Anforderungen an den Datenschutzbeauftragten

Durch die moderne Informationstechnologie lassen sich auch größte Datenmengen schnell und einfach verarbeiten, auswerten, weitergeben und speichern. Aus der Perspektive des Datenschutzes ist das eine dementsprechend große Herausforderung. Das Gesetz stellt daher zurecht strenge Anforderungen an die innerbetriebliche Selbstkontrolle durch den Datenschutzbeauftragten (DSB) auf. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben die Mindestanforderungen an den Datenschutzbeauftragten in einem Beschluss formuliert.

Die Anforderungen muss der Datenschutzbeauftragte bereits zum Zeitpunkt seiner Bestellung erfüllen. Andernfalls ist die Bestellung eventuell nicht wirksam und die gesetzlichen Vorgaben sind nicht erfüllt. Dies stellt ein Risiko dar – nicht nur deshalb, weil diese Ordnungswidrigkeit unter Umständen mit einem empfindlichen Bußgeld geahndet werden kann.

Die Aufsichtsbehörden empfehlen folgerichtig auch ausdrücklich die Teilnahme an entsprechenden Schulungen bereits vor Beginn der Tätigkeit, um eventuelle Informationsdefizite zu beheben, und auch regelmäßig nach der Bestellung, um einen stets aktuellen Informationsstand sicherzustellen.

1. Fachkunde im Datenschutzrecht

Der Beauftragte für den Datenschutz muss mindestens über folgende technisch-organisatorische Kenntnisse verfügen:

  • Grundkenntnisse zu den Persönlichkeitsrechten der Betroffenen und Mitarbeiter
  • umfassende Kenntnisse der einschlägigen Regelungen des BDSG
  • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG. Dies schließt die Fähigkeit ein, die Geeignetheit von technischen und organsisatorischen Maßnahmen zu beurteilen.

2. Branchenspezifische Kenntnisse

Je nach Branche, IT-Infrastruktur und Größe der Organisation und der Sensibilität Daten stellt der Gesetzgeber folgende Anforderungen an den Datenschutzbeauftragten:

  • Umfassende Kenntnis der für das Unternehmen relevanten Vorschriften
  • Fachwissen im Bereich der Informationstechnologie und der Datensicherheit
  • Betriebswirtschaftliches Sachverständnis
  • Kenntnis der Strukturen und Abläufe im Unternehmen
  • Kenntnis über das praktische Datenschutzmanagement

3. Rahmenanforderungen

Neben den persönlichen Anforderungen an den Datenschutzbeauftragten verlangt der Gesetzgeber die Gewährleistung bestimmter Rahmenbedingungen, insbesondere im Hinblick auf die Unabhängigkeit des Datenschutzbeauftragten. Dazu gehören folgende:

  • Der Datenschutzbeauftragte darf bei Erfüllung seiner Aufgaben keinen Interessenkonflikten ausgesetzt sein. Dies bedeutet unter anderem, dass eine Bestellung nicht erfolgen darf, sobald der Beauftragte sich in irgendeiner Weise selbst überwachen müsste. Angehörige der Geschäftsleitung oder Mitarbeiter, die sonst zentrale Verantwortung tragen, scheiden danach regelmäßig aus. Durch ihre Bestellung wird die gesetzliche Verpflichtung nicht erfüllt.
  • Datenschutzbeauftragte sind grundsätzlich auch gegenüber den Verantwortlichen des von ihnen betreuten Unternehmens zur Verschwiegenheit über Informationen verpflichtet, die Rückschlüsse auf bestimmte Personen zulassen.
  • Die Verantwortlichen der zu betreuenden Organisation müssen dem Datenschutzbeauftragten erforderliche Zutritts- und Einsichtsrechte einräumen und gewährleisten, dass er durch entsprechende Weiterbildungen die für die Erfüllung seiner Verpflichtungen notwendigen Kenntnisse pflegt.
  • Internen Datenschutzbeauftragten ist ausreichend Zeit zur Erfüllung ihrer Aufgaben einzuräumen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Konzerninterner Datentransfer

Die Anzahl großer auch multinationaler Konzerne wächst weiter. Zugleich verstärken sich die Tendenzen zur konzernweit ausgerichteten Personalverwaltung. Während Konzerne sich als wirtschaftliche Einheit verstehen, ist für das Datenschutzrecht das einzelne Unternehmen maßgeblich. Es besteht in Deutschland kein Konzernprivileg. Übermittlungen zwischen rechtlich selbständigen Unternehmen sind nur unter besonderen Voraussetzungen zulässig. Hierzu hat der Düsseldorfer Kreis im November 2009 Voraussetzungen aufgestellt, die im Folgenden erläutert werden.

Datensparsamkeit

Grundsätzlich sollte unter Berücksichtigung der Datensparsamkeit (§ 3 a BDSG) vorab durch das verantwortliche Unternehmen geprüft werden, ob der mit der Weitergabe von personenbezogenen Daten an andere Konzern-Unternehmen verfolgte Zweck auch mit Pseudonymisierung oder Anonymisierung der Daten erreicht werden kann.

Auftragsdatenverarbeitung

Wird ein Konzern-Unternehmen als Auftragsdatenverarbeiter für ein oder mehrere andere Konzernunternehmen im Rahmen einer Hilfsfunktion weisungsgebunden tätig, so sind Auftraggeber und Auftragnehmer im Verhältnis zueinander nicht „Dritte“, so bleibt der Auftraggeber verantwortliche Stelle und die Datenweitergabe zwischen beiden stellt keine „Übermittlung“ dar (§ 3 Abs. 8 Satz 3 BDSG, § 3 Abs. 4 Nr. 3 BDSG). Es ist auch nicht generell anzunehmen, dass eine Konzern-Ober- bzw. Muttergesellschaft als Auftragnehmer fungiert. Dennoch wird es meist nicht der Fall sein, da die Konzernmutter meist eigenständigen Nutzungsrechten an den vom Auftraggeber zur Verfügung gestellten Daten haben will.

Funktionstrennung

Wenn hingegen eine ganze Funktion zur eigenverantwortlichen Wahrnehmung übertragen wird, wird der Datenverarbeiter selbst zur verantwortlichen Stelle. Die personenbezogenen Daten werden an ihn übermittelt. Dieser Fall soll hier betrachtet werden. Worin kann eine Rechtsgrundlage gesehen werden?

Erlaubnis aus der Zweckbestimmung des Vertrages.(§ 28 Abs. 1 Satz 1 Nr. 1 BDSG)

Das Erfordernis der „Zweckbestimmung“ des Arbeitsvertrages i.S.d. § 28 Abs. 1 Satz 1 Nr. 1 BDSG ist erfüllt, sofern der Arbeitsvertrag bei Vertragsschluss ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht.

Berechtigtes Interesse der verantwortlichen Stelle (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG)

Grundsätzlich ist von einem vorangingen Interesse des Betroffenen an keiner Weitergabe auszugehen. Eine Übermittlung könnte sich jedoch dann im Rahmen des berechtigten Interesse des weitergebenden Konzernunternehmens rechtfertigen lassen, wenn die beteiligten Konzernunternehmen besondere Maßnahmen zugunsten der Arbeitnehmer treffen. So kann das Ergebnis der Abwägung zugunsten der berechtigten Interessen der Konzernunternehmen ausfallen. Dies ist im Einzelfall zu entscheiden. Es kommen folgende Komponenten für die Betrachtung des Einzelfalles in Frage:

  • konzernweites Datenschutzkonzept;
  • einheitliche Standards zur Gewährleistung und Durchsetzung der Datenschutzrechte der Betroffenen;
  • koordinierte Sicherheitsmaßnahmen;
  • der Verarbeitungsverlauf muss für die Betroffenen transparent sein;
  • der Arbeitgeber muss umfassender Ansprechpartner für den Arbeitnehmer bleiben, d.h. auch für die Erfüllung dessen Rechte auf Auskunft, Löschung, Berichtigung, Sperrung und Schadensersatz einstehen.

Die Regelungen müssen zwischen den Konzernunternehmen verbindlich getroffen werden, z.B. durch Verträge oder in Form von Unternehmensregelungen. Eine solche Regelung müsste auch im Verhältnis zu den Betroffenen verbindlich gemacht werden. Soweit die hier genannten Voraussetzungen eingehalten werden können auch Besondere Arten personenbezogener Daten (§ 3 Abs. 9 BDSG) nach § 28 Abs. 6 Nr. 3 BDSG übertragen werden.

