Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Der Datenschutzbeauftragte, insbesondere im Hinblick auf die EU-Datenschutzgrundverordnung (DSGVO) – Teil 8 zur EU-DSGVO

Mitautor: Christian Frerix

Update durch: Tobias Hinderks

Update: Dieser Artikel wurde am 19. April 2018 im Hinblick auf die nun feststehenden Normen des BDSG-Neu im Hinblick auf den Datenschutzbeauftragten überarbeitet.

Viele Unternehmensverantwortliche wissen um die Pflicht zur Bestellung einer/s Datenschutzbeauftragten (DSB; die im Folgenden verwendete männliche Form gilt für Personen beiderlei Geschlechts gleichermaßen). Dennoch führt die „Spezies“ der Datenschutzbeauftragten in der unternehmerischen Wahrnehmung oftmals noch ein Schattendasein. Und ebenso so oft scheint es so zu sein, als habe derjenige den Hut des internen DSB auf, der schlicht den Kopf nicht schnell genug weggezogen hat. Ein Grund dafür mag darin liegen, dass die Beschäftigung mit diesem Thema häufig mehr Fragen aufwirft, als sie beantwortet. Brauche ich einen DSB? Was macht dieser überhaupt? Wer darf es überhaupt sein? Und ist dieser dann echt unkündbar? Und überhaupt, was muss denn noch alles beachtet werden?

Sollten auch Sie zu denjenigen gehören, die sich Tag und Nacht  (okay, okay, hin und wieder, eben wenn Sie denken „Da war doch noch was….?“) mit diesen Fragen beschäftigen, dann sollten Sie mit den folgenden Zeilen Ihre Antworten finden.

Und auch wenn Sie bereits einen DSB beschäftigen oder selbst einer sind,  lohnt sich das Weiterlesen. Als datenverarbeitende Stelle kommen Sie nämlich gerade in Zeiten der Anpassung interner Betriebsabläufe an die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) bis 2018 nicht um dieses Thema herum.

Wo kommen Datenschutzbeauftragte nach (derzeitiger) Rechtslage bis zum 25. Mai zum Einsatz?

Die Pflicht zur schriftlichen Bestellung eines DSB spätestens einen Monat nach Aufnahme der betrieblichen Tätigkeit ergibt sich aus dem Bundesdatenschutzgesetz (BDSG, § 4f; zukünftig Art. 37 DSGVO, § 38 BDSG-neu) und greift immer dann, wenn personenbezogene Daten automatisiert – also unter dem Einsatz von Datenverarbeitungsanlagen wie z.B. einem PC – oder nicht-automatisiert, sprich manuell, verarbeitet werden. Das dürfte erstmal auf alle Betriebe zutreffen und deshalb legt das Gesetz einige Ausnahmen von der Bestellpflicht fest.

Welche Ausnahmen gibt es von der Bestellpflicht?

In Fällen der nicht-automatisierten Verarbeitung entfällt die Pflicht dann, wenn weniger als 20 Personen mit der Datenverarbeitung ständig (und nicht nur gelegentlich) beschäftigt sind. Diese Zahlengrenze können wir aber regelmäßig vernachlässigen. Ich wüsste jedenfalls nicht, wo noch nicht-automatisiert Daten erfasst werden…. Schließlich stellt bereits die Speicherung und der Zugriff über Betriebs-PCs auf Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (z.B. Mitarbeiter, Kunden) eine automatische Verarbeitung dar.

Eine zahlenmäßige Beschränkung gibt es aber ebenso für diese praxisrelevanteren Fälle der automatisierten Datenverarbeitung. Und hier macht das Gesetz eine Einschränkung für Betriebe, in denen weniger als zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Eine Bestellung ist dann entbehrlich. Das gilt jedoch nur dann (Achtung, Rückausnahme!), wenn personenbezogene Daten nicht zum Zweck der geschäftsmäßigen Übermittlung (z.B. Adresshandel), der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.  Auf die Anzahl der mit der Verarbeitung beschäftigten Personen kommt es auch dann nicht an, wenn die automatisierte Verarbeitung einer Vorabkontrolle (§ 4d Abs. 5 BDSG; künftig „Datenschutz-Folgenabschätzung, Art. 35 DSGVO) unterliegt, weil diese besondere Risiken für die Rechte der Betroffenen birgt. In all diesen Ausnahmefällen bleibt eine Bestellpflicht – ohne Rücksicht auf die Anzahl der mit der Verarbeitung betrauten Personen – bestehen.

