30 Jan 2019

Münster: Wann muss ein Datenschutzbeauftragter bestellt werden?

von | eingetragen in: Allgemein, Blog | 0

Unternehmen aus Münster fragen: Muss ich einen Datenschutzbeauftragten bestellen oder nicht?

Sorgenvoll und mit großer Verunsicherung werden mir Immer wieder Fragen wie folgende gestellt:

  • Brauche ich überhaupt einen Datenschutzbeauftragten?
  • Und falls ja - kann ich doch einfach einem Mitarbeiter diese Aufgabe übertragen?
  • Bin ich verpflichtet, einen externen Datenschutzbeauftragten zu bestellen?

Zugegeben: Das Thema Datenschutz ist komplex. Der heutige Artikel beschäftigt sich mit der Frage, für wen bzw. für welche Unternehmen denn überhaupt eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht. Ich kann Entwarnung geben: Eigentlich ist es ganz einfach :-).

Die beiden weiteren Punkte folgen dann in den nächsten Tagen.

 

Datenschutzbeauftragter - Bestellpflicht, Münster

Der Datenschutzbeauftragte - freiwillig bestellt oder lästige Pflicht?

Da wäre zunächst einmal die Frage zu klären: Möchten Sie einen Datenschutzbeauftragten bestellen, oder unterliegt Ihr Unternehmen einer gesetzlichen Verpflichtung? Denn, ja, auch den Fall gibt es, dass Unternehmer die vielen Vorteile sehen, den professionelle Unterstützung bei der Organisation des Datenschutzes bringt - aber dazu an anderer Stelle mehr.

In welchen Fällen eine Bestellpflicht für einen Datenschutzbeauftragten besteht, definieren Art. 37 DSGVO und § 38 BDSG neu. Zu unterscheiden sind hier drei Fälle:

Bestellung des Datenschutzbeauftragten ist abhängig von der Unternehmensgröße

Als Richtgröße gilt hier: Hat Ihr privatwirtschaftlich tätiges Unternehmen mehr als 20 Personen, die regelmäßig mit personenbezogenen Daten zu tun haben (Email, Angebote schreiben, Rechnungen erstellen, Kundensupport usw.) ist schon per Gesetz ein Datenschutzbeauftragter zu bestellen. Das ergibt sich aus § 38 BDSG-neu.

Obligatorischer Datenschutzbeauftragter je nach Art der Geschäftstätigkeit

Je nach Art Ihrer Geschäftstätigkeit kann sich ebenfalls eine Bestellpflicht für einen Datenschutzbeauftragten ergeben. Und zwar immer dann, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Zu denken ist hier insbesondere an folgende Tätigkeiten und Branchen:

  • Marketingagenturen, die z. B. datengesteuert Kaufverhalten analysieren und Kundenprofile erstellen, Marktforschungs- und Meinungsforschungsunternehmen
  • Finanzunternehmen, Banken, die Informationen über Kreditinteressenten systematisch zusammentragen (scoring) und diese dann in bestimmte Risikoklassen einteilen (profiling)
  • Sicherheits- und Überwachungsunternehmen
  • Social Media Anbieter
  • Versicherungsunternehmen - weil auch hier die Versicherungswilligen aufgrund von Datenanalysen in bestimmte Risikoklassen eingeteilt werden.

Bestellpflicht eines Datenschutzbeauftragten je nach Kerntätigkeit und Umfang der Verarbeitung

Desweiteren begründet eine Kerntätigkeit, die in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht, die Bestellpflicht eines Datenschutzbeauftragten. Auf deutsch: Immer dann, wenn Sie besondere Kategorien von Daten verarbeiten wie z. B. Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Informationen aus denen die Gewerkschaftszugehörigkeit hervorgeht, falls Sie genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person verarbeiten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung, ist es wahrscheinlich, dass Sie einen Datenschutzbeauftragten bestellen müssen. Das trifft häufig zu auf

  • Arztpraxen
  • Apotheken
  • Labore
  • Krankenhäuser
  • ggf. Rechtsanwälte (z. B. Medizinrechtler)

Ausschlaggeben für die Bestellpflicht eines Datenschutzbeauftragten ist, dass die Verarbeitung "umfangreich" ist. Auch hier sind verschiedene Parameter zu berücksichtigen:

  • Anzahl der betroffenen Personen
  • Menge der verarbeiteten Daten
  • Dauer der Verarbeitung
  • geografische Ausdehnung der Verarbeitung
  • Risiken für die betroffenen Personen

Die Datenschutzkonferenz (DSK),  Konfernz der unabhängigen Datenschutzbehören des Bundes und der Länder, hat zum Glück einen Beschluss herausgegeben, an dem man sich ganz gut orientieren kann. Dort wird er Begriff der "umfangreichen Datenverarbeitung" ein wenig geklärt. Den Beschluss der Datenschutzkonferenz vom 26.04.2018 finden Sie hier zum Download.

