3rd Mind Business Consulting

Wenn Sie z.B. bei Ihren Einkäufen mit Kreditkarte oder EC-Karte bezahlen, erwarten Sie, dass der Händler oder das Restaurant sorgsam mit Ihren persönlichen Daten umgehen. Gleiches gilt z.B. bei Bewerbungen.

Ihre Kunden, Neukunden und Geschäftspartner sowie Ihr eigenes Personal haben das gleiche Recht. Dies ist in § 1 BDSG beschrieben.

Wie Sie als Unternehmen mit deren Daten sorgsam umgehen, wird u.a. im Bundesdatenschutzgesetz geregelt.

Wir als Datenschutzbeauftragte helfen Ihnen dabei, die Bestimmungen umzusetzen - und (juristisches) Ungemach sowie Vertrauensverlust von Ihnen fern zu halten. Gleichzeitig erhöhen wir Ihr IT-Sicherheitsniveau. Probieren Sie es aus!

-> ZURÜCK

Vereinfacht ausgedrückt: alle (Sicherheits-)Vorfälle, die personenbezogene Daten betreffen und durch mangelnde Schutzmassnahmen zu Missbrauch, Manipulation, Zerstörung oder Diebstahl derselben geführt haben. Diese Schutzmaßnahmen werden in § 9 BDSG und seiner Anlage beschrieben.

Beispiele dafür sind:

• Missbrauch: Unberechtigte Benutzung von Kreditkartendaten, Kundendaten, Online-Identitäten oder Personaldaten zur Verdeckung von Straftaten, nicht genehmigter Werbung etc.
• Manipulation: Verschaffung anderer Identitäten, Fälschung von Abrechnungsdaten zum Zwecke des Steuerbetrugs, Fälschung von Personalparametern in Datenbanken, Fälschung von Personenmerkmalen etc.
• Zerstörung: Datenverlust durch Hacker oder interne Angriffe, Löschung von Daten, versehentliche oder bewußte Vernichtung von Papierunterlagen, Naturkatastrophen, Stromausfällen ... 
• Diebstahl: Nomen est Omen, Daten in digitaler oder papierhafter Form wurden geklaut. Meist durch gezielte Angriffe von außen (Hacker) oder - häufiger - von innen.

Auf folgender Webseite finden Sie ziemlich aktuelle Beispiele aus dem realen Leben: www.projekt-datenschutz.de. Manches ist kurios, wie z.B. dass Briefe beim falschen Empfänger landen, ein Entsorgungsfahrzeug eine Aktenspur quer durch Bochum zieht oder sensible Patientendaten im Müll landen. Fast alle sind vermeidbar gewesen ...

-> ZURÜCK

Alle Informationen, mit denen eine natürliche Person (also ein Mensch, Sie) identifiziert werden kann. Dazu gehören z.B. Namens-, Adress- und Geburtsdaten, in geschlossenen Netzwerken auch die IP-Adresse des Rechners. Aber auch so abstrakte Angaben wie der "Inhaber von 3rd Mind Business Consulting". Dieser ist einfach zu recherchieren: Frank Giebel.

Im Gesetz heißt es dazu im § 3 (1) BDSG (WEITERE BEGRIFFSBESTIMMUNGEN):

(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).

-> ZURÜCK

Alle Unternehmen - ohne ohne Ausnahme. Vom Einzelunternehmen bis zum Weltkonzern. Unterschiede bestehen nur in Art und Weise (Pflicht zur Bestellung eines Datenschutzbeauftragten) bzw. im Aufwand.

Im Gesetz heißt es dazu in § 1 (2) Nr. 3 BDSG (ZWECK UND ANWENDUNGSBEREICH DES GESETZES):

(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch 

3. nicht-öffentliche Stellen [Anm. 3rd Mind: Unternehmen der Privatwirtschaft], soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die  Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.

