Häufig gestellte Fragen und deren Antworten

• Wann muss ein betrieblicher Datenschutzbeauftragter bestellt werden?
• Wann betrifft das Bundesdatenschutzgesetz insbesondere Ihr Unternehmen?
• Wer kann als Datenschutzbeauftragter bestellt werden?
• Welche Aufgaben nimmt ein Datenschutzbeauftragter wahr?
• Wer kontrolliert in datenschutzrechtlichen Angelegenheiten die Erfüllung der gesetzlichen Vorgaben?
• Welche Konsequenzen kann die Nichtbeachtung von Datenschutzrichtlinien nach sich ziehen?
• Was sind personenbezogene Daten?
• Was sind personalisierte Dienste?
• Gibt es ein Auskunftsrecht über personenbezogene Daten?
• Was ist ein Verfahrensverzeichnis?
• Wer ist Ansprechpartner in datenschutzrechtlichen Angelegenheiten?
• Was sind Cookies?
• Was ist ein Datenschutzhinweis?

Wann muss ein betrieblicher Datenschutzbeauftragter bestellt wer-
den?
Die nachfolgenden ausführlichen Erläuterungen wurden uns freundlicherweise von Herrn Rechtsanwalt Thomas Bade vom Handelsverband Deutschland - HDE e. V. - Der Einzelhandel zur Verfügung gestellt. nach oben

Das Bundesdatenschutzgesetz sieht vier Einzelkonstellationen vor, in denen Sie möglicherweise zur Bestellung eines Datenschutzbeauftragten verpflichtet sein können.

Konstellation I

Sie sind zur Bestellung eines Datenschutzbeauftragten verpflichtet, unab-
hängig von der Anzahl der Beschäftigten, wenn Sie als verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung er-
heben, verarbeiten oder nutzen.

Konstellation II

Sie sind zur Bestellung eines Datenschutzbeauftragten verpflichtet, unab-
hängig von der Anzahl der Beschäftigten, wenn Sie als verantwortliche Stelle automatisierte Datenverarbeitungsvorgänge vornehmen, die eine Vorabkon-
trolle verlangen. Hierbei liegt eine automatisierte Erhebung, Verarbeitung oder Nutzung auch schon immer dann vor, wenn personenbezogene Daten auf einem PC gespeichert und ausgewertet werden bzw. ausgewertet werden können. Dies kann bereits dann der Fall sein, wenn eine Gehaltsliste mit Hilfe eines Datenverarbeitungsprogrammes erstellt wird.

Eine Vorabkontrolle ist immer dann vorzunehmen, wenn

besondere Arten von personenbezogenen Daten verarbeitet werden, wie beispielsweise Angaben über rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszu-
gehörigkeit, Gesundheit oder, die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten ein-
schließlich seiner Fähigkeiten, seiner Leistungen oder seines Verhaltens.

Ausnahmen

Von einer unter diesen Voraussetzungen durchzuführenden Vorabkontrolle gibt es drei Ausnahmen:

Es besteht eine gesetzliche Verpflichtung zur Datenerhebung, Verarbeitung oder Nutzung, beispielsweise eine steuer- oder handelsrechtliche Verpflich-
tung zur Speicherung von Buchführungsdateien oder, die Verarbeitung oder die Nutzung erfolgt im Rahmen eines Vertrages oder Vertrauensverhältnisses mit dem Betroffenen, beispielsweise wenn Mitarbeiterdaten in einem beste-
henden Arbeitsverhältnis verarbeitet werden, soweit dies für die Abwicklung des Arbeitsverhältnisses erforderlich ist. Die Verarbeitung oder Nutzung im Rahmen eines Vertragverhältnisses, insbesondere im Rahmen der Zweckbe-
stimmung eines Arbeitsvertrages liegt u. a. vor, wenn folgende Daten ge-
speichert werden:

      Name, Anschrift,
      Bankverbindung,
      Familienverhältnisse,
      Zeiterfassungsdaten,
      Krankheits- und Fehldaten,
      Beurteilungen

oder,

Es liegt eine Einwilligung des Betroffenen vor.

Konstellation III

Sie sind zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn Sie als verantwortliche Stelle mindestens zehn Arbeitnehmer wenigstens vorüber-
gehend mit automatisierter Datenerhebung, Verarbeitung oder Nutzung be-
schäftigen.

Beispiel

Diese Fallkonstellation könnte bereits bei folgendem Sachverhalt greifen: Ein Unternehmen beschäftigt zwei Mitarbeiter bei der automatisierten Lohn-
buchhaltung. Ein Angestellter führt auf dem Computer die Kundendatei, auf die außerdem ein Außendienstmitarbeiter zugreifen kann. Der Computer wird von einem Studenten auf Basis eines geringfügigen Beschäftigungsverhält-
nisses administriert, der auch auf die personenbezogenen Daten zugreifen kann. In diesem Fall sind mehr als vier Arbeitnehmer mit der automatisierten Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten be-
schäftigt.

