Aufgaben Datenschutzbeauftragte Personenbezogene Daten nach der DSGVO schützen

In diesem Beitrag beschäftigen wir uns mit der Position des Datenschutzbeauftragten, sehen uns die Rechtsvorschriften für dich als Arbeitgeber an und klären, welche Daten, die in deinem Unternehmen gespeichert, verarbeitet und erhoben werden, geschützt werden müssen.

  • 25.11.2021
  • Manuela Mademann

Das Recht auf Privatsphäre ist in Artikel 8 der Europäischen Menschenrechtskonvention festgeschrieben, in dem es heißt: „Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.“ Der Begriff des Datenschutzes hat seinen Ursprung in dieser Erklärung und wurde 2009 in der EU-Charta der Grundrechte (Vertrag von Lissabon) rechtsverbindlich verankert. In Artikel 8 steht hier zum Schutz personenbezogener Daten „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.“ Auf Basis dieser Grundlagen hat die Europäische Union Rechtsvorschriften erlassen, um den Schutz zu gewährleisten.

In Deutschland wurde das Thema Datenschutz bereits ab Mitte der Sechzigerjahre relevant, da mit Zunahme der automatisierten Datenverarbeitung die Sorge in der Bevölkerung wuchs, dass der Staat zu viel Informationsmacht bekommen könnte. Als erstes Bundesland verabschiedete daher im Herbst 1970 Hessen ein Landesdatenschutzgesetz, um elektronisch verarbeitete Daten vor dem Zugriff durch Unbefugte zu schützen. In diesem Zuge wurde auch die Stelle des Datenschutzbeauftragten geschaffen, um unabhängig die Einhaltung der datenschutzrechtlichen Regeln kontrollieren zu können. Daraufhin taten es weitere Bundesländer Hessen gleich und bis 1981 hatten alle Bundesländer Landesdatenschutzgesetze beschlossen.

Darüber informiert dich dieser Beitrag:

Was ist die DSGVO und was ist die BDSG-neu?

Die erste Fassung eines einheitlichen deutschen Bundesdatenschutzgesetzes (BDSG) wurde am 27. Januar 1977 unter dem Titel „Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung“ verabschiedet. Um mit der technischen Entwicklung Schritt zu halten, ist es seitdem mehrfach reformiert worden.

1995 erließ dann die Europäische Union ihre erste Datenschutzrichtlinie „Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ und legte damit für alle Mitgliedsstaaten Mindeststandards für den Datenschutz und die Datensicherheit fest. Ziel war es, ein einheitliches Datenschutzniveau auf EU-Ebene zu schaffen. Mit dem technischen Fortschritt, der Erfindung des Internets und der Globalisierung wurde aber bald ein modernerer und umfassender Datenschutz notwendig und so trat am 27. April 2016 die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft, die die Datenschutzrichtlinie von 1995 ersetzt.

Nach einer Übergangsfrist mussten ab dem 25. Mai 2018 alle EU-Mitgliedsstaaten die EU-Datenschutz-Grundverordnung verbindlich anwenden. Seit diesem Zeitpunkt sind alle nationalen Bestimmungen diesen europäischen Richtlinien untergeordnet und können lediglich ergänzende Bestimmungen enthalten. Das nationale, überarbeitete BDSG-neu ergänzt, konkretisiert und spezifiziert daher die Vorgaben der DSGVO, widerspricht dessen Vorgaben aber nicht. Grundsätzlich hat die DSGVO immer Anwendungsvorrang vor dem BDSG-neu.

Die DSGVO enthält Bestimmungen zur Verarbeitung personenbezogener Daten. © Shutterstock, Sinuswelle
Die DSGVO beinhaltet eine Reihe von Gesetzen zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen. © Shutterstock, Sinuswelle

Was besagt die DSGVO?

Die Datenschutz-Grundverordnung besteht aus 11 Kapiteln und definiert eine Reihe von Rechtsvorschriften zum Umgang mit personenbezogenen Daten. In Artikel 5.1-2 werden sieben Grundsätze des Schutzes und der Rechenschaftspflicht beschrieben, die du einhalten musst, wenn du Daten verarbeitest, erhebst und speicherst.

