externer Datenschutzbeauftragter

Die DSGVO bietet die Möglichkeit, dass Unternehmen und auch öffentliche Stellen, die einen DSB bestellen müssen, auf die Dienstleistung einer dritten Person zugreifen können.

 

Art 37 Abs 6 DSGVO legt klar, dass der DSB Beschäftigter des Verantwortlichen oder Auftragsverarbeiters sein kann, oder auch als seine Aufgaben aufgrund eines Dienstleistungsvertrages erfüllen kann.

 

 

Aufgaben

Schulung und Beratung
Überwachung der Einhaltung der DSGVO  sowie der Datenschutzstrategie des Bestellers einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der Mitarbeiter und Reviews
Beratung bei PIAs sowie Überwachung ihrer Durchführung (soweit angefragt)
Anlaufstelle für die Aufsichtsbehörde
Der DSB berät das Unternehmen und nicht die betroffenen Personen (!),  und ist daher nur Anlaufstelle für diese zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte in Zusammenhang stehenden Fragen. Die dt. Fassung des Art 38 Abs 4 DSGVO spricht davon, dass betroffene Personen den DSB "zu Rate ziehen" können, korrekt ist jedoch nur, dass sie den DSB kontaktieren können (engl. Fassung: "may contact").
More

Stellung

Der DSB ist in Fragen in Zusammenhang mit de Schutz personenbezogener Daten (DSB als "watchdog") einzubinden
Dem DSB müssen über die erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung gestellt werden.
Der DSB ist weisungsfrei zu stellen.
Eine Abberufung oder Diskriminierung des DSB wegen der Erfüllung der Aufgaben ist unzulässig.
Der DSB berichtet unmittelbar der höchsten Managementebene.
Der DSB ist zur Verschwiegenheit verpflichtet.
Der DSB kann andere Aufgaben und Pflichten wahrnehmen, sofern diese nicht zu einem Interessenskonflikt führen.
More

Dienstleistung

Mein Team und ich stehen ihnen auf Grundlage der Auftragsbedingungen (AAB) als externer DSB zur Verfügung.

 

Dies beginnt mit einer Analyse des Grades der Compliance des Auftraggebers im Hinblick auf die Bestimmungen der DSGVO (bzw. des öAnpassungsG sobald ein solches vorliegt), und Aufzeigen der etwaig notwendigen weiteren Maßnahmen iS eines Soll-Ist-Vergleich und einer GAP-Analyse.

 

Nach der Umsetzung der Maßnahmen durch das Unternehmen übernimmt ein Teammitglied die Stellung des DSB, und die Aufgaben des DSB im Unternehmen.

 

Für diese Tätigkeit wird ein Stundensatz / Tagessatz, der von der individuellen Auftragssituation abhängig ist, zur Verrechnung gebracht.

 

More

Ein Datenschutzbeauftragter ist von öffentlichen Stellen und und bestimmten Unternehmen zu bestellen.

 

Die Artikel 29 Datenschutzgruppe hat am 16. Dezember 2016 eine Richtlinie zur Bestellung von Datenschutzbeauftragten (DSB) veröffentlicht.

 

Unternehmen sind unter bestimmten Voraussetzungen verpflichtet, einen DSB zu bestellen, und zwar wenn ihre "Kerntätigkeit" sofern sie "umfangreich" ist, in bestimmter Art und Weise ausgeübt wird.

 

"Kerntätigkeit"

Hier verweist die Art. 29 WP darauf, dass die “Kernaktivität” jedenfalls die vorwiegenden Tätigkeiten eines Unternehmens umfasst, und nicht diejenigen Tätigkeiten, die sich auf die Verarbeitung von personenbezogenen Daten als Hilfstätigkeiten beziehen.

Es darf aber nicht vergessen werden, dass es auch Tätigkeiten gibt, die unerlässlich sind, um die eigentliche Tätigkeit des Unternehmens, die nicht in der Verarbeitung personenbezogener Daten liegt, zu ermöglichen. Werden bei diesen Tätigkeiten personenbezogene Daten verarbeitet, kann auch eine Kerntätigkeit gegeben sein.

 

"umfangreich"

Die (Kern)-Tätigkeit bei der die personenbezogenen Daten verarbeitet werden, die zur Verpflichtung der Bestellung des DSB führt, muss „umfangreich“ sein. Der „große Umfang“ wird im Text der DSGVO nicht definiert, nur ErwG 91 nimmt darauf Bezug.

