Art.37 - DS-GVO - Benennung eines Datenschutzbeauftragten
| Stand: 25.01.2012 | Stand: 12.03.2014 | Stand: 15.06.2015 |
Stand: 27.04.2016 (ehem. Art. 35) |
|
Aufgaben des Datenschutzbeauftragten |
Aufgaben des Datenschutzbeauftragten |
Aufgaben des Datenschutzbeauftragten |
Benennung eines Datenschutzbeauftragten |
|
1. Der für die Verarbeitung |
1. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter betraut den Datenschutzbeauftragten mit mindestens folgenden Aufgaben: |
1. Dem Datenschutzbeauftragten obliegen folgende Aufgaben: |
1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn |
|
a) Unterrichtung und Beratung des für die |
a) Sensibilisierung, Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über dessen aus dieser Verordnung erwachsenden Pflichten sowie |
a) Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten; |
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, |
|
b) Überwachung der Umsetzung und Anwendung der Strategien des für die |
b) Überwachung der Umsetzung und Anwendung der Strategien des für die Verarbeitung Verantwortlichen oder des |
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten sowie der Strategien des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; |
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder |
|
c) Überwachung der Umsetzung und Anwendung dieser Verordnung, insbesondere ihrer Anforderungen an einen d) Sicherstellung, dass die in Artikel 28 genannte Dokumentation vorgenommen wird; e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 31 und 32; f) Überwachung der von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter durchgeführten Datenschutz-Folgenabschätzung sowie der Beantragung einer vorherigen Genehmigung beziehungsweise Zurateziehung gemäß den Artikeln 33 und 34; g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten; |
c) Überwachung der Umsetzung und Anwendung dieser Verordnung, insbesondere ihrer Anforderungen an einen Datenschutz durch Technik und an d) Sicherstellung, dass die in Artikel 28 genannte Dokumentation vorgenommen wird; e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 31 und 32; f) Überwachung der von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter durchgeführten Datenschutz-Folgenabschätzung sowie der Beantragung einer vorherigen Konsultation gemäß den Artikeln 32a, 33 und 34; g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten; |
c) (entfällt) d) (entfällt) e) (entfällt) f) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 33g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten; |
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. |
|
2. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. |
|||
| 3. Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden. | |||
| 4. In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln. | |||
| 5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben. | |||
|
6. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. |
|||
|
7. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. |
Erwägungsgrund: 97
Die Regelung des DSB in der DSGVO war lange umstritten. Doch nun gilt eine europaweite Verpflichtung zur Bestellung für Unternehmen deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist. Auch eine Mindestanzahl an Beschäftigten, wie sie das BDSG vorsah, existiert in der DSGVO nicht, dafür wird der Datenschutzbeauftragte für diese Fälle europaweit verpflichtend eingeführt – in den meisten Ländern ein Novum.
Dies reduziert zunächst (!) die Zahl der zur Bestellung eines DSB verpflichteten Unternehmen drastisch. Allerdings gibt es eine Öffnungsklausel für nationale Ausnahmeregelungen, die vom Gesetzgeber im BDSG(neu) genutzt wurden und die vom BDSG(alt) bekannten Regeln in Deutschland weiterhin aufrecht erhält. (s. unten).
Im Gegensatz zum BDSG(alt) gibt es keine Verpflichtung zu einer schriftlichen Bestellung. Eine „Benennung“ des DSB ist nun ausreichend. Im Sinne der Rechtssicherheit und der Nachweisverpflichtungen empfiehlt es sich jedoch, die Benennung zu dokumentieren und Termin, Aufgaben, Zeitkontingent/Ressourcen und andere Rahmenbedingungen schriftlich zu regeln.
Art. 37 Abs. 7 sieht jedoch vor, dass „der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des DSB veröffentlicht und diese Daten der Aufsichtsbehörde mitteilt.“
Die Artikel-29-Gruppe empfiehlt im Working-Paper 243 die Bereitstellung der postalischen Adresse sowie einer E-Mail-Adresse und Telefonnummer. Nicht zwingend muss der Name des Datenschutz-beauftragten veröffentlicht sein, aber die Benennung gegenüber Aufsichtsbehörden und Beschäftigten empfohlen.
Sanktionen bei fehlender Bestellung des DSB
Nach der DSGVO kann nach §83 Abs. 4 lit. A ein Bußgeld in Höhe von 10 Mio. € oder 2% des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist. Eine zivilrechtliche – oder ordnungswidrigkeiten Haftung kann ausgeschlossen sein, wenn der DSB seine Pflichten entsprechend erfüllt hat. Hierbei trifft ihn eine Nachweispflicht.
