Wer ist wo DSB?

Datenschutz
1

Wenn ich gerne wissen möchte, wer der DSB einer bestimmten Firma ist, wie kann ich das herausfinden, wenn der Verantwortliche keine Auskunft und es auch sonst keine Hinweise (Webseite, etc.) gibt?

2

Wenn der Verantwortliche es nicht sagt, wohl nicht. Warum auch? Der DSB ist ja nur die Kontrollstelle im Unternehmen. Wie der heisst ist nach außen eigentlich egal. Nach außen verantwortlich ist die Verantwortliche Stelle - also der Vorstand bzw. Geschäftsführer.

2 „Gefällt mir“
3

Eigentlich ganz einfach: Anfrage nach Art. 15 DSGVO (Auskunftsersuchen): Man kann der Firma ein Auskunftsersuchen stellen. Dabei muss sie dir unter anderem mitteilen, ob ein DSB bestellt wurde und ggf. dessen Kontaktdaten. Das ist ein gesetzlich verankerter Anspruch.

Wann ist ein DSB verpflichtend?

  1. Regelmäßige Verarbeitung durch mindestens 20 Personen

    • Wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG).

  2. Besondere Arten der Datenverarbeitung

    • Unabhängig von der Mitarbeiterzahl, wenn die Verarbeitung eine besondere Risikoanfälligkeit aufweist, z. B.:

      • Videoüberwachung öffentlich zugänglicher Räume

      • Verarbeitung von sensiblen Daten (z. B. Gesundheitsdaten, politische Meinungen)

      • Scoring oder Profiling zur Bewertung von Personen

  3. Pflicht nach Art. 37 DSGVO

    • Wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten oder in der systematischen Überwachung von Personen besteht.

  4. Öffentliche Stellen

    • Behörden und öffentliche Einrichtungen müssen grundsätzlich einen DSB benennen – mit wenigen Ausnahmen.

    • Wichtig zu wissen

      • Auch wenn kein DSB bestellt werden muss, gelten alle anderen Datenschutzpflichten weiterhin.

      • Der DSB muss der Aufsichtsbehörde gemeldet werden.

      • Verstöße gegen die Pflicht zur Bestellung können zu Bußgeldern führen.

Mögliche Vorgehensweise bei ausbleibender Reaktion des Datenschutzbeauftragten

  • :hourglass_not_done: Frist setzen Es empfiehlt sich, dem Datenschutzbeauftragten bzw. dem Unternehmen eine angemessene Frist zur Antwort zu setzen – beispielsweise zwei Wochen. In der Mitteilung kann darauf hingewiesen werden, dass bei ausbleibender Reaktion eine Kontaktaufnahme mit der zuständigen Datenschutzaufsichtsbehörde in Erwägung gezogen wird.

  • :incoming_envelope: Erinnerung oder Eskalation an die Geschäftsleitung Bleibt eine Antwort weiterhin aus, kann eine Erinnerung versendet werden. Gegebenenfalls ist es sinnvoll, diese direkt an die Geschäftsführung oder an die allgemeine Kontaktadresse des Unternehmens zu richten.

  • :clipboard: Beschwerde bei der Datenschutzaufsichtsbehörde Sollte auch nach Erinnerung keine Rückmeldung erfolgen, besteht die Möglichkeit, sich an die zuständige Landesdatenschutzbehörde zu wenden. Dort kann eine formelle Beschwerde eingereicht werden mit dem Hinweis, dass das Unternehmen seiner Pflicht zur Kommunikation mit dem Datenschutzbeauftragten nicht nachkommt. Die Behörde kann daraufhin prüfen, ob ein Datenschutzbeauftragter bestellt wurde und ob gegen Transparenzpflichten verstoßen wurde.

  • :books: Dokumentation Es ist ratsam, sämtliche Korrespondenz – sowohl Anfragen als auch etwaige Antworten oder das Ausbleiben derselben – sorgfältig zu dokumentieren. Diese Unterlagen können im weiteren Verlauf hilfreich sein, insbesondere bei einer behördlichen Beschwerde oder rechtlichen Auseinandersetzung.

4

Den Namen kennt nur der Wind. (Nein, die Aufsichtsbehörde, bei der DSB zu melden sind.)

Angabe der “Kontaktdaten” ist in Art. 13 DSGVO vorgeschrieben, aber nicht des Namens. Weil die Namensnennung nach außen also nicht erforderlich = unzulässig wäre, darf der Arbeitgeber in seinen Pflichtangaben nicht einfach sagen, wer DSB ist. Dann sind Funktions-Mailadressen angesagt (dsb@… oder datenschutz@…).

Freiwillig kann man sich natürlich nennen lassen. Externe DSB werden darauf Wert legen, genannt zu werden; möglichst unter ihrer eigenen Anschrift. Damit (man sehen kann, wo es haarsträubende Beratungsfehler bzw. unbelehrbare Auftraggeber gibt) man auf der Suche nach solchen Dienstleistern über sie stolpert.

D., der nicht öffentlich genannt werden möchte. (Ihr wisst schon; Datenschutz…) Er lüftet das Geheimnis erst, wenn er selbst in dieser Funktion Kontakt mit jemand aufnimmt.

4 „Gefällt mir“
5

Gemäß Art. 15 DSGVO bestimmt nicht. Und nach Art. 13 DSGVO müssen nur die Kontaktdaten und nicht der Name bekannt gegeben werden.

1 „Gefällt mir“
6

Danke für die Berichtigung - Wenn nur alles beim deutschen Datenschutz so korrekt wäre..