Artikel 6 – Rechtmäßigkeit der Verarbeitung

Artikel 6 – Rechtmäßigkeit der Verarbeitung

1Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

2Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

 

<b>Information zum Beispiel eines Inkassofalls bei einen säumigen Zahler, bereits mehrfach gemahnten Kunden.</b>

Nach Artikel 6 b) Ich habe mit meinen Kunden ein Vertragsverhältnis und er zahlt nicht. In diesem Fall wird er Vertragsbrüchig, zur Erfüllung des Vertrages ist es gestattet die entsprechenden Maßnahmen zu ergreifen.

In diesem Fall greift Artikel 6 f) – die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der Person um ein Kind handelt.

d.h. die Daten dürfen bei versäumen der Zahlung und entsprechenden Mahnungen durchaus an ein Inkassounternehmen abgetreten werden. In der Regel handelt es sich hier auch nicht um eine Auftragsdatenverarbeitung. Das Inkassounternehmen ist eigenständig und frei zu entscheiden wie oft es Mahnt oder wie es die Fälligkeit versucht umzusetzen, es handelt dann nicht mehr in unseren Namen.

Bitten wir ein Schreibbüro für uns die Mahnungen zu schreiben und zu verschicken wäre dies durch aus eine Auftragsdatenverarbeitung und müsste mit einen entsprechenden Auftragsdatenverarbeitungsvertrag geschützt werden.

 

 

  1. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  2. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  3. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  4. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  5. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Videoüberwachung und Datenschutz

Quelle: https://www.datenschutzbeauftragter-info.de/fachbeitraege/videoueberwachung-und-datenschutz/

Die Videoüberwachung am Arbeitsplatz stellt naturgemäß einen erheblichen Eingriff in das Persönlichkeitsrecht der Beschäftigten als Betroffene dar. Dennoch möchten immer mehr Unternehmen die Videoüberwachung zum Schutz des Unternehmens und seiner Sachwerte einsetzen.

Doch gerade bei der Videoüberwachung am Arbeitsplatz gibt es teilweise keine klaren gesetzlichen Vorgaben. Für Unternehmen besteht daher oft Unklarheit, was erlaubt ist und wie man das Verfahren ausgestalten muss. Der nachfolgende Beitrag soll eine erste Orientierung bieten und oft gestellte Fragen beantworten.

Warum ist Videoüberwachung problematisch?

Der Einzelne hat das grundgesetzlich geschützte Recht, selbst über das eigene Bild und dessen Verwendung zu bestimmen. Durch Videoüberwachung im Unternehmen – auch solche zu Zwecken des Diebstahlschutzes – besteht immer die latente Gefahr, dass Beschäftigte (dauerhaft) überwacht werden. Auch haben die Aufgenommenen (Mitarbeiter, Kunden, Lieferanten) oft keine Kenntnis von den Aufnahmen und können nicht kontrollieren, was mit ihren Bildern geschieht.

Demgegenüber hat ein Unternehmen ein nicht außer Acht zu lassendes Interesse, seinen Betrieb und sein Eigentum zu schützen.

Auf welcher Grundlage ist Videoüberwachung zulässig?

Grundrechte von Arbeitnehmern und Arbeitgebern

Die Videoüberwachung stellt einen Eingriff in das allgemeine Persönlichkeitsrecht der Betroffenen dar. Ein solcher Eingriff bedarf immer einer legitimierenden Rechtsnorm. Die widerstreitenden Grundrechtspositionen müssen anhand einer Abwägung miteinander in Einklang gebracht werden. Dem allgemeinen Persönlichkeitsrecht des Beschäftigten aus Art. 2 I GG i.V.m. Art 1 I GG stehen im Rahmen der Videoüberwachung das Eigentumsrecht aus Art. 14 GG und die Berufsausübungsfreiheit des Arbeitgebers aus Art. 12 GG gegenüber.

Bundesdatenschutzgesetz

Auf einfachgesetzlicher Ebene regeln § 6b BDSG und §§ 32 bzw. 28 Abs. 1 und Abs. 2 BDSG die Videoüberwachung. Unterschieden wird zwischen der Videoüberwachung im öffentlich zugänglichen (z.B. Bahnhöfe, Kaufhäuser) und im nicht öffentlich zugänglichen Bereich (z.B. Werksgelände, Lager oder Personalräume).

Bei öffentlich zugänglichen Flächen und Arbeitsplätzen ist die Überwachung im Sinne des § 6b BDSG nur erlaubt, soweit sie zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Es muss demnach eine Abwägung der schutzwürdigen Interessen der Betroffenen mit denen der verantwortlichen Stelle vorgenommen werden.

Wann ist die Videoüberwachung erforderlich?

Es gilt das Prinzip der Erforderlichkeit. Das bedeutet: Immer dann, wenn der Zweck der Überwachung auf gleiche Weise durch ein milderes, aber gleichermaßen effektives Mittel erreicht werden kann, ist dieses Mittel auszuschöpfen. Kann z.B. ein Diebstahl einfach dadurch verhindert werden, dass ein neues Schloss eingebaut wird, besteht kein Erfordernis, zur Abschreckung flächendeckend Mitarbeiter mittels Videokameras zu überwachen.

Wichtig ist jedoch, dass der Zweck – und zwar für jede eingesetzte Videokamera – vorab festgelegt und dokumentiert wird („wozu dient die Maßnahme“), um dies bei einer Kontrolle durch den Datenschutzbeauftragen bzw. der Aufsichtsbehörden nachvollziehbar zu machen.

Darf Videoüberwachung in Sozialräumen stattfinden?

Eine Videoüberwachung in Bereichen, die überwiegend der privaten Lebensgestaltung der Beschäftigten dienen, ist dagegen grundsätzlich unzulässig. Dies gilt insbesondere für WC, Sanitär-, Umkleide- und Schlafräume. Beschäftigte sollten in diesen Räumen vor jeglicher Überwachung durch den Arbeitgeber geschützt sein; der Schutz der Intimsphäre wird in aller Regel hier überwiegen.

Ist auf die Videoüberwachung hinzuwiesen?

Ist eine Videoüberwachungsanlage im Einsatz, müssen die Betroffenen auf diese hingewiesen werden. Der Umstand der Beobachtung und die verantwortliche Stelle sind gegenüber den Betroffenen durch geeignete Maßnahmen kenntlich zu machen. Dies kann z.B. durch ein gut wahrnehmbares und möglichst im Zutrittsbereich der überwachten Fläche angebrachtes Schild erfolgen.

Ist eine verdeckte Videoüberwachung zulässig?

Im Gegensatz zur offenen Videoüberwachung, welche bewusst auch zur Abschreckung eingesetzt wird, erfolgt die verdeckte, also heimliche Videoüberwachung meist kurzfristig und anlassbezogen, etwa bei aktuellem Diebstahlverdacht, um den Täter auf frischer Tat zu ertappen. Hier würde ein Hinweis auf die Überwachung den Täter abschrecken und die Aufklärung der Straftat erschweren.

Eine verdeckte Videoüberwachung ist ausschließlich in nicht öffentlich zugänglichen Räumen zulässig.

Verdeckte Videoüberwachung im Beschäftigungsverhältnis

Das Bundesarbeitsgericht hat in seiner Entscheidung vom 21.6.2012, Az.: 2 AZR 153/11 klargestellt, dass in Ausnahmefällen auch eine heimliche Videoüberwachung am Arbeitsplatz zulässig sein kann.

Hohe Anforderungen an die verdeckte Videoüberwachung

Generell sind die Anforderungen an eine verdeckte Videoüberwachung allerding sehr hoch: Es muss ein konkreter Verdacht einer strafbaren Handlung oder einer anderen schweren Verfehlung zu Lasten des Arbeitgebers vorliegen; weniger einschneidende Mittel müssen ausgeschöpft sein; die Videoüberwachung darf als einziges Mittel verbleiben und die Videoüberwachung darf insgesamt nicht unverhältnismäßig sein.

Wie ist die Videoüberwachung konkret auszugestalten?

Auch wenn ein berechtigter Grund für eine Videoüberwachung besteht, bedeutet dies nicht zugleich, dass die Videoüberwachung uneingeschränkt möglich ist. Vielmehr gilt im Datenschutz stets das Prinzip der Datensparsamkeit. Ziel ist, unnötige Datenerhebung zu vermeiden. Nicht nur das Ob, sondern auch das Wie, also die genaue Ausgestaltung, sind maßgeblich.

Für die Beurteilung, ob eine Videoüberwachung im konkreten Fall zulässig ist, sind insbesondere die Dauer der Videoüberwachung, der erfassbare Bereich, die Erkennbarkeit von Betroffenen (Stichwort Verpixelung, wenn nicht die Identität der Person im Vordergrund steht) und die Frage, ob eine Aufzeichnung oder ein bloßes Monitoring erfolgt, von Bedeutung.

Zu beachten ist, dass Tonaufnahmen bei jeder Form der Videoüberwachung unzulässig sind. Anders als bei Bildaufnahmen ist es gemäß § 201 StGB unter Androhung von Freiheitsstrafe bis zu 3 Jahren verboten, das nichtöffentlich gesprochene Wort aufzuzeichnen oder abzuhören. Sofern also eine Videoüberwachungskamera über eine Audiofunktion verfügt, ist diese irreversibel zu deaktivieren.

Was ist beim Einsatz von Kamera-Attrappen zu beachten?

Auch wenn bloße Kamera-Attrappen eingesetzt werden, sind Rechte von Beschäftigten betroffen. Denn es ist nicht erkennbar, ob tatsächlich Videoaufzeichnungen stattfinden oder nicht. Dies hat u.a. nach Auffassung des Landgerichts Bonn zur Folge, dass auch eine Attrappe bei Betroffenen der Eindruck erweckt, sie müssten ständig mit einer überwachenden Aufzeichnung rechnen.

Nach Ansicht des Bundesgerichtshofs kann ein empfundener „Überwachungsdruck“ Unterlassungs- und Schadensersatzansprüche der Betroffenen begründen, selbst wenn keine Aufzeichnung erfolgt oder die Kamera gar nicht erst eingeschaltet ist.

Wie lange dürfen Videodaten gespeichert werden?

Gemäß § 6b Abs. 5 BDSG sind die Daten unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
Eine starre Frist hinsichtlich der Aufbewahrungsdauer existiert demnach nicht.

Nach Auffassung der Aufsichtsbehörden dürfen die Daten aus der Videoüberwachung maximal 72 Stunden gespeichert werden. Diese Dauer ist jedoch nicht in jedem Fall praktikabel. So hat auch das OVG Lüneburg entschieden, dass eine Speicherdauer von 10 Tagen zulässig sein kann. Für die Speicherdauer allein maßgeblich ist der Zweck: Fällt der konkrete Zweck der Erhebung weg, sind die Daten unverzüglich zu löschen.

Ist der Betriebsrat zu beteiligen?

Beim Einsatz von Videokameras ist der Betriebsrat zu beteiligen. Denn nach § 87 Abs. 1 Nr. 6 BetrVG steht dem Betriebsrat bei Maßnahmen, mit denen der Arbeitgeber die Leistung oder das Verhalten von Arbeitnehmern prüfen oder überwachen könnte, ein Mitbestimmungsrecht zu. Im Rahmen der Ausübung des Mitbestimmungsrechts haben Arbeitgeber sowie Betriebsrat das allgemeine Persönlichkeitsrecht der Arbeitnehmer zu beachten (§ 75 Abs. 2 BetrVG).

Welche Rechte bestehen bei einer unzulässigen Videoüberwachung?

Bei gravierenden Verstößen (z.B. dauerhafter heimlicher Videoüberwachung ohne nachvollziehbaren Zweck; unbefugte Weiternutzung der Daten) drohen der verantwortlichen Stelle empfindliche Bußgelder.

Daneben stehen den Betroffenen auch wegen der Verletzung ihrer Persönlichkeitsrechte ggf. Ansprüche auf Entschädigung zu. So hatte das Hessisches Landesarbeitsgericht einen Arbeitgeber zur Zahlung einer Entschädigung von 7.000 € verurteilt, weil er eine Mitarbeiterin dauerhaft an ihrem Arbeitsplatz mit einer Videokamera überwachte hatte. Zudem besteht in Extremfällen ein Leistungsverweigerungsrecht der Mitarbeiter, die dann nicht arbeiten müssen, aber dennoch ihren Lohn beanspruchen können.

Welche Aufgabe hat der Datenschutzbeauftragte bei der Videoüberwachung?

Bestenfalls bereits vor Einführung der Videoüberwachung mit Aufzeichnung sollte eine Vorabkontrolle im Sinne des § 4d Abs. 5 BDSG durch den betrieblichen Datenschutzbeauftragten durchgeführt werden. Dies ist erforderlich, soweit durch die Videoüberwachung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist. Dies wird jedenfalls dann angenommen, wenn Überwachungskameras in größerer Zahl und zentral kontrolliert eingesetzt werden (http://dip21.bundestag.de/dip21/btd/14/057/1405793.pdf).

