Pflichtangaben im Internet
Datenschutzerklärung
In dieser Darstellung berücksichtigen wir den aktuellen Rechtsstand und schlagen Ihnen - wenn immer möglich – den (rechts-)sichersten Weg vor. Sie können Ihren Webauftritt durch Beachtung dieser Hinweise deutlich sicherer gestalten, wenn sich letztlich auch ein Restrisiko nicht ausschließen lässt, denn unter Juristen ist der Umfang der vorzuhaltenden Angaben immer noch umstritten.
Erheben Sie über Ihren Internetauftritt personenbezogene Daten?
Unter personenbezogenen Daten versteht der Gesetzgeber “alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen” (Art. 4 DSGVO).
Kurz: Alle Informationen, die einem Menschen fest zugeordnet werden können und so etwas über ihn aussagen.
Wollen Sie zum Beispiel für einen Bestellvorgang den Namen und die Adresse eines Kunden aufnehmen, so sind diese Daten bereits personenbezogen. Mit anderen Worten: Jeder der über das Internet im Wege des E-Commerce Verträge schließt und Waren versenden will, braucht in der Regel schon deshalb eine Datenschutzerklärung, weil er Adressdaten aufnehmen und speichern muss.
Weitere Beispiele können sein, die Versendung eines Newsletters (E-Mail-Adresse in Verbindung mit dem Kundennamen), die Nutzung eines Warenkorbs im Shop (Zuordnung eines Artikels zu einem Kunden) und Weiteres.
Keine personenbezogenen Daten erheben Sie, wenn Sie lediglich eine Internetseite betreiben, ohne Nutzerdaten zu speichern. In diesem Fall benötigen Sie auch keine Datenschutzerklärung.
Was müssen Sie im Umgang mit personenbezogenen Daten im Internet beachten?
Personenbezogene Daten genießen einen besonderen gesetzlichen Schutz, der verfassungsrechtlich gewährleistet und durch eine Vielzahl von gesetzlichen Bestimmungen ausgestaltet ist. Regelungen finden sich insbesondere in der Datenschutzgrundverordnung (DSGVO) im neuen Bundesdatenschutzgesetz (BDSG, n.F.), den Datenschutzgesetzen der Länder und – für den Internetbereich von besonderer Bedeutung – im Telemediengesetz (TMG).
Es sind zwei Grundsätze, die das Datenschutzrecht in besonderem Maße bestimmen: zum einen das grundsätzliche Verbot, überhaupt mit personenbezogenen Daten umzugehen (von dem Ausnahmen gemacht werden) und zum anderen, die strenge Bindung von Daten an eine konkrete Form der Verwendung (strenge Zweckbindung).
- Grundsätzlich verboten
Um den Schutz personenbezogener Daten effektiv zu gewährleisten, hat der Gesetzgeber die Erhebung und Verwendung solcher Daten zunächst einmal grundsätzlich verboten.
- Verwendung im Einzelfall erlaubt
Nur wenn der Umgang mit solchen Daten entweder ausdrücklich durch das Gesetz erlaubt ist oder wenn der Betroffene vor der Verwendung der Daten eingewilligt hat, dürfen Sie personenbezogene Daten speichern und verwenden – sonst nicht. - Datenschutzerklärung erforderlich
Wenn der Umgang mit personenbezogenen Daten erlaubt ist, brauchen Sie trotzdem in jedem Fall zusätzlich noch eine Datenschutzerklärung.
- Verwendung im Einzelfall erlaubt
- Verknüpfung mit einem bestimmten Zweck
Im Datenschutzrecht gilt außerdem die strenge Zweckbindung, das heißt, dass mit personenbezogenen Daten immer nur genau das gemacht werden darf, was ausdrücklich gesetzlich erlaubt ist beziehungsweise worauf sich ausdrücklich die Einwilligung des Betroffenen bezieht.
- Kurz: Was müssen Sie beachten?
