24 Std. Notfallnummer: +49176 6299 1016

Datenschutzbeauftragter

„Der Datenschutzbeauftragte in einem privaten Betrieb wirkt auf die Einhaltung der Datenschutzbestimmungen hin (hat jedoch kein Weisungsrecht). Im Rahmen seiner Tätigkeit stellt der Datenschutzbeauftragte den Istzustand des Betriebes dar, die Prüfung erfolgt hier bereits ab Werktor, es wird typischerweise eine Prüfung des Datenschutzes von Außen nach Innen vorgenommen und geprüft, ob die bestehenden Maßnahmen ausreichen oder Verbesserungsmöglichkeiten bestehen.

Der Datenschutzbeauftragte zeigt weiter den Istzustand der EDV und des Netzwerkes und prüft, ob hier die Richtlinien eingehalten werden; darüber hinaus spricht der Datenschutzbeauftragte hier auch Empfehlungen zur Verbesserung aus. Für alle Verfahren der Erfassung, Verarbeitung, Übermittlung oder Nutzung von personenbezogenen Daten werden ein Istzustand gezeigt, Vorabkontrollen vorgenommen und mögliche Verbesserungen gezeigt. Hierbei kann es sein, dass auch Handbücher für bestimmte Abläufe erstellt werden. In regelmäßigen Abständen wird der Datenschutzbeauftragte nach eigenem Ermessen prüfen, ob Veränderungen vorgenommen wurden oder ob weitere Optimierungen gegeben sind. Bei Einführung neuer Verfahren ist der Datenschutzbeauftragte hierüber vorab zu informieren und wird ggf. eine Vorabkontrolle vornehmen. Ein wesentliches Augenmerk liegt dabei darauf, dass ausschließlich Befugte eine nur auf den Zweck beschränkte Verarbeitung vornehmen können und dass der Eigentümer der Daten sein Selbstbestimmungsrecht auf Auskunft, Korrektur, Sperrung und Löschung wahrnehmen kann.

Außerdem obliegt ihm die Schulung der Mitarbeiter, um sie für die Belange des Datenschutzes zu sensibilisieren. Im Rahmen dieser Arbeit wird der Datenschutzbeauftragte auch typischerweise das Verfahrensverzeichnis und das Verzeichnis Jedermann nach § 4g Abs. 2 BDSG erstellen und regelmäßig aktualisieren. Für die Geschäftsleitung und die Mitarbeiter ist der Datenschutzbeauftragte Ansprechpartner in allen Fragen des Datenschutzes. Der Datenschutzbeauftragte kann darüber hinaus in eigenem Ermessen Termine zur freien Beratung im Betrieb einrichten, damit die Mitarbeiter diesen hier aufsuchen und sich beraten lassen können. Weiter informiert der Datenschutzbeauftragte über mögliche Änderungen im Bereich des BDSG und der aufbauenden Gesetze, wenn diese vom Betrieb zu beachten sind.

Der Datenschutzbeauftragte ist in seinem Gebiet weisungsfrei und unabhängig von Vorgesetzten. Er darf wegen Erfüllung seiner Aufgaben nicht benachteiligt werden. Der Datenschutzbeauftragte ist direkt der Geschäftsleitung unterstellt, welche auch seine Berichte und Vorabkontrollen erhält.

Mit der Novellierung des Bundesdatenschutzgesetzes (sog. BDSG-Novelle II 2009) wurde der betriebliche Datenschutzbeauftragte mit einem verbesserten Kündigungsschutz ausgestattet, gemäß § 4f Abs. 3 BDSG. Außer wenn Gründe für eine fristlose Entlassung vorliegen, ist die Kündigung des mit dem betrieblichen Datenschutzbeauftragten abgeschlossenen Arbeitsverhältnisses unzulässig.

Dieser Kündigungsschutz bleibt auch nach einer Abberufung als betrieblicher Datenschutzbeauftragter für ein weiteres Jahr nach der Beendigung der Bestellung bestehen. Die Bestellung eines internen Datenschutzbeauftragten erfolgt in der Regel auf 5 Jahre, in einigen Bundesländern werden auch 3 Jahre als angemessen angesehen. Eine kürzere Bestellung ist grundsätzlich nicht gegeben, da der interne Datenschutzbeauftragte sonst seine Tätigkeit nicht im angemessenen Umfang ausführen kann. In dieser Zeit ist eine Entlassung des früheren betrieblichen Datenschutzbeauftragten nur bei Vorliegen von Gründen für eine fristlose Kündigung im Sinne des § 626 BGB (Fristlose Kündigung aus wichtigem Grund) gestattet.

Die Aufsichtsbehörde kann den bestellten DSB abberufen, wenn er die erforderliche Fachkunde oder Zuverlässigkeit nicht besitzt. Die Bestellung kann durch die Unternehmensleitung widerrufen werden, wenn die Aufsichtsbehörde dies verlangt oder ein wichtiger Grund i.S.v. § 626 BGB gegeben ist.