• Somit ist klar formuliert, dass es keine Ausnahmen gibt - auch nicht bei Kammerzugehörigkeit (Ärzte, Rechtsanwälte, Steuerberater etc.). Nur bei Notaren ist es etwas anders geregelt, siehe nächsten Abschnitt:
• Notare gelten als öffentliche Stelle der Länder und sind ein Organ der Rechtspflege, d.h. es gelten die jeweiligen Landesdatenschutzgesetze der Länder. Es gibt noch weitere Details, dies würde hier aber zu weit führen.

-> ZURÜCK

Das ist in Verbindung mit Datenschutz recht einfach zu erklären:

• Erhebung ist die Datenaufnahme, z.B. die Erfassung von Kunden- oder Personaldaten.
• Verarbeitung ist alles, was Sie damit machen, z.B. einen Arbeitsvertrag aufsetzen, Lohnabrechnungen erstellen, kopieren, löschen, etc. - gilt übrigens auch für IT-Administratoren.
• Nutzung geht in Richtung § 28 ff. BDSG, d.h. für eigene "Geschäftszwecke", also Akquise, Angebote, Lieferungen, Rechnungen, Forschung & Entwicklung etc.
• Speicherung müssen wir nicht wirklich erklären, oder?

Der Gesetzgeber meint damit also alles, was Sie (direkt oder im Auftrag) damit tun.

Die gesetzliche Definition würde hier zu lange werden, können Sie aber im § 3 BDSG nachlesen.

-> ZURÜCK

Wenn Sie die nötige Fachkunde besitzen und nicht der Bestellpflicht unterliegen im Prinzip schon (siehe nächster Punkt "Datenschutzbeauftragter"). Im Grunde sind Sie sogar dazu verpflichtet, wenn Sie keinen DSB bestellen; Sie müssen es aber können, d.h. das BDSG interpretieren und umsetzen.

Im Gesetz heißt es dazu in § 4g (2a) BDSG (AUFGABEN DES BEAUFTRAGTEN FÜR DEN DATENSCHUTZ):

(2a) Soweit bei einer nicht-öffentlichen Stelle [Anm. 3rd Mind: privates Unternehmen] keine Verpflichtung zur Bestellung eines Beauftragten für den Datenschutz besteht, hat der Leiter der nicht-öffentlichen Stelle [Anm. 3rd Mind: Inhaber(in), Geschäftsführer(in), Vorstand] die Erfüllung der Aufgaben nach den Absätzen 1 und 2 in anderer Weise sicher zu stellen.

Zu Risiken und Nebenwirkungen fragen Sie Ihren Datenschutzbeauftragten oder Ihren Anwalt.

-> ZURÜCK

Dies hängt von 3 Faktoren ab, die im Datenschutzrecht beschrieben sind:

1. Sobald mehr als 9 Personen mit der EDV-gestützten Erhebung, Verarbeitung, Nutzung und Speicherung von personenbezogenen Daten beschäftigt sind, ist ein DSB zu "bestellen"
2. Sobald mehr als 20 Personen nicht EDV-gestützt das Gleiche tun, ist ein DSB zu bestellen
3. Wenn Sie Adresshandel, Markt- oder Meinungsforschung oder Übermittlungsdienste anbieten, ist ebenfalls ein DSB zu bestellen - unabhängig von Punkt 1!

Nach § 4f (1) BDSG muss nur einer von den drei Faktoren bei Ihnen zutreffen, und Sie sollten 3rd Mind anrufen ;-)

-> ZURÜCK

Das ist klassisches Datenschutz Amtsdeutsch. Die / der DSB übt eine halbamtliche Kontrollfunktion in Ihrem Unternehmen aus. Deshalb wird sie/er nicht konsultiert, angeheuert, engagiert oder angestellt, sondern eben "bestellt".

Dies sollte über einen Vertrag geschehen und mit einer „Bestellungsurkunde“, in dem die Aufgaben, Konditionen sowie - wichtig! - die Laufzeit etc. geregelt werden und gilt gleichermaßen für interne wie für externe DSB.

Bei den internen sollten Sie an den Sonderkündigungsschutz denken, an die Freistellung und Bezahlung der Aus- und (jährlichen!) Weiterbildungen und tunlichst eine zeitliche Befristung in den Vertrag einbauen. Werden nicht die berühmten "goldenen Löffel" geklaut, ist das eine Lebensstellung, da eine ordentliche Kündigung für die Laufzeit der Bestellung + 1 Jahr danach ausgeschlossen ist (§ 4f (3) Satz Nr. 5 ff. BDSG).

