Der betriebliche Datenschutzbeauftragte

Durch die fortschreitende Verbreitung der automatisierten Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr kommt dem im Bundesdatenschutzgesetz (BDSG) geregelten Prinzip der innerbetrieblichen Selbstkontrolle durch den betrieblichen Datenschutzbeauftragten daher eine große Bedeutung zu. Die rechtliche Stellung des Datenschutzbeauftragten wurde im September 2009 durch die Änderung des § 4f BDSG nochmals gestärkt.

Wann und wie muss ein Datenschutzbeauftragter bestellt werden?

Gemäß § 4 f Bundesdatenschutzgesetz muss jedes Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen:

1. in dem mehr als neun Personen personenbezogene Daten automatisiert erheben verarbeiten oder nutzen 
2. in dem in der Regel mindestens 20 Arbeitnehmer Daten auf andere Art und Weise erheben, verarbeiten oder nutzen
3. in dem unabhängig von der Anzahl der Arbeitnehmer, Daten automatisiert erhoben, verarbeitet oder genutzt werden, die wegen ihrer besonderen Sensibilität (z. B. Angaben über rassische und ethnische Herkunft oder über Gewerkschaftszugehörigkeit) vor Einsatz zu prüfen sind (sog. Vorabkontrolle) oder wenn personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder anonymisierten Übermittlung erhoben, verarbeitet oder genutzt werden.

Die entsprechenden Begriffsbestimmungen nimmt das BDSG in § 3 selbst vor, zum Beispiel: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Erheben ist das Beschaffen von Daten über den Betroffenen. Verarbeiten ist das Speichern, Verändern, Übermitteln und Löschen personenbezogener Daten. Nutzen ist jede Verwendung der Daten, soweit es sich nicht um Verarbeitung handelt.

Die Bestellung des Datenschutzbeauftragten muss schriftlich innerhalb eines Monats nach Aufnahme der datenverarbeitenden Tätigkeit erfolgen. Ein gesetzlich vorgegebener Mindestinhalt ist nicht festgelegt. Das Schriftstück sollte aber die wesentlichen Rechte und Pflichten beider Parteien enthalten. Da eine arbeitsgerichtliche Klärung zur Frage, wann eine Abberufung möglich und wie diese zu bewerkstelligen ist, derzeit noch aussteht, dürfte es sinnvoll sein, eine Bestellung jeweils nur befristet für 3 bis 5 Jahre vorzunehmen und gegebenenfalls auch die Möglichkeiten einer Abberufung bereits in der Bestellungsurkunde selbst zu regeln, wie in unserem Muster (Word-doc) vorgeschlagen.

Ein Muster für die Bestellung eines betrieblichen Datenschutzbeauftragten ist als Anlage diesem Merkblatt beigefügt. Wird trotz bestehender Verpflichtung kein Datenschutzbeauftragter innerhalb der Monatsfrist bestellt, muss mit einem Bußgeld von bis zu 50.000 € gerechnet werden.

Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Wesentliche Aufgaben des Datenschutzbeauftragten sind nach § 4g BDSG die Schaffung von Transparenz in der betrieblichen Datenverarbeitung, Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, Koordinierung und Überwachung der Maßnahmen für Datenschutz und Datensicherung, Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung, Schulung der Mitarbeiter, Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes und ihre Benachrichtigung über die Datenerhebung. Auch die Vertretung des Unternehmers in datenschutzrechtlichen Fragen, das Verfassen eines Tätigkeitsberichts am Ende des Geschäftsjahres, die Durchführung der Vorabkontrolle bei der Verarbeitung besonders sensibler Daten und Zurverfügungstellung der Angaben über die Verfahren automatisierter Verarbeitung können durch den Datenschutzbeauftragten erfolgen wenn dies beauftragt wird.

Welche Rechte und Pflichten haben Datenschutzbeauftragte und Unternehmer?