Zusammengefasst steht da in etwa folgendes:

  • Betreiben Sie als einzelner Arzt Ihre Praxis und haben Sie unter 10 Angestellte (Helferinnen, die regelmäßig mit Patientendaten umgehen), dann müssen Sie keinen Datenschutzbeauftragten bestellen. Gleiches gilt für kleine Apotheken und einzelne Rechtsanwälte.
  • Praxisgemeinschaften mit mehr als 10 Mitarbeitern - also immer dort wo mehrere Ärzte oder andere Angehörige eines Gesundheitsberufes eine Praxisgemeinschaft führen - liegt auch keine "umfangreiche" Verarbeitung vor. Die Bestellpflicht richtet sich hier - wie immer - nach der Anzahl der Mitarbeiter, die regelmäßig Daten verarbeiten.

Falls jemand behauptet, Sie hätten die Pflicht zur Bestellung eines Datenschutzbeauftragten nur weil Sie Arzt oder Apotheker sind oder anderweitige Gesundheitsdienstleistung anbieten, bleiben Sie wachsam! So einfach ist es nämlich nicht. Mein Tipp: Bedanken Sie sich freundlich für den Hinweis und lenken Sie das Gespräch auf ein anderes Thema oder beenden Sie es.

 

 

 

Datenschutz Münster und im Münsterland

Ihr externer Datenschutzberater in Münster

Datenschutzberater Münsterland - Anke Blömer bietet Datenschutzservice als externe Datenschutzbeauftragte für kleine und mittlere Unternehmen in und um Münster und in den Regionen Münsterland, südliches Niedersachsen sowie im Ruhrgebiet an. Unser Schwerpunkt liegt dabei auf der Entwicklung eines belastbaren Datenschutzkonzeptes. Ganz besonders wichtig ist dabei der persönliche und direkte Kontakt zu unseren Klienten. Die Ausgestaltung der gesetzlichen Vorgaben erfolgt in jedem Unternehmen individuell. Darum ist es uns so wichtig, gemeinsam mit Ihnen, eine aussagefähige Datenschutzdokumentation zu erarbeiten.

Was kostet Datenschutz in Münster?

Bei Datenschutzbeauftragter Münsterland werden Sie keine bösen Überraschung hinsichtlich der Kosten erleben. Es fallen keine teuren "Erstbegehungskosten" an oder Sonderzahlungen für Schulungen, außerplanmäßige Servicetermine oder sonst irgendwelche Extrakosten. Datenschutz und Datenschutzberatung ist Vertrauenssache und sehr persönlich. Darum zahlen Sie eine festgelegte Flatrate-Rate. So bleiben die Kosten für Ihre Datenschutzorganisation kalkulierbar und transparent. Unsere Datenschutz-Tarife sind auf die Größe des Unternehmens angepaßt. So können sich auch als Einzelkämpfer professionelle Datenschutzorganisation leisten und gewinnen Wettbewerbsvorteile.

Datenschutzservice für wen?

Den Datenschutzservice von Datenschutzbeauftragter Münsterland können Sie buchen, wenn Sie Ihr Unternehmen in Billerbeck, Coesfeld, Münster, Ahaus, Bocholt, Borken, Steinfurt, Rheine, Gronau, Velen, Metelen, Emsdetten, Haltern am See, Dülmen, Lüdinghausen, Ascheberg, Nordkirchen haben.
Datenschutzberatung und Datenschutzservice bieten wir darüberhinaus auch für Bad Bentheim, Lingen, Nordhorn, Ibbenbüren, Osnabrück sowie im Ruhrgebiet an.
Als Externer Datenschutzberater sind wir auch in Essen, Gelsenkirchen, Dortmund, Bochum, Düsseldorf, Neuss, Ratingen, Velbert, Wuppertal, Remscheid und Bottrop für Unternehmen tätig.

D