- Erheben und verwenden Sie personenbezogene Daten Ihrer Kunden, müssen Sie immer eine Datenschutzerklärung abgeben.
- Ist die Erhebung und Verwendung nicht ausdrücklich erlaubt, brauchen Sie eine Einwilligung des Betroffenen.
- Liegt eine erforderliche Einwilligung nicht vor, dürfen die Daten nicht erhoben und verwendet werden.
Ein Verstoß gegen datenschutzrechtliche Vorschriften kann Bußgelder, Abmahnungen und einen deutlichen Imageverlust nach sich ziehen
Was ist gesetzlich erlaubt?
Als wichtigste Ausnahmen vom grundsätzlichen Verbot des Umgangs mit personenbezogenen Daten hat der Gesetzgeber den Umgang mit sogenannten Bestandsdaten und Nutzungsdaten erlaubt.
- Bestandsdaten
Was sind Bestandsdaten?
Untechnisch gesprochen sind Bestandsdaten alle personenbezogenen Daten, die für die Vertragsabwicklung unbedingt erforderlich sind.Hintergrund: Einzelheiten sind hier rechtlich umstritten, der Streit rankt sich allerdings primär um die Anwendbarkeit von § 14 TMG auf Verträge, die “offline” erfüllt werden. Selbst wenn § 14 TMG nicht anwendbar wäre, dürften Bestandsdaten aber nach Art. 6 Abs. 1b DSGVO erhoben werden.Das setzt vor allem Voraus, dass Sie einen Vertrag mit einem Kunden geschlossen haben. Wenn Sie zum Beispiel über Ihren Online-Shop einen Schal verkauft haben, dürfen sie alle personenbezogenen Daten speichern, die Sie für die Abwicklung des Vertrags unbedingt benötigen. Dabei ist auf die konkreten Vereinbarungen abzustellen. Sollen Sie den Schal versenden, dürfen Sie Namen und Adresse erheben und verwenden. Je nach vereinbarter Zahlungsart dürfen Sie die Kontodaten/Kreditkartendaten des Kunden speichern und verwenden usw.Zweckbindung
Wichtig: Nach dem Zweckbindungsgrundsatz dürfen diese Daten aber auch wirklich nur für die Abwicklung des konkreten Vertrags verwendet werden! Sie müssen diese Daten daher nach Abwicklung des Vertrags auch wieder löschen. Wenn Sie beabsichtigen, den Kunden zu registrieren, damit er bei weiteren Bestellungen nicht mehr jedes mal seine Daten neu eingeben muss, handelt es sich nicht mehr um Bestandsdaten und sie benötigen dazu eine Einwilligung! Dasselbe gilt auch für die Speicherung der Bestandsdaten für Zwecke der Werbung – auch in diesem Fall ist eine Einwilligung erforderlich.Datenschutzerklärung
Wollen Sie im Rahmen Ihres Internetshops Bestandsdaten verwenden, benötigen Sie auf jeden Fall eine Datenschutzerklärung. - Nutzungsdaten
Was sind Nutzungsdaten?
