Ihr überregionaler arbeitsmedizinischer und sicherheitstechnischer Premium-Dienst
Bitte wählen Sie den gewünschten Bereich aus.
DatenschutzbeauftragterDatenschutzbeauftragter

Datenschutzbeauftragter

Sie benötigen einen Datenschutzbeauftragten?
(Behörden - Betriebe - kirchliche Einrichtungen)
Datenschutz CheckUpDatenschutz CheckUp

Datenschutz CheckUp

Analyse und Auswertung von Schwachstellen in Ihrer Datenschutzorganisation
DatenschutzauditDatenschutzaudit

Datenschutzaudit

Datenschutzaudit gemäß BDSG
Erfahrene Auditoren stehen Ihnen zur Seite!

Datenschutz

Datenschutz

Datenschutz in Ihrem Unternehmen

Die behördlichen, betrieblichen und kirchlichen Datenschutzbeauftragten der BfbA sind vom TÜV Rheinland zertifiziert und unterstützen, beraten und betreuen Unternehmen, KMU`s, Behörden und kirchliche Einrichtungen nach den Vorgaben des Bundesdatenschutzgesetzes (BDSG) bundesweit.

Unternehmen in Deutschland mit mehr als 9 Mitarbeitern, die mit elektronischer Datenverarbeitung personenbezogene Daten (z.B. Mitarbeiter- und Kundendaten) verarbeiten, benötigen gemäß § 4f BDSG einen Datenschutzbeauftragten (die Verpflichtung kann sich im Einzelfall früher ergeben, z.B. bei Vorabkontrollen – bei Fragen hierzu kontaktieren Sie uns bitte).

Leistungsbeschreibung externer Datenschutzbeauftragter der BfbA

  • Sicherheitskonzept nach den Vorgabendes BDSG erstellen. Z. B. die Prüfung von technischen und organisatorischen Maßnahmen des Datenschutzes (BDSG Anlagezu § 9 Satz 1).
    (Siehe Zutrittskontrolle; Zugangskontrolle;Zugriffskontrolle; Weitergabekontrolle; Eingabekontrolle; Auftragskontrolle; Verfügbarkeitskontrolle; Trennungsgebot.)
  • Erstellen einer Datenschutzordnung (BDSG, TKG)
    Umgang mit personenbezogenen Daten u. a.in Personalabteilung, Marketing, Vertrieb, Einkauf, (u. a. § 9 Satz 1 Anlage Nr. 5 BDSG); E-Mail- Telefax-Aktionen und Werbesendungen (§ 7, Abs. 1 u. 2 UWG); Passwortkontrolle (§ 9BDSG); Regelungen zur Handhabung mobiler personenbezogener Speicher- und Verarbeitungsmedien (§ 6c BDSG).
  • Internetauftritt prüfen (§ 5 TMG, § 55 Abs. 2RStV).
    Impressumpflicht und Datenschutzhinweise
  • Betriebsanweisungen prüfen, anpassen,erarbeiten.
    (zur geschäftlichen und privaten Nutzung von: Internet; E-Mail; Telefon sowie zur Videoüberwachung)
  • Mitarbeiterverpflichtungen prüfen, anpassen, erstellen und dokumentieren (§ 5 BDSG).
    Jede Person, die personenbezogene Daten verarbeitet, muss auf die Geheimhaltung verpflichtet werden. Diese sind zu dokumentieren und sorgfältig zu verwalten. Zum Beispiel: Datenschutz; Fernmeldegeheimnis; Postgeheimnis.
  • Mitarbeitereinweisung durch mündliche oder schriftliche Schulungen (§ 4g Abs. 1Satz 3 Nr. 2 BDSG).
    Erstellung eines Schulungskonzeptes zur Grundlagenvermittlung für Datenschutz und IT-Sicherheit; Mitarbeitersensibilisierung zum korrekten Datenschutz-Verhalten.
  • Führen ggf. auch die Erstellung eines Verfahrensverzeichnisses (§ 4e Satz 1 § 4g Abs. 2 Satz 1 BDSG).
    Sollte vom Auftraggeber zur Verfügung gestellt werden. Kann jedoch auch vom Datenschutzbeauftragten durch zusätzliche Beauftragung erstellt werden.
  • Kontrollieren ggf. auch die Erstellung eines öffentlichen Verfahrensverzeichnisses (§ 4e Satz 1 § 4g Abs. 2 Satz 1 BDSG).
  • Dokumentation des Berechtigungskonzeptes (BDSG Anlage zu § 9 Satz 1).
    Das Berechtigungskonzept in DV-Systemen muss sich nach den tatsächlichen Erfordernissen richten.
  • Prüfung und Kontrolle des Trennungsgebotes (BDSG Anlage zu § 9 Satz 1) sowie der Datenvermeidung und Datensparsamkeit (§ 3a BDSG).
  • Übermittlung der personenbezogener Daten ins Ausland prüfen (§ 4b BDSG).
  • Erhebung, Verarbeitung oder Nutzung personenbezogenen Daten im Auftrag prüfen (§ 11 BDSG).
    Werden personenbezogene Daten durch andere Stellen verarbeitet (z. B. bei externer Gehaltsbuchhaltung oder bei Fernwartung) ist die verarbeitende Stelle zu überprüfen und auf die Geheimhaltung zu verpflichten.
  • Dokumentation schriftlicher Einwilligungen (§ 4a BDSG).
    Jede Person, dessen personenbezogene Daten verarbeitet werden, muss um seine Einwilligung gefragt werden (evtl. schriftliche Einverständniserklärung einholen). Diese ist zu dokumentieren und sorgfältig zu verwalten.
  • Auskunft an den Betroffenen (Auskunftsersuchen) (§ 34 BDSG).
    Der Betroffene kann Auskunft verlangen über: die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen; den Zweck der Speicherung.
  • Erstellung des Datenschutz-Handbuchs.
    Dokumentation der Tätigkeiten des Datenschutzbeauftragten wie z.B.: Datenschutzhandbuch; Datenschutzordnung; Betriebsanweisungen; Verpflichtungserklärungen; Merkblätter, Mitarbeiterschulung; Verfahrensverzeichnisse; Öffentliches Verfahrensverzeichnis; Auftragsdatenvereinbarungen; Fernwartung; Datenschutzvereinbarung; Checklisten; Aufbewahrungsfristen; Pflichtangaben E-Mail, Internet; DSB-Nachweise; Besprechungen; Schriftverkehr; Berichte; Kontrollaktivitäten; Stellungnahmen; Auskunft.

