verarbeitet werden, sind mit Auftragsverarbeitungsvereinbarungen zu versehen, Art. 28 DS-GVO. Daher lohnt sich eine Blick auf die Vertragspartner.

Hier sind Lohnabrechungsbüros (keine Steuerberater), IT-Dienstleister und Hostinganbieter zu benennen und es müssen entsprechende Auftragsverarbeitungsvereinbarungen geschlossen werden. Subunternehmen müssen ebenfalls mit einer Auftragsverarbeitungsvereinbarung versehen werden (Kette).

Benennung eines Datenschutzbeauftragten

§ 38 Bundesdatenschutzgesetz geht bei mehr als neun Personen im Unternehmen, welche personenbezogene Daten verarbeiten von eine Bestellungspflicht für einen Datenschutzbeauftragten aus. Aber auch dies ist nur die halbe Wahrheit, da Art. 37 DS-GVO hier einige Ausnahmen unabhängig von der Anzahl der Mitarbeiter bereithält.

” Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

  die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
    die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.”

Darunter fallen bspw. Übersetzungsbüros, welche strafrechtliche Verurteilungen übersetzen, ab dem ersten Mann.

Ein weiterer Klassiker in Sachsen ist die kleine Kfz-Werkstatt, welche Abgasuntersuchungen (als Beliehener) erbringt oder der Schornsteinfeger (ebenfalls Beliehener). Die Landesregierung hat hier mit ganzer Härte den § 2 Abs. 1 Sächsisches Datenschutzgesetz derart gestaltet, dass auch die Beliehenen unabhängig von der Anzahl der Mitarbeiter die personenbezogene Daten verarbeiten sofort einen Datenschutzbeauftragten bestellen müssen.

“Nehmen nicht-öffentliche Stellen hoheitliche Aufgaben der öffentlichen Verwaltung

Ich bin TÜV-zertifizierter Datenschutzbeauftragter, Fachanwalt für Urheber- und Medienrecht sowie Fachanwalt für IT-Recht in Dresden. Wenn Sie einen externen Datenschutzbeauftragten suchen oder Rechtsrat zum Thema Datenschutz wünschen, sind Sie bei mir richtig.

wahr, sind sie insoweit öffentliche Stellen im Sinne dieses Gesetzes.”

Ihr Rechtsanwalt, Fachanwalt für Urheber- und Medienrecht, Fachanwalt für Informationstechnologierecht sowie TÜV – zertifizierter Datenschutzbeauftragter in Dresden.

Thilo Zachow, Dresden, 7 Tage 24 h, 0351/21066970.

Externer Datenschutzbeauftragter

ähnliche Artikel:

http://www.aa13.info/dresden-datenschutzrecht-daten-in-der-us-cloud/

http://www.aa13.info/datenschutzrecht-eu-cloud/

http://www.aa13.info/dresden-datenschutz-light-nach-datenschutzanpg-fuehrt-derzeit-zu-chaos/

http://www.aa13.info/die-neue-eu-datenschutzgrundverordnung/

http://www.aa13.info/dresden-differential-privacy-und-der-datenschutz/

http://www.aa13.info/dresden-datenschutzrecht-ip-adresse-als-personenbezogenes-datum/

http://www.aa13.info/datenschutz-durch-technik-neue-eu-datenschutzgrundverordnung/

EXTERNER DATENSCHUTZBEAUFTRAGTER Dresden