Der Konzern-DSB
Eine Unternehmensgruppe darf einen gemeinsamen DSB ernennen, wenn dieser von jeder Niederlassung aus leicht erreicht werden kann.
Wenn zu einem Konzern auch nicht EU ansässige Unternehmen zählen, muss der DSB seinen Sitz in einer Gesellschaft haben, die sich in der EU befindet. Dadurch soll die leichte Erreichbarkeit gewährleistet sein.
Kündigungsschutz für den (stellvertretenden) DSB
In der DSGVO ist die Regelung des Kündigungsschutzes recht knapp ausgefallen. Art. 38 Abs. 3 spricht davon, dass der DSB von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.
Externer DSB als Service
Die Bestellung eines externen DSB auf Basis eines Dienstleistungsvertrages ist unter der DSGVO weiterhin möglich,
das gilt neuerdings auch für öffentliche Stellen, wie z.B. Behörden des Bundes und der Länder sowie für Kommunen.
Hierbei sind Aufwand/Arbeitsteilung und Budget verhandelbar. Es gibt keinen Kündigungsschutz und der externe DSB ist stärker haftbar als ein Mitarbeiter.
Die Bestellung eines DSB nach dem BDSG(neu)
Das neue Bundesdatenschutzgesetz ab dem 25. Mai 2018 – BDSG(neu) – novelliert das BDSG nach der DSGVO und regelt die nationalen Öffnungsklauseln.
Die Bestellpflicht des DSB für nicht-öffentliche Stellen (insbes. Unternehmen, Vereine, etc.) wird in §38 BDSG(neu) abweichend zur DSGVO erweitert und behält die Regelungen des BDSG weitgehend bei: demnach muss ein DSB bestellt werden, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Für öffentliche Stellen (Bundes-/Landesbehörden, Kommunen) findet sich eine Regelung in §§5-7 BDSG(neu). §6.IV, V.2 und VI BDSG(neu) finden auch Anwendung für nicht-öffentliche Stellen (§38.II BDSG(neu))
Auch der verschärfte Kündigungsschutz, wie im BDSG geregelt, findet seinen Einzug in das BDSG(neu), und zwar in §6.IV BDSG(neu). Dieser ist in der Privatwirtschaft aber durch dann gegeben, wenn die Bestellung eines Datenschutzbeauftragten verpflichtend erfolgte (Einschränkung der Anwendbarkeit in §38.II BDSG(neu) .
Unsere Management-Information zum Datenschutzbeauftragten ist als PDF-Datei abrufbar. (Plagiate werden verfolgt!)
- Publikation der hessischen Afusichtsbehörde zum Datenschutzbeauftragten nach neuem Recht vom Juni 2017
- Empfehlenswert auch: GDD-Praxishilfe DS-GVO I – Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, Version 1.0, Stand November 2016
- Ferner die Richtlinie WP243 der Art. 29-Gruppe zum Datenschutzbeauftragten vom 13.12.2016 (Working-Paper 243) sowie ein FAQ dazu. Deutsche Vorabversion
Kommentar
Art.37 - DS-GVO - Benennung eines Datenschutzbeauftragten
| Stand: 25.01.2012 | Stand: 12.03.2014 | Stand: 15.06.2015 |
Stand: 27.04.2016 (ehem. Art. 35) |
|
Aufgaben des Datenschutzbeauftragten |
Aufgaben des Datenschutzbeauftragten |
Aufgaben des Datenschutzbeauftragten |
Benennung eines Datenschutzbeauftragten |
|
1. Der für die Verarbeitung |
1. Der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter betraut den Datenschutzbeauftragten mit mindestens folgenden Aufgaben: |
1. Dem Datenschutzbeauftragten obliegen folgende Aufgaben: |
1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn |
|
a) Unterrichtung und Beratung des für die |
a) Sensibilisierung, Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters über dessen aus dieser Verordnung erwachsenden Pflichten sowie |
a) Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die personenbezogene Daten verarbeiten, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten; |
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, |
|
b) Überwachung der Umsetzung und Anwendung der Strategien des für die |
b) Überwachung der Umsetzung und Anwendung der Strategien des für die Verarbeitung Verantwortlichen oder des |
b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten sowie der Strategien des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen; |
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder |
|
