macfuchs iT-Consulting e.U.

DSGVO

Am 25. Mai 2018 ist es soweit – die neue Datenschutz-Grundverordnung (DSGVO) tritt in Kraft!

In der DSGVO wird vorgegeben, unter welchen Voraussetzungen Ihr Unternehmen personenbezogene Daten verarbeiten darf – und zwar Daten, die eine natürliche Person identifizierbar machen, wie Name, Adresse, Telefonnummer, IP-Adresse, aber auch Fotos oder Stimmaufzeichnungen.

DSGVO betrifft alle – vom Einzelunternehmen über einen kleinen Gewerbebetrieb bis zum internationalen Konzern.

Das Strafausmaß für eine Verletzung der DSGVO ist eigentlich merklich angehoben worden: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes Ihres Unternehmens sind im Extremfall möglich. „Eigentlich“ deswegen, weil die österr. Regierung vor ein paar Tagen einige Änderungen vorgenommen hat:

Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

Trotzdem ist empfehlenswert, alle notwendigen Schritte durchzuführen, da

  • Strafen trotzdem ausgesprochen werden bei mehrmaligen Vergehen
  • wenn man Kunden im EU-Ausland hat, trotzdem deren lokale – strengerere – DSGVO-Auslegung gilt
  • viele österr. Ausnahmen wohl vom EuGH als unionsrechtswidrig deklariert werden und dann korrigiert werden müssen

Kurzfassung – was die DSGVO für Unternehmen bedeutet

  • Bestandsanalyse durchführen – welche personenbezogenen Daten im Unternehmen entstehen, wo sie gespeichert werden, wie sie verarbeitet werden, wer Zugriff hat,…
  • Verarbeitungsverzeichnis erstellen: die Bestandsanalyse strukturiert schriftlich festhalten – gesetzlich vorgeschrieben!
  • Mit Lieferanten, die Ihre personenbezogene Daten verarbeiten oder zumindest Zugriff haben, Auftragsverarbeitungsverträge abschließen
  • Mitarbeiter auf dieses Thema einschulen: jedem Mitarbeiter muss bewusst sein, was zu beachten ist, wenn er personenbezogene Daten verarbeitet
  • Homepage und eMail-Signatur überprüfen, ob sie alle rechtl. notwendigen Informationen enthalten (Impressum, Datenschutzerklärung, Cookie-Consent)
  • Eine Datenschutzerklärung erstellen und öffentlich machen: zB. auf Homepage oder Link eMail-Signatur, oder als Anhang zu Angeboten/Rechnungen
  • AGBs auf DSGVO-Compliance überprüfen
  • Protokolle schreiben, damit man Fortschritt am Weg zur DSGVO-Compliance festhält
  • DSGVO ist ein permanenter Prozess, der auch nach Erfüllung aller Vorgaben regelmäßig überprüft werden muss

Die DSGVO baut inhaltlich auf 8 Prinzipien auf:

  • Das Prinzip Speicherbegrenzung besagt, dass Daten nur solange gespeichert werden, wie für die Verarbeitung erforderlich.
  • Das Prinzip Datenminimierung besagt, dass nur so viele Daten verarbeitet werden, wie erforderlich sind (für Newsletteranmeldung benötigt man kein Feld Handynummer).
  • Das Prinzip der Zweckbindung unterstreicht, dass Daten nur für die übereingekommenen Zwecke, und nicht darüber hinaus, verarbeitet werden (zB. Rechnung erstellen, Werbung zusenden, Daten Mitarbeiter an Lohnverarbeiter weiterleiten).
  • Das Prinzip Richtigkeit besagt, dass Daten in bestem Wissen und Gewissen richtig und aktuell gehalten werden sollen.
  • Das Prinzip Integrität & Vertraulichkeit besagt, dass die Sicherheit und der Schutz von verarbeiteten Daten höchstmöglich gewährleistet wird.
  • Das Prinzip der Rechenschaftspflicht besagt, dass das Unternehmen die Erfüllung des Datenschutzes nachweisen können muss.
  • Das Prinzip von Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz besagt, dass die Daten nur auf rechtmäßige, nachvollziehbare und transparente Weise verarbeitet werden sollen.
  • Das Prinzip der Verständlichkeit besagt, dass man alle Informationen in leicht verständlichen Formulierungen ohne Verschachtelung (Koppelungsverbot) formulieren muss.

