Der Weg zum Datenschutzbeauftragten

  • Hallo zusammen,

    wir haben zur Zeit das Problem, wegen der Bestllung eines Datenschutzbeauftragten.

    Wir sehen die absoluten Notwenigkeit eines Datenschutzbeauftragten, der AG sieht das nicht so.

    Der BR hat sich an die unten beigefügten Texte gehalten, und den AG aufgefordert einen Datenschutzbeauftragten zu installieren. Der AG weigert sich.

    Nur wollen wir einen extrenen Berater bestellen, um zu Prüfen wer nun recht hat.

    Wie sollen wir am besten weitermachen ?

    Berater Entscheidung Abwarten, un dauf eine Einigung hoffen, oder das Arbeisgericht einschalten, kann auch der Bundesdatenschutzbeauftragter hilfestellung geben ? Auch über die Möglichkeit den AG wegen Verstoßes gegen das Datenschutzgesetzt anzuzeigen wurde nachgedacht.

    Könnt ihr uns da Tipps geben ??

    Selbstcheck: Wer muss Datenschutzbeauftragte bestellen?

    Viele Unternehmen, Vereine und sonstige private Stellen müssen betriebliche Datenschutzbeauftragte bestellen. Mit unseren Fragen und Erläuterungen können Sie selbst prüfen, ob die Pflicht besteht, Datenschutzbeauftragte zu bestellen.

    Personenbezogene Daten

    Nach § 3 Abs. 1 Bundesdatenschutzgesetz sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Einzelangaben über persönliche oder sachliche Verhältnisse sind beispielsweise:

    • Name, Alter, Familienstand, Geburtsdatum

    • Anschrift, Telefonnummer, personalisierte E-Mail Adresse

    • Konto-, Kreditkartennummer

    • Kraftfahrzeugnummer, Kfz-Kennzeichen

    • Personalausweisnummer, Sozialversicherungsnummer

    • Vorstrafen

    • genetische Daten und Krankendaten

    • Werturteile wie zum Beispiel Zeugnisse

    Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten. Personenbezogene Kundendaten sind beispielsweise Namen von Ansprechpartnern oder E-Mail-Kontaktdaten.

    Dabei ist die technische Form dieser Angaben nicht von Bedeutung. Auch Fotos, Videoaufnahmen, Röntgenbilder oder Tonbandaufnahmen können personenbezogene Daten enthalten. Um Angaben über eine bestimmte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Bestimmbar ist eine Person, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann.

    Die Angaben müssen sich auf einen lebenden Menschen beziehen. Einzelangaben über juristische Personen, wie zum Beispiel Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen.

    Verarbeitung

    Gemäß § 3 Abs. 4 Bundesdatenschutzgesetz ist das Verarbeiten das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten.

    Werden die personenbezogenen Daten automatisiert verarbeitet? Sind in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt?

    (§ 4f Abs.1 Satz 4 Bundesdatenschutzgesetz)

    Was bedeutet „in der Regel“?

    Es ist schon ausreichend, wenn eine Person gelegentlich anfallende Verarbeitungsaufgaben nach ihrer Arbeitsplatzbeschreibung oder dem Organisationsplan der verantwortlichen Stelle regelmäßig wahrnimmt und diese Aufgabe nicht von vornherein für einen kurz bemessenen Zeitraum etwa als Urlaubsvertretung ausübt.

    Was bedeutet "beschäftigt"?

    Ausschlaggebend für eine Beschäftigung im Sinne des § 4f Abs.1 Bundesdatenschutzgesetz ist, dass die Person Aufgaben erfüllt, die mit der Verarbeitung von personenbezogenen Daten zusammenhängen. Hierunter fallen daher nicht nur fest eingestellte Personen als Teil der Arbeitnehmerschaft, sondern auch Leiharbeitnehmer, Auszubildende, Praktikanten, Volontäre, Freiwillige oder auch der Geschäftsführer selbst.

    Was ist, wenn die Anzahl der Personen schwankt?

    Eine zeitweise und kurzfristige Unter- bzw. Überschreitung der maßgeblichen Personenanzahl ist unerheblich. Dies führt weder zu einer Verpflichtung, einen Beauftragten zu bestellen, noch sollte sie zur Gelegenheit genommen werden, die Arbeit von bereits bestellten Datenschutzbeauftragten zu beenden.

    Was bedeutet "automatisiert"?

    Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen (§ 3 Abs.2 S.1 Bundesdatenschutzgesetz). Die automatisierte Datenverarbeitung findet zum Beispiel bei Computern, modernen Mobiltelefonen, PDAs oder Videoanlagen mit Aufzeichnung Anwendung.

  • Hallo,

    unsere AG behauptet das neun oder jetzt sogar nur acht Personen zugriff auf Personenbezogene Daten hat. Die frage was Personenbezogene Daten ist hier der knackpunkt,

    Unser AG behauptet Personenbezogene Daten sind Daten die Informationen wie z.b. Gehalt beinhalten.Diese Informationen werden durch die Personalabteilung, IT eingesehen und das sind halk nur acht Mitarbeiter was wir aber anders sehen. Definition der personenbezogenen Daten

    Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (§ 3 Abs. 1 BDSG, Art. 2 a RL 95/46/EG). Eine Person ist bestimmbar, wenn sie direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Bei der Entscheidung, ob ein Betroffener bestimmbar ist, sind alle Mittel zu berücksichtigen, die vernünftigerweise entweder von dem Verantwortlichen oder von einem Dritten eingesetzt werden könnten, um den Betroffenen zu bestimmen.