c) Überwachung der Umsetzung und Anwendung dieser Verordnung, insbesondere ihrer Anforderungen an einen d) Sicherstellung, dass die in Artikel 28 genannte Dokumentation vorgenommen wird; e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 31 und 32; f) Überwachung der von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter durchgeführten Datenschutz-Folgenabschätzung sowie der Beantragung einer vorherigen Genehmigung beziehungsweise Zurateziehung gemäß den Artikeln 33 und 34; g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten; |
c) Überwachung der Umsetzung und Anwendung dieser Verordnung, insbesondere ihrer Anforderungen an einen Datenschutz durch Technik und an d) Sicherstellung, dass die in Artikel 28 genannte Dokumentation vorgenommen wird; e) Überwachung der Dokumentation und Meldung von Verletzungen des Schutzes personenbezogener Daten sowie die Benachrichtigung davon gemäß den Artikeln 31 und 32; f) Überwachung der von dem für die Verarbeitung Verantwortlichen oder vom Auftragsverarbeiter durchgeführten Datenschutz-Folgenabschätzung sowie der Beantragung einer vorherigen Konsultation gemäß den Artikeln 32a, 33 und 34; g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten; |
c) (entfällt) d) (entfällt) e) (entfällt) f) Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 33g) Überwachung der auf Anfrage der Aufsichtsbehörde ergriffenen Maßnahmen sowie Zusammenarbeit im Rahmen der Zuständigkeiten des Datenschutzbeauftragten mit der Aufsichtsbehörde auf deren Ersuchen oder auf eigene Initiative des Datenschutzbeauftragten; |
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. |
|
2. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. |
|||
| 3. Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden. | |||
| 4. In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln. | |||
| 5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben. | |||
|
6. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. |
|||
|
7. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit. |
Erwägungsgrund: 97
Die Regelung des DSB in der DSGVO war lange umstritten. Doch nun gilt eine europaweite Verpflichtung zur Bestellung für Unternehmen deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist. Auch eine Mindestanzahl an Beschäftigten, wie sie das BDSG vorsah, existiert in der DSGVO nicht, dafür wird der Datenschutzbeauftragte für diese Fälle europaweit verpflichtend eingeführt – in den meisten Ländern ein Novum.
Dies reduziert zunächst (!) die Zahl der zur Bestellung eines DSB verpflichteten Unternehmen drastisch. Allerdings gibt es eine Öffnungsklausel für nationale Ausnahmeregelungen, die vom Gesetzgeber im BDSG(neu) genutzt wurden und die vom BDSG(alt) bekannten Regeln in Deutschland weiterhin aufrecht erhält. (s. unten).
Im Gegensatz zum BDSG(alt) gibt es keine Verpflichtung zu einer schriftlichen Bestellung. Eine „Benennung“ des DSB ist nun ausreichend. Im Sinne der Rechtssicherheit und der Nachweisverpflichtungen empfiehlt es sich jedoch, die Benennung zu dokumentieren und Termin, Aufgaben, Zeitkontingent/Ressourcen und andere Rahmenbedingungen schriftlich zu regeln.
Art. 37 Abs. 7 sieht jedoch vor, dass „der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des DSB veröffentlicht und diese Daten der Aufsichtsbehörde mitteilt.“
Die Artikel-29-Gruppe empfiehlt im Working-Paper 243 die Bereitstellung der postalischen Adresse sowie einer E-Mail-Adresse und Telefonnummer. Nicht zwingend muss der Name des Datenschutz-beauftragten veröffentlicht sein, aber die Benennung gegenüber Aufsichtsbehörden und Beschäftigten empfohlen.
Sanktionen bei fehlender Bestellung des DSB
Nach der DSGVO kann nach §83 Abs. 4 lit. A ein Bußgeld in Höhe von 10 Mio. € oder 2% des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist. Eine zivilrechtliche – oder ordnungswidrigkeiten Haftung kann ausgeschlossen sein, wenn der DSB seine Pflichten entsprechend erfüllt hat. Hierbei trifft ihn eine Nachweispflicht.
Der Konzern-DSB
Eine Unternehmensgruppe darf einen gemeinsamen DSB ernennen, wenn dieser von jeder Niederlassung aus leicht erreicht werden kann.
Wenn zu einem Konzern auch nicht EU ansässige Unternehmen zählen, muss der DSB seinen Sitz in einer Gesellschaft haben, die sich in der EU befindet. Dadurch soll die leichte Erreichbarkeit gewährleistet sein.