Ausführliche Informationen zur Vorgehensweise

Eine Bestandsanalyse – an einer Dateninventur führt kein Weg vorbei!

  • Ihr Unternehmen muss wissen, welche personenbezogene Daten wo gespeichert werden, für welche Zwecke, wer Zugriff hat, wie lange die Daten gespeichert werden dürfen, ob bzw. an wen diese weitergegeben werden und was die Risiken bei einer Datenschutzverletzung wären.
    • Datenverarbeitung findet statt, wenn man personenbezogene Daten erstellt, bearbeitet, übermittelt und verwendet
    • auch Daten auf Papier unterliegen DSGVO, wenn sie einer Ordnung unterliegen (zB. Adressbuch alphabetisch sortiert)
    • Ausnahme nur, wenn sie für persönliche oder familiäre Zwecke genutzt werden, zb. in sozialen Netzwerken (ohne das ein Sync mit Unternehmenslösungen durchgeführt wird)
  • Neu ist das Recht auf vergessen: Wie lange sind Daten in Ihrem Unternehmen gespeichert? Gibt es Löschroutinen? Daneben gibt es noch gesetzliche Aufbewahrungspflichten (zB. ggü Finanzamt). Wenn man mit anderen Firmen gemeinsame Projekte hat, müsste man deren Mitarbeiter nach Ablauf von Schadenersatz- oder Gewährleistungsfristen löschen.
  • Welche Datenanwendungen werden verwendet? Werden Systeme außerhalb der EU gehostet, falls ja haben die Anbieter Abkommen mit der EU (zB. Google, Microsoft, Mailchimp, Dropbox, wetransfer, iCloud, jimdo, wix)? Stellt sich deren Datenschutzerklärung als rechtswidrig heraus, haften Sie als Verantwortlicher aber trotzdem. Siehe Privacy Shield – Internationaler Datenverkehr
  • Gibt es Anpassungsbedarf?
    • zB. durch Grundsatz der Datenknappheit – keine „nicht relevanten“ Daten speichern wie Geburtstag im Newsletteranmeldeformular – alle Datensätze sollte man vor dem 25. Mai bereinigen!
    • AGBs: wenn in AGBs Punkte mit Kundendaten oder digitale Verabeitung vorkommen, von einem Anwalt überprüfen lassen
    • Laufende Verträge mit Kunden und Lieferanten – steht da etwas Datenschutzrelevantes drinnen? Benötigt man einen Auftragsverarbeitungsvertrag?
    • Wird bei Ihnen alles getan, was bez. Datenschutz nötig/möglich/sinnvoll ist (z.B. Passwortschutz bei sensiblen Dateien, Verschlüsselung bei MacBooks, Pin-Code bei iPhones, Zugriffsbeschränkungen am Server, sichere Übermittlung Gehaltszettel, Backup-System)?
    • Eingesetzte Programme: Hersteller haben dafür zu sorgen, dass ihre Software datenschutzkonform ist („privacy by design“). Sie als Unternehmen haben die Verpflichtung, nur Programme einzusetzen, die datenschutzkonform sind, zudem trifft Verantwortliche zusätzlich die Pflicht, die datenschutzfreundlichsten Einstellungen standardmäßig einzustellen („privacy by default“). Bei sensiblen Datensätzen wie Gesundheitsdaten ist Datensicherheit besonders wichtig.
    • Website: Auf Ihrer Website muss eine Datenschutzerklärung abrufbar sein, sie muss von jeder Unterseite aufgerufen werden können.
      Inhalt:

    • Newslettersystem: wirklich nur notwendige Daten bei Anmeldung verlangt? Hat sich wirklich jeder Newsletterempfänger selbst angemeldet und kann man das anhand eines Protokolls auch beweisen? Dürfen nur jene Mitarbeiter zugreifen, die auch direkt etwas mit dem Versand von Newslettern zu tun haben? Siehe Newsletter versenden – aber richtig
      Double-Opt-In keine Gesetzesvorgabe aber trotzdem empfehlenswert