Was ändert sich daran mit Wirkung der DSGVO ab 2018?

Die DSGVO enthält in Art. 37 Regelungen zum Datenschutzbeauftragten. Danach soll eine Verpflichtung zur Bestellung durch nicht-öffentliche Stellen grundsätzlich nur dann bestehen, wenn die Kerntätigkeit des Unternehmens die Verarbeitung besonders sensibler Daten (z.B. Gesundheitsdaten) oder eine systematische Überwachung von betroffenen Personen ist.

Fehlt da nicht noch was? Nein, denn eine zahlenmäßige Beschränkung der mit der Datenverarbeitung beschäftigten Personen gibt es im Vergleich zum geltenden Recht nicht. Die Bestellpflicht würde ohnehin schon für die meisten Betriebe entfallen.

Doch nicht ohne Grund wird hier der Konjunktiv gewählt. Den Mitgliedstaaten wird nämlich in Art. 37 Abs. 4 DSGVO die Möglichkeit eröffnet, von diesen Bestimmungen abzuweichen. Und wie das „Datenschutz-Anpassungs- und –Umsetzungsgesetz EU“ (DSAnpUG-EU) zeigt, hat der deutsche Gesetzgeber von dieser Möglichkeit mit dem § 38 i.V.m. § 6 BDSG-neu Gebrauch gemacht. § 38 des neuen BDSG, der vorsieht, das ergänzend zu den EU-Regelungen bereits bei einer ständigen automatisierten Verarbeitung durch mindestens zehn Personen ein Datenschutzbeauftragter zu bestellen ist. Unabhängig von der Zahl der Personen, die mit der Verarbeitung beschäftigt sind, ist ein Unternehmen darüber hinaus verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn der Verantwortliche verpflichtet ist, eine Datenschutzfolgeabschätzung (DSFA) durchzuführen oder, wenn es sich bei dem Unternehmen um ein Markt- und Meinungsforschungsinstitut handelt. Kurzum, der Geist des § 4f BDSG wird weiterleben.

Das bedeutet, dass die bisherige Regelung im Hinblick Bestellpflicht eines Datenschutzbeauftragten hier in Deutschland faktisch bestehen bleibt.

Was macht eigentlich ein Datenschutzbeauftragter?

Nachdem nun feststeht, wann ein DSB bestellt werden muss, soll nun die Frage geklärt werden, was für Aufgaben von diesem zu erfüllen sind? Wir sind damit beim Tätigkeitsfeld des DSB angekommen, dessen Umfang künftig durch die DSGVO bestimmt wird. Eine Öffnungsklausel für nationale Regelungen – wie bei der Bestellpflicht – gibt es hier nicht, so dass sich der Tätigkeitsbereich im Vergleich zur geltenden Rechtslage etwas verändern wird.

Und hier liegt eine wesentliche Änderung. War der DSB bisher nur dazu verpflichtet, auf die Einhaltung datenschutzrechtlicher Vorschriften „hinzuwirken“, so müssen diese nun nach Art. 39 Abs. 1 lit. c DSGVO bzw. § 38 Abs. 2 i.V.m. § 6 Abs. 2 i.V.m. § 7 BDSG-Neu überwacht werden. Dass darunter auch tatsächlich eine generelle überwachende Tätigkeit verstanden werden muss, statuiert § 7 Abs. 1 Nr. 2 BDSG-neu. Beachten Sie, mit einer Ausweitung der Verpflichtung erfolgt auch die Ausweitung der Haftung des Datenschutzbeauftragten (dazu unten mehr).