Konstellation IV

Sie sind zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn Sie als verantwortliche Stelle mindestens 20 Arbeitnehmer wenigstens vorüber-gehend mit nicht automatisierter Datenerhebung, -verarbeitung oder -nut-zung beschäftigen. Manuell, d. h. nicht automatisiert, bedeutet Zugriff zu personenbezogenen Daten, die nicht in der EDV gespeichert sind. Hierzu reicht es aus, wenn der Zugriff durch bestimmte Beschäftigte auf entsprech-
ende Aktenordner mit personenbezogenen Daten möglich ist.

Anmerkung

Muss ein Unternehmen einen Datenschutzbeauftragten bestellen und kommt es dieser Verpflichtung nicht nach, so stellt dies eine Ordnungswidrigkeit dar, die mit einer Geldbuße bis zu 25.000 € belegt werden kann.

Wann betrifft das Bundesdatenschutzgesetz insbesondere Ihr Unter-nehmen?
Das Bundesdatenschutzgesetz betrifft z.B. den Handel beim stationären Ein-satz von EC-Cash-Geräten, dem mobilen Einsatz von EC-Cash-Geräten mit oder ohne SIM-Karten-Unterstützung, beim Betrieb von Überwachungs-kameras sowie bei dem Einsatz von Überwachungskameras als Webcams. Außerdem sind z.B. Dienstleistungsunternehmen mit zehn Mitarbeitern, die wenigstens vorübergehend mit automatisierter Datenerhebung, Verarbeitung oder Nutzung beschäftigt sind, betroffen; ebenso ein Handwerksbetrieb, welcher 20 Mitarbeiter beschäftigt, von welchen einzelne auf in Papierform abgelegte personenbezogene Daten Zugriff haben. nach oben

Wer kann als Datenschutzbeauftragter bestellt werden?
Zum Datenschutzbeauftragten kann nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Mit der Wahrnehmung dieser Aufgaben kann somit auch eine Person beauftragt wer-
den, die dem Betrieb nicht angehört. Der vom Unternehmer bestellte Daten-
schutzbeauftragte muss zur Wahrnehmung seiner ihm nach dem Gesetz ob-
liegenden Verpflichtungen keine besondere Prüfung ablegen. Es reicht, wenn der Unternehmer einen Datenschutzbeauftragten bestellt. nach oben

Welche Aufgaben nimmt ein Datenschutzbeauftragter wahr?
Die wesentlichen Aufgaben des Datenschutzbeauftragten werden im Bundes-datenschutzgesetz genannt. Zu ihnen zählen insbesondere folgende Auf-
gaben:

• Vertretung des Unternehmens in datenschutzrechtlichen Fragen,
• Schaffung von Transparenz in der betrieblichen Datenverarbeitung,
• Durchführung der Vorabkontrolle risikoreicher Anwendungen,
• Koordinierung und Überwachung der Maßnahmen für Datenschutz und Sicherung,
• Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung,
• Schulung der Mitarbeiter in datenschutzrechtlichen Fragestellungen,
• Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme,
• Erstellung und Zurverfügungstellung des Verfahrensverzeichnisses an jedermann zur Einsicht,
• Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes, sowie die Benachrichtigung des Betroffenen über die Datenerhebung,
• Verfassen eines Tätigkeitsberichtes am Ende des Geschäftsjahres.
  nach oben

Wer kontrolliert in datenschutzrechtlichen Angelegenheiten die Erfül-
lung der gesetzlichen Vorgaben?
Die zuständige regionale Aufsichtsbehörde. In Hessen ist dies das Regie-
rungspräsidium in Darmstadt. nach oben

Welche Konsequenzen kann die Nichtbeachtung von Datenschutz-
richtlinien nach sich ziehen?
Das Bundesdatenschutzgesetz sieht nach § 43 vor, Ordnungswidrigkeiten mit Geldbußen bis zu zweihundertfünfzigtausend Euro zu ahnden, nach § 44 droht Freiheitsstrafe bis zu 2 Jahren. nach oben

Was sind personenbezogene Daten?
Unter personenbezogenen Daten sind Informationen zu verstehen, die einer Person zugeordnet werden können. Darunter fällt zum Beispiel Name, Tele-
fonnummer, E-Mail-Adresse oder die Bankverbindung. Informationen, die nicht direkt mit einer Person in Verbindung gebracht werden, gehören nicht dazu. nach oben