      • auch für Daten von Mitarbeitern gibt es Änderungen
        • die Mitarbeiter müssen speziell geschult werden für DSGVO-Thematik (siehe WKO eBook) – zumindest jene, die personenebezogene Daten verarbeiten
        • Die Belehrung von Mitarbeitern über das Datengeheimnis ist in § 6 des österreichischen Datenschutz-Anpassungsgesetzes konkret angesprochen. Sie verarbeiten täglich personenbezogene Daten – seien es Mitarbeiterdaten in der Personalabteilung oder Kundendaten im Vertrieb.
        • Sicherstellen, das nur befügte Mitarbeiter Zugriff auf Daten wie Bankkonto, Privatadresse haben
        • Unterlagen von Bewerber müssen spätestens nach 6 Monaten gelöscht werden. Möchte man Bewerberdaten länger speichern, ist dazu die Zustimmung des Bewerbers einzuholen.
        • Daten von Ex-Mitarbeitern muss man auch löschen, außer: Anspruch auf Ausstellung eines Dienstzeugnisses nach § 1478 ABGB: 30 Jahre; Dies bedeutet aber nur, dass die Daten aufgehoben werden müssen, die zur Ausstellung des Dienstzeugnisses notwendig sind
        • Zusatzvereinbarungen zum Dienstvertrag
          • ext. Datenübermittlung an Personalverrechner (zB. Kontonummer, Religion) – Mitarbeiter müssen über die externe Lohnverrechnung informiert werden. Mit dem Lohnverrechnungspartner muss man eine DSGVO-konforme Vereinbarung abschließen.
          • private Nutzung der IT-Ausstattung (Computer, Smartphone)
          • Computer und Smartphone müssen Pin-Code/Passwortschutz haben (egal ob Privat- oder Firmengerät – sobald sich Firmendaten am Gerät befinden). Ein Handy kann leicht abhandenkommen, hier sind als Mindeststandards PIN-Eingabe, bei Diebstahl ist die Möglichkeit der Fernlöschung durch eine Sicherheits-App empfehlenswert.
          • Zustimmung für Mitarbeiter-Foto auf Homepage (zB. Rubrik Ansprechpartner)
          • Zeiterfassung mittels Biometrie (sensible Daten!)

Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis)
Das Verarbeitungsverzeichnis ist eine der zentralen Neuerungen der DSGVO, sie muss u.a. Namen und Kontaktdaten des Verantwortlichen (GF), den Zweck der Datenverarbeitung, die Kategorien der betroffenen Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten. Auch der Umgang mit Mitarbeiterdaten muss angeführt werden. Im Verarbeitungsverzeichnis müssen allgemein die technisch-organisatorischen Maßnahmen beschrieben werden, die den Schutz der personenbezogenen Daten gewährleisten. Die Informationen müssen nicht extrem detailliert sein, sondern der Datenschutzbehörde einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Die WKO hat eigene Muster für Verantwortliche und Auftragsverarbeiter:

Eine Folgenabschätzung durchführen
Wenn ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten besteht, so muss Ihr Unternehmen eine Datenschutz-Folgenabschätzung machen. Das betrifft in erster Linie Unternehmen, die nach dem Gesetz „sensible Daten“ haben. Sie müssen die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschreiben sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewerten. Was gegen diese Risiken unternommen werden kann (Datensicherheitsmaßnahmen) komplettieren die Datenschutz-Folgenabschätzung.
Siehe Voraussetzungen und Analyseschritte für die Risiko-Folgenabschätzung und Checkliste – Prüfschritte
Beispiele: Kombination aus Fingerabdruck- und Gesichtserkennung für verbesserte Zugangskontrollen, Abgleichen oder Zusammenführen von Datensätzen in einer Weise, die für den Betroffenen unerwartet wären, wie etwa das Erfassen öffentlich zugänglicher Daten aus sozialen Netzwerken und anderen Quellen zum Zweck der Profilerstellung.

