Datenschutzbeauftragter notwendig?

grüss dich,

die fünf bezieht sich auf die anzahl der leute, die mit den daten arbeiten.

Hi zusammen

da hätte ich eine folgefrage: Wie sieht es aus wenn mehr als 5 AN personenbezogene Daten verarbeiten. Allerdings nicht die Daten der MA (machen nur 2) sondern den Kundenstamm ( in unserem Fal Apotheken und Ärzte). D.h. Adressen der Kunden eingeben, verwalten, mailings organisiern u.s.w.

mfg matze

matze,

der Datenschutzbeauftragte soll ja genau darüber wachen, dass mit den "Fremddaten" kein Unsinn getrieben wird. Übrigens hab ich gerade nachgeschaut... die 5 stehen nicht im BDSG, sondern "damit in der Regel mindestens 20 Personen beschäftigt sind" Aber auch Wurst. "Verarbeiten" heißt ja bereits, dass MA die Daten z.B. am Bildschirm sehen. )

Hallo hans,

danke schon mal für die schnelle Antwort.

Dann wäre unser "Standort" aufgrund der Anzahl der Mitarbeiter die diese Daten sehen / bearbeiten für einen Datenschutzbeauftragten "zu klein". Die Situation wird aber komplizierter: Wir gehören einem niederländischen Konzern an, unsere Server stehen (teilweise) in Holland. Wie groß deren IT-Abteilung ist entzieht sich unserer Kenntnis. Wenn personenbezogene Daten eines deutschen AN im Ausland "ausgelesen" werden, welches Recht gilt? Und welches Recht vertritt der niederländische Datenschutzbeauftragte? (sofern es überhaupt in den Niederlanden eine solche Pflicht besteht). Hintergrund des ganzen ist die geplante "Bestimmung" über die Nutzung der elektronischen Medien und deren Kontrolle. Theoretisch und praktisch würden die Überprüfung personenspezifischer Daten (Internetnutzung) im Ausland erfolgen.

Die Zahl "5 Mitarbeiter" hab ich im übrigen aus dem Zusammenhang der "automatischen" Datenerfassung / Bearbeitung, "20" sind notwendig, wenn es eine "manuelle" Auswertung / Erfassung erfolgt.

Gruß

Kampmann

Hallo kampmann,

wende Dich an den Zuständigen Deines Landes. Wenn Du den nicht kennst, frage beim Datenschutzbeauftragten nach, der hilft gerne weiter. Bei einer derartigen Konstellation mit internationalen "Verwicklungen" halte ich das für das beste.

Gruß Monika

Hallo Kampmann,

bei grenzüberschreitendem Daten-"Versand" ist für eine Betriebsvereinbarung nationales Recht geltend, es ist aber vorzuziehen, beim Abschluss einer solchen prozessorientierten BV den Europäischen Betriebsrat (sofern ein solcher in eurem Unternehmen besteht) mit in die Prozesse einzubeziehen. Hier sind auch die europäischen Dachverbände der betreffenden Gewerkschaft/en gerne behilflich.

Dabei ist insbesondere zu klären, inwieweit ausländische Standorte rechtsverbindliche Verpflichtungserklärungen auf die Einhaltung von Datenschutzstandards, die dem betrieblichen Datenschutzkonzept und den Regelungen des BDSG und der entsprechenden europäischen Datenschutzbestimmungen resultieren, unterzeichnen.

Monika hat recht: eine derartige Vereinbarung kann ein Gremium alleine nicht entwickeln. Wir haben in unserem European Works Council Monate gebraucht, bis die Vereinbarung "stand".

Bitte wendet euch an eure Gewerkschaft bzw. gewerkschaftsnahe Beratungsstellen (wie z.B. die TBS) für weitere Informationen.

Deine Eingangsfrage war ja schon beantwortet: es sind nicht nur die IT-Guys, die mit den Daten arbeiten, sondern auch z.B. die Personaler oder die MA im Kundenservice. Gerade bei grenzüberschreitendem Datenverkehr ist ein Datenschutzbeauftragter zu bestellen.

Hallo quiltrr,

vielen Dank für die ausführliche Antwort. Ich seh schon: jedesmal wenn vom "Ungeheuer" ein Kopf abgeschlagen wird, wachsen zwei neue nach. Zur Verarbeitung, Nutzung oder Erhebung personenbezogener Daten hab ich aber dann doch noch eine Verständnisfrage: Ist das "einfache" anlegen / pflegen eines Kunden- / Lieferantenstamms im Vertrieb / Einkauf (Zahlungs- / Lieferbdingungen, Firmenanschrift, etc.) auch schon eine Bearbeitung personenbezogener Daten? Nach meinem Gefühl eher nicht, sind diese Daten doch eigentlich "firmenspezifisch" (lässt man die Namen und z.B. Telefon-Durchwahlen einzelner Angestellten aussen vor).

Eigentlich geht es bei der geplanten BV eher um die internen Datenerfassung und deren event. Auswertung (private E-Mail-, Telefon-, Internetnutzung). Da argumentiert der AG, dass weniger als fünf Mitarbeiter am Standort in Deutschland eben diese Daten pflegen / verarbeiten. Diese Argumentation kann ich für den Standort nachvollziehen (2 Personaler, 1 IT-Guy) Nur sind eben die IT-Guys fürs Internet (und der möglichen Auswertung dieser Daten) nicht am Standort in D sondern in NL. Da dort das "IT-Headquarter" für insgesamt sechs Standorte ist, sind dort bestimmt mehr Mitarbeiter für Datenbearbeitung etc. notwendig. So gesehen dürfte die Kreation einer BV speziell zum Thema "ab wann dürfen personenspezifische Daten etc. ausgewertet werden" relativ schwerfallen...

Kampmann