Was sind personalisierte Dienste?
Personalisierte Dienste sind Dienste, bei denen eine Anmeldung mit personen-
bezogenen Daten erforderlich ist. Ziel dieser Dienste ist eine komfortable und schnelle Ausrichtung von Online-Angeboten an persönlichen Interessen.
nach oben

Gibt es ein Auskunftsrecht über personenbezogene Daten?
Es besteht jederzeit ein Anspruch zu erfahren, welche personenbezogenen Daten gespeichert werden. Ansprechpartner ist hier der jeweils verantwort-
liche Datenschutzbeauftragte. nach oben

Was ist ein Verfahrensverzeichnis?
Das Verfahrensverzeichnis ist eine Übersicht über die Verfahren automati-
sierter Verarbeitungen, in denen personenbezogene Daten gespeichert werden. Dieses kann, soweit die Angaben öffentlich sind, von jedermann eingesehen werden. Es erfüllt dabei mehrere Funktionen und dient zunächst der Schaffung von Transparenz in der Datenverarbeitung. Kundinnen und Kunden gewinnen aus dem Verfahrensverzeichnis Anhaltspunkte, ob und wo sie gegebenenfalls von ihrem Auskunftsrecht Gebrauch machen wollen. Sehr bedeutsam ist auch die Festlegung der Zweckbestimmung der Datenerhe-
bung, Verarbeitung oder Nutzung des Verfahrens. Da die Zweckbestimmung bereits bei der Erhebung der Daten festzulegen ist und im Verfahrensverzeich-
nis für das gesamte Verfahren erkennbar zu bestimmen ist, kann man die Zweckbindung der jeweiligen Verarbeitung nachvollziehen und so ihre Einhal-
tung bei der weiteren Verarbeitung prüfen. nach oben

Wer ist Ansprechpartner in datenschutzrechtlichen Angelegenheiten?
Fragen, Kommentare, Beschwerden und Auskunftsersuchen im Zusammen-
hang mit Erklärungen zum Datenschutz und der Verarbeitung personen-
bezogener Daten beantwortet der betriebliche Datenschutzbeauftragte.
nach oben

Was sind Cookies?
Ein Cookie ist ein kleiner Datensatz, der auf der Festplatte abgelegt werden kann. Dieser Datensatz wird von dem Web-Server, mit dem Sie über Ihren Web-Browser (z. B. Internet-Explorer oder Netscape-Navigator) eine Ver-
bindung aufgebaut haben, erzeugt und dann an Sie gesendet. Durch das Cookie können Sie beim Besuch der Webseite wieder erkannt werden, ohne dass Daten, die Sie bereits zuvor eingegeben haben, nochmals eingeben werden müssen. Die meisten Browser sind standardmäßig so eingestellt, dass sie Cookies automatisch akzeptieren. Sie haben jedoch die Möglichkeit, Ihren Browser auf die Ablehnung von Cookies oder deren vorherige Anzeige einzu-
stellen. Darüber hinaus können Sie Cookies auch jederzeit auf Ihrem Betriebs-
system löschen. nach oben

Was ist ein Datenschutzhinweis?
Der Datenschutzhinweis erläutert, welche Informationen während des Be-suches einer Website erfasst und gegebenenfalls wie genutzt werden. Informationen können verschiedener Art sein:

Erfasst werden die aktuell von Ihrem Rechner verwendete IP-Adresse, Da-
tum, Uhrzeit und die von Ihnen betrachteten Seiten. Diese gespeicherten Daten werden ausschließlich zu statistischen Zwecken ausgewertet und auf keinen Fall an Dritte weitergegeben. Soweit Sie uns persönliche Daten, wie Ihren Namen, Anschrift und Telefon- oder Faxnummer, oder Ihre E-Mail-Adresse mitteilen, werden diese Daten zum Zwecke der Verarbeitung ge-
speichert. Die Daten werden jedoch nicht an Dritte weitergegeben, es sei denn, Sie sind darüber informiert, Sie haben zugestimmt oder wir sind ge-
setzlich dazu verpflichtet.

Enthält Ihr Internet-Angebot Links zu anderen Web-Sites, ist darauf hin-
zuweisen, dass Ihr Unternehmen für deren Datenschutz oder auch den Inhalt dieser anderen Internet-Angebote nicht verantwortlich ist. Zudem sollte darauf hingewiesen werden, dass Erläuterungen zum Datenschutz einer stän-
digen Anpassung an die aktuellen Erfordernisse unterliegen.

Darüber hinaus sollte nach § 10 Abs. 3 des Mediendienstestaatsvertrages (MDStV) neben den Kontaktdaten der Unternehmung ein inhaltlich Verant-
wortlicher der Website genannt werden.

Schlussendlich sollte darauf hingewiesen werden, dass alle Mitarbeiter der Unternehmung zur Verschwiegenheit verpflichtet sind. nach oben