-> ZURÜCK

Dies ist eine rein wirtschaftliche Frage. Der Gesetzgeber schreibt beiden vor, dass der Datenschutzbeauftragte

1. nach § 4f (2) BDSG ausgebildet und zertifiziert wurde (Nachweis der Fachkunde) und
2. keine Interessenkonflikte aufgrund seiner Kontrollfunktion haben darf und
3. in der Ausübung seiner Funktion der Geschäftsführung unmittelbar unterstellt und weisungsfrei ist

Dies führt dazu, dass

• Interne DSB keine Leitungsfunktion wahrnehmen dürfen (z.B. IT-Leitung, Personalleitung, GL etc.)
• Externe DSB z.B. nicht vom eigenen IT-Dienstleister gestellt werden dürfen

Jegliche Funktion aus dem Beauftragtenwesen darf nie in die Situation kommen, sich selbst zu kontrollieren! Dies ist aber beim Management wie beim (eigenen) IT-Dienstleister der Fall, da beide vom DSB überwacht werden müssen.

Und wie Juvenal, ein römischer Satiriker, bereits im 1. Jahrhundert n. Chr. schrieb:
"sed quis custodiet ipsos custodes?" (Aber wer wacht über die Wächter?")

Demnach gibt es keine (seriöse) Pauschalaussage, ob ein interner oder externer DSB die bessere Lösung ist. Für interne DSB gilt zusätzlich z.B. in § 4f (3) BDSG weiterhin:

• Keine Benachteiligung des DSB (Stichwort: Interessenkonflikt zwischen Funktion und "normalem" Job)
• Die Bestellung kann bei berechtigter Anwendung des § 626 BGB von der Aufsichtsbehörde widerrufen werden
• Sonderkündigungsschutz: Eine ordentliche Kündigung während und 1 Jahr nach der Bestellung ist ausgeschlossen.
• Auch müssen die Aus- und Weiterbildungen vom Arbeitgeber bezahlt und der DSB dafür freigestellt werden.

Als Faustregel können Sie nehmen:

• je größer ein Unternehmen und je komplexer die Prozesse sind, desto eher rechnet sich ein interner DSB
• in kleineren und mittleren Unternehmen (KMU) sind Sie mit einem externen DSB besser beraten

Gerne ist Ihnen 3rd Mind bei einer transparenten Wirtschaftlichkeitsberechnung behilflich.

-> ZURÜCK

Versetzen Sie sich in die Lage der berühmten "Dritten": z.B. den Aufsichtsbehörden und den Betroffenen. Denen ist es egal, ob Sie die personenbezogenen Informationen selbst verarbeiten, an Mitarbeiter/innen delegieren oder gleich ganz auslagern. Dies ist Ihre persönliche, unternehmerische Entscheidung.

Von daher müssen Sie immer Sorge dafür tragen, dass die datenschutzrechtlichen Bestimmungen eingehalten werden. Auch bei einer Verarbeitung im Auftrag.

Bei einer so genannten Auftragsdatenverarbeitung (ADV) greift sofort § 11 BDSG, der bestimmte Dinge vorschreibt - sowohl für Auftraggeber wie auch für Auftragnehmer.

Um späteren juristischen Unbill zu vermeiden, sollten beide Parteien dringend einen ADV-Vertrag miteinander vereinbaren, der die gesetzlichen Auflagen untereinander regelt. 

Dies gilt insbesondere, wenn externe IT-Dienstleister die "heimische" IT Umgebung verwalten! Denn da sie (auch theoretisch) Zugriff auf die bei Ihnen gespeicherten personenbezogenen Daten haben, fallen sie sofort unter § 11 BDSG!

Gerne ist Ihnen 3rd Mind dabei behilflich, ein sauberes Vertragsregelwerk aufzusetzen. Rufen Sie uns einfach an.

-> ZURÜCK