Unter Nutzungsdaten versteht der Gesetzgeber solche Daten, die unbedingt erforderlich sind, um ein Internetangebot überhaupt in Anspruch nehmen zu können oder abzurechnen. Wenn Sie zum Beispiel im Internet die Möglichkeit schaffen, eine Datenbank zu nutzen und diese Nutzung anhand von Anzahl und Dauer der Zugriffe abrechnen wollen, dann dürfen Sie die dazu erforderlichen Informationen auch speichern.Nutzungsdaten können insbesondere sein:- Merkmale zur Identifikation des Nutzers,
- Angaben über Beginn und Ende sowie den Umfang der jeweiligen Nutzung und
- Angaben über die vom Nutzer über das Internet in Anspruch genommenen Leistungen
Entscheidend ist immer, dass die Leistung über das Internet ohne diese erhobenen Nutzungsdaten entweder schon nicht gewährleistet werden oder nicht abgerechnet werden kann.Zweckbindung
Nach dem Grundsatz der Zweckbindung dürfen auch immer nur Daten als Nutzungsdaten gespeichert bleiben, so lange sie für den jeweiligen Zweck noch unbedingt erforderlich sind. So kann es, wenn die Nutzung beendet ist und nur noch die Abrechnung erfolgen muss, notwendig werden, solche Daten, die für die Abrechnung nicht mehr benötigt werden, zu löschen.Werbung/Marktforschung/bedarfsgerechte Gestaltung
Der Gesetzgeber hat hier aber eine Ausnahme vorgesehen. Für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung dürfen so genannte Nutzungsprofile erstellt werden. Voraussetzung dazu ist allerdings, dass die Daten pseudonymisiert werden müssen, das heißt, es muss sichergestellt sein, dass anhand dieser Daten nicht mehr ohne weiteres auf den Betroffenen zurück geschlossen werden kann. Dazu ist es auch verboten, die Pseudonymisierung später wieder rückgängig zu machen. Eine individuell angepasste Werbung ist damit erschwert.Neben der Pseudonymisierung ist es erforderlich, dass dem Nutzer ein Widerspruchsrecht eingeräumt wird. Angesichts dieser deutlichen Einschränkungen empfiehlt es sich möglicherweise, vom Nutzer eine Einwilligung einzuholen (etwa um Angebote mitzuteilen). Zulässig bleibt in jedem Fall aufzuzeichnen, wie viele Nutzer beispielsweise die Webseite besucht haben (durch Besucherzähler). Da hierbei nur die Zugriffe gezählt werden, handelt es sich schon nicht um personenbezogene Daten.Datenschutzerklärung
Wollen Sie im Rahmen Ihres Internetshops Nutzungsdaten verwenden, benötigen Sie auf jeden Fall eine Datenschutzerklärung.
Wie erfolgt die Einwilligung des Benutzers?
Ist die Erhebung und Verwendung personenbezogener Daten nicht schon durch das Gesetz erlaubt, bedarf es einer Einwilligung des Betroffenen. Ohne weiteres kann die Einwilligung schriftlich erklärt werden, wesentlich eleganter ist es aber, die Einwilligung – dem Medium Internet entsprechend – auch online, das heißt elektronisch einzuholen.
- Koppelungsverbot beachten
Alle Angaben, die nicht Bestandsdaten oder Nutzungsdaten sind, sind für die Abwicklung eines Vertrags streng genommen entbehrlich. So kommt es, dass es bei der Einwilligungserklärung – bußgeldbewährt – verboten ist, von der Einwilligung die Nutzung des Onlinedienstes abhängig zu machen, so genanntes KoppelungsverbotHintergrund: Das Koppelungsverbot ist in Art. 7 Abs. 4 DSGVO geregelt. Demnach muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrages, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung eines Vertrages nicht erforderlich sind. Im Zusammenhang mit dem Koppelungsverbot ist vieles umstritten, so dass es kaum eine verlässliche Aussage darüber geben kann, welche Koppelungen möglich sind und welche nicht. Um sicher zu gehen empfehlen wir, generell eine Koppelung zu vermeiden.
- Transparenz für den Nutzer
Die Einwilligung des Nutzers ist nur wirksam, wenn sie bewusst und eindeutig erteilt wird. Welche Anforderungen sich daraus im Einzelnen für eine wirksame Einwilligungserklärung ergeben, lässt der Gesetzgeber offen. Als sicherste Variante gilt derzeit die so genannte Double-Opt-In-Methode. Andere Varianten sind aber denkbar.Beim Double-Opt-In-Verfahren wird dem Nutzer zunächst eindeutig mitgeteilt, dass bestimmte personenbezogene Daten über ihn erhoben und gespeichert werden sollen. Der Nutzer muss dann sein Einverständnis durch entsprechende Auswahl eines Feldes erteilen oder versagen. Anschließend wird ihm eine Bestätigungsanfrage per E-Mail zugesandt, in der nochmals darauf hingewiesen wird, welche Daten zu welchem Zweck gespeichert/verarbeitet werden sollen und dass der Nutzer durch Bestätigung der E-Mail seine Einwilligung erteilt. Die Einwilligung ist erst dann erteilt, wenn der Nutzer auch dieser Bestätigungsanfrage nachgekommen ist.
