Was sind personenbezogene Daten?

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener).
Beispiel: Adresse, Kontoverbindung, Kfz-Kennzeichen, IP-Adresse, usw...

Wer kann Datenschutzbeauftragter werden?

Das Gesetz verlangt von ihm die erforderliche Fachkunde und Zuverlässigkeit. Gerade an seine Fachkunde werden hohe Anforderungen gestellt! Das Landgericht Ulm stellt u.a zur Fachkunde fest:
Er muss die Vorschriften der Datenschutzgesetze des Bundes und der Länder und alle anderen den Datenschutz betreffenden Rechtsvorschriften anwenden können. Er ist Computerexperte.
Er hat Organisationstalent. Er muss zuverlässig sein und darf nicht im Konflikt mit anderen Tätigkeiten im Betrieb stehen. Daher schließen sich folgende Gruppen aus: Geschäftführung, Verwandtschaft, Personalleiter, EDV Leiter, externe IT Systembetreuer/Dienstleister.

Was ist ein Verfahrensverzeichnis?

Auch Verfahrensübersicht genannt.
Hier wird zwischen dem öffentlichen und den internen Verfahrensverzeichnis unterschieden.

Das öffentliche, auch genannt als Verzeichnis für Jedermann, ist auf Antrag durch jedermann Bereit zu stellen. Es umfasst u.a. folgende Angaben: Name der verantwortlichen Stelle; Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen; Anschrift der verantwortlichen Stelle; Zweckbestimmungen der Datenerhebung, -erarbeitung oder -nutzung; eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien; Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können; Regelfristen für die Löschung der Daten; eine geplante Datenübermittlung in Drittstaaten.
Das interne Verfahrensverzeichnis hat zusätzlich zu dem öffentlichen Verfahrensverzeichniseine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach §9 zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind.

Dies sind u. a. technische und organisatorische Maßnahmen wie: Unbefugte daran gehindert werden die Räume der technischen Anlagen zu betreten (Zutrittskontrolle); verhindert wird, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle); gewährleistet wird, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden (Verfügbarkeitskontrolle).

Was passiert, wenn ich die Vorschriften nicht umsetze?

Die DSGVO hat die bisher geltenden Regelungen deutlich verschärft. Dies betrifft nicht nur die möglichen Geldbußen, sondern auch Schadenersatzansprüche.

Die DSGVO enthält Bestimmungen für Geldbußen (DSGVO Art. 83) und Bestimmungen für das Recht auf Schadenersatz (DSGVO Art. 82).

Ergänzt werden die Regelungen durch das BDSG-neu §42 (Strafvorschriften) und §43 (Bußgeldvorschriften).

Für bestimmt Rechtsverstöße droht die DSGVO Geldbußen von bis zu 40 Mio. Euro an.

Die Bußgelder sollen in jedem Fall abschreckend und verhältnismäßig sein.

Wer prüft die Einhaltung des Datenschutzes?

Die Behörden (in NRW Innenministerium, bzw. Landesbeauftragte für Datenschutz und Informationsfreiheit) können auch ohne Anfangsverdacht die Einhaltung der Bestimmungen prüfen.

Hierzu hat die Behörde in NRW 40 neue Mitarbeiter eingestellt.

Was prüft die Aufsichtsbehörde?

Welche Vorteile bietet die Bestellung eines Externen Datenschutzbeauftragten gegenüber der Bestellung eines eigenen Internen Datenschutzbeauftragten?