Informationspflichten befolgen
Von einer Datenverarbeitung betroffene Personen müssen über diese informiert werden – bevor es zu der Verarbeitung kommt:

  • Verarbeitungszweck und Rechtsgrundlage: zB. für Vertragserfüllung – Erstellung einer Rechnung aufgrund Verkauf von Artikeln, für Newsletterversand
  • Kontaktdaten des Verantwortlichen: in der Regel der Unternehmer, wenn es einen Datenschutzbeauftragten gibt, dann zusätzlich auch von ihm
  • Hinweis auf Datenverarbeiter: zB. Rechnungen werden mit einer Onlinelösung erstellt, Anbieter/Server befinden sich außerhalb der EU
  • Dauer der Datenspeicherung: in der DSGVO stehen keine Fristen, deswegen andere Gesetze überprüfen, welche Fristen dort angeführt werden, zB. wie lange Rechnungen aufgehoben werden müssen – 7 Jahre
  • Betroffenenrechte: welche Rechte sie als Person haben – zb. Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit oder auch auf Widerspruch/Widerruf
  • Beschwerderecht: dass es ein Beschwerderecht bei der Datenschutzbehörde gibt

Wie teilt man dies nun dem Kunden mit?

  • Als Zusatz im Kaufvertrag
  • Auf der Homepage, unter eigenen Punkt „Datenschutzbestimmungen“ (nicht „versteckt“ im Impressum)
  • Hinweis auf Geschäftspapier
  • Falls man Geschäftslokal besitzt und digital keinen/kaum Kontakt mit Kunden hat: Informationsblatt ausdrucken und aufhängen
  • Achtung: besser nicht als Teil der AGBs, da man argumentieren könnte, dass diese Einwilligungen dort „versteckt“ werden

Neu ist auch, dass natürliche Personen Betroffenenrechte (z.B. Auskunft, Löschung) haben, durch die sie unverzüglich, spätestens innerhalb eines Monats von Ihnen verlangen können, Auskunft zu geben, welche Daten Sie gespeichert haben und auch das Löschen verlangen können. Löschen kann man Verneinen, zB. aufgrund 7jährige Aufbewahrungspflicht bei Rechnungen. Gilt für natürliche als auch juristische Personen. Wichtig ist auch, dass man Auskunft geben muss, woher man die Daten ursprünglich hat (zB. problematisch wie manche bisher Kontakte für Newsletter hinzufügten). Backups darf man beim Thema Löschen nicht übersehen – man muss Daten nicht aus alten Backups löschen, aber zeitnah für neue Backups nicht mehr enthalten. Auskunftsrecht bedeutet auch, die gesamte eMail-Korrespondenz zu übergeben. Angebotsanfragen müssen auch nach gewisser Zeit gelöscht werden, wenn Person kein Kunde wurde.

Auftragsverarbeitungsvertrag
Diesen brauchen Sie, wenn externe Dienstleister (sog. Auftragsverarbeiter, z.B. Steuerberater, PR-Agenturen, Webhoster) beauftragt werden. Prüfen Sie, ob ein entsprechender Vertrag vorhanden ist, wenn nicht, sollten Sie einen abschließen. Der Verantwortliche darf nur solche Auftragsverarbeiter beauftragen, die eine datenschutzkonforme Verarbeitung gewährleisten, dh die Letztverantwortung bleibt grundsätzlich bei Ihnen. Aber auch für das Datenschutzrecht gilt das Verschuldensprinzip. Trifft den ursprünglich Verantwortlichen daher gar kein Verschulden an der rechtswidrigen Datenverarbeitung durch einen anderen, kann er auch nicht haftbar gemacht werden, sofern nicht die Regeln der Gehilfenhaftung greifen.  Große Clouddienstleister außerhalb der EU müssen Ihre Nutzungsverträge (-bedingungen) updaten und ggf. von Ihnen neu bestätigen lassen. Falls Anbieter keine DSGVO-Informationen bereitstellt und sich weigert, eine Auftragsverarbeiter-Vereinbarung zu unterzeichnen, verstößt eine weitere Zusammenarbeit gegen die DSGVO – d.h. Sie müssen sich in diesem Fall einen neuen Lieferanten suchen.
Wko hat weitere Informationen und Musterverträge

