Haben Sie in Ihrem Betrieb einen Mitarbeiter zum Ansprechpartner für Datenschutzrecht benannt?
Dann empfehlen wir Ihnen Folgendes:
Der Ansprechpartner für das Datenschutzrecht in Ihrem Betrieb oder auch der Datenschutzkoordinator sollte unbedingt eine eigene E-Mail Adresse für diese Funktion erhalten. Diese lautet idealerweise datenschutz@firmenname.de.
Warum?
Zunächst einmal ist das Postfach damit Mitarbeiter-unabhängig, da es nicht personalisiert ist. Sollte in Ihrem Betrieb ein Wechsel der Zuständigkeit für den Datenschutz auftauchen, macht sich dies zunächst nicht bei der Kontaktmöglichkeit bemerkbar.
Durch ein gesondertes E-Mail-Postfach wird zudem verhindert, dass datenschutzrechtliche Anliegen mit anderen vermischt werden. Alle datenschutzrechtlichen Belange werden so zentral gesammelt. Dies dient auch der Übersichtlichkeit der datenschutzrechtlichen Anfragen und Aufgaben.
Der entscheidende Vorteil liegt jedoch darin, dass damit auch die Zugriffsberechtigungen für datenschutzrechtliche Themen klar festgelegt werden können. Typischerweise ist ein Mitarbeiter nicht ausschließlich für den Datenschutz zuständig, sondern übernimmt darüber hinaus weitere Funktionen in Ihrem Betrieb. Hierfür bestehen aller Wahrscheinlichkeit nach Vertretungsregelungen und Zugriffsberechtigungen. In seiner Funktion als Ansprechpartner für den Datenschutz sollte der Mitarbeiter jedoch ausschließlich an die Geschäftsführung rückmelden. Gegebenenfalls existiert auch für diese Funktion eine Vertretungsregelung, die jedoch nicht zwangsläufig mit der Vertretung der übrigen Aufgaben deckungsgleich ist.
Im Ergebnis
Um zu verhindern, dass sensible Daten, die zwangsweise dem Datenschutz-Koordinator zugänglich sind, an unbefugte Mitarbeiter gelangen und auch zur klaren Trennung der Aufgaben des Mitarbeiters, sollte ein eigenes Postfach eingerichtet werden.
Wie und wo sollten Sie Ihr Datenschutzpostfach kommunizieren?
In unserem Newsletter von letzter Woche haben wir Ihnen die Notwendigkeit eines eigenen Datenschutzpostfachs in Ihrem Betrieb erläutert und nahegelegt, ein solches Postfach zum Beispiel in Form von datenschutz@firmenname.de einzurichten. Es stellt sich nun die Frage, wie und wo Sie Ihr Datenschutzpostfach kommunizieren sollten.
Kommunikation innerhalb Ihres Betriebs
Innerhalb Ihres Betriebs sollten Sie das Datenschutzpostfach als Kontaktmöglichkeit für datenschutzrechtliche Fragen, Anregungen, Probleme oder Vorfälle unbedingt kommunizieren. Hier eignet sich möglicherweise eine Rund-Mail an alle Mitarbeiter mit der Information über das neu eingerichtete Postfach. Möglichweise benutzen Sie intern auch eine andere Kommunikationsplattform, mit welcher Sie die Information ohne großen Zeitaufwand verbreiten können.
Kommunikation außerhalb Ihres Betriebs
Die Existenz Ihres Datenschutzpostfachs können und sollten Sie auch nach außen kommunizieren, damit alle Anfragen, Beschwerden oder Ersuchen direkt bei dem zuständigen Ansprechpartner für den Datenschutz landen.
Wir empfehlen, das E-Mail-Postfach überall dort anzugeben, wo die Kontaktdaten des Verantwortlichen veröffentlicht werden. Das ist zum einen
– auf Ihrer Datenschutzerklärung der Webseite,
– in Ihrer allgemeinen Datenschutzbelehrung für Kunden und Lieferanten,
– bei Einwilligungen und
– auf Hinweisschildern bzw. Informationsblättern zu einer Videoüberwachung.
Außerdem sollten Sie überall dort, wo auf das Widerspruchsrecht hingewiesen wird (z.B. in der allgemeinen Datenschutzbelehrung, auf der Datenschutzerklärung der Webseite) und eine Kontaktmöglichkeit angegeben wird, das Datenschutzpostfach angeben.
Wer hat Zugriff auf das Datenschutzpostfach?
Zugriff auf das Datenschutzpostfach sollte immer der Mitarbeiter innerhalb Ihres Unternehmens haben, der für den Datenschutz zuständig ist. Auch wenn Sie uns als Ihren externen Datenschutzbeauftragten an Ihrer Seite haben, sollten wir keinesfalls Zugriff auf das Datenschutzpostfach haben. Der Datenschutzansprechpartner nimmt bei Bedarf direkten Kontakt zu uns auf.
Weiterleitungen?
Auf dem Datenschutzpostfach sollte keine Weiterleitung an einen Mitarbeiter eingerichtet werden. Vielmehr sollte der zuständige Mitarbeiter unmittelbar Zugriff auf das Postfach haben. Nur dann kann der Zweck erfüllt werden, dass datenschutzrechtliche Belange separat eingehen, bearbeitet, abgelegt und dokumentiert werden.
Kein Kommentar