28. Januar 2010 - Bundesdatenschutzgesetz

Die Aufgaben des Datenschutzbeauftragten

Das Bundesdatenschutzgesetz befasst sich unter der Überschrift „Aufgaben des Beauftragten für den Datenschutz“ immerhin in einem ganzen Paragrafen, dem § 4g BDSG, mit den Pflichten eines DSB. Doch die Überschrift schöpft den Inhalt der Vorschrift nicht vollständig aus. Denn mit den Aufgaben befasst sich eigentlich nur der erste Absatz. Der hat es allerdings in sich.

aufgaben-des-beauftragten-fur-den-datenschutz.jpeg
§ 4g BDSG beschreibt die Aufgaben eines Datenschutzbeauftragten lapidar, aber umfassend (Bild: Thinkstock)

Die Aufgabenbeschreibung in Satz 1 ist ebenso lapidar wie umfassend: Der Beauftragte hat auf die Einhaltung aller datenschutzrechtlichen Vorschriften hinzuwirken.

Was dies im Einzelnen bedeutet, führt dann Satz 4 mit seinen beiden Ziffern näher aus:

Er hat insbesondere

  1. die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen; zu diesem Zweck ist er über Vorhaben der automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten,
  2. die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.

Utopische Anforderungen an den Datenschutzbeauftragten

Nimmt man diese Aufgabenbeschreibung in vollem Umfang ernst, so müsste der Datenschutzbeauftragte am besten Recht, Technik und Organisation studiert haben und alles gleichermaßen aus praktischer Erfahrung beherrschen. In der Tat verlangen übrigens die Datenschutzgesetze mancher Staaten (so in Luxemburg), dass der Beauftragte jedenfalls einen dieser Bereiche an einer Universität studiert haben muss. Deutschland hat diesen Weg nicht beschritten.

Setzen Sie Schwerpunkte

Wie bei jeder anderen Tätigkeit muss der Datenschutzbeauftragte Schwerpunkte setzen und sich um das kümmern, was nach den konkreten Umständen wirklich relevant ist. Dazu einige Beispiele:

  • Finden umfangreiche Speicherungen sensibler Daten statt, dann werden sensible Daten (etwa Gesundheitsdaten) für ihn ein zentrales Thema sein, ansonsten nicht.
  • Technische Fragen werden etwa bedeutsam, wenn in einem umfangreich vernetzten System die elektronische Archivierung eingesetzt wird. Ein eher bescheidenes PC-Netz erfordert dagegen keine besonderen Bemühungen in Richtung Technik.
  • Probleme des Auslandsbezugs sind natürlich nur relevant, wenn Verbindungen zum Ausland bestehen.

Nur durch eine solche „Problemreduktion“ bleiben die Aufgaben im Alltag des Datenschutzbeauftragten zu bewältigen.

Die Hinwirkungspflicht des Datenschutzbeauftragten

Dass der Beauftragte auf die Einhaltung der Vorschriften „hinwirken“ soll, ist in Satz 1 bewusst so formuliert, denn Weisungsbefugnisse stehen ihm ja nicht zu (siehe zu dieser Frage auch § 4f BDSG und den Fachartikel „Hinwirken – wie und worauf?“).

Besonders wichtig ist in diesem Zusammenhang eine angemessene Dokumentation. Nur so kann der Beauftragte belegen, auf was er die Leitung der verantwortlichen Stelle hingewiesen hat – unabhängig davon, was dort dann veranlasst wurde oder eben auch nicht.

Datenschutz-Schulung

Das Gesetz sieht bewusst davon ab, alle Aufgaben des Datenschutzbeauftragten im Einzelnen aufzuzählen, sondern belässt es bei zwei besonders wichtigen Beispielen (siehe die Formulierung „insbesondere“ am Beginn von Satz 4):

  • Die Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen (Satz 4 Nr. 1) hat rechtliche und technische Aspekte. Besonders ist darauf zu achten, dass nur solche Daten verarbeitet werden, die rechtmäßig erhoben wurden.
  • Die Schulung des Personals (Satz 4 Nr. 2) ist eine ebenso wichtige wie schwierige Aufgabe. Kurze, prägnante Hinweise mit konkreten Handlungsanleitungen bewegen hier oft mehr als lange theoretische Vorträge.

Die Alternative: Mitarbeiterzeitung

Eine weitere Variante, Mitarbeiter im Datenschutz zu schulen, ist eine Mitarbeiterzeitung. Sie kann den Kolleginnen und Kollegen in leicht verständlichen und unterhaltsamen Texten die Bedeutung des Datenschutzes in ihrem Arbeits-, aber auch im Privatleben näherbringen. Wie eine solche Mitarbeiterzeitung aussehen könnte, zeigt ein der WEKA NewsMAKER.

Dr. Eugen Ehmann
Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern). Er befasst sich seit über 20 Jahren intensiv mit Fragen des Datenschutzes in Unternehmen und Behörden.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln