Weitere Informationen und Erklärungen 

Wann ist ein Datenschutzbeauftragter gesetzlich vorgeschrieben:
  • Es verarbeiten* 9 Personen* personenbezogene Daten* elektronisch oder 20 Personen* analog in Papierform.
  • Es werden besonders sensible personenbezogene Daten (bspw. Gesundheitsdaten) im Höchstmaß automatisch verarbeitet, welche einer Vorabkontrolle bedürfen.
  • Es werden vom Unternehmen personenbezogene Daten verarbeitet zur Übermittlung an Dritte, auch in anonymisierter Form
Automatische Verarbeitung ist jeder der folgenden Vorgänge am PC oder anderen technischen Geräten wie Smartphones, PDAs Tablets: öffnen, erheben, speichern, verändern, übermitteln, sperren, löschen, bereitstellen sowie das Nutzen von Dateien/Software, welche personenbezogene Daten enthalten.

Personen im Sinne der DSGVO sind alle Mitarbeiter, Selbständige, Mitglieder, Freiwillige oder andere Dritte, die für die Praxis personenbezogene Daten verarbeiten. Es muss kein Angestelltenverhältnis bestehen.

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Hierzu zählen bspw.:
  • Name, Geburtsdatum, Alter
  • Adresse und Telefonnummer
  • Titel, Geschlecht, Größe, etc.
  • Konto-Nr., Kreditkarten-Nr.
  • E-Mail- und Internet-Adresse
  • Dynamische IP-Adresse
  • Gesundheitskarten-Nr.
  • Sozialversicherungs-Nr.
  • Steueridentifikations-Nr.
  • KFZ-Kennzeichen
  • Werturteile, Zeugnisse
  • Medikation, Gesundheitsdaten
Sensible Daten​ werden gesondert betrachtet und es gelten strengere Datenschutz-Vorgaben. Die Definition der sensiblen Daten als Teilbereich der personenbezogenen Daten geht auf §3 Abs. 9 BDSG zurück. Hierzu zählen bspw.:
  • Gesundheitsdaten
  • Sprachliche & ethnische Herkunft
  • Politische Meinung
  • Sexuelle Identität
  • Gewerkschaftszugehörigkeit
  • Religiöse/weltanschauliche Überzeugung
Für den Kontakt zu den für Sie zuständigen Aufsichtsbehörden folgen Sie dem Link: www.bfdi.bund.de

Datenschutzbeauftragter nach BDSG & DSGVO

Bild

Die Aufgabe und Tätigkeit eines Datenschutzbeauftragten wird in Deutschland in § 4f und § 4g 
des Bundesdatenschutzgesetzes (BDSG) sowie den entsprechenden landesrechtlichen Vorschriften geregelt. Der Beauftragte für Datenschutz wirkt auf die Einhaltung des BDSG und EU-DSGVO. Eine wesentliche Aufgabe ist die Kontrolle und Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen.
Das Personal, welches mit dem Umgang von personenbezogenen Daten beschäftigt ist, wird in geeigneter Form mit dem Gesetz und seiner praktischen Umsetzung (Schulung) vertraut gemacht.
In der Ausübung seiner Tätigkeit, ist der Datenschutzbeauftragte weisungsfrei und agiert als beratende Stelle des Geschäftsführers oder einer dazu befugten Instanz innerhalb des Unternehmens.

Ein Datenschutzbeauftragter muss bestellt werden, wenn personenbezogene Daten (z.B. Arbeitnehmerdaten in der Personalabteilung, Kunden- und Interessentendaten) automatisiert/elektronisch verarbeitet werden: 
in allen öffentlichen Stellen und in nicht-öffentlichen Stellen, wenn mehr als neun Personen (§ 4f Abs. 1 Satz 1 und 4 BDSG) ständig mit der Verarbeitung dieser Daten beschäftigt sind oder Zugriff auf diese Daten haben.

Diese Grenze entfällt, wenn ein bestimmtes Risiko vermutet wird, welches eine sofortige Bestellung erforderlich macht oder Verfahren eingesetzt werden, die der Vorabkontrolle unterliegen (§ 4d Abs. 5, § 3 Abs. 9, § 4e, § 4f Abs. 1 Satz 6 BDSG), oder wenn sie personenbezogene Daten geschäftsmäßig verarbeitet, um diese an dritte Personen weiterzugeben. 
Weiter entfällt diese Grenze auch, wenn eine volle Automatisierung der Erfassung beispielsweise für Statistik (z. B. Markt- und Meinungsforschung) oder Forschungszwecke eingesetzt wird.


Bei einer regulären automatisierten Datenverarbeitung greift die Vorschrift ab 9 Personen (§ 4f Abs. 1 Satz 1, 3 BDSG). Hierbei werden Teilzeitkräfte, Eigenständige, Mitglieder und auch Freiwillige voll berücksichtigt, der Gesetzgeber spricht auch bewusst nicht von Beschäftigten, sondern von Personen; auch um zu vermeiden, dass Betriebe nur noch mit Selbständigen und freiberuflichen Mitarbeitern arbeiten, um so die Bestellungspflicht zu vermeiden.

Automatisiert ist eine Verarbeitung, wenn hierzu Software auf technischen Geräten verwendet werden, sprich sobald auf einem PC Software für die Verarbeitung genutzt wird. Erfolgt die Datenverarbeitung rein analog bspw. mittels Karteikarten, so ist sie nicht automatisiert, sofern diese nicht zur späteren Verarbeitung in der EDV bestimmt sind und dahingehend geführt werden, dies wäre sonst eine Vorbereitung zur Datenverarbeitung.

Der Betrieb muss spätestens einen Monat nach Aufnahme seiner Tätigkeit einen Datenschutzbeauftragten bestellen (§ 4 Abs. 1 Satz 2 BDSG). Bei Nichtbestellung oder verspäteter Bestellung liegt eine Ordnungswidrigkeit vor (§ 43 Abs. 1 Nr. 2 BDSG