12. Februar 2016 - Datenschutz-Begriffe

Betrieblicher Datenschutzbeauftragter

Der betriebliche Datenschutzbeauftragte: Welche Aufgaben und Kompetenzen hat er? Welche Voraussetzungen muss er mitbringen?

Abk. bDSB, engl. Corporate Data Protection Officer oder Company Data Protection Officer. Der betriebliche Datenschutzbeauftragte ist eine Person oder Organisationseinheit, die in einem Unternehmen über die Einhaltung der datenschutzrechtlichen Bestimmungen zu wachen hat.

Voraussetzungen

Nach dem Bundesdatenschutzgesetz (BDSG) ist ein betrieblicher Datenschutzbeauftragter (bDSB) im Unternehmen zwingend zu bestellen, wenn eine der vier folgenden Voraussetzungen vorliegt:

  1. Das Unternehmen erhebt und verwendet automatisiert Daten, deren Verwendung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist. Auf die Zahl der Beschäftigten kommt es dabei nicht an.
  2. Das Unternehmen erhebt und verwendet personenbezogene Daten und beschäftigt mindestens fünf Arbeitnehmer mit der automatisierten Datenerhebung und -verwendung. Auf eine Vollzeittätigkeit der Mitarbeiter kommt es dabei nicht an.
  3. Das Unternehmen erhebt und verwendet personenbezogene Daten und beschäftigt mindestens zwanzig Arbeitnehmer mit der nicht automatisierten Datenerhebung und -verwendung.
  4. Das Unternehmen erhebt oder verwendet personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung. Dies ist z.B. bei einer Auskunftei, bei einem Adressverlag oder Markt- und Meinungsforschungsinstitut gegeben.

Aufgaben des betrieblichen Datenschutzbeauftragten

Der bDSB hat im Einzelnen die folgenden Aufgaben:

  • Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, einschließlich der sog. Vorabkontrolle nach BSDG. Hierzu gehört im engeren Sinne die Sicherstellung der Integrität von Systemen, Programmen und Daten, deren Verfügbarkeit, Kontrollierbarkeit und Vertraulichkeit, im weiteren Sinne die Rechtmäßigkeit der Datenverarbeitung. Hierzu muss ihm u.a. das gepflegte, gesetzliche Verfahrensverzeichnis zur Verfügung stehen, das die automatisierten Datenverarbeitungsverfahren auflistet.
  • Vertrautmachen der Arbeitnehmer mit den datenschutzrechtlichen Vorschriften, also das Schulen der bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen unter Berücksichtigung der datenschutzrechtlichen Folgen und Anforderungen für das Unternehmen sowie interne Beratung bei der Auswahl der Mitarbeiter, die mit der Verwendung personenbezogener Daten beschäftigt sind.

Die Geschäftsleitung hat den Datenschutz innerhalb des Unternehmens so zu organisieren, dass die gesetzlichen Vorschriften (insbesondere das BDSG) eingehalten werden. Der betriebliche Datenschutzbeauftragte kann für diese Aufgabe der Implementierung und Durchführung datenschutzgerechten Unternehmenshandelns nicht eingesetzt werden. Seine Aufgabe ist eine überwachende.

Bereits im Planungsstadium einschalten

Zulässig und wichtig ist jedoch, den überwachenden Datenschutzbeauftragten bei der Gestaltung von datenschutzrelevanten Unternehmensprozessen nicht erst nach Umsetzung oder Fertigstellung des Prozesses einzubeziehen, sondern ihn schon im Planungsstadium einzuschalten.

Mit diesem Vorgehen wird gewährleistet, dass das Know-how des Datenschutzbeauftragten frühzeitig verfügbar ist. Das Unternehmen kann damit vermeiden, dass der bDSB nachträglich bereits implementierte oder jedenfalls weit fortgeschrittene Planungen als datenschutzwidrig erkennt. Bei der Vorabkontrolle ist dieses Vorgehen sogar ausdrücklich vorgeschrieben.

Vorherige Prüfung

Praktisch ist in allen Fällen der Datenverarbeitung eine vorherige Prüfung eines geplanten datenschutzrelevanten Prozesses durch den bDSB vorzunehmen, da die Geschäftsleitung oder die jeweils zuständige Abteilung die Notwendigkeit mithilfe der kompetenten Beurteilung des Datenschutzbeauftragten oder einer entsprechend qualifizierten Person besser beurteilen kann.