Data Breach Notification
Im Falle von Datenschutzverletzungen (z.B. Verlust eines Datenträgers, Hackerangriff) ist Ihr Unternehmen verpflichtet, dies der Datenschutzbehörde zu melden (Österreichische Datenschutzbehörde https://dsb.gv.at). Und zwar in angemessener Frist innerhalb von 72 Stunden nach der Entdeckung. Die betroffenen Personen müssen nur dann nicht informiert werden, wenn die Datenschutzverletzung kein Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet. Datenschutzverletzungen basieren in den meisten Fällen auf der Ausnutzung von Sicherheitslücken. Deswegen gibt es in der DSGVO den Begriff „Stand der Technik“. Der Stand der Technik muss immer wieder geprüft und technische Maßnahmen gegebenenfalls angepasst werden, um die Datensicherheit gewährleisten zu können und mit der aktuellen Bedrohungslage und dem Datenschutz Schritt zu halten. In der Praxis bedeutet dies: aktueller Virenschutz (auch auf Macs!), keine alten Betriebssysteme verwenden, für die es keine Sicherheitsupdates mehr gibt, WLAN mit aktuellen Sicherheitsstandards, aber auch Systeme, an die man vielleicht nicht sofort denkt (Homepage, die auf einem CMS wie WordPress basiert, Switche, Router, Smartphones, Drucker mit WLAN usw.)

DSGVO endet nicht am 25. Mai
Weiters muss man beachten, dass die Umsetzung der DSGVO ein kontinuierlicher Prozess bleibt – mit ihr verbundene Aufgaben enden nicht im Ende Mai 2018! Interne Veränderungen in den Unternehmen müssen immer DSGVO-konform realisiert werden. Zudem muss man abwarten, wie die Datenschutzbehörde manche Stellen im Gesetz interpretiert, um dann den eigenen Status nochmals zu überprüfen. Deswegen sollte einer Person im Unternehmen ein gewisses Zeitbudget zur Verfügung stehen, um sich regelmäßig auf den aktuelle Stand zu bringen.

Datenschutzbehörde (DSB)
Im Gesetzt steht: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes Ihres Unternehmens sind im Extremfall möglich – wie die Datenschutzbehörde das alles aber auslegt, wissen wir erst nach dem 25.05.2018.

Bei jedem Verstoß werde sich die Datenschutzbehörde ansehen, ob er mit Vorsatz oder aus Fahrlässigkeit begangen wurde, wie ernst das Unternehmen den Datenschutz bislang nahm und welche Auswirkungen der Verstoß hat. Ausschlaggebend sei auch die Anzahl an Betroffenen und welche Art von Daten von dem Verstoß betroffen waren. Besonders geschützte Kategorien seien etwa Gesundheitsdaten, politische Gesinnung oder ethnische Herkunft von Personen.

Wie wird das überprüft?
Die Datenschutzbehörde kann auf unterschiedliche Arten aktiv werden:

  • aus eigenem Antrieb: Datenschutzbehörde wird sich sicher Anfangs vor allem große Unternehmen mit vielen personenbezogenen Daten ansehen, zB. aus den Bereichen Telekom, Hosting, Krankenhäuser
  • eine eigene Abteilung überprüft Websites von Unternehmen, falls diese schwere DSGVO-Mängel aufweisen, wird es Besuche vor Ort geben
  • Durch Beschwerden von Personen – weil zB. ein Unternehmen keine Auskunft über gespeicherte Daten geben wollte
  • Stichproben-Überprüfungen

Achtung: Die Datenschutzbehörde ist berechtigt, sich in den Räumlichkeiten des Unternehmers frei zu bewegen und verlangen, dass sie zB. den Serverraum besichtigen dürfen oder Einstellungen auf Server oder Arbeitsplätze einsehen dürfen.

Weitere Informationsmöglichkeiten
Die WKO hat auf ihrer Homepage sehr umfangreiche Informationen bereit gestellt:

Wir unterstützen Sie aber auch gerne persönlich:

  • bei der Bestandsanalyse
  • bei der Aktualisierung der Hard- und Software, damit Sie die Vorgabe „Stand der Technik“ erfüllen
  • auf eine konforme Lösung zu migrieren, falls eine aktuell genutzte Software-Lösung nicht DSGVO-konform ist
  • Überprüfung der Homepage auf alle gesetzlichen Vorgaben
  • bei besonders heiklen oder kniffligen Themen können wir auf einen TÜV-zertifizierten DSGVO-Experten und eine Rechtsanwältin zurückgreifen

Für Rückfragen stehen wir Ihnen gerne unter +43 676 6903693 oder ferdinand@macfuchs.com zur Verfügung!