Darüber hinaus gilt es die Einhaltung dieser Pflichten durch regelmäßige Kontrollen der Verarbeitungsprogramme zu überwachen und damit betraute Personen im Hinblick auf die Durchführung und Überwachung zu schulen und – das ist neu – zu sensibilisieren (Art. 39 Abs. 1 lit. c DSGVO). Neu ist auch, dass der DSB künftig weder für die Durchführung von Datenschutz-Vorabkontrollen (ab 2018 „Datenschutzfolgeabschätzung“) noch für die Erstellung von Verfahrensverzeichnissen verantwortlich sein wird; hierfür ist nun explizit das Unternehmen selbst verantwortlich.  Zu seinen Aufgaben wird jedoch gehören, die verantwortlichen Stelle dabei zu beraten und sie zu überwachen. Zudem wird die Zusammenarbeit mit den Datenschutzbehörden intensiviert, indem aus der im BDSG enthaltenen optionalen Zusammenarbeit (§ 4g Abs. 1 S. 2,3) nun eine Pflicht wird (Art. 39 Abs. 1 lit. d,e DSGVO). Außerdem regelt Art. 38 IV DSGVO, dass der DSB künftig als Ansprechpartner für Betroffene fungieren soll. Zusammengefasst ergibt sich daraus folgendes Aufgabenspektrum:

  • Unterrichtung und Beratung des Unternehmens sowie der datenverarbeitenden Beschäftigten über die bestehenden Datenschutzpflichten (Gesetze, Rechtsprechung etc.)
  • Überwachung der Einhaltung datenschutzrechtlicher Regelungen und betrieblicher Strategien für den Schutz personenbezogener Daten
  • Sensibilisierung und Schulung von Mitarbeitern
  • Beratung bei und Überwachung der Durchführung einer Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit und Anlaufstelle für Datenschutzbehörden
  • Ansprechpartner für Betroffene

Welche Stellung nimmt der DSB ein?

Diese Aufgabenerfüllung ist nur dann sinnvoll möglich, wenn der DSB unabhängig von der zu kontrollierenden Stelle agieren kann. Er darf im Hinblick auf die Erfüllung der Aufgaben deshalb nicht weisungsgebunden sein und aus Gründen der DSB-Tätigkeit nicht abberufen oder benachteiligt werden. Auch der Sonderkündigungsschutz nach §§ 38 Abs. 4, 6 Abs. 4 BDSG-neu bleibt bestehen. Der Grund hierfür ist auch weiterhin in der besonderen Stellung des Datenschutzbeauftragten zu sehen. Er soll seine Tätigkeit weisungsunabhängig und frei durchführen können. Dies wäre schwerlich möglich, wenn die Geschäftsführung dem Datenschutzbeauftragten in seiner Arbeit durch eine ständig schwebende Kündigungsandrohung behindern würde. Es bleibt es aber auch dabei, dass der DSB unmittelbar der höchsten Managementebene unterstellt wird und dass sich – naturgemäß – aus der Tätigkeit Geheimhaltungs- und Vertraulichkeitspflichten ergeben. Wie dies mit einer verstärkten Zusammenarbeit mit den Datenschutzbehörden in Einklang zu bringen ist, wird sich künftig zeigen müssen.

Der DSB steht den Betroffenen bei der Wahrnehmung ihrer Rechte als Beratungs- und Anlaufstelle zur Verfügung und besitzt diesbezüglich ein Schweigerecht. (§ 6 Abs. 5 BDSG-neu)

Wer kann zum DSB bestellt werden?

Wer letztlich das Amt des DSB bekleidet, entscheiden die Unternehmensverantwortlichen. Bevor nun aber Herr F. aus dem Bereich XY abgezogen und umgeschult wird, gilt es zu beachten, dass die DSGVO einige Grundvoraussetzungen festlegt, welche in der Person des DSB erfüllt sein müssen. So fordert Art. 37 Abs. 5 DSGVO neben der beruflichen Qualifikation und einem besonderes Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis auch die Fähigkeit zur Erfüllung der o.g. Aufgaben. Die Anforderungen decken sich im Wesentlichen mit denen, die auch das BDSG festlegt (Fachkunde und Zuverlässigkeit), so dass sich Unternehmen auch in Zukunft an den vom Düsseldorfer Kreis zusammengestellten „Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz“ orientieren können. Neben technischen, rechtlichen und betriebsorganisatorischen Kenntnissen gilt es bei der Wahl des DSB auch persönliche Eigenschaften (z.B. Bereitschaft zur Weiterbildung, Konfliktlösungspotenzial etc.) zu berücksichtigten. Ob dann letztlich ein unternehmenseigener Mitarbeiter oder doch ein externer Dienstleister zum DSB bestellt wird, spielt dagegen keine Rolle.