    Der Begriff der personenbezogenen Daten umfasst folglich alle Informationen, die über eine Bezugsperson etwas aussagen oder mit ihr in Verbindung gebracht werden können. Hierzu gehören nicht nur klassische Daten wie etwa der Name, Geburtsdatum oder Familienstand, sondern auch Bildaufnahmen, Darstellungen des beruflichen Verhaltens, Meinungsäußerungen, Beurteilungen und Werturteile, die sich auf einen bestimmten oder bestimmbaren Betroffenen beziehen. Angaben zu vertraglichen oder sonstigen Beziehungen zu Dritten, Dateibezeichnungen und Prognose- und Planungsdaten können Verhältnisse des Betroffenen beschreiben und damit ebenfalls personenbezogen sein. Nach der gegenwärtig in der Rechtsprechung herrschenden Ansicht handelt es sich sowohl bei dynamischen als auch bei statischen IP-Adressen um personenbezogene Daten, weil eine Zuordnung zu einer bestimmbaren Person möglich ist.

    Durch den Einsatzt von SAP sehen wir bei jeder Buchung, wer wann was gemacht hat.

    Auch wie im ersten Artikel, sind Kundendaten Personenbezogene Daten.

    Nur wir komme hier nicht wirklich weiter, wir sagen wir brauchen einen der AG sagt wir brauchen keinen. Wir wollten jetzt einen Unabhänigen Gutachter einberufen, der das Prüfen soll.

    Was würdet ihr machen ???

  • Was wollt ihr mit einem unabhängigen Gutachter? Der kostet Geld und das Ergebnis interessiert euren AG nicht. Also warum sollte er Geld für ihn ausgeben?

    Winfried hat hier schon den richtigen Tipp gegeben: fragt bei der zuständigen Aufsichtsbehörde an. Entweder interessieren die sich nicht für euch (dann braucht ihr wohl keinen) oder aber (und das halte ich für wahrscheinlicher) sie fragen mal von Amts wegen bei eurem AG an. Und dann kommt der Stein ins Rollen...

    Wer fragt ist ein Narr - für fünf Minuten. Wer nicht fragt bleibt ein Narr - sein Leben lang!

  • Hallo Lock,

    Personenbezogene Daten sind Name, Adresse, Geb.Dat. etc..

    Gehalt, Arbeitsleistung usw. sind personenbeziehbare Daten.

    Wenn bei Euch also personenbezogene Daten automatisiert verarbeitet werden hat der AG einen Datenschutzbeauftragten zu bestellen, egal wieviel Leute Zugriff haben oder damit beschäftigt sind.

    Schließe mich den Ausführungen von Moritz und Winfried an. Gutachter wäre nicht zielführend. Bin da auch eher beim Datenschtzbeauftragten des Landes.

    Wolle

  • Hallo,

    wenn man Fragen stellt, bitte auch die Antworten lesen - man wende sich an die zuständige Aufsichtsbehörde.

    Die Liste der zuständigen Aufsichtsbehörden für alle Bundesländer steht in diesem Link.

    Grüsse Winfried

    P.S.: Natürlich spricht alles dafür, dass Ihr die Kriterien erfüllt, eineN DS-BeauftragteN also bestellen müsst (sowohl der AN- als auch der KundInnen-Daten wegen). Bevor man die Aufsichtsbehörde einschaltet, kann man ja versuchen, den AG noch wie folgt zu überzeugen (bis zu 50000€ aus dem eigenen Geldbeutel zahlen zu müssen, könnte ihn schmerzen):

    Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig (...) entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt (...). Die Ordnungswidrigkeit kann (...) mit einer Geldbuße bis zu fünfzigtausend Euro (...) geahndet werden.

  • Interessante Sache!
    Kann jemand berichten ob es Gründe gibt das ein BR kein Datenschutzbeauftragter sein darf/kann?

    Under Mann hat nämlich keine Lust mehr - ich würde das gerne übernehmen falls der AG damit einverstanden wäre.

    LG abloxx

  • Hallo abloxx,

    Zitat von abloxx

    Kann jemand berichten ob es Gründe gibt das ein BR kein Datenschutzbeauftragter sein darf/kann?

    Nein, da gibt es keine Einschränkungen. Narürlich kann auch ein BR Datenschutzbeauftragter werden.

    Es werden jedoch im BDSG gewisse Anforderungen an den Datenschutzbeauftragten gestellt, was die Qualifikation angeht.

    Füge mal einen entsprechenden Link ein: https://www.datenschutzbeauftr…tzbeauftragter-erfuellen/

    Da kannst Du dann mal überlegen, ob Du für den Job geeignet bist, wobei es nichts geben sollte, was man sich nicht durch Lehrgänge aneignen könnte.

    Ich persönlich würde mich zusätzlich Fragen, ob es erstrebenswert ist, einen BR als Datenschutzbeauftragten abzustellen. Die Aufgaben sind so vielfälltig, dass die BR-Arbeit darunter leiden kann. Da kommt man schnell in einen Gewissenskonflikt, was man denn jetzt zuerst machen soll, Datenschutz oder BR.

    Ich sehe den Datenschutzbeauftragten eher als zusätzlichen Input zu den anderen BRM.

    Wolle

  • Team-ifb

    Hat das Thema geschlossen.