Was ist bei der Beauftragung von Dienstleistern zu beachten?

Werden Dienstleister wie z.B. Sicherheitsfirmen beauftragt und haben diese Zugriff auf die Videodaten, sind die Vorgaben des § 11 BDSG zu beachten, wenn sich die Beauftragung als Auftragsdatenverarbeitung darstellt. Der Dienstleister ist sorgfältig auszuwählen und schriftlich zu verpflichten. Zudem sollte der Dienstleister möglichst keine Kopien der Daten anfertigen dürfen bzw. die Datenträger müssen verschlüsselt werden, um eine unbefugte Kenntnisnahme zu verhindern.

Gleiches gilt für internetbasierte Videoanlagen, bei denen die Daten nicht lokal im Unternehmen, sondern auf Servern eines oder mehrerer Dienstleister gespeichert werden. Hier sind vom Dienstleister gem. § 9 BDSG in Verbindung mit Anlage zu § 9 Satz 1 BDSG technische und organisatorische Maßnahmen zum Schutz der Videodaten zu treffen und deren Einhaltung von der verantwortlichen Stelle regelmäßig zu kontrollieren. Insbesondere sind technische und organisatorische Maßnahmen zum sicheren Transport (Transportverschlüsselung) und zur sicheren Speicherung (Inhaltsverschlüsselung) der Daten auf den externen Servern zu treffen. Zudem ist der Zugriff auf die Videoüberwachungsanlage und die Daten technisch auf einzelne berechtigte Personen zu begrenzen.

Gibt es beim Thema Videoüberwachung Orientierungshilfen?

Mit Beschluss vom 26.02.2014 hat der Düsseldorfer Kreis eine Orientierungshilfe zum Thema Videoüberwachung durch nicht-öffentliche Stellen veröffentlicht. Am Ende der Orientierungshilfe findet sich eine Checkliste für Betreiber einer Videoüberwachung öffentlich zugänglicher Räume.

Was tun bei der Vermutung einer unzulässigen Videoüberwachung am Arbeitsplatz?

Wenn Sie als Arbeitnehmer die Vermutung haben, einer unzulässigen Videoüberwachung ausgesetzt zu sein, sollten Sie grundsätzlich wie folgt vorgehen:

  1. Kontaktaufnahme mit dem Datenschutzbeauftragten des Betriebs
    Fehlt es an einem Datenschutzbeauftragten, können Sie sich auch an den Betriebsrat wenden.
  2. Kontaktaufnahme mit Betriebsrat
    Sollte es in Ihrem Betrieb weder einen Datenschutzbeauftragten noch einen Betriebsrat geben, besteht je nach Umständen des Einzelfalls, gegebenenfalls auch die Möglichkeit, das Gespräch mit Ihrem Vorgesetzten zu suchen.
  3. Kontaktaufnahme mit der jeweiligen Aufsichtsbehörde
    Sie haben als betroffene Person zudem die Möglichkeit, sich an diejenige Aufsichtsbehörde zu wenden, die für ihr Bundesland zuständig ist.

Hier eine Übersicht zu den Landesdatenschutzbeauftragten/ Aufsichtsbehörden:

Arbeitnehemerdatenschutz: Internet, E-Mail & Telefonie

Quelle: https://www.datenschutzbeauftragter-info.de/fachbeitraege/arbeitnehmerdatenschutz/

Interessen von Arbeitnehmern und Arbeitgebern prallen nicht selten heftig aufeinander und dies vor allem dann, wenn die Befürchtung einer Überwachung am Arbeitsplatz im Raume steht. Ob es um Telefon-, E-Mail- oder Internetnutzung oder den Einsatz von GPS-Systemen oder Videoüberwachungsanlagen geht – überall wird eine Überwachung durch den Arbeitgeber vermutet. Doch auch in alltäglichen Situationen, wie etwa der Arbeitszeiterfassung, Veröffentlichung von Mitarbeiterfotos oder der Einsichtnahme in Social Networks gehen die Meinungen über die (datenschutz-)rechtliche Zulässigkeit weit auseinander. Hier finden Sie einen Überblick der praxisrelevantesten Problemfelder und was Sie im Hinblick auf den Datenschutz beachten müssen – damit es eben zu keiner Überwachung am Arbeitsplatz kommt.

E-Mail

Quelle: https://www.datenschutzbeauftragter-info.de/ueberwachung-am-arbeitsplatz-e-mail-vs-datenschutz/

Bei der E-Mail-Nutzung durch den Arbeitnehmer am Arbeitsplatz stellt sich ein ähnliches Problem; erlaubt oder duldet der Arbeitgeber die private Nutzung, muss er nicht nur den Datenschutz, sondern auch das Fernmeldegeheimnis beachten. Als Lösung hierfür kommen Betriebsvereinbarungen oder auch individualvertragliche Vereinbarungen zwischen Arbeitgeber und Arbeitnehmer in Betracht.

Fast jeder PC ist heute mit einem Internetzugang ausgestattet. Im Umgang mit dem PC und der dienstlichen E-Mail-Adresse sind durch den Arbeitgeber, aber auch durch den Arbeitnehmer einige „Spielregeln“ einzuhalten.

Sachlage

Die dienstliche E-Mail-Adresse wird in der Regel für dienstliche und dienstlich veranlasste Zwecke genutzt. Nicht selten dürfen Arbeitnehmer den Dienst-Account auch privat nutzen

Problem

Beispielsweise bei der Frage der E-Mail-Archivierung stehen Arbeitgeber vor großen Herausforderungen. Aufbewahrungspflichten des Unternehmens stehen dabei in einem Spannungsverhältnis zu datenschutzrechtlichen Vorgaben. Für Arbeitgeber ist die Archivierung des E-Mail-Verkehrs jedoch zwingend erforderlich um gegenüber Vertragspartnern oder auch dem Finanzamt Vereinbarungen, Ausgaben usw. nachweisen zu können.

Auch beim Ausscheiden eines Mitarbeiters stellt sich die Frage, ob der Arbeitgeber ohne weiteres auf das E-Mail-Postfach des ehemaligen Mitarbeiters zugreifen darf oder ob er bestimmte Regeln zu beachten hat.

Rechtslage

Die pauschale Erlaubnis, dienstliche E-Mail-Accounts auch privat nutzen zu dürfen, kann zu erheblichen rechtlichen Konsequenzen führen. Vor allem stellt es sich die Frage, ob das Telekommunikationsgesetz (TKG) anwendbar und damit das Telekommunikationsgeheimnis (Fernmeldegeheimnis) zu beachten ist.

Sowohl das LAG Berlin-Brandenburg (Urteil vom 16.02.2011 – 4 Sa 2132/10) als auch das LAG Niedersachsen (Urteil vom 31.5.2010 – 12 Sa 875/09vertreten die Auffassung, dass der Arbeitgeber, der seinen Mitarbeitern die private Nutzung des dienstlichen E-Mail-Accounts gestattet, kein „Dienstanbieter“ im Sinne des TKG ist. Das VG Karlsruhe hat sich in seinem Urteil „Mappus“ diesen Entscheidungen angeschlossen, ebenso wie das VGH Baden-Württemberg (Urteil vom 30.07.2014 – 1 S 1352/13).

Die genannten Entscheidungen werden in der juristischen Literatur bis heute stark kritisiert. Der überwiegende Teil der Rechtswissenschaftler geht davon aus, dass der Arbeitgeber zum Anbieter von TK-Diensten wird, wenn er seinen Mitarbeitern die private Nutzung von E-Mail ermöglicht.

Da eine Verletzung des Telekommunikationsgeheimnisses schwerwiegenden Folgen nach sich ziehen kann, empfiehlt es sich in der Regel, von einer Anwendbarkeit des Telekommunikationsgesetzes ausgehen. Im Rahmen einer juristischen Abwägung ist auf Basis der genannten Urteile jedoch auch eine andere Ansicht gut vertretbar.

Anbieter-Nutzer-Verhältnis

Geht man davon aus, dass zwischen Arbeitgeber und Arbeitnehmer ein Anbieter-Nutzer-Verhältnis im Sinne des TKG entsteht, wenn der Arbeitgeber die private Nutzung des dienstlichen E-Mail-Accounts gestattet oder duldet, hat der Arbeitgeber das Fernmeldegeheimnis zu beachten. Eine unerlaubter Archivierung bzw. Überprüfung des E-Mail-Verkehrs stellt dann eine strafbare Verletzung des Fernmeldegeheimnisses dar, vgl. § 206 StGB.

Mehr zu diesem Thema können Sie hier lesen.

Lösung

Generelles Privatnutzungsverbot und individualvertragliche Regelung

Eine saubere Lösung zur Privatnutzung führt zunächst immer über ein generelles Verbot der privaten Nutzung. Sollte sich ein Unternehmen dafür entscheiden, den Mitarbeitern die Privatnutzung zu erlauben, beispielsweise wegen des besseren Betriebsklimas, so ist auch dies mit etwas Aufwand möglich.

Auch in diesen Fällen wird zunächst das generelle Verbot ausgesprochen. Dieses generelle Verbot wird jedoch durch eine Erlaubnis zur Privatnutzung ersetzt, wenn der einzelne Arbeitnehmer bestimmten Einschränkungen schriftlich zustimmt.

Diese Einschränkungen umfassen beispielsweise die Archivierung von E-Mails oder die Filterung von SPAM. Stimmt der Arbeitnehmer nicht zu, gilt für ihn das Verbot der Privatnutzung weiter.

Nur in seltenen Fällen ist ein Verbot arbeitsrechtlich nicht mehr durchsetzbar, da ein Fall der sog. „betrieblichen Übung“ vorliegt. Denkbar ist in diesen Fällen dann die Einrichtung eines zweiten E-Mailkontos zur privaten Nutzung.

Betriebsvereinbarung zur E-Mail-Nutzung

Besteht ein Betriebsrat, muss die Regelung zur Nutzung des E-Mailkontos durch eine Betriebsvereinbarung ergänzt werden. In der Betriebsvereinbarung sollten auch regelmäßige Kontrollen und arbeitsrechtliche Konsequenzen bei Verstößen festgelegt werden.

E-Mail vs. Datenschutz

Internetnutzung

Die Internetnutzung am Arbeitsplatz ist heutzutage absolut keine Seltenheit mehr; allerdings steigt damit auch die Versuchung, das Web “ab und zu” auch mal für private Angelegenheiten zu benutzen. Grundsätzlich ist dies jedoch verboten. Trotzdem darf der Arbeitgeber nicht fortwährend das Nutzungsverhalten des Arbeitnehmers überwachen; technische und rechtliche Voraussetzungen müssen in jedem Betrieb gewährleisten, dass der Datenschutz eingehalten wird.

Internetnutzung vs. Datenschutz

<b>Telefon:</b>

Die Telefondatenerfassung durch den Arbeitgeber stellt diesen vor erhebliche datenschutzrechtliche Probleme; denn will er prüfen, ob und wie viel sein Arbeitnehmer privat telefoniert, muss er die datenschutzrechtlichen Vorgaben einhalten. Wichtig für Arbeitgeber und Arbeitnehmer ist dabei vor allem, dass geklärt ist, ob die private Telefonnutzung grundsätzlich erlaubt ist oder nicht.

Sachlage

Telefonieren am Arbeitsplatz: Jeder Mitarbeiter tut dies – mehr oder weniger häufig. Meist zu dienstlichen Zwecken. Ab und zu muss man aber auch mal privat telefonieren. Und da fangen die Probleme meist an.

Problem

Ob man am Arbeitsplatz privat telefonieren darf, ist die eine Frage. Die andere ist, ob der Arbeitgeber eigentlich prüfen darf, mit wem ich wann telefoniere. Oder ob dies eine unzulässige Leistungskontrolle ist.

Rechtslage

Darf man denn privat telefonieren?

Ob man privat am Arbeitsplatz telefonieren darf, kommt auf die Vereinbarungen mit dem Arbeitgeber an – grundsätzlich darf man am Arbeitsplatz nicht privat telefonieren.

Erlaubt der Arbeitgeber dem Arbeitnehmer aber in einem gewissen Umfang private Gespräche zu führen, darf der Arbeitnehmer dies und der Arbeitgeber darf diese Gespräche nicht speichern oder überwachen. Solche Fragen können im Arbeitsvertrag geregelt werden. Leider ist dies oft nicht der Fall, auch Betriebsvereinbarungen und Weisungen sind oft nicht eindeutig.