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar: Mit dieser Seite möchten wir unseren Kunden nützliche Ratschläge zur DSGVO geben. Es handelt sich hierbei nicht um eine umfassende Anleitung oder eine rechtliche Empfehlung. Jede Organisation sollte für sich die notwendigen Schritte unternehmen, um ihre DSGVO-Compliance zu gewährleisten. Wir übernehmen keinerlei Gewähr für allfällige Rechtsfolgen, die sich aus der Umsetzung dieser Informationen ergeben.

 

Weitere wichtige Informationen

Streng genommen ist nicht nur die DSGVO wichtig, sondern eine Vielzahl an Gesetzen, die bei der Beurteilung der eigenen DSGVO-Compliance eine Rolle spielen, zB:

Newsletter-Versand
Wesentliche Grundlage ist das TKG und nicht die DSGVO, dadurch ändert sich nichts im Vergleich zu bisher:

  • immer Einwilligung einholen (am besten schriftlich und protokolliert)
    • Wenn es Bestandskunden sind
      • auch ohne Einwilligung, wenn beim Verkauf erhoben wurde und
      • der Kunde bei Erhebung der Adresse auf Verwendung und Widerspruchsmöglichkeit hingewiesen wurde
      • Kunde hat bei jeder Zusendung die Möglichkeit abzulehnen
      • gleiche oder ähnliche Produkte müssen beworben werden
      • Kunde ist nicht in der „ECG-Liste“ eingetragen

Gleiches Recht für Alle
Für Unternehmen, die EU-weit tätig sind, bedeutet die DSGVO eine Vereinfachung, da diese Regeln in allen 28 EU-Ländern gelten. Es gibt allerdings Öffnungsklauseln, durch die auch einzelne Staaten Teilbereiche anders regeln können, d.h. Konsultation eines lokalen Anwalts trotzdem sicherheitshalber empfehlenswert! Zudem haben Unternehmen aus einem nicht-EU-Land – zumindest theoretisch – keine Vorteile durch laschere lokale Gesetze, da automatisch die DSGVO für EU-Bürger gilt, auch wenn das Unternehmen keinen Standort innerhalb der EU hat.

Was sind sensible, personenbezogene Daten?
Das sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Geschlecht zählt nicht zu den sensiblen Daten.
Beispiele: Fingerabdruck, Irisscan, Krankengeschichte, Sozialversicherungsnummer. Bankkonten und Kreditkarten sind nicht per Gesetz sensible Daten, fallen unter „normale“ Daten, wo man besondere Datensicherheitsmaßnahmen einhalten sollte.

Öffnungsklauseln
Regelungen, durch die sich die österr. DSGVO von anderen EU-Ländern unterscheidet

  • gilt bei Kindern ab 14 Jahre (EU 16 Jahre)
  • Beraten statt Strafen – wie ich es richtig machen sollte beraten und nicht sofort strafen. Voraussetzung natürlich, dass man grundsätzlich alles Notwendige getan hat und der Fehler nicht gravierend ist (zB. gar kein Verarbeitungsverzeichnis zu führen)
  • keine kommulierenden Strafen

Zuständigkeit & Ansprechpartner – benötigt man einen Datenschutzbeauftragten?
Der Datenschutzbeauftragte unterrichtet und berät den Verantwortlichen hinsichtlich dessen Pflichten nach der DSGVO und sonstigen Datenschutzvorschriften. Ein Datenschutzbeauftragter muss ein gewisses Maß an Erfahrung in datenschutzrechtlichen Dingen aufweisen. Konkrete Ausbildungen sind zwar nicht verpflichtend, aber empfehlenswert. Der Datenschutzbeauftragte haftet lediglich nach den allgemeinen Regeln, nicht aber gegenüber der Behörde für Strafen. EPUs benötigen im Regelfall keinen Datenschutzbeauftragten. In erster Linie werden Unternehmen, die aufgrund ihrer Größe eine komplexe Datenschutzsituation haben, oder die mit sensiblen Daten umgehen (Detektivbüros, Banken, Versicherungen, Datenanalyse fremder Daten), einen Datenschutzbeauftragten benötigen. mehr Infos
Zum Datenschutzbeauftragten dürfen allerdings keine Personen ernannt werden, welche eine Funktion haben, die mit den Aufgaben als Datenschutzbeauftragter kollidieren, wie etwa Geschäftsinhaber, Leiter der IT-Abteilung oder der Rechtsabteilung.