greatmgm
Goto Top

Datenschutz: Wer gilt als Verarbeiter personenbezogener Daten

Hallo zusammen,

ich habe eine Frage zum Datenschutz / Datenschutzbeauftragten.
Es heißt ja, ein Unternehmen das mehr als 10 Personen für die Verarbeitung personenbezogener Daten
beschäftigt, muss einen externen Datenschutzbeauftragten bestellen.

Jetzt die Frage wann sind 9 Personen erreicht.
Ein Beispiel:

Ein KMU verkauft selbst hergestellte Produkte an Kunden. Die Erfassung/Änderung/Löschen der Kundendaten
obliegt einem Team von 3 Personen. Der Kunde ist in 99% aller Fälle eine Firma.
Einzige personenbezogene Daten wären die Mitarbeiter mit Anrede und Telefonnummer/mail. (soweit bekannt)

Mit den Daten arbeiten, also Suchen/Auswählen mit Angebot/Auftrag verknüpfen und drucken werden aber
mehr als 10 Personen.

Externer Datenschutzbeauftrager Ja oder Nein ?

Danke.

Content-ID: 375311

Url: https://administrator.de/forum/datenschutz-wer-gilt-als-verarbeiter-personenbezogener-daten-375311.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

SlainteMhath
Lösung SlainteMhath 28.05.2018 um 14:56:15 Uhr
Goto Top
Moin,

Verarbeitung (Art 4 Z 2) 
Unter dem Begriff „Verarbeitung“ versteht die DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Quelle (u.A.): https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz- ...

lg,
Slainte
greatmgm
greatmgm 28.05.2018 um 15:01:20 Uhr
Goto Top
"Auslesen" ... dann sind es mehr als 10.

Danke.
wiesi200
Lösung wiesi200 28.05.2018 um 15:35:43 Uhr
Goto Top
Ein bisschen kann man da noch weiter ausholen


Bei der Feststellung der Zahl der beschäftigten Personen stellt das Gesetz nicht auf den Umfang der Beschäftigung der Einzelnen ab. Maßgebend ist vielmehr die „Kopfzahl“ aller beschäftigten Personen, d. h. nicht nur die Vollzeitbeschäftigten, sondern auch die Teilzeitkräfte werden als jeweils eine Person gezählt.
Die Personen müssen auch nicht das ganze Jahr über beschäftigt sein. Entscheidend ist, dass für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten regelmäßig eine entsprechende Zahl von Beschäftigten ausgewiesen ist. Somit gehören auch Beschäftigte dazu, die z. B. regelmäßig zur Bewältigung von Arbeitsspitzen am jeweiligen Quartalsende tätig sind.
Die Inhaber von Mischarbeitsplätzen sind ebenfalls mitzuzählen. Lediglich dann, wenn bei einem Beschäftigten die Datenverarbeitung einen völlig untergeordneten Anteil seiner Tätigkeit einnimmt, ist er nicht zu berücksichtige

https://www.lda.bayern.de/media/info_dsb.pdf
greatmgm
greatmgm 28.05.2018 um 15:49:37 Uhr
Goto Top
Alles klar. Danke. Das hat mir geholfen.
fredmy
Lösung fredmy 28.05.2018 um 16:26:29 Uhr
Goto Top
Hallo,

aber es muss ein Datenschutzbeauftragter da sein... von extern ist nirgendwo in den Texten die Rede!

Kann auch ein Betriebsangehöriger sein (einfach BDSG lesen ... )


Fred
greatmgm
greatmgm 29.05.2018 um 08:44:19 Uhr
Goto Top
Guten Morgen,

oh das ist ein guter Hinweis. Es war nur so das der IT Leiter es nicht seien durfte.
Aber er könnte ja einen seiner Hanseln dazu ausbilden bzw. die Kosten abschätzen einen externen zu nehmen.

Danke.
Pedant
Pedant 29.05.2018 um 10:36:44 Uhr
Goto Top
Hallo greatmgm,

Zitat von @greatmgm:
"Auslesen" ... dann sind es mehr als 10.

Es geht um personenbezogene Daten natürlicher Personen.
Die berufliche Rufnummer gehört vermutlich schon dazu, zumal sie die Information impliziert wo eine Person arbeitet.
Die Durchwahl und/oder Mobilfunknummer von Kollegen des eigenen Betriebs sind vermutlich auch schon personenbezogene Daten.

Wenn man das Auslesen eines einzelen Datensatzes schon als "Verarbeitung" ansieht und ich sehe keinen Ansatz es nicht zu tun, dann trifft es vermutlich jeden Betrieb, der wenigstens 10 Mitarbeiter hat.

In der Regel wird eine Telefonanlage genutzt und die bietet ein internes Adressbuch und oft auch die Anbindung an eine Adressdatenbank des Betriebs.
Kommen Anrufe herein, so wird im Telefondisplay der Name des Anrufers angezeigt, der automatisch aus dem Adressbuch ausgelesen wurde.
Der Tischapparat eines Mitarbeiters ist daher ein Werkzeug zum Auslesen von Daten.

Der Außendienstmitarbeiter oder der Handwerker, hat unter Umständen keinen Schreibtisch (Tischapparat) im Büro, hat aber in der Regel ein paar Rufnummern im Adressbuch seines Mobiltelefons gespeichert.
Schon ist auch er Datenverarbeiter.

Hätte ich die Verordnung erstellt, so hätte ich eine reine Kontaktdatenbank einer Firma, die sie selbst gefüllt hat und die ausschließlich dazu dient, den betrieblichen Ablauf zwischen Kunde und Lieferant zu erleichtern (keine Kaltakquise, Umfagen, Newsletterversand, Weitergabe an Dritte o.ä.) von der Verordung ausgenommen oder nur sehr eingeschränkt einbezogen.
Eine klare und enge Grenze, die aufzeigt wo eine Datenbank aufhört ein einfaches "Adressbuch" zu sein, hätte ich dann auch definiert.

Ich finde die gegebene Definition von Datenverarbeitung zu pedantisch im Sinne von kleinlich, aber wer bin ich schon das zu beurteilen.

Gruß Frank
greatmgm
greatmgm 29.05.2018 um 10:49:01 Uhr
Goto Top
aber Recht haste.
Hier wird jedem KMU einfach nur Geld aus der Tasche gezogen und jede Firma außerhalb der EU lacht sich kaputt und spamt weiter.
fredmy
fredmy 29.05.2018 um 11:48:22 Uhr
Goto Top
hallo,
etwas vorsichtig mit Telefonlisten ; face-wink .. wenn sich da nur der "Eigentümer" melden darf !?
...und - ganz schlimm: Geburtstagskalender ! face-smile

aber..was oft vergessen wird, sind (in kleinen Buden) Steuerberater usw. die mit den personenbezogenen Daten arbeiten bzw. Gelder (Gehalt/Lohn) handeln. Die zählen in die 10 rein.
Oder auch Datenverarbeitung im Auftrag.
Ansonsten ...nur IT-Leiter nicht ? Da wäre ich mir nicht sooo sicher, grundsätzlich geht es nur darum, dass sich einer nicht selbst kontrollieren kann. Aber IIRR steht das im BDSG bzw. in den (aktuellen) Kommentaren dazu!
Kommentare müsste der Verantwortliche ("Häuptling") wenigstens diagonal lesen.
hmm - interne DSB unterliegen aber dem Kündigungsschutz face-wink
DSB ist aber definitiv KEIN IT-Problem !

Fred