Es ist nicht möglich, eine exakte Quantifizierung vorzunehmen; es sind mehrere Faktoren bei der Beurteilung nach Ansicht der WP 29 zu berücksichtigen: 

  • Die Anzahl der „Datensubjekte“, und zwar entweder als absolute Zahl oder als Anteil der relevanten Betroffenen

  • Das Volumen der Daten oder die Anzahl unterschiedlicher Datenarten

  • Die Dauer oder die „Performance“ der Datenverarbeitung
  • Die geografische Ausdehnung der Datenverarbeitung

 

 


Die WP 29 gibt einige Beispiele:

Umfangreiche Datenverarbeitung:

  • Verarbeitung von Patientendaten durch eine Krankenanstalt
  • Verarbeitung von Verkehrsdaten (Reisedaten) von Personen, die den öffentlichen Verkehr einer Stadt benützen (z.B. durch das Tracking von Monats- oder Jahreskarten)
  • Verarbeitung von Echt-Zeit-Geolokations-Daten von Kunden einer internationalen Fast-Food-Kette für statistische Zwecke
  • Verarbeitung von Kundendaten durch eine Versicherung oder Bank
  • Verarbeitung von personenbezogenen Daten für die verhaltensbezogene Werbung durch eine Suchmaschine
  • Datenverarbeitung (inhaltliche Daten, Verkehrsdaten, Lokations-Daten) von Telefon- oder Internetanbietern

 

 

 

 

 

 

Datenverarbeitung, die nicht „umfangreich“ ist:

  • Verarbeitung von Patientendaten durch einen Einzelarzt
  • Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen oder Vergehen durch einen Einzelanwalt


Es wird zwischen den „Arten der Datenverarbeitung“ unterschieden, nämlich:

  • regelmäßige oder systematische Überwachung oder
  • Verarbeitung von besonderen Kategorien personenbezogener Daten (Art. 9-Daten) oder Daten über strafrechtliche Verurteilungen oder Straftaten (Art. 10-Daten).


regelmäßige oder systematische Überwachung
Auch zu dieser Art der Datenverarbeitung findet sich keine Definition in der DSGVO; nur in ErwG 24 wird darauf Bezug genommen. 

Jedenfalls inkludiert diese Art der Datenverarbeitung alle Arten von Profiling und Tracking im Internet einschließlich der Werbung durch Analyse des Nutzerverhaltens. Diese Art der Datenverarbeitung ist jedoch keinesfalls auf das Internet beschränkt.

Erfolgt diese Art der Datenverarbeitung in umfangreicher Form und als Kerntätigkeit des Unternehmens, dann ist ein DSB zu bestellen.

 

Die WP 29 führt folgende Beispiele an:

  • Betrieb eines Telekommunikationsnetzwerkes oder der Betreib von Telekommunikationsdienstleistungen
  • Email-Retargeting
  • Profiling oder Scoring im Rahmen der Risikobeurteilung (z.B. Bonitäts-Scoring, Beurteilung zur Höhe von Versicherungsprämien, zur Betrugsbekämpfung oder Entdeckung von Geldwäsche)
  • Geo-Lokations-Tracking, z.B. durch mobile Apps
  • Kundenbindungsprogramme
  • Nutzerbezogene Werbesysteme
  • Überwachung von Wellness-, Fitness- oder Gesundheitsdaten z.B. über tragbare Geräte
  • mit Systemen verbundene Geräte (Smart Meters, Intelligente Kraftfahrzeuge, Smart Homes …)

  
 
Die Verarbeitung “besonderer Kategorien personenbezogener Daten” bzw. Daten über strafrechtliche Verurteilungen und Straftaten


Werden derartige „Art. 9“ oder „Art. 10“ Daten (umfangreich und im Rahmen der Kerntätigkeit) verarbeitet, dann ist ein DSB zu bestellen. 

 

Art. 9-Daten sind:

  1. Daten über die rassische und ethnische Herkunft,
  2. Daten über politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit
  3. genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
  4. Gesundheitsdaten oder
  5. Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person 

Gesundheitsdaten umfassen nach ErwG 53 auch "Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren". Die Sozialversicherungsnummer einer natürlichen Person stellt in diesem Sinn ein "Gesundheitsdatum" und damit gem. Art. 9 ein Datum dar, dass unter die besonderen Kategorien personenbezogener Daten fällt. 

 

Biometrische Daten fallen nur dann in die besondere Kategorie personenbezogener Daten, wenn durch deren Verwendung die natürlichen Personen eindeutig identifiziert werden. Werden daher Bilddaten bzw. Fingerprints zur Zugangskontrolle oder zur Zeitaufzeichnung verwendet, dann fallen sie unter die Art. 9 - Daten. Werden diese Daten für andere Zwecke verwendet, und ist die eindeutige Identifikation der natürlichen Person ausgeschlossen, dann stellen die biometrischen Daten keine Art. 9-Daten dar.