BDSG vs. DSGVO

Das seit 2001 in Deutschland geltende Bundesdatenschutzgesetz (BDSG) wurde am 25.05.2018 durch die Europäischen Datenschutzgrundverordung (EU-DSGVO kurz DSGVO) abgelöst.

Dies erfolgte im Hinblick auf eine europäisch einheitliche Regelung, sowie einer Anpassung an die fortschreitende Entwicklung der Informationstechnologie (IT).

Somit haben vom Kern her gesehen beide die gleiche Zielsetzung, weshalb vieles aus dem BDSG in der DSGVO wiederzufinden ist.

Um nationalen Belangen gerecht zu werden, darf die europaweit einheitliche DSGVO durch nationale Erweiterungen ergänzt werden. In Deutschland geschieht dies durch das BDSG-neu, welches zeitgleich mit der DSGVO in Kraft tritt.

Kern der Datenschutzgrundverordnung (DSGVO)

Durch die Datenschutzgrundverordnung werden an den betrieblichen Datenschutz klare Anforderungen bezüglich dessen Einhaltung gestellt.

Zweck der Verordnung ist es, das Recht einer jeden Person zu schützen, grundsätzlich selbst darüber zu bestimmen

- an wen personenbezogene Daten preisgegeben werden
- wozu personenbezogene Daten verwendet werden.

Man spricht hierbei auch vom Recht der Bürger auf informationelle Selbstbestimmung. Es darf niemand durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt werden.

Damit dieses Recht gewährleistet werden kann, gibt es die DSGVO. In diesem Gesetz werden unter anderem konkrete Aussagen über die Zulässigkeit der Verarbeitung personengebundener Daten getroffen.

Da kaum ein Unternehmen ohne personenbezogene Daten auskommt, ist es für jedes Unternehmen wichtig, sich mit dem Thema Datenschutz intensiv auseinander zu setzen, zumal mit Einführung der DSGVO gegenüber dem BDSG ein Verstoß mit deutlich empfindlicheren Geldbußen geahndet wird (bis zu 20 Mio.€ bzw. 4 % des weltweiten Bruttoumsatzes!).

Ist mein Unternehmen betroffen?

Grundsätzlich sind alle Wirtschaftsunternehmen betroffen, sofern sie personenbezogene Daten mit Hilfe von Datenverarbeitungsanlagen verarbeiten.

Hierzu zählen

Natürliche Personen (z.B. Handwerker, Freiberufler und Privatleute)

Juristische Personen des Privatrechts (z. B. GmbH, AG, eingetragener Verein und eingetragene Genossenschaft)

Personenvereinigung des privaten Rechts ohne eigene Rechtspersönlichkeit (z. B. OHG, KG)

Wie bei vielen Gesetzen gibt es aber auch hierbei Regelungen, die eine Ausnahme begründen wie z.B. bei ausländischen Unternehmen oder Verwendung der Daten für ausschließlich persönliche oder familiäre Tätigkeiten.

Wer braucht einen Datenschutzbeauftragten (DSB)

Artikel 37 der DSGVO sowie §38 Abs. 1 des BDSG-neu als nationale Erweiterung regeln die Benennung eines Datenschutzbeauftragten.

Da die dort enthaltenen Formulierungen leider etwas kompliziert gehalten wurden und viele Informationen im Internet nicht unbedingt zur Klarheit beitragen, ist die folgende Zusammenfassung in allgemein verständlicher Form gehalten.

Pflicht zur Benennung für:

Behörden und öffentliche Stellen, die personenbezogene Daten verarbeiten

Unternehmen, deren Kerntätigkeit in Verarbeitungs-vorgängen besteht, deren Art, Umfang oder Zweck eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen beinhaltet

Unternehmen, deren Kerntätigkeit in umfangreichen Verarbeitungen besonderer personenbezogener Daten besteht

Alle nicht öffentliche Stellen (Unternehmen, Freiberufler,...) die in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt

Spätestens der letzte Punkt greift bei den meisten Unternehmen, da bereits die Nutzung eines Email-Systems oder einer elektronischer Zeiterfassung eine automatisierte Verarbeitung personenbezogener Daten darstellt.

Wichtiger Hinweis:

Der Wegfall der Pflicht zur Benennung eines DSB bedeutet nicht, dass in solchen Unternehmen die Vorgaben der DSGVO ignoriert werden können. Vielmehr obliegt in diesem Fall die Erfüllung der Aufgaben, die sonst der Datenschutzbeauftragte übernimmt, der verantwortlichen Stelle selbst, also der Geschäftsführung.

Da der Leitung solcher Kleinunternehmen die entsprechenden Kenntnisse in der Regel fehlen, bleibt dann nichts anderes übrig, als doch einen externen Fachmann (sprich Datenschutzbeauftragten) zuzuziehen.

Aufgaben des Datenschutzbeauftragten (DSB)

Unabhängig davon, ob ein interner oder externer Datenschutzbeauftragter bestellt ist, gehören folgende Tätigkeiten zu seinen Aufgaben:

Unterstützung bei der Einhaltung der Vorgaben gemäß DSGVO und BDSG-neu

Laufende Überwachung der Rechtmäßigkeit aller Datenverarbeitungsprozesse und Dokumentation

Anlaufstelle für die Aufsichtsbehörde

Datenschutz-Folgenabschätzung

Risikobewertung

Kommunikation mit den Fachbereichen

Schulung und Sensibilisierung der Mitarbeiter

Analysieren und Bewerten

Maßnahmen und Empfehlungen erarbeiten

Richtiger Umgang mit der verschärften Meldepflicht bei Datenpannen


Einen Zusatznutzen, den Sie durch die Benennung eines Datenschutzbeauftragten erhalten, ist die Verbesserung der eingesetzten Verfahren, verbesserte Dokumentationen und die Optimierung der Sicherheit in Ihrer IT.

Der Datenschutzbeauftragte hält Ihnen den Rücken frei, so dass Sie sich um Ihre eigentlichen Aufgaben kümmern können, um Ihr Unternehmen voran zu bringen.

Projektverlauf 

Bewährt hat sich für die Arbeit als Datenschutzbeauftragter ein prozessorientierter Ablauf, dessen Prozesschritte in Phasen unterteilt werden kann.

Zum Phasenmodell.


No Code Website Builder