Wer kann nicht zum DSB bestellt werden? (Interessenskollision)

Obwohl damit theoretisch jedermann zum DSB bestellt werden könnte, wird der Personenkreis in der Praxis aufgrund der sogenannten „Interessenskollision“ nicht unerheblich eingeschränkt.

Eine Bestellung scheidet nämlich immer dann aus, wenn die Gefahr eines Interessenkonflikts besteht. So kann eine Tätigkeit als DSB neben der Ausübung einer weiteren (Haupt-) Tätigkeit oftmals ein Konfliktpotential enthalten, wenngleich gegen eine solche „Doppelbelastung“ dem Grunde nach nichts spricht.

Gemeint ist damit das Folgende: Bekleidet etwa der Unternehmensinhaber oder Geschäftsführer gleichzeitig das Amt des DSB, liegt die Vermutung nahe, dass im Zweifel primär wirtschaftliche und weniger datenschutzrechtliche Interessen verfolgt werden. Die fehlende Distanz zwischen Unternehmen und dem DSB als Kontroll- und Überwachungsinstanz fehlt auch bei Leitern der IT-Abteilung. Denn IT-Leiter müssen die Datenverarbeitungsprozesse nach unternehmerischen Vorgaben und im Interesse einer Optimierung für das Unternehmen betreiben. Das dies im Konflikt damit steht, diese Prozesse unter datenschutzrechtlichen und -technischen Gesichtspunkten zu überwachen und im Zweifel zu begrenzen, ist wohl nur allzu offensichtlich. (Beim IT-Sicherheitsbeauftragten hingegen spricht dann nichts gegen eine Bestellung, wenn seine Funktionen von der IT-Abteilung losgelöst sind.) Ein Interessenkonflikt liegt in der Regel auch bei Leitern der Rechtsabteilung vor. Trotz des vielleicht ausreichenden rechtstechnischen Fachwissens liegt es hier nahe, dass dieser die oftmals interpretationsbedürftigen Gesetze in dubio pro Arbeitgeber und damit zum Nachteil des Betroffenenschutzes ausgelegen dürfte. Auch hier ist der Interessenskonflikt also offensichtlich. Und all dies gilt im Ergebnis nach überwiegender Auffassung auch für den Personalleiter eines Unternehmens.

Nun könnte man auf die Idee kommen, dass sich dieses Problem bei der Bestellung eines externen DSB erledigt. Doch dem ist nicht so. Die selbe Problemstellung ergibt sich auch bei externen Personen, die als Anwälte, Steuerberater, Wirtschaftsprüfer o.Ä. ohnehin für das betroffene Unternehmen tätig sind und die damit selbstverständlich im Zweifel ebenso im Interessenkonflikt stehen. Eine Problemstellung, die erstaunlicherweise oft von den externe DSB gegenüber den beauftragenden Unternehmen unter den Teppich gekehrt wird. Denn an sich müsste ein als externer DSB beauftragter Anwalt bei einer datenschutzrechlichen Anfrage á la „Wie hoch ist denn hier das Risiko, wenn wir die Datenverarbeitung so oder so machen“ schlicht sagen „Das dürfen Sie gar nicht machen, weil beides nach Auffassung der Datenschutzbehörden nicht rechtskonform ist.“ Denn, wie gesagt, der Datenschutzbeauftragte ist ausschließlich dem Datenschutz und eben nicht dem Mandanten verpflichtet.

Unabhängig davon, wer beauftragt werden soll und welche Tätigkeit daneben noch ausgeübt wird, ist entscheidend, dass keine Interessenkollision bestehen darf. Liegt eine solche doch vor, kann das (bald äußerst) kostspielige Folgen haben, wie sich aus den nachfolgenden Zeilen ergibt.

Was passiert, wenn gegen die Bestellpflicht verstoßen wird?

Bestellt das Unternehmen keinen DSB oder nur unzureichend einen DSB, drohen erhebliche rechtliche Konsequenzen. Was eine Nicht-Bestellung ist, ist eindeutig. Eine unzureichende Bestellung liegt etwa vor, wenn es an dem konstitutiven Schriftformerfordernis bei der Bestellung oder aber an der erforderlichen Zuverlässigkeit fehlt. Die erforderliche Zuverlässigkeit fehlt wiederum, wenn der DSB unter einem der aufgeführten Interessenkonflikten steht. Ob Nicht-Bestellung oder unzureichende Bestellung, das Ergebnis ist das Gleiche: Beides gilt als Verstoß gegen die Pflicht einen DSB ordentlich zu bestellen und kann als Ordnungswidrigkeit mit einer Geldbuße von bis zu 50.000 € sanktioniert werden.

