Neue Datenschutzverordnung DSGVO

Moderator: FDR-Team

Antworten
seglereins
Topicstarter
FDR-Mitglied
FDR-Mitglied
Beiträge: 306
Registriert: 14.09.06, 18:05

Neue Datenschutzverordnung DSGVO

Beitrag von seglereins »

Hallo,
ab wann ist ein Datenschutzbeauftragter zu bestellen intern bzw. extern.
Angenommen es würde sich um einen 1-Mann Betrieb handeln, der Bestellungen
für Dienstleistungen über seine Webseite mittels eines Kontaktformulars vornimmt.
Soweit mit bekannt ist ein Datenschutzbeauftragter zu benenn ab einer Mitarbeiterzahl von
10 Personen.
in Art. 37 DSGVO konnte ich auch nichts finden was auf die Verpflichtung
hindeutet - siehe hier:https://dsgvo-gesetz.de/art-37-dsgvo/
Demnach dürfte der sogenannte kleine "Krauter" von der Verpflichtung zur Bestellung
eines Datenschutzbeauftragten ausgenommen sein.
Wäre das so richtig?


Viele Grüße
seglereins

michael61s
FDR-Mitglied
FDR-Mitglied
Beiträge: 1195
Registriert: 18.11.10, 16:13

Re: Neue Datenschutzverordnung DSGVO

Beitrag von michael61s »

Ja das ist so richtig.
Das bedeutet aber nicht, dass er keine Verfahrensdokumentation benötigt.
Die benötigt "der kleine Krauter" auch. Rechtsgrundlage ist nicht nur der Datenschutz, sondern auch die GoBD.
https://de.wikipedia.org/wiki/Verfahrensdokumentation

seglereins hat geschrieben:für Dienstleistungen über seine Webseite mittels eines Kontaktformulars vornimmt.
Hier muss auch der Datenschutz beachtet werden.

Zafilutsche
FDR-Mitglied
FDR-Mitglied
Beiträge: 6099
Registriert: 24.07.07, 10:47
Wohnort: Rhein/Ruhrgebiet

Re: Neue Datenschutzverordnung DSGVO

Beitrag von Zafilutsche »

seglereins hat geschrieben: Demnach dürfte der sogenannte kleine "Krauter" von der Verpflichtung zur Bestellung
eines Datenschutzbeauftragten ausgenommen sein.
Man sollte bedenken, dass es nicht einem "Beauftragten" bedarf, um festzustellen
dass Personenbezogene Daten gesammelt und verarbeitet werden.
In einem 1-Mann Betrieb ist auch so klar, wer die Verantwortung trägt und wer "Rechschaftspflichtig" ist.
Die "Neue" Datenschutzgrundverordnung DSGVO erweitert halt in einigen Punkten die bisherigen Regelungen des
BDSG. U.a. die Erweiterung bezüglich der Haftung/Meldepflicht bei Verstößen und einiges mehr.
Viele Fragen werden sicherlich nach der Fristverstreichung offen bleiben bzw die Rechtsprechung wird
Fragestellungen klären müssen und Richtungen vorgeben.
Also auf die Frage: "Demnach dürfte der sogenannte kleine "Krauter" von der Verpflichtung zur Bestellung
eines Datenschutzbeauftragten ausgenommen sein ...", würde ich sagen ja, aber das entbindet nicht von einer Überprüfung und Dokumentation insbesondere dann, wenn hochsensible Daten gesammelt, gespeichert oder gar an dritte weiter gegeben werden. (Server?, Zugangsberechtigte?, Sicherungskopien? Software von drittanbietern?, Kundenkontakte?, Lieferantenkontakte?)

avoelp
FDR-Mitglied
Beiträge: 49
Registriert: 28.05.11, 12:36

Re: Neue Datenschutzverordnung DSGVO

Beitrag von avoelp »

... ich hänge mich hier mal mit einem anderen, ebefalls rein fiktiven Beispiel dran:

Ein anderer "kleiner Einmann-Krauter" ist Freiberufler und hat, weil er natürlich mit seiner Kundschaft kommunizieren muss, auf seinem PC ein Adressbuch mit den Kontaktdaten seiner Kunden. Das wird auch nirgendwo hochgeladen, sondern befindet sich auf der "internen" EDV. Natürlich hat er sich von seinen Kunden aber keine schriftliche Einwilligung eingeholt, dass er ihre Adressdaten speichern darf - das wäre im Alltag auch kaum praktikabel. Andere personenbezogene Daten fallen nicht an.

