Datenschutz: Wer gilt als Verarbeiter personenbezogener Daten
Hallo zusammen,
ich habe eine Frage zum Datenschutz / Datenschutzbeauftragten.
Es heißt ja, ein Unternehmen das mehr als 10 Personen für die Verarbeitung personenbezogener Daten
beschäftigt, muss einen externen Datenschutzbeauftragten bestellen.
Jetzt die Frage wann sind 9 Personen erreicht.
Ein Beispiel:
Ein KMU verkauft selbst hergestellte Produkte an Kunden. Die Erfassung/Änderung/Löschen der Kundendaten
obliegt einem Team von 3 Personen. Der Kunde ist in 99% aller Fälle eine Firma.
Einzige personenbezogene Daten wären die Mitarbeiter mit Anrede und Telefonnummer/mail. (soweit bekannt)
Mit den Daten arbeiten, also Suchen/Auswählen mit Angebot/Auftrag verknüpfen und drucken werden aber
mehr als 10 Personen.
Externer Datenschutzbeauftrager Ja oder Nein ?
Danke.
ich habe eine Frage zum Datenschutz / Datenschutzbeauftragten.
Es heißt ja, ein Unternehmen das mehr als 10 Personen für die Verarbeitung personenbezogener Daten
beschäftigt, muss einen externen Datenschutzbeauftragten bestellen.
Jetzt die Frage wann sind 9 Personen erreicht.
Ein Beispiel:
Ein KMU verkauft selbst hergestellte Produkte an Kunden. Die Erfassung/Änderung/Löschen der Kundendaten
obliegt einem Team von 3 Personen. Der Kunde ist in 99% aller Fälle eine Firma.
Einzige personenbezogene Daten wären die Mitarbeiter mit Anrede und Telefonnummer/mail. (soweit bekannt)
Mit den Daten arbeiten, also Suchen/Auswählen mit Angebot/Auftrag verknüpfen und drucken werden aber
mehr als 10 Personen.
Externer Datenschutzbeauftrager Ja oder Nein ?
Danke.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 375311
Url: https://administrator.de/forum/datenschutz-wer-gilt-als-verarbeiter-personenbezogener-daten-375311.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
9 Kommentare
Neuester Kommentar
Moin,
Quelle (u.A.): https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz- ...
lg,
Slainte
Verarbeitung (Art 4 Z 2)
Unter dem Begriff „Verarbeitung“ versteht die DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Quelle (u.A.): https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz- ...
lg,
Slainte
Ein bisschen kann man da noch weiter ausholen
Bei der Feststellung der Zahl der beschäftigten Personen stellt das Gesetz nicht auf den Umfang der Beschäftigung der Einzelnen ab. Maßgebend ist vielmehr die „Kopfzahl“ aller beschäftigten Personen, d. h. nicht nur die Vollzeitbeschäftigten, sondern auch die Teilzeitkräfte werden als jeweils eine Person gezählt.
Die Personen müssen auch nicht das ganze Jahr über beschäftigt sein. Entscheidend ist, dass für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten regelmäßig eine entsprechende Zahl von Beschäftigten ausgewiesen ist. Somit gehören auch Beschäftigte dazu, die z. B. regelmäßig zur Bewältigung von Arbeitsspitzen am jeweiligen Quartalsende tätig sind.
Die Inhaber von Mischarbeitsplätzen sind ebenfalls mitzuzählen. Lediglich dann, wenn bei einem Beschäftigten die Datenverarbeitung einen völlig untergeordneten Anteil seiner Tätigkeit einnimmt, ist er nicht zu berücksichtige
https://www.lda.bayern.de/media/info_dsb.pdf
Bei der Feststellung der Zahl der beschäftigten Personen stellt das Gesetz nicht auf den Umfang der Beschäftigung der Einzelnen ab. Maßgebend ist vielmehr die „Kopfzahl“ aller beschäftigten Personen, d. h. nicht nur die Vollzeitbeschäftigten, sondern auch die Teilzeitkräfte werden als jeweils eine Person gezählt.
Die Personen müssen auch nicht das ganze Jahr über beschäftigt sein. Entscheidend ist, dass für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten regelmäßig eine entsprechende Zahl von Beschäftigten ausgewiesen ist. Somit gehören auch Beschäftigte dazu, die z. B. regelmäßig zur Bewältigung von Arbeitsspitzen am jeweiligen Quartalsende tätig sind.
Die Inhaber von Mischarbeitsplätzen sind ebenfalls mitzuzählen. Lediglich dann, wenn bei einem Beschäftigten die Datenverarbeitung einen völlig untergeordneten Anteil seiner Tätigkeit einnimmt, ist er nicht zu berücksichtige
https://www.lda.bayern.de/media/info_dsb.pdf
Hallo greatmgm,
Es geht um personenbezogene Daten natürlicher Personen.
Die berufliche Rufnummer gehört vermutlich schon dazu, zumal sie die Information impliziert wo eine Person arbeitet.
Die Durchwahl und/oder Mobilfunknummer von Kollegen des eigenen Betriebs sind vermutlich auch schon personenbezogene Daten.
Wenn man das Auslesen eines einzelen Datensatzes schon als "Verarbeitung" ansieht und ich sehe keinen Ansatz es nicht zu tun, dann trifft es vermutlich jeden Betrieb, der wenigstens 10 Mitarbeiter hat.
In der Regel wird eine Telefonanlage genutzt und die bietet ein internes Adressbuch und oft auch die Anbindung an eine Adressdatenbank des Betriebs.
