Die DSGVO richtet sich in erster Linie an die Verantwortlichen, also all diejenigen Unternehmen, die in den Anwendungsbereich der DSGVO fallen und über die Verarbeitung von personenbezogenen Daten entscheiden. Natürlich müssen und können Unternehmer, abhängig von der Unternehmensgröße, nicht alles alleine bewältigen. Einige Händler können und einige müssen deshalb sogar einen eigenen Datenschutzbeauftragten bestellen.
![© Rawpixel.com / Shutterstock.com Datenschutzbeauftragter](/fileadmin/import/direct/shutterstock_526278634.jpg)
Der Datenschutzbeauftragte im Unternehmen
Der Schutz persönlicher Daten spielt besonders im Internet und im E-Commerce eine übergeordnete Rolle. In einigen Fällen verlangt der Gesetzgeber sogar die Bereitstellung eines Datenschutzbeauftragten. Das ist bereits jetzt schon so und wird auch mit der neuen DSGVO so bleiben. Jeder Online-Händler sollte also schon jetzt für sich abklären, ob er verpflichtet ist, formell einen Datenschutzbeauftragten zu benennen.
Der Datenschutzbeauftragte in der DSGVO
Durch die DSGVO werden Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn deren Kerntätigkeit (d. h. deren Hauptaktivität) in einer Datenverarbeitung besteht, die aufgrund ihres Zwecks oder ihres Umfangs eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erfordert (z. B. Marktforschungsunternehmen). Hierzu gehören nicht die das Kerngeschäft unterstützenden Tätigkeiten wie z. B. die Verarbeitung der Beschäftigtendaten der eigenen Mitarbeiter.
Ein Datenschutzbeauftragter nach der DSGVO dürfte für kleine und mittelständische Online-Händler daher nicht notwendig werden, da sie kaum systematisch oder in größerem Umfang Kundendaten überwachen – zumindest nicht in der Hauptaufgabe.
Deutsches Recht strenger als DSGVO
Doch Unternehmer und Verantwortliche sollten sich (leider) nicht zu früh freuen. Auch wenn die Vorschriften der DSGVO für sie zu keiner Pflicht führen, gilt neben der DSGVO das deutsche Datenschutzrecht in Form des Bundesdatenschutzgesetzes (kurz: BDSG). Ähnlich wie die Nachbarn in Österreich hat auch Deutschland eigene Regelungen ergänzend zur DSGVO getroffen – leider strengere als der EU-Standard.
Der Verantwortliche hat sich in Deutschland um einen Datenschutzbeauftragte zu kümmern, soweit im Unternehmen in der Regel
- mindestens zehn Personen
- ständig
- mit der automatisierten Verarbeitung personenbezogener Daten
beschäftigt sind.
„Ständig“ meint in diesem Zusammenhang nicht, dass die Datenverarbeitung die Hauptaufgabe des jeweiligen Mitarbeiters sein muss. Vielmehr genügt es, dass das Verarbeiten von Daten, wenn auch nur in geringem Maße, zum regelmäßigen Aufgabengebiet des Mitarbeiters gehört.
Beispiele (soweit diese Mitarbeiter tatsächlich Zugriff auf personenbezogene Daten haben/diese verarbeiten usw.):
- Mitarbeiter in Vertrieb und Kundenservice
- Mitarbeiter in Auftragsbearbeitung und Logistik
- Mitarbeiter im Marketing (z. B. E-Mail-Marketing-Manager)
- Mitarbeiter in der Lohn- und Finanzbuchhaltung
- Systemadministrator
Als Mitarbeiter in diesem Sinne zählen auch Teilzeitkräfte, Studenten, Auszubildende und Aushilfskräfte.
Gegenbeispiele:
- Reinigungspersonal
- Hausmeister
Beispiel:
Ein Online-Händler für IT-Systeme hat insgesamt 14 Mitarbeiter. Davon beschäftigt er acht Mitarbeiter im Vertrieb und in der Auftragsbearbeitung, vier weitere im Kundenservice, einen E-Mail-Marketing-Manager und einen Systemadministrator. Er hat die Grenze von zehn Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, erreicht und muss einen Datenschutzbeauftragten bestellen.
Der Datenschutzbeauftragte kann ein Beschäftigter des Unternehmens sein (interner Datenschutzbeauftragter) oder seine Aufgaben aufgrund eines Dienstleistungsvertrages erfüllen (externer Datenschutzbeauftragter). Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt eine schriftliche Bestellung. Zur Stellung, zu den Rechten und den Aufgaben des Datenschutzbeauftragten hier mehr.
10-Mitarbeiter-Grenze führt regelmäßig zur Pflicht
In nahezu jedem Unternehmen werden Mitarbeiter-, Kunden- oder sonstige personenbezogene Daten (z. B. von Vertriebspartnern, Webseitenbesuchern) automatisiert verarbeitet. Händler mit zehn oder mehr Beschäftigten fallen daher regelmäßig unter die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn sie einen Computer-Arbeitsplatz haben oder anderweitig mit personenbezogenen Daten arbeiten, die in der Speicherung auf dem Computer resultieren (z. B. Außendienstmitarbeiter, der zunächst handschriftlich Aufträge annimmt).
