Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte

Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr kommt dem im Bundesdatenschutzgesetz (BDSG) geregeltem Prinzip der innerbetrieblichen Selbstkontrolle durch den Datenschutzbeauftragten (DSB) daher eine große Bedeutung zu.

Wann und wie muss ein Datenschutzbeauftragter bestellt werden?
Ein Datenschutzbeauftragter ist zu bestellen, wenn in einem Betrieb

• mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
• personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt werden.

Unter personenbezogenen Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person zu verstehen. Zu der Zahl der Personen zählen auch Teilzeitkräfte, Auszubildende, Leihpersonal sowie Geschäftsführer.

In bestimmten Fällen ist ein Datenschutzbeauftragter unabhängig von der Anzahl der mit Verarbeitung von Daten beschäftigten Personen zu bestellen. Nämlich dann, wenn

• automatisierte Verarbeitungen vorgenommen werden und dadurch besondere Risiken für die Rechte und Freiheiten der Betroffenen entstehen (z. B. bei Daten über die Gesundheit oder die Fähigkeiten einer Person) oder
• personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung (auch anonymisierte Übermittlung) verarbeitet oder genutzt werden.

Die Bestellung des Datenschutzbeauftragten muss schriftlich innerhalb eines Monats nach Aufnahme der datenverarbeitenden Tätigkeit erfolgen. Das Schriftstück sollte die wesentlichen Rechte und Pflichten beider Parteien enthalten. Wird trotz der Pflicht dazu kein Datenschutzbeauftragter innerhalb der Monatsfrist bestellt, muss mit einem Bußgeld von bis zu 25.000 – gerechnet werden.

Welche Aufgaben hat der Datenschutzbeauftragte zu erfüllen?
Die wesentlichen Aufgaben des Datenschutzbeauftragten werden in § 4g BDSG genannt. Zu ihnen zählen insbesondere folgende Aufgaben:

• Schaffung von Transparenz in der betrieblichen Datenverarbeitung
• Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme
• Koordinierung und Überwachung der Maßnahmen für Datenschutz und –sicherung
• Beratung über technische und organisatorische Maßnahmen im Bereich der Datenverarbeitung
• Schulung der Mitarbeiter
• Erteilung von Auskünften an die Betroffenen in Angelegenheiten des Datenschutzes, sowie Benachrichtigung des Betroffenen über die Datenerhebung
• Vertretung des Unternehmers in datenschutzrechtlichen Fragen
• Verfassen eines Tätigkeitsberichts am Ende des Geschäftsjahres.
• Durchführung der Vorabkontrolle risikoreicher Anwendungen (§ 4d Absatz 5)
• Zur Verfügungstellung des Verfahrensverzeichnisses an Jedermann zur Einsicht (§ 4g Abs. 2)

Zudem besteht keine Verpflichtung mehr, bei der Personalauswahl im Unternehmen mitzuwirken.

Welche Rechte und Pflichten haben Datenschutzbeauftragte und Unternehmer?
Zur effektiven Wahrnehmung seiner Aufgaben hat der Datenschutzbeauftragte eine Reihe von Befugnissen und Rechten gegenüber der Geschäftsführung, die ihn bei seiner Aufgabenerfüllung aktiv zu unterstützen hat:

• Die Geschäftsführung hat dem DSB die erforderliche Zeit zur Wahrnehmung seiner Tätigkeit einzuräumen und ihm die Möglichkeit zur eigenen sowie zur Schulung der Mitarbeiter zu geben,
• sie hat dem DSB die erforderlichen Mittel wie Hilfspersonal, Geräte u. ä., insbesondere auch eigene Räumlichkeiten zur Verfügung zu stellen,
• dem DSB ist eine Übersicht über die Dateien und über die Datenverarbeitungsanlagen bereitzustellen.
• Bei neuen Projekten im Rahmen der automatisierten Verarbeitung ist der DSB rechtzeitig zu informieren, damit er notwendige Datenschutzaspekte einbringen kann.
• Der DSB ist der Geschäftsführung disziplinarisch unmittelbar zu unterstellen, und es ist ein direktes Vortragsrecht und eine direkte Vortragspflicht sicherzustellen.
• Eine Kündigung ist nun grundsätzlich nicht mehr möglich (nach einer Änderung ab 01.09.2009), und zwar auch noch bis zu einem Jahr nach dem Ende seiner Tätigkeit (außer wenn ein wichtiger Grund für eine fristlose Kündigung besteht).
• Außerdem hat die verantwortliche Stelle zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde dem DSB die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen (ebenfalls nach einer Änderung ab 01.09.2009).

Welche persönlichen Anforderungen hat ein Datenschutzbeauftragter zu erfüllen?
Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung dieser Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Dabei ist die Fachkunde einzelfallabhängig vom jeweiligen Bedarf im Unternehmen. Kriterien sind hierbei insbesondere der Umfang der Datenverarbeitung und der Schutzbedarf der personenbezogenen Daten im Unternehmen.

Zur erforderlichen Fachkunde gehören EDV-technische, betriebswirtschaftliche und datenschutzrechtliche Kenntnisse. Zu erwarten sind auch organisatorische und pädagogische Fähigkeiten, sowie Konfliktbereitschaft und die Fähigkeit zu kommunikativer Arbeit.

Die gesetzlichen Anforderungen an die Zuverlässigkeit des DSB sind erfüllt, wenn der DSB aufgrund der persönlichen Eigenschaften sowie seines Verhaltens geeignet ist, seine Aufgaben ordnungsgemäß zu erfüllen. Zur persönlichen Zuverlässigkeit gehören unter anderem Verschwiegenheit, Unbestechlichkeit und ein ausgeprägtes Verantwortungsbewusstsein. Fachliche Zuverlässigkeit ist gegeben, wenn die Arbeitsweise des DSB durch Sorgfalt und Gründlichkeit bestimmt wird. An die Zuverlässigkeit sind hohe Anforderungen zu stellen, die beispielsweise bei einschlägigen Vorstrafen nicht vorliegt.

Um eine effektive Selbstkontrolle zu gewähren, sollte der Datenschutzbeauftragte nicht der Geschäftsführung angehören. Ist in Ihrem Unternehmen eine geeignete Person nicht vorhanden, so können Sie auch einen externen Datenschutzbeauftragten bestellen.

Die Internetseite der Landesdatenschutzbeauftragten NRW mit weiterführenden Informationen finden Sie unter www.ldi.nrw.de.

Über Änderungen des BDSG zum 01.09.2009 informiert Sie unser Merkblatt unter "Mehr zu diesem Thema".