Wer sich nun denkt: ‚Ach, peanuts..‘, dem sei an dieser Stelle unsere mehrteilige Beitragsserie zur DSGVO ans Herz gelegt. Denn mit Wirkung der DSGVO werden sich die angedrohten Bußgelder nämlich drastisch erhöhen. Bei Verstößen gegen die Bestellpflicht drohen dann Geldbußen von bis zu 10 000 000 EUR oder im Falle eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 4 lit. a DSGVO).

Und vor diesem Hintergrund sollte sich gut überlegt werden, ob man den externen Datenschutzbeauftragten, welcher zugleich Anwalt ist, weiter mit der datenschutzrechtlichen Beratung beauftragen möchte. Das ist zwar – trotz der schon heute bestehenden Interessenskollision – derzeit gängige Praxis, aber deswegen nicht weniger rechtswidrig. Und wie eben alles andere auch, wird dieser datenschutzrechtliche Verstoß in Zukunft teuer.

Was müssen Unternehmen sonst noch beachten?

Die Bestellung eines DSB ist der erste Schritt, dem – wie soll es auch anders sein – noch weitere folgen müssen. Für das Unternehmen besteht nämlich zusätzlich die Pflicht, dem DSB bei der Erledigung seiner Aufgaben unterstützend beizustehen. Das umfasst die frühzeitige und ordnungsgemäße Einbindung in datenschutzrechtliche Fragen (Art. 38 Abs. 1 DSGVO) ebenso, wie die Bereitstellung dafür erforderlicher Ressourcen (Personal, Räume, Geräte etc.), den Zugang zu personenbezogenen Daten und Verarbeitungsprozessen sowie die Eröffnung von Weiterbildungsmöglichkeiten (Art. 38 Abs. 2 DSGVO). Weder im BDSG noch in der DSGVO wird dagegen explizit erwähnt, dass dem DSB – sollte er dieses Amt neben seiner Haupttätigkeit betreiben – genügend Zeit zur Arbeit als DSB zur Verfügung gestellt werden muss. Das macht aber nichts, da diese Voraussetzung allgemein anerkannt ist und vom Unternehmen daher erfüllt werden muss.

Interne oder externe Bestellung? 

Hier gibt es kein richtig und kein falsch. Wichtig sind nur zwei Dinge: Zum einen darf keiner der eben erörterten Interessenskonflikte bestehen. Es wäre also ebenso unklug den IT-Leiter als interne wie den langjährig beratenden Anwalt als externe Lösung zu favorisieren. Zum anderen sollte den – aus Marketing-Gründen verständlichen – Lockungen der vielen Anbieter externer Datenschutzbeauftragung, welche vor allem mit den „Ersparnissen“ und der „Haftungsauslagerung“ winken, kritisch gegenüber gestanden werden. Ein Datenschutzbeauftragter braucht – gerade zu Beginn – Zeit. Zeit sich in die Prozesse einzufinden (Call it „Audit“, if you like), diese zu strukturieren und alles, was damit zu tun hat datenschutzrechtlich und -technisch auf die richtigen Füße zu stellen. Nun ist leicht vorstellbar, dass ein externer DSB im Hinblick auf (das Dirigieren) dieses Audit aufgrund mangelnder Kenntnisse der Betriebsabläufe nicht zwingend schneller ist. Und auch wenn die Prozesse gesetzt sind, ergeben sich nun einmal naturgemäß ständig Änderungen und Fragen dazu. All dies lässt sich natürlich ganz wunderbar auch von und mit externen DSB be- und abarbeiten. Nur glauben Sie aber bitte nicht, dass es da mit einem Retainer über 150,00 EUR im Monat getan sein wird. Diese „Feigenblatt“-Beauftragung sieht gegenüber dem Unkundigen sicher gut aus, wenn aber die Datenschutzbehörde bei Ihnen – aus welchen Gründen auch immer – auf dem Hof, bzw. im Datenraum steht, dann wird das kaum etwas helfen. Denn mit 150,00 EUR im Monat kann kein Datenschutzbeauftragter seinen umfänglichen Verpflichtungen, wie etwa der Überwachung der Einhaltung des Datenschutzes nachkommen. Und ach ja, noch zur „Auslagerung der Haftung“: Wie Sie oben gelesen haben, ist es mit der Auslagerung der Haftung unter DSGVO endgültig gar nicht mehr weit her…