- Abrufbarkeit und Widerrufbarkeit der Einwilligung
Die elektronische Einwilligung muss für den Nutzer jederzeit abrufbar und auch widerrufbar sein. Hier bietet sich an, ein Kundenprofil einzurichten und dort – neben der Möglichkeit, seine Daten zu ändern (zum Beispiel wegen Umzugs) – eine eigene Rubrik Datenschutz einzurichten, innerhalb derer der Nutzer die Einwilligungserklärung jederzeit nachlesen und erteilen bzw. widerrufen kann. Um sicherzugehen, empfiehlt sich auch hier das Double-Opt-In– Verfahren.
- Beispiel: Einwilligungserklärung
Einwilligung in die Speicherung meiner Kontaktdaten:Hiermit erkläre ich mein Einverständnis dazu, dass XY für zukünftige Bestellvorgänge meinen Namen und meine Adresse speichert. Ich habe jederzeit die Möglichkeit diese Einwilligung unter Meine Daten - Datenschutz zu widerrufen.oderNewsletterbestellung:E-Mail-Adresse:_______________Hiermit bestelle ich Ihren Newsletter. (Der Newsletter kann jederzeit durch den Link Abmelden am Ende des Newsletters oder im Kundenbereich unter Meine Daten - Newsletter abbestellt werden.)
- Einwilligungserklärung und Datenschutzerklärung
Wichtig ist schließlich, dass dasjenige, in das eingewilligt wird (zum Beispiel Speicherung der Adressdaten) außerdem auch noch entsprechend in der Datenschutzerklärung aufgeführt wird.
Wie setze ich die Datenschutzerklärung rechtlich um?
In jedem Fall, in dem Sie personenbezogene Daten speichern und wiederverwenden möchten, benötigen Sie also eine Datenschutzerklärung.
- Wie stelle ich die Datenschutzerklärung zur Verfügung?
Die Datenschutzerklärung selbst muss für den Nutzer jederzeit leicht auffindbar und aufrufbar sein. Wir empfehlen neben dem Link zum Impressum auf jeder Seite (vielleicht am Ende) einen Link Datenschutzerklärung einzurichten, über den jeweils die Datenschutzerklärung aufrufbar ist. Nicht zulässig ist es, die Datenschutzerklärung in eventuell verwendete allgemeine Geschäftsbedingungen zu integrieren (weil es sich nur um eine Information des Nutzers handelt und eben keine Vertragsbedingungen).
- Was muss in die Datenschutzerklärung?
Wie dargestellt, müssen Sie in Ihrer Datenschutzerklärung genau darüber informieren, welche personenbezogenen Daten zu welchem Zweck gespeichert oder verwendet werden.