Grundsätze des Datenschutzes:

  1. Transparenzgebot: Die Verarbeitung muss rechtmäßig, fair und für die betroffene Person transparent sein.
  2. Zweckbindung: Du musst die Daten zu den rechtmäßigen Zwecken verarbeiten, die du der betroffenen Person bei der Erhebung der Daten ausdrücklich mitgeteilt hast.
  3. Datenminimierung: Du sollst nur so viele Daten sammeln und verarbeiten, wie für die angegebenen Zwecke unbedingt erforderlich sind.
  4. Richtigkeit: Du hast personenbezogene Daten richtig und auf dem neuesten Stand zu halten.
  5. Speicherbegrenzung: Du darfst personenbezogene Daten nur so lange speichern, wie es für den angegebenen Zweck erforderlich ist.
  6. Integrität und Vertraulichkeit: Die Verarbeitung muss in einer Weise erfolgen, die eine angemessene Sicherheit, Integrität und Vertraulichkeit gewährleistet (z. B. durch Verschlüsselung).
  7. Rechenschaftspflicht: Der für die Datenverarbeitung Verantwortliche ist dafür zuständig, dass er die Einhaltung all dieser Grundsätze der DSGVO nachweisen kann.

Welche Art Daten von natürlichen Personen gilt es zu schützen?

Mit der DSGVO sollen also personenbezogene Daten geschützt werden. Doch was versteht man unter ihnen eigentlich und welche fallen darunter? Personenbezogene Daten sind alle Informationen, die sich auf eine Person beziehen und diese direkt oder indirekt identifizieren können. Darunter fallen zum Beispiel Namen, Standortdaten, Online-Kennung oder Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Konkret zählen zu den allgemeinen personenbezogenen Daten:

Objektive Informationen

  • Name, Alter, Familienstand, Geburtsdatum
  • Anschrift, Telefonnummer, E-Mail Adresse
  • IP-Adressen
  • Konto-, Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Personalausweisnummer, Sozialversicherungsnummer
  • Fotos

Subjektive Informationen

  • Meinungen, Beurteilungen oder Einschätzungen
  • Bonitätsdaten
  • Werturteile, z. B. Arbeitszeugnisse

Neben den „normalen“ personenbezogenen Daten gibt es noch besondere Kategorien solcher Daten. Diese nennen sich die besonders sensiblen personenbezogenen Daten. Derartige Daten dürfen nur unter bestimmten, engen Voraussetzungen verarbeitet werden und erfordern ein hohes Maß an Datensicherheit. Darunter fallen folgende Daten:

  • Rassische und ethnische Herkunft
  • Gesundheitsdaten
  • Politische Ansichten/Meinungen
  • Religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Genetische und biometrische Daten
  • Daten zum Sexualleben bzw. sexuelle Orientierung

Alle diese besonderen Kategorien personenbezogenen Daten werden gemäß Art. 9 Abs. 1 der DSGVO noch strenger geschützt. Denn durch deren Missbrauch kann ein erheblicher Schaden für die betroffene Person entstehen.

Art. 28 DSGVO gilt es zu beachten, wenn die Datenverarbeitung an externe Dienstleister weitergegeben wird. © Shutterstock, Song_about_summer
In den Art. 6 und 28 DSGVO geht es um Rechtmäßigkeit der Verarbeitung personenbezogener Daten und Auftragsverarbeitung. © Shutterstock, Song_about_summer

Was beinhalten Art. 6 und 28 DSGVO?

Wie in den Grundsätzen des Datenschutzes bereits erwähnt, dürfen personenbezogene Daten nur zu rechtmäßigen Zwecken verarbeitet werden. Welche Zwecke das sind, stehen ausführlich in Artikeln 6 und 28 der DSGVO.

