- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

Betrieblicher Datenschutzbeauftragter

Der betriebliche Datenschutzbeauftragte: Welche Aufgaben und Kompetenzen hat er? Welche Voraussetzungen muss er mitbringen?

Zum Datenschutzbeauftragten unter der Datenschutz-Grundverordung (DSGVO) lesen Sie mehr unter https://www.datenschutz-praxis.de/fachartikel/die-aufgaben-des-dsb-nach-der-grundverordnung/ [1]

Abk. bDSB, engl. Corporate Data Protection Officer oder Company Data Protection Officer. Der betriebliche Datenschutzbeauftragte ist eine Person oder Organisationseinheit, die in einem Unternehmen über die Einhaltung der datenschutzrechtlichen Bestimmungen zu wachen hat.

Voraussetzungen

Nach dem Bundesdatenschutzgesetz (BDSG) ist ein betrieblicher Datenschutzbeauftragter (bDSB) im Unternehmen zwingend zu bestellen, wenn eine der vier folgenden Voraussetzungen vorliegt:

  1. Das Unternehmen erhebt und verwendet automatisiert Daten, deren Verwendung besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist. Auf die Zahl der Beschäftigten kommt es dabei nicht an.
  2. Das Unternehmen erhebt und verwendet personenbezogene Daten und beschäftigt mindestens fünf Arbeitnehmer mit der automatisierten Datenerhebung und -verwendung. Auf eine Vollzeittätigkeit der Mitarbeiter kommt es dabei nicht an.
  3. Das Unternehmen erhebt und verwendet personenbezogene Daten und beschäftigt mindestens zwanzig Arbeitnehmer mit der nicht automatisierten Datenerhebung und -verwendung.
  4. Das Unternehmen erhebt oder verwendet personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung. Dies ist z.B. bei einer Auskunftei, bei einem Adressverlag oder Markt- und Meinungsforschungsinstitut gegeben.

Aufgaben des betrieblichen Datenschutzbeauftragten

Der bDSB hat im Einzelnen die folgenden Aufgaben:

Die Geschäftsleitung hat den Datenschutz innerhalb des Unternehmens so zu organisieren, dass die gesetzlichen Vorschriften (insbesondere das BDSG) eingehalten werden. Der betriebliche Datenschutzbeauftragte kann für diese Aufgabe der Implementierung und Durchführung datenschutzgerechten Unternehmenshandelns nicht eingesetzt werden. Seine Aufgabe ist eine überwachende.

Bereits im Planungsstadium einschalten

Zulässig und wichtig ist jedoch, den überwachenden Datenschutzbeauftragten bei der Gestaltung von datenschutzrelevanten Unternehmensprozessen nicht erst nach Umsetzung oder Fertigstellung des Prozesses einzubeziehen, sondern ihn schon im Planungsstadium einzuschalten.

Mit diesem Vorgehen wird gewährleistet, dass das Know-how des Datenschutzbeauftragten frühzeitig verfügbar ist. Das Unternehmen kann damit vermeiden, dass der bDSB nachträglich bereits implementierte oder jedenfalls weit fortgeschrittene Planungen als datenschutzwidrig erkennt. Bei der Vorabkontrolle ist dieses Vorgehen sogar ausdrücklich vorgeschrieben.

Vorherige Prüfung

Praktisch ist in allen Fällen der Datenverarbeitung eine vorherige Prüfung eines geplanten datenschutzrelevanten Prozesses durch den bDSB vorzunehmen, da die Geschäftsleitung oder die jeweils zuständige Abteilung die Notwendigkeit mithilfe der kompetenten Beurteilung des Datenschutzbeauftragten oder einer entsprechend qualifizierten Person besser beurteilen kann.

Weisungsfreiheit

Mit seiner Überwachungsaufgabe ist der bDSB in der Unternehmensorganisation unmittelbar der Geschäftsleitung zu unterstellen, damit diese den vom betrieblichen Datenschutzbeauftragten in einem Bericht festgestellten Mängeln abhelfen kann. Der Datenschutzbeauftragte muss seine Kontrollaufgabe unbeeinflusst wahrnehmen können. Daher ist es der Geschäftsleitung untersagt, ihn anzuweisen, wie er seine Kontrollaufgabe wahrzunehmen hat. Er ist in seiner Aufgabe also weisungsfrei.

Sind die Geschäftsleitungsfunktionen aufgeteilt, wird der interne Datenschutzbeauftragte häufig dem Geschäftsleiter Personalwesen oder dem Geschäftsleiter Revision/Controlling unterstellt.

Erforderliche Fachkunde

Zum bDSB darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt:

Der betriebliche Datenschutzbeauftragte ist schriftlich zu bestellen. Es kann sich um einen Mitarbeiter (interner bDSB) oder einen externen Dienstleister handeln (externer Datenschutzbeauftragter). Die noch herrschende Meinung verlangt, dass der Datenschutzbeauftragte eine natürlich Person sein muss. Es kommt daher nicht in Betracht, eine Gesellschaft als externen bDSB zu bestellen. Im Arbeits- oder Dienstleistungsvertrag sollten die Bedingungen der Tätigkeit bestimmt werden.

Konzerndatenschutzbeauftragter

Bei Konzernen oder sonstigen Gruppen muss ein betrieblicher Datenschutzbeauftragter für jede juristische Person, also jede Gesellschaft, bestellt werden. Es ist zulässig und häufig praktiziert, dass ein und derselbe Mitarbeiter der Holding oder einer Service-Tochtergesellschaft oder auch ein einziger externer bDSB mit jeweils gesonderten Bestellungsurkunden zum Datenschutzbeauftragten für die einzelnen Gruppengesellschaften bestimmt wird. Zusammenfassend wird diese Person häufig Konzerndatenschutzbeauftragter genannt. Dies ist regelmäßig effektiv, gerade wenn sich die Strukturen der Gruppengesellschaften ähneln.