Klare Ansagen vom Arbeitgeber sind nötig

In den meisten Unternehmen gilt: der Chef erlaubt das private Kommunizieren konkludent, heißt: er duldet es über einen längeren Zeitraum. Schließlich ist es in manchen Situationen unvermeidlich, die betrieblichen Kommunikationsmittel auch mal privat zu nutzen – und so lange dies im Rahmen bleibt, widersprechen die meisten Arbeitgeber nicht.

Grundsätzlich gilt: alles, was der Arbeitnehmer privat an seinem Telefon macht, ist seine Sache und geht niemanden – auch nicht seinen Chef – irgendetwas an. Denn all das fällt unter das sogenannte „Fernmeldegeheimnis“, das in Art. 10 Grundgesetz verankert ist. Dieses umfasst nicht nur den Inhalt seiner Telefonate, sondern auch die näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das gilt aber eben nur für den privaten Teil.

Und was ist mit den dienstlichen Gesprächen?

Dienstliche Gespräche sind nämlich nicht vom Fernmeldegeheimnis erfasst. Aber wie weit darf der Arbeitgeber bei seiner „Überwachung“ gehen?

Die Gerichte sagen: Stichproben sind erlaubt.

Gerade bei ausgehenden Telefonaten ist es in Ordnung, wenn der Arbeitgeber sich ab und zu anguckt, mit wem der Arbeitnehmer telefoniert hat. Aber eben nur ab und zu. Zudem ist unter Juristen immer noch umstritten, inwieweit die vollständige Telefonnummer des Gesprächspartners gespeichert werden darf. Schließlich hat auch der Gesprächspartner eine Privatsphäre, die nicht verletzt werden darf.

Lösung

Erfassung der Telefonnutzung: ja, aber…

Grundsätzlich ist es dem Arbeitgeber nicht verboten, bestimmte Daten über die Telefonnutzung des einzelnen Arbeitnehmers zu erfassen. Allerdings sind einige Besonderheiten zu beachten, die der Arbeitgeber umsetzen sollte, um zu vermeiden, dass der Arbeitnehmer zum Beispiel eine Persönlichkeitsverletzung geltend macht, welches zivilrechtliche Schadensersatzansprüche nach sich ziehen kann, sich an die Datenschutzbehörde wendet, oder sogar Strafanzeige stellt.

Für den Arbeitgeber ist es deshalb unerlässlich, klar und deutlich zu sagen, was erlaubt ist und was nicht. Will er die Privatnutzung im Unternehmen verbieten, ist eine Betriebsvereinbarung zu entwerfen, die nur dienstliche Gespräche erlaubt und private Telefonate eindeutig verbietet. Die Telefonnummern von externen Gesprächspartnern dürfen dann gespeichert werden.

Und was ist mit dem Datenschutz?

Die Telefondatenerfassung darf vom Arbeitgeber grundsätzlich durchgeführt werden; dies ist in mehreren grundlegenden höchstrichterlichen Entscheidungen festgelegt worden. Auch die staatlichen Datenschutzaufsichtsinstanzen sind der Auffassung, dass es dem Arbeitgeber gestattet ist, die von einem Arbeitnehmer verursachten Kosten aufgeschlüsselt nach Zeitpunkt und Dauer festzuhalten.

Aber trotzdem sind auch die Interessen des externen Gesprächspartners zu berücksichtigen. Deshalb ist zu empfehlen, dass nur die Vorwahl und ein Teil der Rufnummer des Gesprächspartners gespeichert werden.

Zweck und Speicherdauer

Diese Daten dürfen nicht ewig und nur zu bestimmten Zwecken gespeichert werden. Zwar darf der Arbeitgeber die Daten zum Zwecke der Missbrauchskontrolle (z.B. unerlaubte private Nutzung auf Kosten des Arbeitgebers bei einem Privatnutzungsverbot) sowie der Kostenkontrolle verwenden; speichern darf er sie dann aber auch nur so lange, wie die Daten dafür relevant sind, also meist ca. 3 Monate.

Die Nutzung der Telefondaten zu anderen Zwecken, beispielsweise für eine Leistungskontrolle (z.B. Ermittlung von Pausen) darf dann nicht erfolgen, wenn dieser Zweck vorher nicht festgelegt und den Betroffenen bekanntgegeben worden ist.

Somit gilt: Wenn der Arbeitgeber bestimmte Grenzen einhält, darf er die Telefondaten seiner Mitarbeiter – vor allem zur Kostenkontrolle – auswerten. Alles, was darüber hinausgeht, sollte eindeutig vereinbart werden.

Viele Unternehmen möchten im Rahmen des Qualitätsmanagements die Telefonate eigener Mitarbeiter abhören bzw. aufzeichnen, um diese später zum Zwecke der Servicequalität auszuwerten. Ein solches Vorgehen ist datenschutzrechtlich problematisch, da es grundsätzlich an einer Ermächtigungsgrundlage für die Erhebung der Daten fehlt. Als Lösung für dieses Problem kommt die Einwilligung der Betroffenen in Betracht.

GPS

Der Arbeitgeber beispielsweise eines Logistikunternehmens hat selbstverständlich ein Interesse daran, zu wissen, wo sich sein LKW-Fahrer gerade befindet. Allerdings: nicht immer ist dies ohne weiteres möglich. Das Verbot mit Erlaubnisvorbehalt, ein Grundprinzip des Datenschutzrechts, gilt auch für GPS-Systeme. Vor der Einführung eines solchen Systems sind vom Arbeitgeber also ganz bestimmte Voraussetzungen zu beachten.

Sachlage

Für Arbeitgeber ist es interessant zu wissen, wo sich die jeweiligen Mitarbeiter, ob Außendienstler oder LKW-Fahrer, befinden. Auch bei Fuhrparks ist diese Information zur Optimierung der Einsatzplanung sinnvoll. Doch oftmals werden zum GPS-Einsatz keine Regelungen getroffen oder GPS-Aufenthaltsorte (z.B. bei Firmenwagen oder Firmenhandys) auch außerhalb der Arbeitszeit eingesehen. Und hier fangen die Probleme an.

Problem

Durch GPS ist es möglich, den Aufenthaltsort von Mitarbeitern in ihren Fahrzeugen permanent zu überwachen. Prinzipiell werden zwar nur die Fahrzeuge geortet. Aufgrund der Zuordnung einzelner Fahrzeuge zu den jeweiligen Mitarbeitern entsteht jedoch ein Personenbezug, so dass es sich bei Standortdaten von GPS-Geräten um personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG handelt.

Rechtslage

Dauerüberwachung durch GPS verboten

Eine Dauerüberwachung von Mitarbeitern ist aufgrund des permanenten Kontrolldrucks unzulässig.

Datenschutzgrundsatz: Verbot mit Erlaubnisvorbehalt

Nach dem datenschutzrechtlichen Grundsatzes des Verbots mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG): „Alles was nicht erlaubt ist, ist verboten“ ist der Einsatz von GPS-Systemen nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder eine wirksame Einwilligung des Betroffene gem. § 4a BDSG vorliegt. Aus dem BDSG kommt als Erlaubnisnorm § 32 BDSG in Betracht.

Zulässigkeitsvoraussetzungen von GPS-Systemen

Nach der aktuellen Rechtslage muss sich der Einsatz von GPS-Systemen somit am BDSG messen lassen. Demnach ist deren Einsatz zulässig, soweit

  • das BDSG dies erlaubt,
  • dies durch eine andere Rechtsvorschrift im Sinne des BDSG (z.B. Betriebsvereinbarung) erlaubt ist,
  • die wirksame Einwilligung des Arbeitnehmers vorliegt (wobei es fraglich ist, inwieweit in einem Abhängigkeitsverhältnis wie dem Arbeitsverhältnis von einer gemäß § 4a Abs. 1 BDSG erforderlichen Freiwilligkeit der Einwilligung ausgegangen werden kann)
  • oder der GPS-Einsatz zum Zwecke der Durchführung eines Beschäftigungsverhältnisses erforderlich ist

<b>Lösung</b>

Vor dem Einsatz von GPS-Systemen sollte zunächst der Einsatzzweck festgelegt und -sofern vorhanden- der Betriebsrat gemäß § 87 Abs. 1 Nr. 6 BetrVG frühzeitig beteiligt werden. Bei möglichen Auswertungen ist unter anderem zu beachten, dass solche Auswertungen, die ausschließlich der persönlichen Überwachung von Beschäftigten dienen können (z.B. Aufzeichnung von Geschwindigkeit oder Fahrtunterbrechungen), technisch zu unterbinden sind. Und dann gibt es im aktuellen Entwurf zum Beschäftigtendatenschutz auch eine Regelung zu Ortungssystemen (§ 32g BDSG-E), die möglicherweise Gesetz wird.

Mitarbeiterfotos

Der Mitarbeiter eines Betriebes tritt dort nicht als Privatperson, sondern als Arbeitnehmer auf, als Zugehöriger eines Unternehmens. Trotzdem kann mit von ihm angefertigten Mitarbeiterfotos nicht beliebig umgegangen werden. Der Datenschutz spielt hier insofern eine Rolle, als die zulässige Nutzung solcher Fotos durch den Arbeitgeber durch das Kunsturhebergesetz begrenzt wird. Eine Einwilligung des betroffenen Arbeitnehmers ist immer erforderlich.

Mitarbeiterfotos vs. Datenschutz

Was ist aber, wenn ein Mitarbeiter die Firma verlässt? Wie weit reicht die Einwilligung? Wann muss ich als Arbeitgeber die Fotos von meinen Ex-Mitarbeitern auf der Webseite löschen? Muss der Arbeitgeber die Fotos von Mitarbeitern auch dann löschen, wenn die Fotos nur zur dekorativen Zwecken dienen? Mit diesen Themen befasst sich der folgende Beitrag.

Ex-Mitarbeiterfotos vs. Datenschutz

Videoüberwachung

Die Videoüberwachung am Arbeitsplatz stellt wohl einen der erheblichsten Eingriffe in die Rechte des Arbeitnehmers dar. Denn wird er durch eine Kamera gefilmt, wird nicht nur jeder seiner Schritte überwacht, er kann sich auch kaum noch frei bewegen. Hinzu kommt der datenschutzrechtliche Aspekt: Die Regelungen des Bundesdatenschutzgesetzes geben klare Richtlinien für die Videoüberwachung in öffentlichen und nicht-öffentlichen Räumen vor.

Videoüberwachung vs. Datenschutz

Arbeitszeiterfassung

Die Arbeitszeiterfassung ist für den Arbeitgeber eine einfache Möglichkeit, zu überprüfen, ob der Arbeitnehmer seine vertraglich vereinbarten Anwesenheits- und Arbeitszeiten erfüllt. Allerdings muss im Rahmen des Datenschutzes beachtet werden, dass die Zweckbindung einer solchen Arbeitszeiterfassung stets zu gewährleisten ist. In einigen Fällen ist auch der Betriebsrat hinzuzuziehen.

Sachlage

Waren Stempeluhren früher aufgrund ihrer aus heutige Sicht eher einfältig anmutenden Fähigkeiten lediglich in der Lage die Arbeitszeiten zu erfassen, so eröffnen heutige Technologien ein Vielfaches an Möglichkeiten. Digitale Chips können heute dazu benutzt werden, den Zutritt zu Räumlichkeiten zu gewähren, eignen sich aber teilweise zugleich auch dazu Arbeitszeiten zu erfassen oder Arbeitnehmer innerhalb eines Betriebes zu lokalisieren.

Problem

Wie das Leben so spielt, wachsen mit neuen technischen Möglichkeiten natürlich auch neue Begehrlichkeiten und so dauert es nicht lange, bis Arbeitnehmer- und Arbeitgeberinteressen aneinandergeraten. Denn wie sagt schon das altbekannte Sprichwort

des einen Freud‘ ist des anderen Leid

Ein immer gern genutztes Schlachtenterrain zwischen Arbeitnehmer und Arbeitgeber ist in diesem Zusammenhang natürlich der Bereich des Datenschutzes.

Rechtslage

Die Arbeitszeiterfassung ist in Deutschland nur bedingt gesetzlich geregelt. § 16 II ArbZG verpflichtet den Arbeitgeber lediglich, die über die werktägliche Arbeitszeit hinausgehende Arbeitszeit (Überstunden) aufzuzeichnen. Diese Pflicht kann vom Arbeitgeber auf den Arbeitnehmer delegiert werden. Auch für den Arbeitnehmer ist außerhalb von Überstunden eine Aufzeichnung der geleisteten Arbeitszeiten durchaus sinnvoll, denn grundsätzlich ist der Arbeitnehmer im Streitfall für das Erbringen seiner Arbeitsleistung (Vertragserfüllung) beweisbelastet, so dass im Streitfall auf die Aufzeichnungen des Arbeitgebers zurückgegriffen werden kann.