Fachkunde und Zuverlässigkeit

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die notwendige Fachkunde und Zuverlässigkeit besitzt. Die verantwortliche Stelle ist ausdrücklich verpflichtet (§ 4f Abs. 3 Satz 7, Abs. 2 BDSG), dem betrieblichen Datenschutzbeauftragten für die Erhaltung seiner Fachkunde die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. Die erforderliche Zuverlässigkeit erfordert, dass kein Interessenkonflikt bei der Wahrnehmung der Funktion besteht.

Ein solcher besteht vor allem bei allen Personen, die ein eigenes Interesse am Unternehmen (etwa wegen Beteiligung an seinem Vermögen, wie z. B. Teilhaber oder Gesellschafter) oder Leitungsfunktion haben. Geschäftsführer oder der Abteilungsleiter, vor allem der Personal- oder der IT-Abteilung, scheiden deshalb regelmäßig aus. Auch andere Personen außerhalb des Betriebes können ausscheiden, wie beispielsweise der ständige Steuerberater oder Wirtschaftsprüfer oder ein externer Datenschutzbeauftragter, welcher selbst einem Interessenkonflikt unterliegen könnte, wenn dieser beispielsweise bei der Firma beschäftigt ist, die auch die IT-Lösung oder andere Lösungen für das Unternehmen realisiert hat, und somit hier Interessenkonflikte und die Gefahr der Selbstkontrolle gegeben sind.

In praktisch allen Organisationen, vor allem in privatwirtschaftlichen Unternehmen, können externe Datenschutzbeauftragte bestellt werden. Insbesondere aufgrund von Gesetzänderungen im Strafgesetzbuch und Bundesdatenschutzgesetz 2006, 2008 und 2009 wurde dies ermöglicht, so dass auch Geheimnisträger externe Datenschutzbeauftragte bestellen dürfen.

Der Datenschutzbeauftragte ist schriftlich nach den Vorgaben des BDSG zu bestellen.

Die Bestellung eines betrieblichen Datenschutzbeauftragten bereitet oftmals „praktische Schwierigkeiten“ für ein Unternehmen, wie es die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Bettina Sokol in ihrem 17. Datenschutzbericht formulierte: „Grundsätzlich ist die Möglichkeit für die Bestellung externer Beauftragter oft eine praktikable Lösung, da sie häufig selbst nicht über Personal verfügen, das die für Datenschutzbeauftragte erforderliche fachliche Eignung hat.“ Hierfür wurde die Möglichkeit zur Bestellung eines externen Datenschutzbeauftragten geschaffen, welche mittlerweile auch durch die Berufsbezeichnungen „Fachkraft für Datenschutz und Datenschutzbeauftragter“ klar definiert wurde. Im Jahre 1990 hatte das Landgericht Ulm als erstes Gericht in Deutschland über das Berufsbild von Datenschutzbeauftragten zu entscheiden. In seinem in Fachkreisen oft zitierten „Ulmer Urteil“ definierte das Gericht die Tätigkeit des Datenschutzbeauftragten als eigenständigen Beruf und legte Kriterien für die Fachkunde fest.

Ein typischer Datenschutzbeauftragter hat gute Kenntnisse im Bereich IT, er verfügt über hinreichende Kenntnisse des BDSG und kann dieses anwenden, er erfüllt die persönlichen Eignungsanforderungen aus dem Ulmer Urteil. Im Beschluss des Düsseldorfer Kreises, einer Versammlung der obersten Aufsichtsbehörden für den Datenschutz in der Privatwirtschaft, vom 24./25. November 2010 werden weitere Anforderungen an die erforderliche Fachkunde definiert.

Die Anforderungen an die Eignung eines Datenschutzbeauftragten richten sich nach dem Betrieb. Je größer ein Betrieb ist oder je komplexer die Datenverarbeitung ist, umso höher können die Anforderungen sein. Der Datenschutzbeauftragte muss in jedem Fall in der Lage sein, den Datenschutz im Betrieb zu prüfen, sonst ist seine Bestellung unwirksam. Ein externer Datenschutzbeauftragter kann aufgrund von Erweiterungen des Strafgesetzbuches auch für Geheimnisträger tätig werden (z. B. Ärzte, Rechtsanwälte, Steuerberater, etc.), da entsprechende Rechte zur Aussageverweigerung und Beschlagnahmeverbot auf diesen ausgeweitet wurden.

Bei der Bestellung des Datenschutzbeauftragten ist weiter darauf zu achten, dass keine ausgeschlossene Person bestellt wird. Ausgeschlossene Personen sind hier Personen, die in Interessenkonflikte geraten können oder bei denen die Gefahr der Selbstkontrolle besteht. Dies können auch Personen außerhalb des eigenen Unternehmens sein, wie beispielsweise der externe Administrator für die Firma. Typischerweise ausgeschlossen sind der Geschäftsführer oder Inhaber, der Leiter der IT, der Personalchef, der Administrator, der ständige Steuerberater oder Wirtschaftsprüfer. Die Aufsichtsbehörden können die Fachkunde des Datenschutzbeauftragten prüfen und sich nachweisen lassen und in berechtigten Fällen auch die unwirksame Bestellung feststellen oder den Datenschutzbeauftragten von seiner Bestellung entheben.“

Zitiert nach Text-Quelle: Wikipedia Datenschutzbeauftragter

Lizenz CCL Code: CCL