Einwilligung als Rechtsgrundlage

Eine Einwilligung des Beschäftigten sollte nur in den Fällen in Anspruch genommen werden, in denen dieser eine echte Wahl hat und seine Einwilligung zu einem späteren Zeitpunkt widerrufen kann, ohne dass ihm daraus Nachteile erwachsen. Daher scheidet eine Einwilligung i.d.R. als Rechtsgrundlage aus.

Betriebsvereinbarungen

Wenn mit Hilfe von Betriebsvereinbarungen die oben beim Berechtigten Interesse der verantwortlichen Stelle genannten Anforderungen erfüllt sind bestehen keine Bedenken gegen deren Anerkennung als datenschutzrechtliche Legitimation zur Datenübermittlung.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kündigungsschutz für Datenschutzbeauftragte

Mit der Novellierung des Bundesdatenschutzgesetzes am 1.9.2009 wurde der Datenschutzbeauftragte mit einem Kündigungsschutz ausgestattet, § 4f Abs. 3 BDSG. Außer wenn Gründe für eine fristlose Entlassung vorliegen, ist die Kündigung des mit dem betrieblichen Datenschutzbeauftragten abgeschlossenen Arbeitsverhältnisses unzulässig.

Dieser Kündigungsschutz bleibt auch nach einer Abberufung als betrieblicher Datenschutzbeauftragter für ein weiteres Jahr nach der Beendigung der Bestellung bestehen. In dieser Zeit ist eine Entlassung des früheren betrieblichen Datenschutzbeauftragten nur bei Vorliegen von Gründen für eine fristlose Kündigung aus wichtigem Grund (§ 626 BGB) gestattet.

Jedoch kann die Aufsichtsbehörde den bestellten Datenschutzbeauftragten abberufen, wenn er die erforderliche Fachkunde oder Zuverlässigkeit nicht besitzt. Damit kann die Bestellung durch die Unternehmensleitung widerrufen werden, wenn die Aufsichtsbehörde dies verlangt, oder ein wichtiger Grund i.S.v. § 626 BGB gegeben ist.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Aufgaben des Datenschutzbeauftragten

Gemäß § 4 f BDSG haben Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten und nutzen, einen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn mehr als neun Beschäftigte mit dieser Aufgabe betraut sind. Personenbezogene Daten sind z.B. das Geburtsdatum, die Telefonnummer, die Postanschrift oder eine E-Mailadresse; auch eine verwendete IP- Adresse kann hierunter fallen. Der Begriff ist sehr weit zu verstehen. Die betroffenen Daten müssen nicht „vertraulich“ oder „geheim“ sein. Für die in Unternehmen bestellten Datenschutzbeauftragten hat sich die Bezeichnung „betrieblicher Datenschutzbeauftragter“ etabliert.

Aufgaben und Stellung des betrieblichen Datenschutzbeauftragten

Mitwirkung bei der Gewährleistung der Einhaltung der Datenschutzgesetze

Die gesetzlichen Aufgaben des betrieblichen Datenschutzbeauftragten sind in § 4g BDSG definiert. Nach dieser Bestimmung wirkt der betriebliche Datenschutzbeauftragte auf die Einhaltung des BDSG „und anderer Vorschriften über den Datenschutz hin“. Die Verantwortung für die Einhaltung der datenschutzrechtlichen Bestimmungen trifft jedoch zunächst den Rechtsträger des Unternehmens, also entweder eine natürliche oder eine juristische Person.

1. Beratungsaufgaben

Die Beratungsfunktion stellt die zentrale Aufgabe des betrieblichen Datenschutzbeauftragten dar. Diese Beratungsfunktion erstreckt sich keinesfalls ausschließlich auf eine gutachterliche, juristische Tätigkeit im Hinblick auf vorgefundene Sachverhalte und ihre datenschutzrechtliche Bewertung. Die Aufgabe des betrieblichen Datenschutzbeauftragten sollte es sein, das operative Ziel des Unternehmens zu unterstützen und dabei darauf zu achten, dass geltende datenschutzrechtliche Bestimmungen nicht verletzt werden.

2. Schulungsaufgaben

Die Schulung des Personals im Bereich Datenschutz und Datensicherheit ist eine unmittelbare gesetzliche Aufgaben des betrieblichen Datenschutzbeauftragten. Diese wird in

unterteilt.