Bestandsdaten und Nutzungsdaten
Wenn der Umgang mit personenbezogenen Daten bereits gesetzlich erlaubt ist, wie bei den Bestands- oder Nutzungsdaten, dann genügt eine einfache Beschreibung, dass Sie diese Daten erheben, welche Daten das genau sind und zu welchem Zweck sie verwendet werden. Dabei sind in der Formulierung keine juristischen Besonderheiten zu beachten.Mit Einwilligung erhobene personenbezogene Daten
Wichtig ist aber, dass sich der Einwilligungstext und Text der Datenschutzerklärung entsprechen.Informationspflichten
Außerdem bestehen gem. Art. 13 und 14 DSGVO bestimmte Informationspflichten, die ebenfalls in die Datenschutzerklärung aufgenommen werden müssen:- Identität des Verantwortlichen und evtl. des Datenschutzbeauftragten (Name und Kontaktdaten)
- Aufklärung über den Erlaubnistatbestand (Verarbeitungszweck und Rechtsgrundlage)
- Empfänger im Falle einer Übermittlung der Daten
- Dauer der Speicherung bzw. Kriterien nach denen die Speicherdauer festgelegt wird
- Rechte der Betroffenen (Recht auf Löschung, Berichtigung, Herausgabe)
- Widerrufbarkeit der Einwilligung
- Beschwerderecht bei der Aufsichtsbehörde des Landes, in dem das Unternehmen seinen Sitz hat (in Schleswig-Holstein: Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein)
- Tragweite und Auswirkungen im Falle einer automatisierten Entscheidungsfindung oder Profiling
- Sollten die Daten nicht bei der Person selbst erhoben worden sein, ist die Quelle anzugeben
Beispiel
Für Erhebung und Verwendung von Bestandsdaten beim Warenkauf (keine Einwilligung erforderlich):Wir speichern Ihren Namen und Ihre Adresse bis zur vollständigen Erfüllung unseres Kaufvertrags, also bis zum Versand Ihrer bestellten Ware. Für andere Zwecke als für diese Bestellung verwenden wir Ihre Daten nicht. Wenn der Bestellvorgang abgeschlossen ist, werden wir Ihre Daten wieder löschen. - Was darf in die Datenschutzerklärung?
Auch wenn eine Datenschutzerklärung ohne weiteres den gesetzlichen Anforderungen genügt, wenn das gesetzliche Mindestmaß an Informationen eingehalten wird, also Art der gespeicherten Daten und Verwendungszweck angegeben werden, so kann es sich dennoch anbieten, eine ausführlichere Datenschutzerklärung vorzuhalten. Datenschutz ist ein sensibles Thema und Kunden achten immer mehr darauf, was mit Ihren Daten geschieht. Es bietet sich also an, in die Datenschutzerklärung alles aufzunehmen, das dokumentiert, wie Sie (Kunden-)Datensicherheit in Ihrem Unternehmen gewährleisten. Selbst wenn sie keinerlei personenbezogene Daten speichern, schadet es nicht, darauf hinzuweisen, dass sie es nicht tun.
- Der betriebliche Datenschutzbeauftragte
Die grundlegenden Fragen zur Bestellung eines betrieblichen Datenschutzbeauftragten, seinen Aufgaben und Pflichten haben wir Ihnen in diesem Artikel zusammengestellt und beantwortet.
Wann muss ein Datenschutzbeauftragter bestellt werden?
Auch nach in Kraft treten der Datenschutzgrundverordnung am 25. Mai 2018 muss ein betrieblicher Datenschutzbeauftragter weiterhin immer dann bestellt werden, wenn sich im Betrieb mindestens zehn Personen ständig mit automatisierter Datenverarbeitung beschäftigen. Die Bundesrepublik hat insofern von ihrem Recht auf Regelung weiterer Bestellpflichten Gebrauch gemacht. Zu der Zahl der Personen zählen dabei auch die Mitarbeiter in der IT, Teilzeitkräfte, Auszubildende und Leihpersonal sowie der Geschäftsführer.Zusätzlich ist eine Bestellung stets notwendig, wenn die Kerntätigkeit des Unternehmens in Verarbeitungsvorgängen besteht, die aufgrund Art, Umfang oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen. Beispielhaft aber nicht abschließend sind hier der Adresshandel, Kundenservice, Marketing oder Produktdesign zu nennen. Unter personenbezogenen Daten sind Einzelangaben über persönliche (zum Beispiel Name, Anschrift, Geburtsdatum) oder sachliche Verhältnisse (zum Beispiel vertragliche oder sonstige Beziehungen zu Dritten) einer bestimmten oder bestimmbaren natürlichen Person zu verstehen. Ein Datenschutzbeauftragter kann, auch wenn er von Rechts wegen nicht bestellt werden muss, freiwillig bestellt werden. Soweit die Bestellung eines Datenschutzbeauftragten nicht gesetzlich vorgeschrieben ist, muss die Unternehmensleitung den Datenschutz in anderer Weise sicherstellen.Wie muss der Datenschutzbeauftragte bestellt werden?