Zeiterfassung nur eine von vielfältigen Verwendungsmöglichkeiten

Problematisch wird es, wenn im Zutrittssystem gespeicherten Daten nachträglich auch zur Zeiterfassung genutzt werden sollen. Denn eine elektronische Protokollierung der Zugangschips (Token) ist ohne weiteres möglich, so dass im Streitfall zumindest die theoretische Möglichkeit bestünde, auf die Daten der Zugangssysteme zurückzugreifen. Dies ist allerdings nur bedingt zulässig, denn aus Ziff. 8 der Anlage zu § 9 BDSG folgt eine sogenannte Zweckbindung. Damit ist gemeint, dass zu einem bestimmten Zweck erhobene Daten anschließend auch nur zu diesem (zuvor festgelegten) Zweck verwendet werden dürfen. D.h. konkret, erfolgten die Protokollierungen der elektronischen Schließsysteme lediglich dazu, den Zutritt der einzelnen Personen zu protokollieren, so können diese Daten später nicht ohne Weiteres dazu verwendet werden, geleistete Arbeitszeiten zu erfassen.

Keine Dauerüberwachung

Eine Dauerüberwachung des Arbeitnehmers ist nach der Rechtsprechung des Bundesarbeitsgerichts unzulässig (Bundesarbeitsgericht, Beschluss vom 26.8.2008, 1 ABR 16/07). Unzulässig ist es daher auch den Aufenthaltsort der einzelnen Mitarbeiter ständig zu überwachen (z.B. mittels RFID)

Der Betriebsrat darf bei Verhaltens- oder Leistungsüberwachungen mitbestimmen

Wie nicht anders zu erwarten, so darf auch der Betriebsrat ein Wörtchen mitreden. Da sich elektronische Zeiterfassungssysteme immer auch dazu eignen, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, steht dem Betriebsrat regelmäßig ein Mitbestimmungsrecht gemäß § 87 I Nr. 6 BetrVG zu.

Lösung

Der beste Weg eine gemeinsame Regelung zum Umgang mit den anfallenden Daten zu finden ist eine ausgewogene Betriebsvereinbarung. Machen Sie sich hierzu bewusst und fixieren Sie schriftlich:

  1. Welche Fähigkeiten besitzt die von Ihnen verwendete Technologie überhaupt?
  2. Welche dieser vorhandenen Fähigkeiten wird zu welchem Zweck benötigt und  verwendet?
  3. Was soll geschehen, wenn Daten außerhalb des vereinbarten Zwecks erhoben oder verarbeitet werden (z.B. Unterlassungsanspruch oder Beweisverwertungsverbot)?
  4. Wie lang sind die Aufbewahrungsfristen und wie kann ein automatischer Löschungsprozess nach Ablauf selbiger implementiert werden?

Haben Sie keinen Betriebsrat, so sind Erfassungen von Arbeitszeiten selbstverständlich zulässig. Achten Sie jedoch auf die oben dargestellten Grenzen im Hinblick auf arbeitgeberseitige Überwachungsmaßnahmen

Arbeitszeiterfassung vs. Datenschutz

Regelung zur Zeiterfassung in der Betriebsvereinbarung

Social Network

Facebook, Google+, Twitter – Social Networks sind aus dem heutigen Internet-Alltag nicht mehr wegzudenken. Und die meisten Personen zeigen sich hier sehr öffentlich – an den Datenschutz denken weder die Plattformbetreiber noch die User. Gerade am Arbeitsplatz sollten solche Seiten nicht besucht werden. Und auch der Arbeitgeber ist in der Informationsbeschaffung aus Social Networks begrenzt. Für eine Überwachung des Arbeitnehmers braucht der Arbeitgeber immer eine Rechtfertigung. Denn der Datenschutz muss auch hier gewahrt werden.

Social Network vs. Datenschutz

 

Online-Schulung

Immer mehr Arbeitgeber setzen Online-Schulungstools zur Weiterbildung ihrer Mitarbeiter ein. Neben großer Flexibilität bieten die neuen Tools aber auch vielfältige Möglichkeiten für den Arbeitgeber seine Mitarbeiter zu kontrollieren. Damit das Schulungstool nicht zum Mittel der Arbeitnehmerüberwachung wird, sind einige datenschutzrechtliche Vorgaben zu beachten.

Überwachung am Arbeitsplatz: Online-Schulung vs. Datenschutz

Wie sieht die Zukunft des Beschäftigtendatenschutzes aus?

Bereits 2010 wurde ein Entwurf der Bundesregierung zum Arbeitnehmerdatenschutzgesetz vorgestellt. Dieser sah zahlreiche gesetzliche Neuerungen vor, die als neugefasste §§ 32 ff. in das Bundesdatenschutzgesetz einfließen sollten. Aber auch hier wären letztlich einige Fragen des Datenschutzes am Ende offen geblieben

Seit dem 29.01.2013 sind die Diskussionen um ein Arbeitnehmerdatenschutzgesetz zum erliegen gekommen. Auf der Seite arbeitnehmerdatenschutz.de können Sie die bisherigen Gesetzesentwürfe der Bundesregierung, welche mit kurzen Kommentaren und passenden Urteilen verknüpft worden sind, noch einmal nachschlagen.

Die Reform des Arbeitnehmerdatenschutzes wurde auch mit der Datenschutz-Grundverordnung nicht vorangetrieben. Zwar steht dem deutschen Gesetzgeber durch eine Öffnungsklausel das Recht zu den Bereich des Beschäftigtendatenschutzes zu regeln. Von diesem wurde aber nur insofern Gebrauch gemacht, als dass das alte Recht leicht ergänzt wurde. Mehr dazu: Beschäftigtendatenschutz und das neue BDSG – Das ändert sich. Daher werden immer wieder Stimmen laut, dass die große Koalition den Arbeitnehmerdatenschutz in einem eigenständigen Gesetz neu regeln sollte.

Fuhrpark, Fahrer, Ordnungswidrigkeit, Straftat

Generell stehen Unternehmen mit einem eigenen Fuhrpark immer wieder vor Herausforderungen.

Hinweis:
Wir fürfen keine Rechtsberatung durchführen und dies gilt nur als freibleibende, von Haftungen jeglicher Art ausgeschlossenen, Information.

Quelle: https://www.flotte.de/magazine/flottenmanagement-magazin/2013/4/7/recht/3558/verkehrsordnungswidrigkeiten-im-fuhrpark.html#

Bußgeld: Ablauf des Ordnungswidrigkeitsverfahrens
Dies gibt Anlass, sich im Fuhrpark zumindest über die Grundzüge des Ordnungswidrigkeitsverfahrens zu informieren.
Ordnungswidrigkeiten im Straßenverkehr werden mittels Bußgeldbescheid geahndet; dies sieht das Ordnungswidrigkeitengesetz (OWiG) in § 65 vor. Welche konkrete Geldbuße zu zahlen ist, ergibt sich aber aus dem jeweils gültigen Bußgeldkatalog (BKatV). Hinzu kommen noch weitere Verwaltungsgebühren für den Bußgeldbescheid (ca. 20,- Euro) und weitere Auslagen der Bußgeldstelle beispielsweise für Postgebühren und Zustellungen im Inland.

Bevor ein Bußgeldbescheid erlassen wird, erhält der betroffene Halter im Rahmen einer sogenannten Anhörung die Gelegenheit zur Stellungnahme. Zu diesem Zwecke wird üblicherweise von der Bußgeldstelle ein Anhörungsbogen verschickt. Aus dem Anhörungsbogen ergeben sich die Umstände der Ordnungswidrigkeit; regelmäßig also beispielsweise der Geschwindigkeitsverstoß mit Tag, Datum und Uhrzeit seiner Begehung sowie das amtliche Kennzeichen des Fahrzeugs, mit welchem die Verkehrsordnungswidrigkeit begangen wurde. Bei Geschwindigkeitsverstößen ist häufig auch noch ein Fahrerfoto beigefügt.

Im Rahmen der Anhörung sind zwischen den Angaben zur Person sowie den Angaben zur Sache zu unterscheiden. Die von der Behörde im Rahmen der Anhörung abgefragten Personendaten sind Pflichtangaben; dem Betroffenen ist es also nicht freigestellt, ob er diese Angaben macht oder nicht. Demgegenüber ist es dem Betroffenen freigestellt, sich zu dem ihm zur Last gelegten Tatvorwurfs zu äußern, denn auch im Bußgeldverfahren kann niemand gezwungen werden, sich selbst zu belasten.
Der Betroffene kann aber von seinem Schweigerecht Gebrauch machen, ohne dass die Bußgeldstelle hieraus nachteilige Schlüsse ziehen darf.
Ein Recht zum Schweigen besteht beispielsweise dann, wenn sich der Betroffene selbst oder einen nahen Angehörigen durch seine Äußerungen zur Sache als verantwortlichen Fahrer belasten würde. Wenn überhaupt, sollten hier allenfalls nur solche Ausführungen angebracht werden, die eine abweichende, beispielsweise entlastende Bewertung des zur Last gelegten Vorfalls rechtfertigen könnten.
Dies ohne Einsicht in die Bußgeldakte zu beurteilen ist schwierig, hier sollte ein Fachanwalt für Verkehrsrecht hinzugezogen werden. Denn Akteneinsicht wird insoweit dem Betroffenen nicht selbst, sondern regelmäßig nur über einen Anwalt gewährt.

Wird der Anhörungsbogen innerhalb der behördlich gesetzten Frist zurückgesandt – oder auch nicht – und geben die Angaben im Anhörungsbogen keinen Anlass, von einer Ahndung der Verkehrsordnungswidrigkeit abzusehen, wird die Bußgeldstelle einen Bußgeldbescheid erlassen. Dieser wird üblicherweise förmlich durch Postzustellungsurkunde an den Betroffenen zugestellt. Grundsätzlich besteht die Möglichkeit, gegen einen Bußgeldbescheid Einspruch einzulegen. Dies muss innerhalb einer Frist von 14 Tagen geschehen. Wird der Einspruch begründet, so besteht die Möglichkeit, dass die Bußgeldbehörde ihre Entscheidung noch einmal überprüft. In jedem Falle ist mit einem fristgemäßen Einspruch bei der Bußgeldbehörde aber auch sichergestellt, dass gegebenenfalls der Vorwurf der Verkehrsordnungswidrigkeit gerichtlich überprüft werden kann. Wird die Frist zur Einlegung des Einspruchs nicht eingehalten, wird der Bußgeldbescheid bestandskräftig und die darin festgesetzte Geldbuße wird fällig.

Die Lösung für den Unternehmensfuhrpark sollte gernell lauten: Handlungsabläufe strukturieren.

Der Fuhrparkleiter sollte immer in der Lage sein, den Fahrer zu identifizieren.
Bei einer eindeutigen Zuordnung von PKW zu Fahrer(in) – bei z.B. der 1% Regel, sollte im Arbeitsvertrag zum Fahrzeug eine entsprechende Ergänzung beigefügt werden, die uns gestattet bei Ordnungswidrigkeiten, Straften mit dem PKW-Kennzeichen, den Fahrzeugführer zu nennen.

Bekommen wir von der Polizeit ein schreiben zu einer Straftet mit einem unserer Firmen PKW’s/LKW’s dann sollten wir in der Lage sein die Inforamtionen zum PKW-/LKW-Führer umgehend weiterleiten zu können. di

Im Fall einer Straftat, wiegt diese generell höher als die Datenschutzgrundverordnung.

Schwieriger ist es im Falle einer Ordnungswidrigkeit, die Gefahr einer Fahrtenbuchauflage für alle Fahrzeuge im Unternehmen kann bei Nichtantwort für die Firma dabei herausspringen, wenn nicht auf eine Ordnungswidrigkeit und Fahrerauskunft reagiert wird.
Unserer Meinung steht dies in keinem Verhältnis und sie sollten stehts in der Lage sein, einfach den Fahrer zu bennen und den Namen auch der Behörde mitzuteilen.
Dafür sollten aber entsprechende Vorbereitungen getroffen werden.

Der zuständige Fuhrparkmanager eigentlich
* Nach der Postfachmethode ist der erste Schritt der Zuordnung des Anhörungsbogens zum einzelnen Fahrer bereits vollzogen worden. Damit ist der wichtigste Schritt eigentlich bereits getan. Denn im Anhörungsbogen ist üblicherweise das amtliche Kennzeichen des Fahrzeugs genannt, mit dem der Verkehrsverstoß begangen worden sein soll. Dem Fuhrparkmanager sollte es schon aufgrund der Aktenlage oder den in der EDV gespeicherten Informationen ohne weiteres möglich sein, bereits aufgrund des Kennzeichens eine ganz eindeutige Zuordnung des betreffenden Fahrzeugs zu einem einzelnen Fahrer oder – wie bei Poolfahrzeugen – zu einem Kreis von berechtigten Fahrern vornehmen zu können. In einem gut organisierten Fuhrpark findet sich außerdem auch bei Poolfahrzeugen eine Aufstellung (beispielsweise ein Fahrtenbuch) darüber, wer das Fahrzeug zu welchem Zeitpunkt benutzt hat. Insoweit sollte die Zuordnung des Fahrzeugs zu einem einzelnen Fahrer grundsätzlich auch dann keine Schwierigkeiten bereiten, wenn gerade kein Blitzerfoto das Konterfei des betroffenen Fahrers abbildet.
Anstelle den Anhörungsbogen an den betroffenen Fahrer weiterzuleiten, sollte der Fuhrparkverantwortliche die Angaben zur Person des von ihm identifizierten Fahrers oder des in Frage kommenden Nutzerkreises machen und den Anhörungsbogen fristgerecht – also innerhalb der auf dem Anhörungsbogen aufgedruckten Frist – in einer möglichst nachweislich dokumentierten Form an die Verkehrsbehörde zurücksenden. Insoweit muss nicht notwendigerweise ein teurer Einschreibebrief bemüht werden. Vielmehr bietet es sich an, den ausgefüllten Anhörungsbogen zumindest vorab per Telefax an die Behörde zurückzusenden, weil der Sendenachweis des Faxbelegs für den Nachweis der eigenen Mitwirkung dienlich sein kann. In diesen Fällen ist es allerdings zweckmäßig, eine Fotokopie des ausgefüllten Anhörungsbogens zu den Fuhrparkunterlagen zu nehmen. Wer Kopierkosten und Porto sparen möchte, kann den ausgefüllten Anhörungsbogen nur per Telefax übersenden.
Damit ist aber das Fuhrparkmanagement noch nicht ganz aus dem Schneider. Um spätere Weiterungen zu vermeiden, sind dennoch weitere „Vorsorgeregelungen“ angebracht. Denn auch in den Fällen, in denen die Behörde nach Rücklauf des Anhörungsbogens durch das Unternehmen dem nunmehr identifizierten Fahrer einen eigenen Anhörungsbogen zusendet, dieser aber darauf nicht reagiert, könnte es im schlimmsten Falle doch noch zu einer Fahrtenbuchauflage für Unternehmensfahrzeuge oder den Unternehmensfuhrpark kommen. Denn Halter ist meist nach wie vor das Unternehmen! Denkbar ist dies beispielsweise in den Fällen, in denen neben dem individuellen Mitarbeiter als primären Dienstwagennutzer auch noch dessen Ehefrau und weitere Familienangehörige im Haushalt, die im Besitz einer gültigen Fahrerlaubnis sind, den zur Privatnutzung überlassenen Dienstwagen in zulässiger Weise nutzen dürfen. In vielen Fällen fehlt es im Fuhrparkmanagement aber an der konkreten Information, welche Personen überhaupt zum Haushalt des Mitarbeiters gehören und den Dienstwagen im Rahmen der Privatnutzung berechtigterweise steuern dürfen.
Eine denkbare präventive Vorkehrung wäre beispielsweise die Überlegung, dass sich der Fuhrparkleiter bereits im Rahmen der Dienstwagenüberlassung die Namen der für eine private Nutzung des Dienstwagens infrage kommenden weiteren Haushaltsangehörigen nennen lässt, damit er entsprechende Angaben im Rahmen von Anhörungsbögen an die Ordnungsbehörde weiterleiten kann. Eine entsprechende individualarbeitsvertragliche Vereinbarung sollte auch unter datenschutzrechtlichen Gesichtspunkten nicht zu beanstanden sein. Wichtig wäre insoweit nicht zu vergessen, dass der Mitarbeiter verpflichtet werden sollte, entsprechende Veränderungen (beispielsweise bei Scheidung oder dem Erwerb der Fahrerlaubnis durch Kinder) an die Personalabteilung oder das Fuhrparkmanagement mitzuteilen.
Ferner könnte auch in Dienstwagenüberlassungsverträgen eine entsprechende arbeitsvertragliche Verpflichtung des jeweiligen Dienstwagennutzers aufgenommen werden, dass dieser bei Vorwurf entsprechender Verkehrsordnungswidrigkeiten mit einem von ihm genutzten Dienstwagen einen Anhörungsbogen zumindest zur Person auszufüllen und rechtzeitig an die zuständige Verkehrsbehörde zurückzusenden hat. Kommt der Dienstwagennutzer dieser arbeitsvertraglichen Verpflichtung nicht nach, könnte er hierfür „wenigstens“ (von der Personalabteilung des Dienstherrn, nicht vom Fuhrparkmanagement) mit den entsprechenden arbeitsrechtlichen Konsequenzen abgemahnt werden.

Datenschutz Abmahnungen – Panikmache und/oder unnötig?

Erste Abmahnungen sind bereits im Umlauf – leider …

Quelle:
https://www.heise.de/newsticker/meldung/DSGVO-Die-Abmahn-Maschinerie-ist-angelaufen-4061044.html
https://www.ratgeberrecht.eu/abmahnung/abmahnung-mahnaz-nikakhlagh-wegen-dsgvo.html

 

<b>Fanpages auf Facebook – schwierig – Status:</b>

https://www.backstagepro.de/thema/das-aus-fuer-eure-facebook-bandpage-seitenbetreiber-laut-eugh-urteil-mitverantwortlich-fuer-datenschutz-2018-06-06-Jdf0S0m1bb

 

Datenschutz ist wichtig.
Mitr personenbezogenen daten sollte man entsprechent achtsam umgehen.
Aber mit Abmahnungen zu agieren halte ich für das falsche vorgehen.
Hier wird das Gesetzt misbraucht um konkurenten zu schaden oder mit dem neuen Recht Geld zu verdienen.

Die neue DSGVO hat durchaus einen Sinn und Zweck, nämlich unsere „privaten“ personenbezogenen Daten zu schützen.

Hier mit Abmahnungen zud drohen und diese auszusprechen finde ich unangemessen. Jemand darauf hinzusweisen dies und das zu ändern finde ich wäre angemessen.

Nun ja sind Abmahnungn nun Panikmache oder nicht. Erste Abmahnungen wurden ausgesprochen und wir behalten das Thema interessiert im Auge.

Wir dürfen keine Rechtsberatung durchführen, aber eine Bermerkung an dieser Stelle ist vieleicht angebracht.

Eine Homepage abzusichern ist nicht so schwierig. Eine entsprechende Datenschutzerklärung zu hinterlegen (idealerweise direkt neben bzw. unter dem Impressum – mit einem Klick von der Startseite aus erreichbar). Die Webseite generell auf SSL umstellen kann nicht schaden und auf Cookies hinweisen.

Wenden Sie sich einfach an den Datenschutzbeauftragten ihres Vertauens. Auch ein IT-Fachanwalt, kann sicher zum Thema Datenschutz fragen beantworten.

Das Verfahrensverzeichnis der Tätigkeiten (VVT)

Was ist ein Verfahrensverzeichnis der Tätigkeiten (kurz VVT)?

Ein solches Verzeichnis dokumentiert die Verfahren der Datenverarbeitung. Es gibt ein internes und ein öffentliches. Letzteres muss nach § 4g Abs. 2 BDSG jedem, der es beantragt, durch den Datenschutzbeauftragten verfügbar gemacht werden.

Kopplungsverbot und Inkassounternehmen

Kopplungsverbot
Anbieter dürfen Sie nicht zu einer Einwilligung in die Verarbeitung von Daten zwingen, wenn diese nicht für die Erfüllung des Vertrages erforderlich ist. Sie sollen eine echte Wahl haben und keinem Druck oder Zwang unterworfen sein, der Datenverarbeitung zuzustimmen. Wie dieses Kopplungsverbot in der Praxis genau gehandhabt wird, muss sich allerdings erst noch zeigen. Muss etwa ein Verbraucher in einem Online-Shop seine Einwilligung in die Verwendung seiner Daten zu Werbezwecken erteilen, um den Kauf abzuschließen, so dürfte die Einwilligung nicht freiwillig und somit unwirksam sein.

Videoüberwachung – Gesetze zum Thema

Generell ist eine Überwachung von öffentlichen Flächen unter anderen Anforderungen zu betrachten, aber bezieht sich die Überwachung und Bildaufnahmen ausschliesslich auf das eigene Werksgelände fasse ich die Information mal wie folgt zusammen:

Die Videoüberwachung ist frühstmöglich erkennbar zu machen das typische Symbolschild genügt also, und der Hinweis und die Möglichkeit nachzulesen, das Videoaufzeichnungen zum folgenden Zweck angelegt werden, aber nicht archiviert werden. Natürlich dürfen Bilder immer nur für den bestimmten Zweck gespeichert werden. Aber ein Sinhafter Zweck ist mal vorausgesetzt und keine unangemessene Speicherdauer.

Ansonsten habe ich in diesen Artikel die Gesetzesgrundlage zum Thema DSGVO und Videoüberwachung zusammen gefasst.

Videoüberwachung

Gem. § 4 Abs. 2 BDSG 2018 sind nunmehr der Umstand der Beobachtung und der Name und die Kontaktdaten des Verantwortlichen durch geeignete Maßnahmen zum frühestmöglichen Zeitpunkt erkennbar zu machen. Es bleibt also beim heute schon typischen Symbolschild. Weitere Transparenzinformationen erhält die betroffene Person nicht, sie ist stattdessen auf den Auskunftsanspruch nach Art. 15 DS-GVO angewiesen.

Art. 15 DSGVO Auskunftsrecht der betroffenen Person
1. Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:
1. die Verarbeitungszwecke;
2. die Kategorien personenbezogener Daten, die verarbeitet werden;
3. die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
5. das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
2. Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.
3. 1Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. 2Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. 3Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.
4. Das Recht auf Erhalt einer Kopie gemäß Absatz 3 darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.
Passende Erwägungsgründe
(63) Auskunftsrecht (64) Identitätsprüfung
Passende Paragraphen des BDSG (neu)
§ 27 BDSG (neu) Datenverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken § 28 BDSG (neu) Datenverarbeitung zu im öffentlichen Interesse liegenden Archivzwecken § 29 BDSG (neu) Rechte der betroffenen Person und aufsichtsbehördliche Befugnisse im Fall von Geheimhaltungspflichten § 30 BDSG (neu) Verbraucherkredite § 34 BDSG (neu) Auskunftsrecht der betroffenen Person

Praxishinweise für Auftragsverarbeiter nach Art. 28 DS-GVO (GDD)

GDD-Praxishilfe DS-GVO XII
Praxishinweise für Auftragsverarbeiter nach Art. 28 DS-GVO
Datum: 29.05.2018
Quelle: https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

Hinweis: Diesesn Text habe ich nur der Webseite der GDD übernommen – er gibt einen guten Überblick über das Thema Auftragsverarbeiter – und hier sind Praxishinweise momenten dringend notwendig.

Quelle: Gesellschaft für Datenschutz und Datensicherheit e.V.

Die Auftragsverarbeitung wird zukünftig über Art. 28 DS‐GVO geregelt. Während die Norm teilweise bekannte Vorgaben an die Dienstleisterauswahl und die vertragliche Gestaltung stellt, enthält die DS‐GVO an verschiedenen Stellen eigene Rechtspflichten für Auftragsverarbeiter. Diese Praxishinweise der GDD möchten Hilfestellungen für Auftragsverarbeiter geben, wie die gesetzlichen Vorgaben umgesetzt werden können.
Diese Praxishilfe besteht in Ergänzung zur GGD Praxishilfe DS‐GVO IV – Mustervertrag zur Auftragsverarbeitung.

A. Einleitung

Art. 28 DS‐GVO stellt die zentrale Norm für die Auftragsverarbeitung dar.1 Beteiligte einer Auftragsverarbeitung sind der Verantwortliche und der Auftragsverarbeiter.
„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (Art. 4 Abs. 7 DS‐GVO). „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene
Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Abs. 8 DS‐GVO). Gem. Art. 4 Abs. 10 DS‐GVO ist die Auftragsverarbeitung weiterhin dergestalt privilegiert, dass der Auftragsverarbeiter kein Dritter ist. Eine Beschränkung der Privilegierung auf den EWR‐Raum erfolgt nicht.
Auftragsverarbeiter im Drittland sind damit ebenfalls keine „Dritten“ für den Verantwortlichen.