Zur effektiven Wahrnehmung seiner Aufgaben hat der betriebliche Datenschutzbeauftragte eine Reihe von Befugnissen und Rechten gegenüber der Geschäftsführung, die ihn bei seiner Aufgabenerfüllung aktiv zu unterstützen hat. Die Geschäftsführung hat ihm die erforderliche Zeit zur Wahrnehmung seiner Tätigkeit einzuräumen und ihm zur Erhaltung der erforderlichen Fachkunde die Teilnahme an Fort- und Weiterbildungsmaßnahmen zu ermöglichen und deren Kosten zu übernehmen. In welchem konkreten Umfang Fortbildung gewährt werden muss, ist letztlich eine Einzelfallentscheidung entsprechend den individuellen Bedürfnissen des Datenschutzbeauftragten. Regelmäßig dürfte eine Fortbildung bei aktuellen Rechtsänderungen und ansonsten wenigstens im zweijährigen Modus, analog zum Bildungsurlaub, wohl sachdienlich sein.

Dem Datenschutzbeauftragten sind die erforderlichen Mittel, wie Hilfspersonal, Geräte und ähnliches, insbesondere auch eigene Räumlichkeiten zur Verfügung zu stellen. Ihm ist eine Übersicht über die Dateien und über die Datenverarbeitungsanlagen bereit zu stellen. Bei neuen Projekten im Rahmen der automatisierten Verarbeitung ist er rechtzeitig zu informieren, damit er notwendige Datenschutzaspekte einbringen kann. Der Datenschutzbeauftragte ist der Geschäftsführung disziplinarisch unmittelbar zu unterstellen, und es ist ein direktes Vortragsrecht und -pflicht sicherzustellen.

Seit September 2009 unterliegt der Datenschutzbeauftragte auch einem erweitertem Kündigungsschutz. Eine ordentliche Kündigung ist gem. § 4f Abs. 3 BDSG erst ein Jahr nach der förmlichen Abberufung als Datenschutzbeauftragten zulässig. Diese Regelung erfasst auch alle bisherigen Bestellungen.

Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit (bereits) besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, welche die verantwortliche Stelle erhebt oder verwertet.

Zur erforderlichen Fachkunde gehören EDV-technische, betriebswirtschaftliche und datenschutzrechtliche Kenntnisse. Zu erwarten sind auch organisatorische und pädagogische Fähigkeiten, sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit. Soweit dem betrieblichen Datenschutzbeauftragten die fachliche Qualifikation in Teilbereichen noch fehlt, ist ihm Gelegenheit zu geben, diese zu erwerben.

Die Anforderungen an die Zuverlässigkeit des betrieblichen Datenschutzbeauftragten sind erfüllt, wenn er aufgrund seiner persönlichen Eigenschaften und seines Verhaltens geeignet ist, seine Aufgaben ordnungsgemäß zu erfüllen. Zur persönlichen Zuverlässigkeit gehören unter anderem Verschwiegenheit, Unbestechlichkeit und ein ausgeprägtes Verantwortungsbewusstsein. Fachliche Zuverlässigkeit ist gegeben, wenn die Arbeitsweise des betrieblichen Datenschutzbeauftragten durch Sorgfalt und Gründlichkeit bestimmt wird. An die Zuverlässigkeit sind hohe Anforderungen zu stellen, die beispielsweise bei einschlägigen Vorstrafen nicht vorliegt. Um eine effektive Selbstkontrolle zu gewähren, sollte der Datenschutzbeauftragte nicht der Geschäftsführung angehören. Ist in Ihrem Unternehmen eine geeignete Person nicht vorhanden, können Sie auch einen externen Datenschutzbeauftragten bestellen.

Weitere Informationen zur Bestellung eines betrieblichen Datenschutzbeauftragten, zu Fragen des Datenschutzes allgemein und zum Bundesdatenschutzgesetz finden Sie in unserer Linkliste. Für die Bestellung eines betrieblichen Datenschutzbeauftragten empfehlen wir Ihnen unsere Musterformulierung (WORD-Doc).