Lange Rede, kurzer Sinn: Sowohl die interne wie die externe Beauftragung kann für Ihr Unternehmen sinnvoll sein. Prüfen Sie die verschiedenen Argumente jedoch ebenso sorgfältig wie die Anbieter und die Angebote zu externen Datenschutzbeauftragten.

[My 2Cent: Ich rate Unternehmen regelmäßig zum Aufbau eines internen DSB. Zum einen ist dies schon mittelfristig regelmäßig nicht teuer als ein externer DSB, der sich seine Zeit und sein Wissen auch entsprechend bezahlen lässt. Zum anderen, weil damit langfristig benötigtes Knowhow im Unternehmen aufgebaut wird, das auch an Nachfolger übergeben werden kann. Und das wiegt mE den Punkt „Sonderkündigungsschutz“ grds. auf; schließlich wird das Wissen im Unternehmen langfristig benötigt. Trotzdem können natürlich im konkreten Fall auch die besseren Argumente für den externen sprechen]

Fazit

Ob nach neuer oder alter Rechtslage: Das Unternehmen ist für die Einhaltung datenschutzrechtlicher Vorgaben verantwortlich, der Datenschutzbeauftragte wirkt auf die tatsächliche Einhaltung dieser Pflicht hin. Seine Bestellung ist und bleibt deshalb gesetzlich vorgeschrieben, so dass sich daraus zunächst für jedes Unternehmen Berührungspunkte mit diesem Thema ergeben.

Unternehmensverantwortliche haben zunächst die Frage zu klären, ob im jeweiligen Fall tatsächlich eine Bestellpflicht besteht? Wird dies bejaht, folgt die zweite Frage: Wer soll‘s machen? Ob interne oder externe Person, spielt dem Grunde nach keine Rolle. Entscheidend ist – wie gesagt – nur zweierlei. Zum einen dürfen keine Interessenkonflikte entstehen, die einer Eignung entgegenstehen würden. Und zum anderen darf die Bestellung des DSB, gleich ob intern oder extern,  kein Feigenblatt sein.  Darüber hinaus ist es allein mit der Bestellung des DSB ist es aus Unternehmenssicht jedoch noch nicht getan, da auch darüber hinaus noch Mitwirkungs- und Unterstützungspflichten bestehen.

Und wird dieses Themenkomplex gar nicht oder zu lax angegangen, drohen am Ende des Tages (künftig noch höhere) Bußgelder.

In diesem Sinne,

auf konstruktive Datenschutzbeauftragte!

[Btw: Noch mehr Infos zum DSB, den Aufgaben und Praxistipps gibt es in der vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit veröffentlichten Broschüre zum Datenschutzbeauftragten in Behörde und Betrieb.]

*Der Jurist Christian Frerix promoviert derzeit an der Universität Hamburg und war daneben bis November 2017 in der Anwaltskanzlei Diercks (vormals: im Hamburger Büro von Dirks & Diercks Rechtsanwälte) als Jurist tätig.

*Tobias Hinderks studiert Rechtswissenschaften an der Universität Hamburg und ist daneben seit April 2018 als studentischer Mitarbeiter in der Anwaltskanzlei Diercks tätig.

Bisher in der Reihe zur DSGVO außerdem erschienen:

Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung

Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.

Teil 3 – Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen

Teil 4 – Die Pflichten der Unternehmen, genau genommen: Dokumentationspflichten, Datensicherungspflichten und Meldepflichten

Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten

Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)

Teil 7 – Was die DSGVO mit IT-Richtlinien, Arbeitsrecht und Compliance zu tun hat und warum das jetzt für Unternehmen wichtig ist

Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I

Teil 10 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – II

Teil 11 – Fragenkatalog der Datenschutzbehörden für Unternehmen zur Umsetzung der DSGVO

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.