Weisungsfreiheit

Mit seiner Überwachungsaufgabe ist der bDSB in der Unternehmensorganisation unmittelbar der Geschäftsleitung zu unterstellen, damit diese den vom betrieblichen Datenschutzbeauftragten in einem Bericht festgestellten Mängeln abhelfen kann. Der Datenschutzbeauftragte muss seine Kontrollaufgabe unbeeinflusst wahrnehmen können. Daher ist es der Geschäftsleitung untersagt, ihn anzuweisen, wie er seine Kontrollaufgabe wahrzunehmen hat. Er ist in seiner Aufgabe also weisungsfrei.

Sind die Geschäftsleitungsfunktionen aufgeteilt, wird der interne Datenschutzbeauftragte häufig dem Geschäftsleiter Personalwesen oder dem Geschäftsleiter Revision/Controlling unterstellt.

Erforderliche Fachkunde

Zum bDSB darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt:

  • Ausbildung oder Studium
  • Kenntnisse der allgemeinen Betriebswirtschaftslehre, vor allem allgemeine Kenntnisse der Organisationslehre, Unternehmensführung, Unternehmungsplanung und -kontrolle, Produktion sowie des Personalwesens, um das Zusammenwirken der technischen und organisatorischen Maßnahmen im Unternehmen zu überblicken
  • Kenntnisse der Organisation und Verfahrensabläufe des eigenen Unternehmens, damit datenschutzrechtliche Folgen bei Einführung oder Änderung von Datenverarbeitungsprozessen im Unternehmen beurteilt werden können
  • technische Kenntnisse, insbesondere der Informationstechnologie, Kenntnisse der rechtlichen Vorschriften (u.a. BDSG, bereichsspezifische datenschutzrechtliche Regelungen wie die Telekommunikationsvorschriften und die einschlägigen Spezialvorschriften des Fachbereichs) und ihrer Anwendung
  • Softskills wie didaktische und organisatorische Fähigkeiten, um die verbindlichen Datenschutzanforderungen in die Praxis umsetzen zu können
  • soweit beim betrieblichen Datenschutzbeauftragten fachliche Wissenslücken in Teilbereichen bestehen, ist ihm die Möglichkeit zu gewähren, diese Lücken durch Ausbildungsseminare zu schließen
  • ergänzend ist erforderlich, dass sich der betriebliche Datenschutzbeauftragte während seiner Tätigkeit in Datenschutzfragen fortbildet, Rechtsänderungen erkennt und als interner Datenschutzbeauftragter ggf. befugt ist, externe Berater in Anspruch zu nehmen
  • persönliche Integrität
  • Fehlen von Interessenkonflikten. Solche entstehen insbesondere dann, wenn ein Mitarbeiter als Leiter der IT-Abteilung oder weisungsgebundener Beschäftigter der IT-Abteilung oder ein Mitarbeiter mit Geschäftsleitungsaufgaben (z.B. Personalchef) als betrieblicher Datenschutzbeauftragter bestellt wird. In diesen Fällen können unlösbare Interessenkonflikte entstehen, wenn der Mitarbeiter als Datenschutzbeauftragter Entscheidungen datenschutzrechtlich überwachen soll, die er im effektiven Unternehmensinteresse zuvor operativ getroffen hat.
  • hinreichende Arbeitskapazität, um die datenschutzrechtliche Überwachungsaufgabe erfüllen zu können. Steht diese Zeit nicht zur Verfügung, trifft den betrieblichen Datenschutzbeauftragten ein Rederecht. Die Geschäftsleitung ist von ihm zu informieren.

Der betriebliche Datenschutzbeauftragte ist schriftlich zu bestellen. Es kann sich um einen Mitarbeiter (interner bDSB) oder einen externen Dienstleister handeln (externer Datenschutzbeauftragter). Die noch herrschende Meinung verlangt, dass der Datenschutzbeauftragte eine natürlich Person sein muss. Es kommt daher nicht in Betracht, eine Gesellschaft als externen bDSB zu bestellen. Im Arbeits- oder Dienstleistungsvertrag sollten die Bedingungen der Tätigkeit bestimmt werden.

Konzerndatenschutzbeauftragter

Bei Konzernen oder sonstigen Gruppen muss ein betrieblicher Datenschutzbeauftragter für jede juristische Person, also jede Gesellschaft, bestellt werden. Es ist zulässig und häufig praktiziert, dass ein und derselbe Mitarbeiter der Holding oder einer Service-Tochtergesellschaft oder auch ein einziger externer bDSB mit jeweils gesonderten Bestellungsurkunden zum Datenschutzbeauftragten für die einzelnen Gruppengesellschaften bestimmt wird. Zusammenfassend wird diese Person häufig Konzerndatenschutzbeauftragter genannt. Dies ist regelmäßig effektiv, gerade wenn sich die Strukturen der Gruppengesellschaften ähneln.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln