Der betriebliche Datenschutzbeauftragte

Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs gestiegen. Um diese Gefahr zu begrenzen, misst der Gesetzgeber dem im Bundesdatenschutzgesetz (BDSG) geregelten Prinzip der innerbetrieblichen Selbstkontrolle durch den Datenschutzbeauftragten (DSB) eine große Bedeutung zu.

Wann und wie muss ein Datenschutzbeauftragter bestellt werden?

Ein Datenschutzbeauftragter ist zu bestellen, wenn in einem Betrieb

  1. mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  2. personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt werden.

Unter personenbezogenen Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen. Zu der Zahl der Personen zählen auch Teilzeitkräfte, Auszubildende, Leihpersonal sowie  Geschäftsführer.

In bestimmten Fällen ist ein Datenschutzbeauftragter unabhängig von der Anzahl der mit der Verarbeitung von Daten beschäftigten Personen zu bestellen. Nämlich dann, wenn

  1. automatisierte Verarbeitungen vorgenommen werden, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen (z. B. bei Daten über die Gesundheit oder die Bewertung von Fähigkeiten von Personen) oder
  2. personenbezogene Daten geschäftsmäßig, also nicht bloß vereinzelt, zum Zweck der Übermittlung (auch anonymisierte Übermittlung) oder der Markt- oder Meinungsforschung automatisiert verarbeitet oder genutzt werden.

Die Bestellung des Datenschutzbeauftragten muss schriftlich innerhalb eines Monats nach Aufnahme der datenverarbeitenden Tätigkeit erfolgen. Das Schriftstück sollte die wesentlichen Rechte und Pflichten beider Parteien enthalten (siehe unten). Wird trotz der Pflicht dazu kein Datenschutzbeauftragter innerhalb der Monatsfrist bestellt, droht ein Bußgeld von bis zu 50.000 €. Die Geldbuße soll dabei den wirtschaftlichen Vorteil, den der Handelnde aus dem Verstoß gegen die Pflicht zur Bestellung gezogen hat, überschreiten. Genügt dafür der Betrag von 50.000 € nicht, so kann dieser auch überschritten werden.

Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Die wesentlichen Aufgaben des Datenschutzbeauftragten werden in § 4g BDSG genannt. Zu ihnen zählen insbesondere folgende Aufgaben:

  • Schaffung von Transparenz in der betrieblichen Datenverarbeitung
  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme
  • Koordinierung und Überwachung der Maßnahmen für Datenschutz und –sicherung
  • Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung
  • Schulung der Mitarbeiter
  • Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes, sowie Benachrichtigung des Betroffenen über die Datenerhebung
  • Vertretung des Unternehmens in datenschutzrechtlichen Fragen
  • Durchführung der so genannten Vorabkontrolle bei risikoreichen Anwendungen (§  4d  Absätze 5 und 6 BDSG)

Welche Rechte und Pflichten haben Datenschutzbeauftragte und Unternehmer?

Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte (DSB) eine Reihe von Befugnissen und Rechten gegenüber der Geschäftsführung, die ihn bei seiner Aufgabenerfüllung aktiv zu unterstützen hat:

  • die Geschäftsführung hat dem DSB die erforderliche Zeit zur Wahrnehmung seiner Tätigkeit einzuräumen und ihm die Möglichkeit zur eigenen sowie zur Schulung der Mitarbeiter zu geben
  • sie hat dem DSB die erforderlichen Mittel wie Hilfspersonal, Geräte u. ä., insbesondere auch eigene Räumlichkeiten zur Verfügung zu stellen
  • dem DSB ist eine Übersicht über die Dateien und über die Datenverarbeitungsanlagen bereitzustellen
  • bei neuen Projekten im Rahmen der automatisierten Verarbeitung ist der DSB rechtzeitig zu informieren, damit er notwendige Datenschutzaspekte einbringen kann
  • der DSB ist der Geschäftsführung disziplinarisch unmittelbar zu unterstellen und es ist ein direktes Vortragsrecht und eine direkte Vortragspflicht sicherzustellen.
  • der DSB ist für die Dauer seiner Amtszeit nicht mehr ordentlich, sondern nur noch außerordentlich kündbar
  • nach Abberufung ist der DSB für die Dauer eines Jahres nicht mehr ordentlich, sondern nur außerordentlich kündbar
  • der Arbeitgeber ist verpflichtet, auf eigene Kosten dem DSB die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen, damit dieser für die Erfüllung seiner Aufgaben die erforderliche Sachkunde erlangt

Welche persönlichen Voraussetzungen muss ein Datenschutzbeauftragter erfüllen?

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Dabei ist die Fachkunde einzelfallabhängig vom jeweiligen Bedarf im Unternehmen festzustellen. Kriterien sind hierbei insbesondere der Umfang der Datenverarbeitung und der Schutzbedarf der personenbezogenen Daten im Unternehmen.

Zur erforderlichen Fachkunde gehören EDV-technische, betriebswirtschaftliche und datenschutzrechtliche Kenntnisse. Zu erwarten sind auch organisatorische und pädagogische Fähigkeiten, sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit.

Um eine effektive Selbstkontrolle zu gewähren, sollte der Datenschutzbeauftragte nicht der Geschäftsführung angehören.