Die Position des betrieblichen Datenschutzbeauftragten kann innerhalb des Betriebes durch einen eigenen Mitarbeiter besetzt werden, wenn die persönlichen und fachlichen Voraussetzungen dafür vorliegen. Die Bestellung erfolgt durch Mitteilung der Kontaktdaten an die zuständige Aufsichtsbehörde, mit der Erfüllung der Meldepflicht ist die Benennung offiziell vollzogen. Für die Mitteilung ist das Online-Formular des unabhängigen Landeszentrums für Datenschutz zu nutzen (www.datenschutzzentrum.de/formular/meldung-dsb.php).Die Notwendigkeit einer schriftlichen Bestellung entfällt, beachten Sie jedoch, dass die Bestellung aus Nachweisgründen in Textform erfolgen sollte. Eine Frist für die Ernennung ist nicht geregelt, es empfiehlt sich, den Beauftragten unverzüglich zu benennen. Nach der Bestellung müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden, zum Beispiel auf der Unternehmenswebsite. Es gibt grundsätzlich kein Mitbestimmungsrecht des Betriebsrats, es sei denn, die Bestellung geht mit einer Einstellung oder Versetzung einher.Wer kann zum Datenschutzbeauftragten bestellt werden?
Der Datenschutzbeauftragte kann, muss aber nicht, Arbeitnehmer des Unternehmens sein. Es können also auch externe Datenschutzbeauftragte bestellt werden. Auch der externe Datenschutzbeauftragte kann sich bei Daten, die der beruflichen Geheimhaltungspflicht unterliegen, auf ein Zeugnisverweigerungsrecht berufen. Deshalb können nun auch diejenigen Berufsgruppen, die besondere Berufsgeheimnisse zu beachten haben, einen externen Datenschutzbeauftragten bestellen.Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?
Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und berufliche Qualifikation besitzt. Zur Fachkunde gehört ein Verständnis der allgemeinen und spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das eigene Unternehmen relevant sind. Um eine effektive Selbstkontrolle zu gewähren und Interessenkonflikte auszuschließen, darf der Datenschutzbeauftragte nicht der Geschäftsführung angehören, da er dieser gerade unterstellt sein muss. Auch IT- und Personalleiter, sowie IT-Administratoren sind ausgeschlossen. Ferner ist darauf zu achten, dass ein nebenberuflich bestellter Datenschutzbeauftragter nicht in Konflikt zu seiner hauptberuflichen Tätigkeit geraten darf.Welche Aufgaben hat ein Datenschutzbeauftragter?
Zu den wesentlichen Aufgaben des Datenschutzbeauftragten zählen:- Unterrichtung über die bestehenden datenschutzrechtlichen Pflichten und Beratung bei der Lösung datenschutzrechtlicher Fragen.
- Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften (DSGVO, BDSG, sowie spezialgesetzliche Vorschriften, sowie der unternehmenseigenen Datenschutzbestimmung inklusive Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter.
- Auf Anfrage Beratung bei der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung
- Zusammenarbeit mit der Aufsichtsbehörde und Zuständigkeit für die vorherige Konsultation datenschutzrechtlicher Fragen an die Aufsichtsbehörde.
- Ansprechpartner für betroffene Personen und Mitarbeiter zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte zusammenhängende Vorgänge.
Welche Rechte und Befugnisse hat der Datenschutzbeauftragte?
Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte eine Reihe von Rechten und Befugnissen:- Initiativ- und Einspruchsrecht, verbunden mit einem direkten Kontrollrecht in allen Bereichen des Unternehmens,
- Einsichtsrecht in sämtliche relevante Unterlagen,
- Recht auf die Zurverfügungstellung des erforderlichen Hilfspersonals, der Räume, Einrichtungen, Geräte und Mittel,
- Zeugnisverweigerungsrecht bei Daten, die der beruflichen Geheimhaltung unterliegen,
- Verschwiegenheitspflicht, die auch gegenüber der Unternehmensleitung gilt, sofern der Betroffene nicht davon befreit hat,
- Recht auf Teilnahme an Fach- und Fortbildungsveranstaltungen,
- der Datenschutzbeauftragte kann die Beratungsleistung der zuständigen Aufsichtsbehörde in Anspruch nehmen,
- der Datenschutzbeauftragte ist dem Leiter des Unternehmens unmittelbar zu unterstellen,
- in Ausführung seiner Aufgaben ist er weisungsfrei und er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.
Welche Pflichten hat der Unternehmer?
Damit der Datenschutzbeauftragte seine Aufgaben erfüllen kann, müssen verschiedene Rahmenbedingungen seitens des Unternehmens geschaffen werden:- Einräumung aller notwendigen Zutritts- und Einsichtsrechte,
- ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen,
- Zurverfügungstellung aller zur Erfüllung der Aufgabe erforderlichen Ressourcen und Gewährung von Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen,
- Gewährung der erforderlichen Arbeitszeit,
- Ermöglichung von Fortbildungsveranstaltungen,
- Unterstützung durch Zurverfügungstellung des erforderlichen Hilfspersonals, der Räume, Einrichtung, Geräte und Mittel.
Welche Besonderheiten sind bei externen Datenschutzbeauftragten zu beachten?
Neben den Regelungen für die internen Datenschutzbeauftragten gelten folgende Besonderheiten für die externen Datenschutzbeauftragten:- Der Dienstvertrag muss Ausführungen zu Kündigungsfristen, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten enthalten.
- Im Dienstvertrag muss eine bedarfsgerechte Leistungserbringung vereinbart werden.
- Es ist vertraglich zu vereinbaren, dass ein angemessener Teil der Leistung im beauftragenden Unternehmen selbst zu erbringen ist.
- Wenn ausdrücklich vereinbart wurde, dass die Kosten für die Fortbildung Bestandteil der vereinbarten Vergütung sind, brauchen keine weiteren Kosten für Fortbildung vom beauftragenden Unternehmen bereitgestellt zu werden.
- Es wird bei Erstverträgen mit externen Datenschutzbeauftragten eine Laufzeit von ein bis zwei Jahren
- empfohlen, um die spezifische Eignung vertieft prüfen zu können. Ansonsten wird eine Laufzeit von vier Jahren angeregt.
Kann die Bestellung widerrufen werden und welchen Kündigungsschutz haben betriebliche Datenschutzbeauftragte?
Gemäß § 38 Abs. 3 DSGVO dürfen Unternehmen den Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligen. Das BDSG in seiner neuen Fassung erweitert diesen Schutz noch. Demnach ist die Kündigung des Datenschutzbeauftragten nur unter den Voraussetzungen des § 626 BGB möglich. Dieser besondere Kündigungsschutz bleibt nach der Abberufung der Bestellung als betrieblicher Datenschutzbeauftragter für ein Jahr bestehen. Eine Kündigung ist in diesem Zeitraum unzulässig, es sei denn, dass die verantwortliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.Nach der herrschenden Rechtsliteratur genießt der freiwillig bestellte betriebliche Datenschutzbeauftragte keinen besonderen Kündigungsschutz. Die Bestellung als Datenschutzbeauftragter kann von vornherein ohne Angabe von Gründen zeitlich befristet werden. Im Falle einer Befristung ist der Zeitraum so festzulegen, dass der Datenschutzbeauftragte seine Aufgaben sinnvoll wahrnehmen kann. Dafür wird ein Zeitraum von zwei bis fünf Jahren als ausreichend angesehen. Nicht zulässig ist allerdings die Befristung für den Zeitraum der Probezeit, weil die Unternehmen vorab zu prüfen haben, ob ein Kandidat die Voraussetzungen der Bestellung erfüllt.Stand: Mai 2018
Stand: Mai 2018