Kommen Anrufe herein, so wird im Telefondisplay der Name des Anrufers angezeigt, der automatisch aus dem Adressbuch ausgelesen wurde.
Der Tischapparat eines Mitarbeiters ist daher ein Werkzeug zum Auslesen von Daten.
Der Außendienstmitarbeiter oder der Handwerker, hat unter Umständen keinen Schreibtisch (Tischapparat) im Büro, hat aber in der Regel ein paar Rufnummern im Adressbuch seines Mobiltelefons gespeichert.
Schon ist auch er Datenverarbeiter.
Hätte ich die Verordnung erstellt, so hätte ich eine reine Kontaktdatenbank einer Firma, die sie selbst gefüllt hat und die ausschließlich dazu dient, den betrieblichen Ablauf zwischen Kunde und Lieferant zu erleichtern (keine Kaltakquise, Umfagen, Newsletterversand, Weitergabe an Dritte o.ä.) von der Verordung ausgenommen oder nur sehr eingeschränkt einbezogen.
Eine klare und enge Grenze, die aufzeigt wo eine Datenbank aufhört ein einfaches "Adressbuch" zu sein, hätte ich dann auch definiert.
Ich finde die gegebene Definition von Datenverarbeitung zu pedantisch im Sinne von kleinlich, aber wer bin ich schon das zu beurteilen.
Gruß Frank
Es geht um personenbezogene Daten natürlicher Personen.
Die berufliche Rufnummer gehört vermutlich schon dazu, zumal sie die Information impliziert wo eine Person arbeitet.
Die Durchwahl und/oder Mobilfunknummer von Kollegen des eigenen Betriebs sind vermutlich auch schon personenbezogene Daten.
Wenn man das Auslesen eines einzelen Datensatzes schon als "Verarbeitung" ansieht und ich sehe keinen Ansatz es nicht zu tun, dann trifft es vermutlich jeden Betrieb, der wenigstens 10 Mitarbeiter hat.
In der Regel wird eine Telefonanlage genutzt und die bietet ein internes Adressbuch und oft auch die Anbindung an eine Adressdatenbank des Betriebs.
Kommen Anrufe herein, so wird im Telefondisplay der Name des Anrufers angezeigt, der automatisch aus dem Adressbuch ausgelesen wurde.
Der Tischapparat eines Mitarbeiters ist daher ein Werkzeug zum Auslesen von Daten.
Der Außendienstmitarbeiter oder der Handwerker, hat unter Umständen keinen Schreibtisch (Tischapparat) im Büro, hat aber in der Regel ein paar Rufnummern im Adressbuch seines Mobiltelefons gespeichert.
Schon ist auch er Datenverarbeiter.
Hätte ich die Verordnung erstellt, so hätte ich eine reine Kontaktdatenbank einer Firma, die sie selbst gefüllt hat und die ausschließlich dazu dient, den betrieblichen Ablauf zwischen Kunde und Lieferant zu erleichtern (keine Kaltakquise, Umfagen, Newsletterversand, Weitergabe an Dritte o.ä.) von der Verordung ausgenommen oder nur sehr eingeschränkt einbezogen.
Eine klare und enge Grenze, die aufzeigt wo eine Datenbank aufhört ein einfaches "Adressbuch" zu sein, hätte ich dann auch definiert.
Ich finde die gegebene Definition von Datenverarbeitung zu pedantisch im Sinne von kleinlich, aber wer bin ich schon das zu beurteilen.
Gruß Frank
hallo,
etwas vorsichtig mit Telefonlisten ; .. wenn sich da nur der "Eigentümer" melden darf !?
...und - ganz schlimm: Geburtstagskalender !
aber..was oft vergessen wird, sind (in kleinen Buden) Steuerberater usw. die mit den personenbezogenen Daten arbeiten bzw. Gelder (Gehalt/Lohn) handeln. Die zählen in die 10 rein.
Oder auch Datenverarbeitung im Auftrag.
Ansonsten ...nur IT-Leiter nicht ? Da wäre ich mir nicht sooo sicher, grundsätzlich geht es nur darum, dass sich einer nicht selbst kontrollieren kann. Aber IIRR steht das im BDSG bzw. in den (aktuellen) Kommentaren dazu!
Kommentare müsste der Verantwortliche ("Häuptling") wenigstens diagonal lesen.
hmm - interne DSB unterliegen aber dem Kündigungsschutz
DSB ist aber definitiv KEIN IT-Problem !
Fred
etwas vorsichtig mit Telefonlisten ; .. wenn sich da nur der "Eigentümer" melden darf !?
...und - ganz schlimm: Geburtstagskalender !
aber..was oft vergessen wird, sind (in kleinen Buden) Steuerberater usw. die mit den personenbezogenen Daten arbeiten bzw. Gelder (Gehalt/Lohn) handeln. Die zählen in die 10 rein.
Oder auch Datenverarbeitung im Auftrag.
Ansonsten ...nur IT-Leiter nicht ? Da wäre ich mir nicht sooo sicher, grundsätzlich geht es nur darum, dass sich einer nicht selbst kontrollieren kann. Aber IIRR steht das im BDSG bzw. in den (aktuellen) Kommentaren dazu!
Kommentare müsste der Verantwortliche ("Häuptling") wenigstens diagonal lesen.
hmm - interne DSB unterliegen aber dem Kündigungsschutz
DSB ist aber definitiv KEIN IT-Problem !
Fred