B. Wann bin ich Auftragsverarbeiter?

Auftragsverarbeiter verarbeiten personenbezogene Daten im Auftrag des Verantwortlichen und auf Basis seiner Weisungen. Da die Leistungen eines Dienstleisters sehr vielschichtig sind, muss im Rahmen einer Einzelfallprüfung untersucht werden, ob eine Verarbeitung personenbezogener
Daten im Auftrag vorliegt.
Es bestehen jedoch Kriterien2, die bei der Prüfung zur Einordnung als Verantwortlicher oder Auftragsverarbeiter Unterstützung leisten können. So kann eine Stelle, die über die Zwecke der Verarbeitung personenbezogener
1 Im BDSGneu finden sich keine Regelungen und Vorgaben zur Ausgestaltung einer Auftragsverarbeitung i.S.d. DS‐GVO
Daten entscheidet, kein Auftragsverarbeiter sein. Bei der Beurteilung dieses Kriteriums ist zu untersuchen, • welchen Umfang der Handlungsspielraum des Dienstleisters bei der Auftragsvearbeitung hat,
• wie der Dienstleister durch den Auftraggeber überwacht wird
• die Expertise des Dienstleistes bei der Auftragsvearbeitung
• die Transparenz des Dienstleisters gegenüber dem Betroffenen.
Gleiches gilt für eine Stelle, die über die wesentlichen Mittel einer Verarbeitung entscheidet. Eine Entscheidung über „wesentliche Mittel“ einer Datenverarbeitung liegt in der Regel bei einem der folgenden Punkte vor:
• Welche Daten verarbeitet werden
• Wie lange sie verarbeitet werden
• Wer Zugang zu ihnen hat
Die alleinige Entscheidung des Auftragsverarbeiters über technisch‐organisatorische Mittel ist kein Ausschlussgrund für eine Auftragsverarbeitung.
Wird der Dienstleister mit der IT‐Wartung oder Fernwartung betraut und besteht hierbei die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten des Auftraggebers, soll es sich nach Meinung der hiesigen Aufsichtsbehörden um eine Form der Auftragsverarbeitung
handeln und die Anforderungen des Art. 28 DS‐GVO sollen für die geschuldete Tätigkeit gelten.3 Bei einer rein technischen Wartung ohne Zugriff auf personenbezogene Daten des Auftraggebers gelten die Vorgaben des Art. 28 DS‐GVO entsprechend nicht. Ein möglicher Ablauf zur Einordnung des Dienstleisters als Verantwortlicher der Auftragsverarbeiter ist dem nachfolgenden Schaubild zu entnehmen:

Abbildung 1: Einordnung Dienstleister

Beispiele für Auftragsverarbeitungen sind:
• Cloud‐Computing
• Newsletterversand
• Datenerfassung, Datenkonvertierung
• Auslagerung der Lohn‐ und Gehaltsabrechnung
• Backup‐Auslagerung und Archivierung

Keine Auftragsverarbeitung stellen in der Regel dar:
3 DSK Kurzpapier Nr. 13, S. 3.
• Tätigkeiten und damit verbundene Verarbeitungen personenbezogener Daten von Berufsgeheimnisträgern (Rechtsanwälte, Steuerberater,
• Wirtschaftsprüfer)
• Die Übertragung des Forderungsmanagements
• an ein Inkassounternehmen
• Postdienstleistungen in Form des Brieftransports

2 Weiterführende Hinweise der Artikel‐29‐Datenschutzgruppe in Stellungnahme 1/2010 zu den Begriffen
„für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“ vom 16.02.2010 (WP169).
C. Verantwortlichkeiten in der DS-GVO

Durch die gesetzliche Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter bleibt es bei dem Grundsatz, dass der Verantwortliche grundsätzlich die Stelle ist, die über Zwecke und wesentlichen Mittel einer Datenverarbeitung entscheidet und für die Rechtmäßigkeit der
Verarbeitung insgesamt verantwortlich ist (vgl. Art. 24 DS‐GVO). Mit Anwendung der DS‐GVO werden jedoch auch dem Auftragsverarbeiter Rechtspflichten auferlegt, die er als Normadressat zu erfüllen hat. Dies ist eine fundamentale Veränderung zur alten Rechtslage, in der die gesetzlichen Vorgaben grundsätzlich nur gegenüber dem Verantwortlichen durchgesetzt werden konnten.

D. Pflichten für Auftragsverarbeiter

Auftragverarbeitern werden in zahlreichen Normen eigene Rechtspflichten auferlegt:

Abbildung 2: Rechtspflichten für Auftragsverarbeiter

Neben eigenen Pflichten beinhaltet die DS‐GVO Vorgaben für den Auftragsverarbeiter, um den Verantwortlichen bei der Einhaltung der gesetzlichen Vorgaben zu unterstützen. Diese Unterstützungspflichten sind entweder unmittelbar (vgl. Schaubild 2) oder mittelbar aus anderen gesetzlichen Normen der DS‐GVO zu entnehmen. Im Rahmen der Auswahl eines Auftragsverarbeiters haben Verantwortliche gemäß Art. 28 Abs. 1 DS‐GVO darauf zu achten, dass dieser hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung
erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Vorgabe ist durch die Implementierung technischorganisatorischer Maßnahmen beim Auftragsverarbeiter zu konkretisieren. Die zu implementierenden Maßnahmen lassen sich modular aufbauen und können im Sinne einer Checkliste abgearbeitet werden4:

4 Vgl. hierzu ausführlich Datenschutzstandard „DS‐BvD‐GDD‐02“ für Auftragsverarbeiter gem. Art. 28 DS‐GVO (Veröffentlichung voraussichtlich 2. Quartal 2018).

Diese für eine sorgfältige Dienstleisterauswahl elementare

I. Leistungsbeschreibung

Die Leistungsbeschreibung (Auftrag) dient der Definition des zu betrachtenden Gegenstandes der Auftragsverarbeitung im Sinne des Art. 28 DS‐GVO, der Definition anderer Dienstleistungen des Auftragsverarbeiters und der Abgrenzung zur eigen‐genutzten internen (IT‐)Infrastruktur. Die Leistungsbeschreibung ist die verbindliche Grundlage für die Gestaltung der Vertragsbeziehung zwischen Verantwortlichem und Auftragsverarbeiter und sorgt für die erforderliche Transparenz der Datenverarbeitung. Es bietet sich an, die Beschreibung an der jeweiligen Phase einer Beauftragung durch einen Auftraggeber zu orientieren. So werden in der Auswahlphase vereinfachte Darstellungen im Hinblick auf den Gegenstand und den Umfang, die Art und den Zweck der Datenverarbeitung sowie angemessener Datenschutz‐ und IT‐Sicherheitsmaßnahmen ausreichend sein. In der Vertragsphase bieten sich Musterklauseln an, die auch auf konkrete IT‐Sicherheitsmaßnahmen Bezug nehmen.

II. Beschreibung der Herstellung

Die „Herstellung“ der Dienstleistung, sprich deren operative Durchführung, muss detailliert beschrieben sein. Die Dokumentation muss hinreichend vollständig, einheitlich und in sich schlüssig für Prozesse einer Dienstleistung vorgelegt werden können. Als Inhalte bieten sich an
• Flussdiagramme und Schnittstellen
• Eingesetzte Systeme, Hard‐ und Software
• Verantwortlichkeiten für den Datenumgang
• Eingesetzte weitere Auftragsverarbeiter
• Qualitätssicherungsprozesse
• Maßnahmen hinsichtlich Privacy by Design and by Default

III. Input‐Management

Datenweitergaben vom Verantwortlichen zum Auftragsverarbeiter in großem Umfang oder/und in hoher Regelmäßigkeit als Teil der Leistungserbringung sind umfassend zu dokumentieren. Eine Beschreibung der Schutzmaßnahmen und Abläufe der technischen Datenweitergabe
vom Verantwortlichen zum Auftragsverarbeiter hat zu erfolgen, inkl. der Kontrolle und Annahmedokumentation. Bei Verwendung externer Datenquellen außerhalb der Sphäre des Verantwortlichen ist die Rechtsgrundlage für die Datenverarbeitung zu dokumentieren.

IV. Auftragsmanagement

Ein Nachweis über funktionierende Schnittstellen zwischen den an der Leistungserbringung beteiligten Stellen und die vollständige Kontrolle über den jeweiligen Status eines Auftrags stehen beim Auftragsmanagement im Vordergrund. Der Auftragsverarbeiter hat den Nachweis zu erbringen,
dass ein revisionssicheres Auftragsmanagement implementiert ist. Verbindlichkeit, Handlungssicherheit und aktueller Status für jeden Auftrag müssen bei allen Beteiligten jederzeit sichergestellt sein. Zu den Beschreibungen zählen
• Abläufe der Auftragsbearbeitung, einschließlich der Tätigkeiten von weiteren Auftragsverarbeitern und Dienstleistern
• Beschreibung von Rollen und Schnittstellen
• Änderungsprotokollierung für die Auftragsverarbeitung

V. Output‐Management

Werden Datenweitergaben vom Auftragsverarbeiter zum Verantwortlichen als Teil der Leistungserbringung definiert, kann durch ein Output‐Management die Datenschutzkonformität
der entsprechenden Prozesse geprüft werden. Eine Weitergabe von Daten vom Auftragsverarbeiter
zum Verantwortlichen oder die Weitergabe an eine dritte Stelle muss sicher hinsichtlich Vertraulichkeit und Integrität sein und darf ausschließlich von hierfür autorisierten Personen durchgeführt werden. Hierzu müssen
 Abläufe der Datenübertragung beschrieben werden,
 ein Berechtigungskonzept erstellt werden,
 die Datenweitergabe protokolliert werden,
 IT‐Anwendungen auf die Möglichkeit eines Datenexports überprüft werden.

VI. Datenschutzkonzept

Ein Datenschutzkonzept stellt die Erfüllung der gesetzlichen Vorgaben sicher. Elementare Bestandteile des Datenschutzkonzepts eines Auftragsverarbeiters sind:

1. Eingabekontrolle

Veränderungen an Daten des Auftraggebers müssen angemessen protokolliert werden. Die Protokolle werden regelmäßig stichprobenartig kontrolliert, ob Veränderungen an Daten der Auftraggeber von berechtigten Personen durchgeführt worden sind.

2. Trennung von Daten verschiedener Verantwortlicher

Die Gewährleistung der Trennung von Daten ermöglicht, dass verschiedene Verantwortliche datenschutzkonforme Datenverarbeitungen von demselben Auftragsverarbeiter durchführen (lassen) können. Die Trennung kann auch ganz oder teilweise auf logischer Ebene stattfinden. Ein Berechtigungskonzept sorgt dafür, dass Daten von verschiedenen Auftraggebern getrennt verarbeitet werden können.

3. Auftragskontrolle

Die Auftragskontrolle gewährleistet, dass personenbezogene Daten nur weisungsgebunden verarbeitet werden (vgl. Art. 29 DS‐GVO). Der diesbezügliche Prozess muss bis zur untersten Ebene der Leistungserbringung Gültigkeit besitzen. Elementare Bestandteile der Auftragskontrolle sind
• Regelung der Form der Weisung (schriftlich oder in Textform)
• Dokumentation und Archivierung von Weisungen  Weisungsbefugte Personen und befugte Empfänger sind definiert
• Weisungen werden auf Datenschutzkonformität geprüft (Change Management)

4. Prozessbeschreibung Auskunft, Berichtigung, Datenübertragbarkeit und Löschung

Die Rolle des Auftragsverarbeiters hinsichtlich der Wahrung von Betroffenenrechten kann, je nach Auftrag, variieren. Der Prozess beim Auftragsverarbeiter hat in jedem Fall Unterstützungshandlungen des für die Verarbeitung Verantwortlichen vorzusehen. Hierzu bedarf es eines Datenschutzprozesses beim Auftragsverarbeiter, der an den Prozess des Verantwortlichen zur Erfüllung der Betroffenenrechte angebunden werden kann. Der Prozess
sollte u.a. vorsehen, dass
• Rollen, Tätigkeiten und Verantwortlichkeiten im Hinblick auf den Auskunftsprozess auf Seiten des Auftragsverarbeiters und die Schnittstelle zum Verantwortlichen umfassend beschrieben sind,
• auftragsbezogene Begehren von Betroffenen geordnet entgegenzunehmen und unverzüglich an
• den zuständigen Verantwortlichen weiterzuleiten sind, es sei denn der Auftragsverarbeiter hat
• sich vertraglich zur Beauskunftung für den Verantwortlichen verpflichtet,
• alle berechtigten Begehren zeitnah und vollständig erfüllt werden können (technische Umsetzung). Dabei sind Rechte Dritter zu wahren, so dürfen z.B. im Rahmen eines Auskunftsbegehrens keine Daten anderer Personen, Mitarbeiter oder Verantwortlicher mitbeauskunftet werden,
• eine Qualitätskontrolle etabliert ist,
• im Falle von veröffentlichten personenbezogenen Daten weitere Verantwortliche über ein Löschbegehren eines Betroffenen informiert werden.