Art. 6 DSGVO

Der Art. 6 der DSGVO listet die Rechtmäßigkeit der Verarbeitung personenbezogener Daten auf. Demnach ist die Verarbeitung von personenbezogenen Daten nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  1. Die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich. Oder aber zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person;
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Das gilt insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Art. 28 DSGVO

Wird die Verarbeitung von personenbezogenen Daten durch den Verantwortlichen (z. B. Arbeitgeber) an einen externen Dienstleister (= Auftragsverarbeiter) ausgelagert, greift Art. 28 der DSGVO. Im Artikel über Auftragsverarbeiter ist festgeschrieben, dass der Auftragsverarbeiter für die Datenschutzkonformität der Verarbeitungsprozesse mitverantwortlich ist. Sobald eine Verarbeitung personenbezogener Daten durch einen externen Dienstleister erfolgt, muss dieser den Schutz der Rechte betroffener Personen gewährleisten und die Daten zukünftig im Einklang mit den Anforderungen der DSGVO verarbeiten. Als Auftraggeber bist du vor der Vergabe des Auftrages dafür verantwortlich zu prüfen, ob der Auftragsverarbeiter hinreichend Garantien bieten kann und auf dem aktuellen Stand der DSGVO ist. Dabei musst du gemäß Art. 28 DSGVO vor allem auf Folgendes achten: die Auswahl, die vertragliche Ausgestaltung und die anschließende Kontrolle deiner externen Dienstleister. Tust du das nicht, drohen dir hohe Bußgelder.

Ein AV-Vertrag muss geschlossen werden, wenn personenbezogene Daten im Auftrag an Dritte weitergegeben werden. © Shutterstock, G-Stock Studio
Ein AV-Vertrag regelt die Rechte und Pflichten von Aufraggeber und Auftragnehmer bei der Verarbeitung von personenbezogenen Daten. © Shutterstock, G-Stock Studio

Was beinhaltet ein Auftragsverarbeitungsvertrag?

Laut Art. 28 DSGVO musst du also einen Vertrag über die Verarbeitung von Daten mit deinem externen Dienstleister abschließen. Den sogenannten Auftragsverarbeitungsvertrag (av-vertrag). Dieser bindet den Auftragsverarbeiter an dich und legt insbesondere Folgendes fest:

  • Gegenstand und Dauer der Verarbeitung,
  • Art und Zweck der Verarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien betroffener Personen und
  • die Pflichten und Rechte des Verantwortlichen

Was ist ein Datenschutzbeauftragter?

Die DSGVO gibt also zum Schutz personenbezogener Daten einige Richtlinien vor. Um zu überwachen, ob die Vorgaben auch eingehalten werden, verlangt die DSGVO von den meisten Unternehmen, die mit personenbezogenen Daten umgehen, die Ernennung eines Datenschutzbeauftragten. Der Datenschutzbeauftragte ist die Anlaufstelle bei allen Fragen zur DSGVO und verfügt über Expertenwissen in Sachen Datenschutzrecht und -praxis. Er kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags als externer Datenschutzbeauftragter erfüllen. Sehen wir uns einmal näher an, was der Datenschutzbeauftragte im Detail macht.

Welche Aufgaben hat ein Datenschutzbeauftragter?

Der Datenschutzbeauftragten hat nach Art. 39 DSGVO folgende Aufgaben:

  1. Unterrichtung und Beratung des Verantwortlichen, des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten.
  2. Überwachung des Verantwortlichen oder des Auftragsverarbeiters hinsichtlich der Einhaltung der DSGVO und anderer Datenschutzvorschriften sowie der Strategien für den Schutz personenbezogener Daten. Dies gilt einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.
  3. Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO.
  4. Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
  5. Tätigkeit als Anlaufstelle für die Aufsichtsbehörde bei Fragen, die mit der Verarbeitung zusammenhängen.

Bei der Erfüllung seiner Aufgaben berücksichtigt der Datenschutzbeauftragte einerseits das Risiko, andererseits auch die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung. Doch muss nun jedes Unternehmen einen Datenschutzbeauftragten haben?

Arbeitgeber müssen sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen. © Shutterstock, Zivica Kerkez
Nach der DSGVO muss ein Datenschutzbeauftragter verpflichtend bestellt werden, wenn eines von 3 Kriterien zutrifft. © Shutterstock, Zivica Kerkez

Wann brauchst du einen Datenschutzbeauftragten?

