Bestellung eines Datenschutzbeauftragten
von Frederick Kubin | 15.09.2015 | Ressort: Institut
Zur Bestellung eines Datenschutzbeauftragten ist ein Unternehmen verpflichtet, wenn mehr als neun Personen mit der Verarbeitung von Daten beschäftigt sind oder Zugriff auf diese haben (vgl. § 4f Abs. 1 Satz 1 und 4 Bundesdatenschutzgesetz).
Die Aufgabe eines Datenschutzbeauftragten ist gesetzlich so umschrieben, dass er auf die Einhaltung des Datenschutzes hinzuwirken hat; er kann entweder Mitarbeiter des Unternehmens sein, oder als externer Datenschutzbeauftragter bestellt werden. In jedem Falle muss er jedoch die notwendige Fachkunde besitzen, die in Seminaren oder Schulungen erworben wird, um ihn zur Ausübung der Aufgaben zu befähigen. Es besteht sogar die ausdrücklichliche Verpflichtung des Arbeitgebers, dem Datenschutzbeauftragten auch für die Erhaltung seiner Fachkunde die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen (§ 4f Abs. 3 Satz 7, Abs. 2 BDSG).
Aber nochmal zu den Voraussetzungen der Bestellung. “Kaum eine Regel ohne Ausnahme”: Denn auch unterhalb der oben genannten Mitarbeitergrenze ist die Bestellung eines Datenschutzbeauftragten zwingend, wenn ein bestimmtes Risiko vermutet wird, das eine sofortige Bestellung erforderlich macht, Verfahren eingesetzt werden, die einer sogenannten “Vorabkontrolle” unterliegen (§ 4d Abs. 5, § 3 Abs. 9, § 4e, § 4f Abs. 1 Satz 6), oder wenn personenbezogene Daten geschäftsmäßig verarbeitet werden, um diese an Dritte weiterzugeben (etwa beim Adressdatenhandel). Weiter entfällt die Grenze, wenn eine volle Automatisierung der Erfassung beispielsweise für Statistik oder Forschungszwecke eingesetzt wird. Als automatisiert wird die Verarbeitung von Daten bezeichnet, wenn dazu Computer genutzt werden.
Wann und wer?
Die Bestellung des Datenschutzbeauftragten hat spätestens einen Monat nach Aufnahme der Tätigkeit des Unternehmens zu erfolgen (§ 4 Abs. 1 Satz 2 BDSG). Eine verspätete Bestellung oder Nichtbestellung kann als Ordnungswidrigkeit mit einem Bußgeld i.H.v. bis zu 50.000 EUR geahndet werden (§ 43 Abs. 3 BDSG).
Das Unternehmen kann (was aufgrund der komplexen Rechts- und Sachlage zuzunehmen scheint) einen externen Datenschutzbeauftragten bestellen, oder einen eigenen Mitarbeiter mit dieser Aufgabe betrauen (vgl. oben, was u.a. auch Auswirkungen auf eine Haftung des Datenschutzbeauftragten zur Folge hat). Grundsätzlich gilt es, Interessenkonflikte zu vermeiden, wie sie etwa bei Personen entstehen können, die ein eigenes Interesse am Unternehmen haben oder in leitender Position tätig sind (Teilhaber, Gesellschafter). Geschäftsführer oder Abteilungsleiter der Personal- oder IT-Abteilung scheiden regelmäßig aus, während hinsichtlich eines Assistenten der Geschäftsleitung z.B. entschieden wurde, dass dieser die Aufgaben eines Datenschutzbeauftragten übernehmen kann.
Aufgaben eines Datenschutzbeauftragten
Die grundsätzliche Umschreibung der Aufgabe wurde oben bereits genannt: der Datenschutzbeauftragte wirkt auf die Einhaltung des Bundesdatenschutzgesetzes und anderer Gesetze im Unternehmen hin. Wesentlich ist dabei, eine Kontrolle der ordnungsgemäßen Anwendung von Datenverarbeit- ungsprogrammen zu gewährleisten und das mit dem Umgang von personenbezogenen Daten betraute Personal mit dem Gesetz und seiner praktischen Umsetzung vertraut zu machen.
In der Ausübung dieser Tätigkeit unterliegt der Datenschutzbeauftragte keinen Weisungen und genießt besonderen Kündigungsschutz: Er darf wegen Erfüllung seiner Aufgaben nicht benachteiligt werden (§ 4f Abs. 3 BDSG) und ist direkt der Geschäftsleitung zu unterstellen (allerdings steht ihm selbst kein Weisungsrech zu, sondern er berät Geschäftsleitung und Mitarbeiter im Hinblick auf die Erfordernisse des Datenschutzes).
Im Rahmen seiner Tätigkeit stellt der Datenschutzbeauftragte in erster Linie den “Ist-Zustand” des Betriebs dar und prüft, ob die bestehenden Maßnahmen ausreichen, oder Verbesserungsmöglichkeiten bestehen. Für alle Verfahren der Erfassung, Verarbeitung, Übermittlung oder Nutzung von personenbezogenen Daten prüft er die Einhaltung geltender Vorschriften, ist bei Einführung neuer Verfahren vorab zu informieren und wird ggf. eine Vorabkontrolle durchführen (vgl. § 4d Abs. 5 S. 2 BDSG), denn soweit automatisierte Verarbeitungen besondere Risiken für die Rechte Betroffener aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Ein solcher Fall ist insbesondere dann gegeben, wenn personenbezogene Daten der Bewertung der Persönlichkeit des Betroffenen dienen, also Fähigkeiten, Leistung, oder Verhalten betreffen.