5. Prozessbeschreibung Datenschutzverletzung

Eine Datenschutzverletzung bedeutet einen Sicherheitsvorfall, der zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, einer Änderung, unbefugten Offenlegung oder einem unbefugten Zugriff auf die übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt. Auch hier hat der Auftragsverarbeiter den Auftraggeber bei Daten, die aus dessen Auftrag resultieren, zu unterstützen. Dies beinhaltet
• eine Beschreibung, wie der Datenschutzprozess des Auftragsverarbeiters an den entsprechenden Prozess des Verantwortlichen angebunden werden kann,
• die Existenz eines Prozesses, um Verstöße gegen die Weisungen des Verantwortlichen oder gegen die Vorschriften zum Schutz personenbezogener Daten zu erkennen und unverzüglich den Verantwortlichen zu informieren. Dazu gehören auch Sachverhalte, die geeignet sind, die Interessen des Verantwortlichen zu tangieren,
• die Existenz eines Prozesses, um Datenschutzverletzungen, die eine gesetzliche Meldepflicht auslösen können, zu erkennen, den Verantwortlichen unverzüglich zu informieren und Maßnahmen zur Schadensminimierung einzuleiten,
• die Existenz eines Prozesses, um eine Datenschutzverletzung zeitnah zu untersuchen und aufzuklären.

VII. IT‐Sicherheitskonzept

Das IT‐Sicherheitskonzept soll den Schutz der Auftragsdaten beschreiben. Dazu müssen alle Räume, Infrastrukturen und IT‐Geräte betrachtet werden, die die Sicherheit der Auftragsdaten beeinflussen können. Netzwerke sind zu betrachten, soweit durch sie Auftragsdaten fließen oder Geräte, die Auftragsdaten speichern oder verarbeiten, an diesem Netzwerk angeschlossen sind. Weitere Auftragsverarbeiter (Unterauftragnehmer) sind in die Betrachtung einzubeziehen, soweit sie
• Zugriff auf Auftragsdaten erlangen können (z.B. Hard‐ und Softwarewartung, als Administratoren),
• für die Leistungserbringung relevant sind (z.B. Rechenzentren, Cloud‐Anbieter, Druckereien, Logistikunternehmen).

Der Auftragsverarbeiter hat ein IT‐Sicherheitskonzept basierend auf der angebotenen Leistung erstellt, das die Sicherheit der Auftragsdaten zum Gegenstand hat. Es erfüllt die Vorgaben zur Risikoabschätzung des Art. 32 Abs. 1 DS‐GVO und folgt einem etablierten Standard (z.B. BSI‐Standard 100‐2 „IT‐Grundschutz‐Vorgehensweise“).
Ist die Art der Auftragsdaten durch den Auftragsverarbeiter nicht erkennbar (z.B. beim Hosting), beschreibt das ITSicherheitskonzept das angebotene Schutzniveau. Die Beschreibung muss hinsichtlich ihrer Konkretheit und Detaillierung einen Verantwortlichen in die Lage versetzen können, zu beurteilen, ob das angebotene Schutzniveau für seinen konkreten Schutzbedarf angemessen ist.

VIII. Datenschutz‐Managementsystem

Da der Auftraggeber die datenschutzrechtliche Verantwortung für die unter seiner Verantwortung erhobenen personenbezogenen Daten trägt und den Auftragsverarbeiter mit der Verarbeitung dieser Daten beauftragt, erwächst für den Auftragsverarbeiter die Verpflichtung, seinerseits die Einhaltung von Datenschutzbestimmungen sicherzustellen. Das Datenschutz‐Managementsystem ist ein Instrument, dieser Verpflichtung nachzukommen und orientiert sich an den Definitionen des Datenschutzkonzepts.

Es beinhaltet u.a.
• die Bestellung eines Datenschutzbeauftragten,
• die Verpflichtung der mit der Datenverarbeitung befugten Personen des Auftragsverarbeiters auf einen vertraulichen Umgang mit Daten sowie ergänzende Schulungsmaßnahmen,
• die stichprobenhafte Kontrolle der angebotenen Leistung auf deren Datenschutzkonformität,
• einen Unterstützungsprozess zur Datenschutz‐Folgenabschätzung, der an den entsprechenden Prozess des Verantwortlichen angebunden werden kann. Dies beinhaltet auch eine Unterstützung bei einer möglichen Konsultation einer Aufsichtsbehörde nach Art. 36 DS‐GVO. Dieser Prozess schließt eine dokumentierte Risikobewertung hinsichtlich der Rechte und Freiheiten betroffener Personen ebenso mit ein, wie Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, um identifizierte Risiken zu bewältigen,
• einen Prozess zur regelmäßigen Kontrolle von weiteren Auftragsverarbeitern (Unterauftragnehmer), die für die Leistungserbringung wesentlich sind oder Zugriff auf Auftragsdaten erhalten.

IX. IT‐Sicherheitsmanagementsystem

Ein funktionierendes und dokumentiertes IT‐Sicherheitsmanagementsystem nach dem Stand der Technik gemäß Art. 32 DS‐GVO ist integraler Bestandteil eines wirksamen Datenschutzes. Neben dem Nachweis der Wirksamkeit eines solchen Managementsystems sind auch die Schnittstellen zwischen Datenschutz‐Managementsystem und dem IT‐Sicherheitsmanagement sowie eine redundanzfreie Regelungspyramide von hoher Wichtigkeit. Prozesse zur kontinuierlichen Verbesserung und einer Wirksamkeitsprüfung müssen vorhanden sein.
Der Nachweis eines etablierten IT‐Sicherheitsmanagementsystems ist durch ein Zertifikat möglich (vgl. Art. 42 DS‐GVO).

X. Auftragsmanagementsystem

Das Modul Auftragsmanagementsystem stellt die Kontrolle des weisungsgebundenen Handelns des Auftragsverarbeiters in den Mittelpunkt. Hierdurch soll gewährleistet werden, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden (vgl. Art. 29 DS‐GVO). Für ein Auftragsmanagementsystem
ist folgendes elementar:

• Dokumentation von Prozessen zur Auftragsbearbeitung
• und deren Kontrolle,
• Verpflichtung der zur Verarbeitung befugten
• Personen auf Vertraulichkeit,
• Bearbeitung von Weisungen des Auftraggebers
• über einen Prozess (Change Management),
• Information des Verantwortlichen über eine Beauftragung weiterer Auftragsverarbeiter, das Einholen etwaiger Genehmigungen bzw. die Ermöglichung und Umsetzung von Widersprüchen des Verantwortlichen, die Ermöglichung angemessener Prüfungen durch den Verantwortlichen hinsichtlich der Auftragsbearbeitung.

XI. Vertrag zur Auftragsverarbeitung

Gemäß Art. 28 Abs. 9 DS‐GVO kann ein Vertrag zur weisungsgebundenen
Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter schriftlich oder in einem
elektronischen Format abgefasst werden. Dieser Vertrag muss den Anforderungen des Art. 28 DS‐GVO entsprechen.
Anregungen zur Vertragsgestaltung finden sich in der GDD‐Praxishilfe DS‐GVO IV „Mustervertrag zur Auftragsverarbeitung“.
5 Für Verträge im Kontext des Gesundheitswesens besteht ebenfalls ein Muster.6

XII. Beendigung der Leistungsbeziehung

Nach Beendigung eines Auftrages müssen klare Regelungen zwischen Auftragsverarbeiter und Verantwortlichem bestehen, was mit den beim Auftragsverarbeiter vorhandenen Daten geschehen soll (Löschung, Rückgabe, Archivierung oder Weiterverwendung im Rahmen eines Folgeauftrags).
Es existiert ein Prozess zur Auftragsbeendigung, der auch das Löschen oder Zurückgeben der Auftragsdaten an den Verantwortlichen umfasst. Dies schließt sämtliche Daten bei etwaigen weiteren Auftragsverarbeitern mit ein.

5 https://www.gdd.de/downloads/praxishilfen/GDD‐Praxishilfe_
DS‐GVO_4.pdf (letzter Abruf am 01.02.2018)
6 https://www.bvdnet.de/wp‐content/uploads/2017/07/Muster‐
AV‐Vertrag.doc (letzter Abruf am 01.02.2018).

Herausgeber:
Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)
Heinrich-Böll-Ring 10
53119 Bonn
Tel.: +49 2 28 96 96 75-00
Fax: +49 2 28 96 96 75-25
www.gdd.de
info@gdd.de
Stand:
Version 1.1 (Februar 2018)
Gesellschaft für Datenschutz
und Datensicherheit e.V.

Die Inhalte dieser Praxishilfe wurden erstellt von Steffen Weiß, LL.M. Sie sind teilweise dem
Datenschutzstandard für Auftragsverarbeiter „DS-BvD-GDD-02“ entnommen. Die GDD
dankt dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD e.V.) für die
freundliche Unterstützung.

Voraussetzungen der Pflicht zur DSB-Bestellung

1. Bestellpflicht nach DS-GVO

Nach der DS-GVO ist ein Datenschutzbeauftragter (DSB) in folgenden Fällen verpflichtend zu bestellen (vgl. Art. 37 Abs. 1):

• Art. 37 Abs. 1 Buchst. a) DS-GVO: Personenbezogene Datenverarbeitung durch Behörde / öffentliche Stelle (Ausnahme: Rechtsprechung)

• Art. 37 Abs. 1 Buchst. b) DS-GVO: Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/ oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.

• Art. 37 Abs. 1 Buchst. c) DS-GVO: Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DS-GVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO).

Die für Unternehmen maßgebliche Bestellpflicht der beiden letztgenannten Fallgruppen hat jeweils zwei Voraussetzungen. Erstens muss die die Bestellpflicht auslösende personenbezogene Datenverarbeitung zur „Kerntätigkeit“ des für die Verarbeitung Verantwortlichen bzw. Auftragsverarbeiters gehören. Zweitens muss die Tätigkeit bestimmte inhaltliche Voraussetzungen erfüllen, nämlich das Erfordernis einer umfangreichen regelmäßigen und systematischen Beobachtung oder die umfangreiche Verarbeitung von Daten im Sinne von Art. 37 Abs. 1 Buchst. c) DS-GVO. In der englischen Fassung der DS-GVO, die Gegenstand der Trilogverhandlungen war, ist anstelle von „Kerntätigkeit“ (Singular) von „core activities“ (Plural) die Rede. „Core activities“ sind alle Geschäftsbereiche, die entscheidend sind für die Umsetzung der Unternehmensstrategie, die ihren Ausdruck findet in Kundenservice, Marketing, Produktdesign etc. Keine Aktivitäten in diesem Sinne sind routinemäßige Verwaltungs- und Erhaltungsaufgaben. Es genügt also, wenn die die Bestellpflicht auslösende Tätigkeit einen (!) Hauptzweck der betreffenden Stelle darstellt. „Beobachtung“ meint umfangreiche regelmäßige und systematische personenbezogene Auswertungen, insbesondere die Vornahme von Profilbildungen.


Biepsiele:
Beispiele für Bestellpflicht nach Art. 37 Abs. 1 Buchst. b) DS-GVO:
Auskunfteien; Detekteien; Versicherungsunternehmen (Risikomanagement oder individualisierte Tarife wie „Pay as you drive“); Marketing auf Basis detaillierter Kunden- und Interessentenprofile.

Beispiele für Bestellpflicht nach Art. 37 Abs. 1 Buchst. c) DS-GVO:
Gesundheitseinrichtungen, wie z.B. Krankenhäuser; mit genetischen Untersuchungen befasste Labors; Beratungsstellen wie Pro Familia; Dienstleister im biometrischen ID-Management oder Anbieter von Erotikartikeln.


Quelle:
GDD-Praxishilfe DS-GVO I – Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, Version 1.0, Stand November 2016
URL: https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo

2. Anforderungen an die Bestellung

2.1 Notwendige Qualifikation und persönliche Voraussetzungen

Die DS-GVO stellt folgende Anforderungen an die notwendige Qualifikation und persönlichen Voraussetzungen, die ein DSB mitzubringen hat:

• Benennung auf Basis der beruflichen Qualifikation und insbes. des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie der Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgaben (Art. 37 Abs. 5 DS-GVO)

Die DS-GVO (Art. 38 Abs. 6 S. 2) verbietet wie das BDSG Interessenkonflikte.

2.2 Form und Dauer der Bestellung

Die Form der Bestellung wird durch die DS-GVO nicht geregelt. Zur Gewährleistung von Rechtssicherheit und aus Dokumentationsgründen ist eine Bestellung zumindest in Textform jedoch ratsam. Während der Kommissionsentwurf noch eine Mindestdauer von zwei Jahren verlangte, enthält die finale Fassung der DS-GVO im Hinblick auf die Dauer der Bestellung keine Vorgaben mehr. Dies bedeutet gleichwohl nicht, dass beliebig kurze Befristungen
möglich sind, vielmehr muss die Unabhängigkeit des Datenschutzbeauftragten (ErwG 97) gewährleistet bleiben. Sofern die Fristen so kurz sind, dass sie den Beauftragten hindern, effektiv seine Aufgaben wahr- und auch unliebsame Positionen gegenüber Unternehmensleitung und Fachabteilung einzunehmen, ist von einer Unwirksamkeit
der Befristung auszugehen.

