Datenschutzbeauftragte

1. Einführung

Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs gestiegen. Um diese Gefahr zu begrenzen, misst der Gesetzgeber dem in der Datenschutzgrundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) geregeltem Prinzip der innerbetrieblichen Selbstkontrolle durch den Datenschutzbeauftragten (DSB) eine große Bedeutung zu.
Hinweis: Dieser Artikel behandelt die Bestellung von betrieblichen Datenschutzbeauftragten nach der DSGVO und dem BDSG. Wenn Sie mehr wissen möchten über die ab dem 25. Mai 2018 geltenden Datenschutzgrundverordnung, dann finden Sie diese Informationen im Artikel "Datenschutzgrundverordnung (DS-GVO)".

2. Wann und wie muss ein Datenschutzbeauftragter bestellt werden?

Ein Datenschutzbeauftragter ist zu bestellen, wenn in einem Betrieb
  • mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Unter personenbezogenen Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen.
Zu der Zahl der Personen zählen auch Teilzeitkräfte, Auszubildende, Leihpersonal sowie Geschäftsführer.
In bestimmten Fällen ist ein Datenschutzbeauftragter unabhängig von der Anzahl der mit Verarbeitung von Daten beschäftigten Personen zu bestellen. Nämlich dann, wenn
  • der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen oder
  • der Verantwortliche oder der Auftragsverarbeiter personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung vorarbeitet.
Die Bestellung des Datenschutzbeauftragten muss schriftlich innerhalb eines Monats nach Aufnahme der datenverarbeitenden Tätigkeit erfolgen. Das Schriftstück sollte die wesentlichen Rechte und Pflichten beider Parteien enthalten.
Wichtig! Wird trotz der Pflicht dazu kein Datenschutzbeauftragter innerhalb der Monatsfrist bestellt, droht ein Bußgeld.
Die Geldbuße soll dabei den wirtschaftlichen Vorteil, den der Täter aus dem Verstoß gegen die Pflicht zur Bestellung gezogen hat, überschreiten. Genügt dafür der Betrag von 50.000 € nicht, so kann dieser auch überschritten werden.

3. Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?

Die wesentlichen Aufgaben des Datenschutzbeauftragten werden in § 4g BDSG genannt. Zu ihnen zählen insbesondere folgende Aufgaben:
  • Schaffung von Transparenz in der betrieblichen Datenverarbeitung.
  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme.
  • Koordinierung und Überwachung der Maßnahmen für Datenschutz und -sicherung.
  • Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung.
  • Schulung der Mitarbeiter.
  • Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes, sowie Benachrichtigung des Betroffenen über die Datenerhebung.
  • Vertretung des Unternehmens in datenschutzrechtlichen Fragen.
  • Durchführung der so genannten Vorabkontrolle bei risikoreichen Anwendungen (§ 4d Absätze 5 und 6 BDSG).

4. Welche Rechte und Pflichten haben Datenschutzbeauftragte und Unternehmer?

Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte eine Reihe von Befugnissen und Rechten gegenüber der Geschäftsführung, die ihn bei seiner Aufgabenerfüllung aktiv zu unterstützen hat:
  • Die Geschäftsführung hat dem DSB die erforderliche Zeit zur Wahrnehmung seiner Tätigkeit einzuräumen und ihm die Möglichkeit zur eigenen sowie zur Schulung der Mitarbeiter zu geben.
  • Sie hat dem DSB die erforderlichen Mittel wie Hilfspersonal, Geräte u. ä., insbesondere auch eigene Räumlichkeiten zur Verfügung zu stellen.
  • Dem DSB ist eine Übersicht über die Dateien und über die Datenverarbeitungsanlagen bereitzustellen.
  • Bei neuen Projekten im Rahmen der automatisierten Verarbeitung ist der DSB rechtzeitig zu informieren, damit er notwendige Datenschutzaspekte einbringen kann.
  • Der DSB ist der Geschäftsführung disziplinarisch unmittelbar zu unterstellen und es ist ein direktes Vortragsrecht und eine direkte Vortragspflicht sicherzustellen.
  • Der DSB ist für die Dauer seiner Amtszeit und ein Jahr danach nicht mehr ordentlich, sondern nur noch außerordentlich kündbar.
  • Der Arbeitgeber ist verpflichtet, auf eigene Kosten dem DSB die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen, damit dieser für die Erfüllung seiner Aufgaben die erforderliche Sachkunde erlangt.

5. Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Dabei ist die Fachkunde einzelfallabhängig vom jeweiligen Bedarf im Unternehmen. Kriterien sind hierbei insbesondere der Umfang der Datenverarbeitung und der Schutzbedarf der personenbezogenen Daten im Unternehmen.
Hinweis: Um eine effektive Selbstkontrolle zu gewähren, sollte der Datenschutzbeauftragte nicht der Geschäftsführung angehören.
Zur erforderlichen Fachkunde gehören EDV-technische, betriebswirtschaftliche und datenschutzrechtliche Kenntnisse. Zu erwarten sind auch organisatorische und pädagogische Fähigkeiten sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit.
Die gesetzlichen Anforderungen an die Zuverlässigkeit des Datenschutzbeauftragten sind erfüllt, wenn dieser aufgrund der persönlichen Eigenschaften sowie seines Verhaltens geeignet ist, seine Aufgaben ordnungsgemäß zu erfüllen. Zur persönlichen Zuverlässigkeit gehören unter anderem Verschwiegenheit, Unbestechlichkeit und ein ausgeprägtes Verantwortungsbewusstsein. Fachliche Zuverlässigkeit ist gegeben, wenn die Arbeitsweise des Datenschutzbeauftragten durch Sorgfalt und Gründlichkeit bestimmt wird. An die Zuverlässigkeit sind hohe Anforderungen zu stellen, die beispielsweise bei einschlägigen Vorstrafen nicht vorliegt.
Tipp: Der Düsseldorfer Kreis hat sich mit Beschluss vom 24./25. November 2010 über detailliertere Kriterien, die ein betrieblicher Datenschutzbeauftragter zu erfüllen hat, verständigt. Der Beschluss ist auf der Seite der Bundesbeauftragten für den Datenschutz und die Informationssicherheit abrufbar.
Ist in Ihrem Unternehmen eine geeignete Person nicht vorhanden oder sprechen andere Gründe gegen die Bestellung einer Person aus Ihrem Unternehmen, so können Sie auch einen externen Datenschutzbeauftragten bestellen.

Weitere Informationen