Handlungshilfen

Für interessierte Unternehmen bieten wir Handlungshilfen für die Umsetzung der datenschutzrelevanten Vorschriften im Unternehmen an. Sie können die Handlungshilfen (16 DIN A4 Seiten) hier als PDF-Dateien kostenfrei downloaden. Für das Öffnen der Handlungshilfen ist ein Passwort notwendig, dass Sie von uns kostenfrei erhalten.
Bußgeldtatbestand!

Bestellpflicht Datenschutzbeauftragter

Wann muss ein Unternehmen einen Datenschutzbeauftragten bestellen?

Grundsatz: Bestellpflicht in Abhängigkeit von der Beschäftigtenzahl

Für die Verpflichtung zur Bestellung eines Datenschutzbeauftragten sind regelmäßig zwei Faktoren maßgeblich, nämlich einerseits die Frage nach der Anzahl der Personen, die für die verantwortliche Stelle personenbezogene Daten erheben, verarbeiten oder nutzen, und andererseits die Frage, in welcher Form diese Erhebung, Verarbeitung oder Nutzung stattfindet. Unternehmen haben einen Datenschutzbeauftragten zu bestellen, wenn sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen bzw. in der Regel mindestens 20 Personen beschäftigen, die ständig personenbezogene Daten auf andere Weise erheben, verarbeiten oder nutzen (§ 4f Abs. 1 Satz 1, 3 und 4 BDSG). Abhängig von der Form der personenbezogenen Datenverarbeitung gilt also grundsätzlich ein Schwellenwert für die Bestellpflicht von zehn bzw. 20 Personen.

Personenbezogene Daten sind alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG). Mit der automatisierten Verarbeitung solcher Daten befasst sind u.a. all diejenigen Mitarbeiter, die Zugriff auf Systeme haben, mit denen Personaldaten verwaltet werden. Dasselbe gilt für Mitarbeiter, die auf Kundendaten zugreifen können, sofern es sich bei den Kunden um natürliche Personen handelt oder in der Datenbank zu juristischen Personen auch natürliche Ansprechpartner vermerkt sind.

Der einschlägige Schwellenwert muss „in der Regel“ erreicht werden. Vorübergehende Unterschreitungen, z.B. infolge eines zeitweiligen Arbeitsrückgangs, bleiben unberücksichtigt. „Ständig“ beschäftigt ist die Person, wenn sie eine Aufgabe, die nicht ihre Hauptaufgabe sein muss, regelmäßig wahrnimmt. Nicht erfasst werden sollen etwa Personen, die Aufgaben im Bereich der personenbezogenen Datenverarbeitung lediglich als Urlaubsvertretung wahrnehmen.

In einzelnen Fällen: Bestellpflicht unabhängig von der Beschäftigtenzahl

Unabhängig von der Anzahl der damit beschäftigten Personen haben nicht-öffentliche Stelle gemäß § 4f Abs. 1 Satz 6 BDSG einen Datenschutzbeauftragten zu bestellen, sofern sie entweder automatisierte Verarbeitungen vornehmen, welche der Vorabkontrolle (§ 4d Abs. 5 BDSG) unterliegen, oder soweit sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten. Einer Vorabkontrolle unterliegen gemäß § 4d Abs. 5 BDSG automatisierte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Vorabkontrollbedürftig sind z.B. Warndateien, Verfahren zur Bewertung der Kreditwürdigkeit einer Person, Systeme zur Durchführung von Auswahl-/Assessmentverfahren, Lifestyle-Datenbanken, personenbezogene Data-Warehouse- und Data-Mining-Anwendungen bzw. Verfahren vergleichbarer Komplexität zur Profilbildung, der Einsatz von RFID-Technik oder der Umgang mit biometrischen Daten. Auch Maßnahmen der Videoüberwachung bedürfen regelmäßig der Vorabkontrolle.

(Quelle GDD e.V.)

BfbA

Bürozeiten

Montag - Donnerstag:
8.00 - 16.00 Uhr
Freitag:
8.00 - 13.00 Uhr
Samstag - Sonntag:
geschlossen
Feiertage:
geschlossen