Hat er damit irgendwelche Regelungen der DS-GVO an der Backe?

Gruß, Andreas

Zafilutsche
FDR-Mitglied
FDR-Mitglied
Beiträge: 6099
Registriert: 24.07.07, 10:47
Wohnort: Rhein/Ruhrgebiet

Re: Neue Datenschutzverordnung DSGVO

Beitrag von Zafilutsche »

avoelp hat geschrieben: Natürlich hat er sich von seinen Kunden aber keine schriftliche Einwilligung eingeholt, dass er ihre Adressdaten speichern darf - das wäre im Alltag auch kaum praktikabel. Andere personenbezogene Daten fallen nicht an.
Wahrscheinlich wird es kein schwarz/weiß geben.
Ob eine Einwilligung der betroffenen Person(en) in einer Anbandelungsphase erforderlich sein wird oder nicht, ist gegenwärtig offen und wird vermutlich in der späteren Rechtsprechung zu finden sein. Im Zweifel würde ich aber so früh wie möglich die Einwilligung einholen/nachholen.
Mit dem Speichern (elektronisch/Papierform) muß lediglich sichergestellt sein, dass die Daten nicht unbefugt dritten zugänglich gemacht werden. Daher sollte man sich die Frage stellen, wer wartet die IT? Schützen regelmäßige Softwareupdates/Antivirenprogramme/Datensicherungen/ Datenverschlüsselungen/Passwörter einen unerlaubten Zugriff? Es wird nicht explizit vorgeschrieben, dass z.B. das Adressbuch im Safe eingeschlossen werden muß, aber es muß halt sicher gestellt sein, dass nicht eben die Putzfrau oder andere mal rein schauen können.
Wie man das anstellt bleibt also offen.
Noch schwieriger und komplizierter finde ich allerdings die Frage im Umgang mit der "Arbeitsmedizin"
Eigentlich müßte m.E. ein komplexes Vertragswerk zwischen dem Unternehmer und mit dem Dienstleister geschlossen werden. Darin Eingebunden die Einverständniserklärung des jeweiligen Arbeitnehmers.
Das berührt m.E. das Thema Arbeitsrecht. Mal schaun was sich da noch alles tut. :oops:

michael61s
FDR-Mitglied
FDR-Mitglied
Beiträge: 1195
Registriert: 18.11.10, 16:13

Re: Neue Datenschutzverordnung DSGVO

Beitrag von michael61s »

Zafilutsche hat geschrieben:Ob eine Einwilligung der betroffenen Person(en) in einer Anbandelungsphase erforderlich sein wird oder nicht, ist gegenwärtig offen und wird vermutlich in der späteren Rechtsprechung zu finden sein. Im Zweifel würde ich aber so früh wie möglich die Einwilligung einholen/nachholen. "
Diese ist nicht erforderlich, da sonst ja keine Antwort auf eine Anfrage per E-Mail möglich ist. ( Artikel 6b DSGVO)
Die Datenschutzerklärung sollten dann bei der Ersten Antwort mit gesendet werden.
Die Speicherung von Kunden Daten, ist auch nach HGB und AO geregelt.

Zafilutsche hat geschrieben:Noch schwieriger und komplizierter finde ich allerdings die Frage im Umgang mit der "Arbeitsmedizin"
Das kommt darauf an welche Daten der Arzt dem Arbeitgeber mitteilt? Sprich in wie weit der Arzt seine Verschwiegenheitspflicht gegenüber dem Patienten nicht Einhält.
Ich vermute, dass dies nur in Verbindung mit einer Einverständniserklärung des Patienten geht, in der Festgelegt ist, welche Daten an den Arbeitgeber weitergegeben werden.
Zafilutsche hat geschrieben:Eigentlich müßte m.E. ein komplexes Vertragswerk zwischen dem Unternehmer und mit dem Dienstleister geschlossen werden.
Warum, hast Du dir mal das KP13 angeschaut. Insbesondere die Anlage B?

Antworten