Hinweis: Auch wenn es für Ihr Unternehmen (noch) keine Pflicht gibt, gelten die Vorschriften der DSGVO und sonstiger Datenschutzbestimmungen für Unternehmen. Sie sollten daher jemanden festlegen, der die Verantwortung für die Einhaltung der Datenschutzbestimmungen übernimmt, und beurteilen, wo diese Rolle innerhalb der Struktur Ihres Unternehmens angesiedelt ist.
Kommentar schreiben
Antworten
vielen Dank für die Rückfrage. Da die Antwort sicher alle Leser interessiert hier unsere Anmerkung:
Die Voraussetzungen
- 10 Mitarbeiter und
- ständiges Datenverarbeiten
müssen zusammen vorliegen. Ein Unternehmen mit weniger als zehn Mitarbeitern fällt daher raus (siehe auch die Ausnahmen oben). Auch wenn die vorhanden zehn oder mehr Mitarbeiter nichts mit Datenverabeitun g zu tun haben, wird kein Datenschutzbeau ftragter benötigt.
Viele Grüße!
Ihre Antwort schreiben
Antworten
Bezüglich der Voraussetzungen einen Datenschutzbeau fragten zu benennen:
Müssen beide Kriterien erfüllt sein, oder muss nur ein Kriterium erfüllt sein (entweder 10 MA >; oder ständiges Verarbeiten von Daten).
Vielleicht klingt meine Frage ein bisschen doof, aber vor lauter Rechtstexten usw. schwirrt mir sehr der Kopf!
Danke für die Antwort.
Ihre Antwort schreiben
Antworten
zumindest die 3 letzten Fragen - dürften ja noch mehr Leute interessieren ?
nachher heißt es wieder Sie können die Daten doch nicht ohne nochmalige Kontrolle herausgeben (also Ausweis- /Passkopie /Meldeschein oder tatsächlich nur eine Anfrage über einen Account wenn vorhanden ?)
--------------------
also ich habe mir Gestern auch Ihr Video zur DSGVO angesehen - und kann nur sagen - nur gut das ich mir keinen "Trainingsday o.ä." leisten kann - meine immer noch mehr Fragen ,als ........... hätten wohl die Veranstaltung gesprengt ?
---------------
wie unsinnig das ganze ist - zeigt sich ja schon darin:
die Staatsgewalt fordert einen schlanken Umgang mit Daten - selbst Email /Telefonnummer seien nicht erforderlich usw. ....
gleichzeitig soll ich aber Listen /Datenbanken über jede meiner bewegungen im Internet anlegen - dazu kommt dann noch das Verpackungsgese tz und was weiß ich noch alles - Orwell hätte seinen Spass daran - der 2. Band hieße dann Deutschland 2018 - na dann ein schönes Wochenende
Ihre Antwort schreiben
Antworten
vielen Dank für die Rückfrage. Gerne stellen wir noch einmal klar, dass es bei der maßgeblichen Zahl auf folgendes ankommt: Als Mitarbeiter zählen auch Teilzeitkräfte, Studenten, Auszubildende und Aushilfskräfte - natürlich nur, soweit diese mit der Datenverabeitun g betraut sind (siehe Artikel).
Viele Grüße!
Die Redaktion
Ihre Antwort schreiben
Antworten
Gruß
A.Sturm
Ihre Antwort schreiben
Antworten
also hier:https://www.onlinehaendler-news.de/recht/rechtsfragen/31311-kommentar-dsgvo-am-ende-immer-gleichen.html?utm_source=Newsletter&utm_medium=Link&utm_campaign=Weekly
hörte sich das eigentlich ganz anders an - jetzt trifft es doch wieder vornehmlich die großen ??? (irgendwie kann ich´s nicht glauben - das selbst im Händlerbund anscheinend jeder etwas anderes darunter versteht)
Ihr Beispiel ist natürlich auch wieder sehr realitätsfern - die meisten von uns "armen" Schluckern - werden wohl nicht auch noch mit IT-Systemen Handeln !?
sondern kleine Unternehmen von 1-5 "Frontkämpfern" - mit normalen Handelstätigkei ten sein (also Atom-Handgranat en bis Zeppeline o.s.ä.)
also meine schon gestellte Frage nochmal - warum sollte soeine Firma also einen unkündbaren "Schmarotzer" benötigen - wenn ja eigentlich die Plattform alle Daten erhebt ?
oder wie auch schon gefragt - wenn ich als starke 1-Mann Firma - eine eigene Präsenz eröffne und täglich Daten ,verarbeite muss ich dann noch einen Abendschulabsol venten miternähren ???
-------
noch eine Superfrage - welche Legitimation muss denn der Abrufer der Daten überhaupt vorlegen ? (oder reicht einfach eine Email ?)
kann ich grundsätzlich jede Firma /Amt zur Herausgabe meiner Daten anschreiben - auch wenn ich mit denen nie etwas zu tun hatte (Ich meine Vorsicht ..........) ?
hat das eigentlich eine rückwirkende begrenzung - oder kann ich praktisch bis zu meiner Geburt Daten anfordern ?
Ihre Antwort schreiben