2.3 Publizität der Bestellung

Im Verhältnis zum bisherigen nationalen Recht sieht die DS-GVO eine verstärkte Publizität des Datenschutzbeauftragten vor, indem die „Kontaktdaten“ des Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen
sind (Art. 37 Abs. 7 DS-GVO).

2.4 Möglichkeit der externen Bestellung und der Bestellung von Konzern-DSBs

Explizit regelt die DS-GVO dagegen die Möglichkeit der externen Bestellung (Art. 37 Abs. 6 DS-GVO) sowie der Bestellung eines gemeinsamen Datenschutzbeauftragten in Unternehmensgruppen

(Art. 37 Abs. 2 DS-GVO). Die Möglichkeit der Berufung eines solchen gemeinsamen Beauftragten ist mit der Bedingung verbunden, dass dieser von jeder Niederlassung aus „leicht erreicht werden kann“. Die nicht. Zu den Fachkundeanforderungen bislang vgl. Beschluss des Düsseldorfer Kreises vom 24./25. November 2010: Mindestanforderungen
an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG). Abrufbar unter: https://www.lda.
bayern.de/media/dk_mindestanforderungen_dsb.pdf
Das Erfordernis der persönlichen Integrität des Datenschutzbeauftragten ist in der DS-GVO nicht explizit geregelt, ergibt sich aber aus seiner Aufgabenstellung, Ansprechpartner
des Unternehmens und der betroffenen Personen zu sein.
Wie ein Vergleich mit Art. 13 Abs. 1 Buchst. a) DS-GVO zeigt, wo von „Name und Kontaktdaten“ die Rede ist, setzt die Angabe der bloßen Kontaktdaten, z.B. auf
der Homepage, nicht zwingend voraus, dass auch der Name des Datenschutzbeauftragten genannt wird. Im Verhältnis zur Aufsichtsbehörde ist die namentliche Nennung des Beauftragten gleichwohl sinnvoll (vgl. auch Art. 30 Abs. 1 Buchst. a) i.V.m. Abs. 4 DS-GVO).
GDD-Praxishilfe DS-GVO I / Stand: November 2016 7

leichte Erreichbarkeit impliziert den persönlichen und sprachlichen Zugang für die Verantwortlichen der einzelnen Konzernunternehmen sowie die Beschäftigten
als betroffene Personen. Zur Frage, ob auch eine juristische Person als Datenschutzbeauftragter bestellt werden kann, äußert sich Art. 37 DS-GVO nicht (zum Streitstand vgl. GDD-Ratgeber, Der betriebliche Datenschutzbeauftragte, 2014,
S. 38 f.). In der Literatur ist zudem umstritten, ob die in der DS-GVO enthaltene Regelung zur Bestellung eines gemeinsamen Datenschutzbeauftragten innerhalb der Unternehmensgruppe auch dazu führt, dass in Zukunft die Bestellung zentral durch
das herrschende Unternehmen erfolgen kann und damit der administrative Aufwand von Mehrfachbestellungen entfällt.

3. Stellung des Datenschutzbeauftragten

3.1 Unabhängigkeit

Kern der Rechtsstellung des Datenschutzbeauftragten ist seine Unabhängigkeit. Als übergeordnete Gewährleistung wird diese in ErwG 97 der DS-GVO angesprochen. Die unmittelbaren Ausprägungen der Unabhängigkeit, nämlich insbesondere die Unabhängigkeit von fachlichen Weisungen und die Verpflichtung zur Gewährleistung eines unmittelbaren Berichtswegs des Datenschutzbeauftragten zur höchsten Managementebene sind im normativen Teil der DS-GVO geregelt (Art. 38 Abs. 3 S. 1 und 3). Im Sinne eines effektiven Datenschutzmanagements ist es sinnvoll, den Datenschutzbeauftragten auch organisatorisch unmittelbar der Leitung des für die Verarbeitung Verantwortlichen zu unterstellen, denn die damit verbundene Sonderstellung verschafft ihm bei denjenigen, die personenbezogene Daten verarbeiten, die notwendige Autorität.

3.2 Abberufungsschutz und Benachteiligungsverbot

Zum Schutz des Datenschutzbeauftragten gewährleistet die DS-GVO Abberufungsschutz sowie ein Benachteiligungsverbot (Art. 38 Abs. 3 S. 2 DSGVO).
Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Möglich ist jedoch nach der DS-GVO ein betriebsbedingter Wegfall der Bestellung. Ebenso wenig genießt der Datenschutzbeauftragte nach der DS-GVO besonderen arbeitsrechtlichen
Schutz. Auf Grund seiner Befugnis zur Regelung des materiellen Arbeitsrechts ist dem nationalen Gesetzgeber jedoch unbenommen, einen Sonderkündigungsschutz für Datenschutzbeauftragte auf nationaler Ebene weiterhin vorzusehen.
Die Notwendigkeit eines solchen Schutzes hat der Gesetzgeber 2009 selbst explizit festgestellt (BT-Drs. 16/12011, S. 30).

3.3 Anspruch auf Einbindung, Unterstützung und Fortbildung

Vergleichbar dem BDSG sieht auch die DS-GVO einen Anspruch des Datenschutzbeauftragten auf Einbindung, Unterstützung und Fortbildung vor (Art. 38
Abs. 1 und 2 DS-GVO), der im Einzelnen Folgendes umfasst:

• Ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz pb Daten zusammenhängenden Fragen
• Unterstützung bei der Aufgabenerfüllung
• Ressourcen zur Aufgabenwahrnehmung / Erhaltung des Fachwissens
• Zugang zu pb Daten und Verarbeitungsvorgängen
GDD-Praxishilfe DS-GVO I / Stand: November 2016 8

Zu den notwendigen Ressourcen im Hinblick auf die Aufgabenwahrnehmung gehört es dabei nach wie vor insbesondere, dass dem Datenschutzbeauftragten die notwendigen zeitlichen Kapazitäten zur Wahrnehmung seiner Aufgabe zur Verfügung gestellt werden. Das konkrete Maß der erforderlichen Unterstützung ist im Einzelfall zu bestimmen.


Kriterien für eine ausreichende finanzielle und materielle Ausstattung sowie
ein angemessenes Zeitbudget für die Wahrnehmung der gesetzlichen
Aufgaben sind beispielsweise:
• Größe des Unternehmens
o Anzahl der Mitarbeiter
o Anzahl der Standorte/ Betriebsstätten
• Organisation des Unternehmens
o Einbindung in eine Konzernstruktur
o national oder international
o Matrixorganisation
o Komplexität der Geschäftsprozesse
o Home-Office/Telearbeit
o Außendienst-/Vertriebsorganisation
o Delegationsmöglichkeiten (Rechtsabteilung/

Revisionsabteilung/ITSicherheitsbeauftragter/ externe Berater)
• Inanspruchnahme externer Dienstleister (Outsourcing)
• Branche
• Art und Anzahl der zu verwaltenden Personengruppen (Mitarbeiter, Kunden, Lieferanten, Dritte, Kontaktpersonen etc.)
• Sensibilität der verarbeiteten personenbezogenen Daten bzw. der verwendeten Verfahren

3.4 DSB als „Anwalt der Betroffenen“/ Pflicht zur Geheimhaltung bzw. Vertraulichkeit

Nach Art. 38 Abs. 4 DS-GVO können betroffene Personen den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte aus der Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. Dies entspricht im Wesentlichen der bisherigen Regelung in § 4f Abs. 5 Satz 2 BDSG, wonach sich Betroffene
jederzeit an den Beauftragten für den Datenschutz wenden können. Der Datenschutzbeauftragte ist demnach verpflichtet, Datenschutzbeschwerden zu prüfen und die betroffenen Personen über das Ergebnis seiner Prüfung zu informieren. Stellt er Datenschutzverletzungen, z.B. die Missachtung von Betroffenenrechten, fest, hat er darauf hinzuwirken, dass diese abgestellt werden. Die Wahrung von Geheimhaltung und Vertraulichkeit sind essenziell für eine effektive Ausübung der Tätigkeit als Datenschutzbeauftragter. Eigene Geheimhaltungs- bzw. Vertraulichkeitsverpflichtungen
sind in der DS-GVO jedoch nicht vorgesehen.
Diese verweist insofern vielmehr auf das sonstige Unionsrecht bzw. das Recht der Mitgliedstaaten. Auf nationaler Ebene finden sich entsprechende Regelungen
aktuell in § 4f Abs. 4 BDSG und in § 203 Abs. 2a StGB. Aufgrund des Verweises der DS-GVO ins nationale Recht hat der deutsche Gesetzgeber die Möglichkeit, diese Regelungen auch nach Geltung der DS-GVO entsprechend beizubehalten.

4. Aufgaben

4.1 Unterrichtung und Beratung

Der Datenschutzbeauftragte hat den Verantwortlichen bzw. Auftragsverarbeiter sowie die konkret mit der Datenverarbeitung Beschäftigten hinsichtlich ihrer Pflichten nach der DS-GVO sowie nach den sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten zu unterrichten und beraten (Art. 39 Abs. 1 Buchst. a) DS-GVO). Unterrichtung meint insofern die allgemeine Information über die bestehenden datenschutzrechtlichen Pflichten,
Beratung die Unterstützung bei der Lösung von konkreten datenschutzrechtlichen Fragestellungen.

4.2 Überwachung der Einhaltung des Datenschutzes

Weitere Kernaufgabe des Datenschutzbeauftragten neben der Unterrichtung und Beratung ist die Überwachung der Einhaltung des Datenschutzes (Art. 39 Abs. 1 Buchst. b) DS-GVO). Zu überwachen ist im Einzelnen die Einhaltung
• der DS-GVO,
• anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie
• der Strategien des Verantwortlichen oder Auftragsverarbeiters für den Schutz personenbezogener Daten (einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen).

4.3 Aufgaben im Zusammenhang mit der Datenschutz-Folgenabschätzung

Anders als die Vorabkontrolle nach dem BDSG ist die Durchführung der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) dem Datenschutzbeauftragten nicht übertragen. Zuständig ist vielmehr der für die Verarbeitung Verantwortliche und
damit in abgeleiteter Verantwortung die jeweilige Fachabteilung. Die Aufgaben des Datenschutzbeauftragten im Zusammenhang mit der Datenschutz-Folgenabschätzung liegen zum einen in der Überwachung, ob diese durchgeführt wird, und zum anderen in der Verpflichtung, auf Anfrage im Hinblick auf deren Durchführung zu beraten (Art. 39 Abs. 1 Buchst. c) DS-GVO). Korrespondierend zur Beratungspflicht des Datenschutzbeauftragten besteht eine Verpflichtung der Fachabteilung, dessen Rat auch einzuholen (Art. 35 Abs. 2 DS-GVO).

4.4. Zusammenarbeit mit der Aufsichtsbehörde

Nach der DS-GVO arbeitet der Datenschutzbeauftragte mit der Aufsichtsbehörde zusammen und fungiert als deren „Anlaufstelle“ beim für die Verarbeitung Verantwortlichen; zudem berät er sich mit der Behörde „zu allen sonstigen Fragen“ (Art. 39 Abs. 1 Buchst. d) und e) DS-GVO). Ein Anlass zur Konsultation der Behörde wird sich insbesondere dann ergeben, wenn sich der Datenschutzbeauftragte über die Auslegung einschlägiger gesetzlicher
Regelungen oder die Angemessenheit einzelner Datenschutzmaßnahmen im Unklaren ist.

4.5. Pflicht zur risikoorientierten Tätigkeit

Nach Art. 39 Abs. 2 DS-GVO hat der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko
gebührend Rechnung zu tragen, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt, sog. Pflicht zur risikoorientierten Tätigkeit. Diese Verpflichtung entspricht dem risikobasierten Ansatz, der der gesamten DS-GVO zugrunde liegt, und ist grundsätzlich zu befürworten. Zur Gewährleistung der garantierten Unabhängigkeit (vgl. vorstehend Abschnitt 3.1) muss die Bewertung, welche Verarbeitungsvorgänge wegen des mit ihnen verbundenen Risikos einer vorrangigen Bewertung bedürfen, aber dem Datenschutzbeauftragten selbst obliegen. So dürfen etwa Prüfaufträge gegenüber dem Datenschutzbeauftragten diesen nicht daran hindern, aus
seiner Sicht vordringlichen datenschutzrechtlichen Angelegenheiten nachzugehen.