Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 11/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten EuGH HinSchG Homeoffice KI KRITIS Microsoft 365 Rechenschaftspflicht Urteil Vorlagen
26. März 2020

Muss ein DSB schwere Datenschutzverstöße melden?

DP+
Muss ein DSB schwere Datenschutzverstöße melden?
Bild: iStock.com / solarseven
5,00 (1)
drucken
Ein Dilemma für jeden Datenschutzbeauftragten
Ein DSB sieht sich mit schweren Datenschutzverstößen konfrontiert. Er legt sie der Unternehmensleitung mehrfach dar. Doch es geschieht: nichts. Darf er sich an die Aufsichtsbehörde wenden? Oder muss er es sogar? Die Frage ist strittig. Der Beitrag bezieht klar Position.

Manchmal verstoßen Verantwortliche gegen elementare Grundsätze des Datenschutzes. Ein Beispiel aus der Praxis: Ein System, das in einem Krankenhaus eingesetzt wird, erlaubt keinerlei Löschung von Daten. Das lässt sich eindeutig nicht mit der Löschungspflicht gemäß Art. 17 Datenschutz-Grundverordnung (DSGVO) vereinbaren.

Die Klinikleitung erklärt dem Datenschutzbeauftragten (DSB), man sehe dieses Problem sehr wohl. Gleichwohl könne man auf den Einsatz des Systems nicht verzichten. Ein adäquater Ersatz sei auf dem Markt nicht verfügbar.

Mögliche Pflichten des DSB

Gegenüber dem Verantwortlichen hat der DSB alle Pflichten erfüllt. Er hat den Verantwortlichen, vertreten durch die Leitungsebene, unterrichtet und beraten (Art. 39 Abs. 1 Buchst. a DSGVO).

Aber reicht das aus? Muss er die Datenschutzaufsicht über den Sachverhalt in Kenntnis setzen? Falls nein, ist er dazu wenigstens berechtigt? Die Datenschutzliteratur ist sich uneins. Rechtsprechung, die weiterhelfen könnte, gibt es bisher nicht.

Überholte BDSG-Regelung

Das „alte“, inzwischen nicht mehr geltende Bundesdatenschutzgesetz (BDSG a.F.) sah vor, dass sich der DSB „in Zweifelsfällen an die für die Datenschutzkontrolle … zuständige Behörde wenden“ kann (siehe § 4g Abs. 1 Satz 2 BDSG a.F.).

Ob daraus ein Recht oder gar eine Pflicht des DSB abzuleiten war, offensichtliche Verstöße bei der Aufsichtsbehörde zu melden, war umstritten.

Gleich wie: Die DSGVO enthält keine Bestimmung, die mit dieser früheren Regelung vergleichbar wäre.

DSB als interner Berater

Nach den Vorgaben der DSGVO hat ein DSB die Rolle …

Dr. Eugen Ehmann
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Jetzt testen

Sie sind bereits Abonnentin oder Abonnent? Dann melden Sie sich bitte hier an.

zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen & Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 die IDACON , den renommierten Datenschutz-Kongress.
Verwandte Beiträge
01. November 2024
DP+
KI-Modelle und KI-Systeme: Eine Definition symbolisiert durch eine gezeichnete Frau, die auf einem Computer-Chip mit der Aufschrift AI sitzt
Bild: Khafizh Amrullah/iStock/Getty Images Plus

Definition und Klassifikation von KI-Modellen und -Systemen

Ratgeber
KI
01. November 2024
DP+
Die DSGVO sieht ein Verzeichnis der Verarbeitungstätigkeiten (VTT) vor. Dessen Aktualisierung ist jedoch nicht Aufgabe des DSB, sondern der jeweiligen Prozessverantwortlichen.
Bild: iStock.com/Galeanu Mihai

Verarbeitungsverzeichnis zeitgemäß neu denken

Praxisbericht
Cybersicherheit KI
01. November 2024
DP+
Mit einer neuen Verordnung hat die EU die Grundlage dafür geschaffen, eine digitale Brieftasche einzuführen. In dieser EU-ID-Wallet können Bürgerinnen und Bürger wichtige Daten und Dokumente speichern.
Bild: iStock.com/dem10

Einführung einer digitalen Brieftasche für EU-Bürger

Hintergrund
01. November 2024
DP+
Die KI-Verordnung (KI-VO) sieht verschiedene Rollen und damit einhergehend verschiedene Verantwortlichkeiten für den Datenschutz vor.
Bild: iStock.com/Atomic62 Studio

Verantwortlichkeiten und Rollen bei KI-Systemen

Ratgeber
KI
31. Oktober 2024
DP+
Terminbuchungstools und Datenschutz: Gemäß dem Need-to-know“-Prinzip dürfen nur die Beschäftigten Zugriff auf das Tool erhalten, für die dies erforderlich ist. Die zuständigen Beschäftigten müssen regelmäßig datenschutzrechtlich sensibilisiert und geschult werden.
Bild: iStock.com/AndreyPopov

Terminbuchungstools für Arztpraxen

Ratgeber
Drittland EuGH
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.