Kündigungsschutz für den (stellvertretenden) DSB
In der DSGVO ist die Regelung des Kündigungsschutzes recht knapp ausgefallen. Art. 38 Abs. 3 spricht davon, dass der DSB von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.
Externer DSB als Service
Die Bestellung eines externen DSB auf Basis eines Dienstleistungsvertrages ist unter der DSGVO weiterhin möglich,
das gilt neuerdings auch für öffentliche Stellen, wie z.B. Behörden des Bundes und der Länder sowie für Kommunen.
Hierbei sind Aufwand/Arbeitsteilung und Budget verhandelbar. Es gibt keinen Kündigungsschutz und der externe DSB ist stärker haftbar als ein Mitarbeiter.
Die Bestellung eines DSB nach dem BDSG(neu)
Das neue Bundesdatenschutzgesetz ab dem 25. Mai 2018 – BDSG(neu) – novelliert das BDSG nach der DSGVO und regelt die nationalen Öffnungsklauseln.
Die Bestellpflicht des DSB für nicht-öffentliche Stellen (insbes. Unternehmen, Vereine, etc.) wird in §38 BDSG(neu) abweichend zur DSGVO erweitert und behält die Regelungen des BDSG weitgehend bei: demnach muss ein DSB bestellt werden, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Für öffentliche Stellen (Bundes-/Landesbehörden, Kommunen) findet sich eine Regelung in §§5-7 BDSG(neu). §6.IV, V.2 und VI BDSG(neu) finden auch Anwendung für nicht-öffentliche Stellen (§38.II BDSG(neu))
Auch der verschärfte Kündigungsschutz, wie im BDSG geregelt, findet seinen Einzug in das BDSG(neu), und zwar in §6.IV BDSG(neu). Dieser ist in der Privatwirtschaft aber durch dann gegeben, wenn die Bestellung eines Datenschutzbeauftragten verpflichtend erfolgte (Einschränkung der Anwendbarkeit in §38.II BDSG(neu) .
Unsere Management-Information zum Datenschutzbeauftragten ist als PDF-Datei abrufbar. (Plagiate werden verfolgt!)
- Publikation der hessischen Afusichtsbehörde zum Datenschutzbeauftragten nach neuem Recht vom Juni 2017
- Empfehlenswert auch: GDD-Praxishilfe DS-GVO I – Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, Version 1.0, Stand November 2016
- Ferner die Richtlinie WP243 der Art. 29-Gruppe zum Datenschutzbeauftragten vom 13.12.2016 (Working-Paper 243) sowie ein FAQ dazu. Deutsche Vorabversion
Was versteh man unter „ umfangreich, regelmäßig und systematisch „?
Wie ist das mit dem Bußgeld zu verstehen?
„10 Mio. € oder 2% des weltweiten Umsatzes, je nachdem welcher Betrag höher ist. “ Heißt das, wenn ein kleines Unternehmen gerade mal 1 Mio € Jahresumsatz hatz, dass dann 10 Mio € Bußgeld fällig werden? Das hieße definitiv, dass dieses unternehmen pleite wäre, weil der Betrag 10 Jahresumsätzen entspräche. Das kann doch nicht sein.
Bitte um Klärung dieses Tatbestandes.
Im Gesetz steht bis zu 10 Mio. Euro und nicht 10 Mio Euro oder 2 % des konzernweiten globalen Jahresvorumsatzes und der höhere sich ergebene Wert soll dann das Bußgeld darstellen.
Hieraus resultiert eine erste Feststellung und bei dieser wird dann das Unternehmen sicher berücktichtigt. Hier kann dann die Aufsichtsbehörde beispielsweise sagen, dass dieses Vergehen bei diesem Unternehmen ihm 300.000 € wert ist, im Anschluss würde die Prüfung des Umsatzes erfolgen. Wenn der Vorjahresumsatz 1.000.000 € war, dann sind 2 % hiervon 20.000 €. Der höhere Wert soll angewendet werden und die abschreckende Wirkung ist vom Gesetz gewollt und folglich wäre dann das Bußgeld bei 300.000 €. Je nach Vergehen können aber auch unterschiedliche Gründe zu einer Reduzierung führen, bei der vorsätzlichen Nichtbestellung eines DSB aber wohl eher nicht, da ich mir hier keine entlastenden Gründe vorstellen könnte.
…“Für die im Gesetz unter Art. 83 Abs. 5 DSGVO aufgelisteten, besonders gravierenden Verstöße beträgt der Bußgeldrahmen bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist. „…