3. Kontrollaufgaben

Der betriebliche Datenschutzbeauftragte hat eine umfassende Kontrollaufgabe hinsichtlich der datenschutzrechtlichen Unbedenklichkeit der Aktivitäten innerhalb eines Unternehmens, die in Zusammenhang mit der Verarbeitung personenbezogener Daten steht.

4. Registeraufgaben

Gemäß § 4g Abs. 2 in Verbindung mit § 4e Satz 1 Nr. 1-9 BDSG ist dem betrieblichen Datenschutzbeauftragten von der verantwortlichen Stelle eine Übersicht über DV-Systeme, mit denen automatisiert personenbezogene Daten verarbeitet werden, zur Verfügung zu stellen. Diese hat gesetzlich definierte Mindestangaben zu enthalten.

Organisatorische Aufgaben des betrieblichen Datenschutzbeauftragten

Ab einer bestimmten Größenordnung muss sich ein betrieblicher Datenschutzbeauftragter über die Organisation seiner Beratungs-, Schulungs- und Kontrollfunktionen Gedanken machen. Damit besteht für ihn die Pflicht und die Notwendigkeit, ein auf der organisatorischen Ausgestaltung des Unternehmens aufbauendes Konzept für die Organisation der Aufgabenerledigung im Bereich des Datenschutzes zu entwickeln bzw. fortzuentwickeln (Datenschutzkonzept).

Bestellung und formale Position innerhalb des Unternehmens

Interner betrieblicher Datenschutzbeauftragter

Gemäß § 4f Abs. 1 BDSG ist der betriebliche Datenschutzbeauftragte vom Unternehmen schriftlich zu bestellen. Hierfür ist also ein Dokument erforderlich, das von einem befugten Vertreter des Rechtsträgers des Unternehmens zu unterschreiben und vom betrieblichen Datenschutzbeauftragten gegenzuzeichnen ist. Die Bestellung hat den Charakter einer besonderen Vereinbarung (Arbeitsvertragsänderung) und kann nicht im Wege des arbeitsrechtlichen Direktionsrechts auf einen Beschäftigten übertragen werden.

Nach § 4f Abs. 3 Satz 1 BDSG ist der betriebliche Datenschutzbeauftragte der Leitung eines Unternehmens unmittelbar zu unterstellen. Aus dem Wortlaut der Vorschrift ergibt sich direkt, dass ein Mitglied der Unternehmensleitung nicht zum betrieblichen Datenschutzbeauftragten bestellt werden kann. Achtung: seit dem 1.9.2009 besteht für interne Datenschutzbeauftragte Kündigungsschutz! Der interne Datenschutzbeauftragte kann gegen seinen Willen grundsätzlich nicht mehr abberufen werden.

Externer betrieblicher Datenschutzbeauftragter

Nach dem BDSG muss der betriebliche Datenschutzbeauftragte nicht zwingend Beschäftigter des betroffenen Unternehmens sein. Insbesondere bei kleineren Unternehmen kann es sinnvoll sein, einen externen Datenschutzexperten zum betrieblichen Datenschutzbeauftragten zu bestellen. Es ist jedoch immer nur die Bestellung einer natürlichen Person, nicht eines Unternehmens, möglich.

Qualifikation des betrieblichen Datenschutzbeauftragten

Der Datenschutzbeauftragte muss Fachkompetenz in Bezug auf IT-Technologien, Kenntnisse im allgemeinen Datenschutzrecht und im Bereich der datenschutzrechtlich relevanten Bestimmungen des BetrVG, sowie Kenntnisse der Aufgaben-, Struktur- und Funktionsweise des Unternehmens und nicht zuletzt auch Schulungskompetenz besitzen.

Arbeitsrechtliche Stellung des Datenschutzbeauftragten

Werden Mitarbeiter des Unternehmens bestellt, so müssen als Besonderheiten im Hinblick auf die arbeitsrechtliche Stellung des Datenschutzbeauftragten das gesetzliche Benachteiligungsverbot, die direkte Unterstellung unter die Unternehmensleistung bei Ausübung der Tätigkeit des Datenschutzbeauftragten sowie der Kündigungsschutz berücksichtigt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.