Als Teil der „organisatorischen Maßnahmen“ des Art. 25 DSGVO sollten alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten, unabhängig von ihrer Art oder Größe eine Person im Unternehmen haben, die mit der Überwachung der Einhaltung der DSGVO beauftragt ist. Allerdings ist die Einstellung eines Datenschutzbeauftragten nach der DSGVO nur dann erforderlich, wenn du eines der 3 Kriterien erfüllst:

  1. Wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten und anderen unabhängigen Justizbehörden.
  2. Die Verarbeitung von personenbezogenen Daten die Kerntätigkeit eines Unternehmens ist und diese regelmäßig sowie systematisch in großem Maßstab gesammelt werden.
  3. Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht.

Welche Datenschutz-Maßnahmen gelten insbesondere beim mobilen Arbeiten und im Homeoffice?

Auch bei der Arbeit im Homeoffice oder mobil sollten Regelungen zu Datenschutz und -sicherheit getroffen und den Mitarbeitern verständlich erläutert werden. Welche Datenschutzrisiken es speziell im Homeoffice gibt und wie du diese vermeiden kannst sowie eine Checkliste zum Herunterladen, findest du in diesem Artikel.

Wer darf Datenschutzbeauftragter sein?

Wer als Datenschutzbeauftragter tätig sein möchte, braucht gemäß der Vorgabe von Art. 37 Abs. 5 DSGVO folgende 3 Qualifikationen:

  1. Berufliche Qualifikation im Hinblick auf das Fachwissen auf dem Gebiet des Datenschutzrechts,
  2. Fachwissen auf dem Gebiet der Datenschutzpraxis und
  3. Fähigkeit, die Aufgaben zu erfüllen, die Art. 39 DSGVO nennt.
Für den Arbeitsschutz bekommt ihr bei Deutsche Mittelstandsschutz digitale Lösungen. © Shutterstock, fizkes
Teste jetzt für 30 Tage unsere Webplattform mit allen digitalen Gefährdungsbeurteilungen und Mitarbeiterunterweisungen. © Shutterstock, fizkes

Fazit

Die Datenschutz-Grundverordnung wurde von der Europäischen Union in Kraft gesetzt, um bei einer Verarbeitung personenbezogener Daten den Schutz der Persönlichkeitsrechte der EU-Bürger zu gewährleisten. Sobald du eine Niederlassung innerhalb der EU hast und im Rahmen dieser Verarbeitungen personenbezogener Daten erfolgen, greift die DSGVO. Sie findet aber auch auf Unternehmen im Ausland Anwendung, zum Beispiel wenn diese EU-Bürgern Waren oder Dienstleistungen anbieten. Arbeitet dein Unternehmen regelmäßig im großen Stil mit der Erhebung und Nutzung von Daten, brauchst du grundsätzlich immer einen Datenschutzbeauftragten. Dieser erfahrene Spezialist kann entweder intern für dich arbeiten oder als externer Dienstleister bestellt werden.

Neben dem Datenschutzbeauftragten gibt es eine Vielzahl von weiteren Betriebsbeauftragten, die wir dir in unserer Reihe vorstellen. Die Fachkraft für Arbeitssicherheit (Sifa) zum Beispiel musst du bereits ab einem sozialversicherungspflichtigen Mitarbeiter schriftlich bestellen und der Betriebsarzt unterstützt dich bei allen Fragen der Arbeitsmedizin. Beim Arbeitsschutz gibt es einige Richtlinien zu beachten, das muss aber nicht kompliziert sein: Wir von Deutsche Mittelstandsschutz haben digitale Lösungen für dich. Empfehlen möchten wir dir die digitalen Unterweisungen Datenschutz für Mitarbeiter und Datenschutz im Homeoffice. Teste für 30 Tage unsere Webplattform mit allen digitalen Gefährdungsbeurteilungen und Mitarbeiterunterweisungen und erfahre, wie Arbeitssicherheit für dein Unternehmen einfach, verständlich und digital wird.

Beitragsbild: Shutterstock, Merkushev Vasiliy

Weitere Themen aus diesem Artikel