Kündigungsschutz auch für stellvertretende Datenschutzbeauftragte

Mitarbeiter, die als (interner) betrieblicher Datenschutzbeauftragter bestellt sind, genießen gemeinhin Kündigungsschutz. Ein aktuelles Gerichtsurteil erweitert diesen Schutz nun auch auf Stellvertreter des Datenschutzbeauftragten. Unternehmen, die ein ganzes Team bzw. eine Abteilung mit dem unternehmerischen Datenschutz beauftragen, sollten also sehr genau darauf achten, welche Mitarbeiter sie dort einsetzen. Doch es gibt eine Alternative für alle, die sich durch diesen Kündigungsschutz zu sehr eingeschränkt fühlen.

Der Kündigungsschutz des internen Datenschutzbeauftragten

Unter der europäischen Datenschutz-Grundverordnung (DSGVO) – wie auch schon unter dem alten Bundesdatenschutzgesetz (BDSG) – gilt, dass der interne Datenschutzbeauftragte gegen seinen Willen nicht abberufen werden kann. Während bestehender Bestellung sowie ein Jahr nachwirkend ist eine ordentliche Kündigung ausgeschlossen.

Bereits deshalb waren Unternehmen sehr gut beraten, sich reichlich zu überlegen, welchem Mitarbeiter diese Aufgabe übertragen wird.

Bisher war gängige Ansicht, dass der Kündigungsschutz nur für den ersten bestellten Datenschutzbeauftragten galt. Immerhin ist die Pflicht zur Bestellung mit dieser einen Bestellung erfüllt. Die bestellte Person hat sämtliche Rechte und Pflichten des Datenschutzbeauftragten.

Urteil: Kündigungsschutz gilt auch für Stellvertreter des Datenschutzbeauftragten

Eine neuere Entscheidung des Bundesarbeitsgerichts vom 27. Juli 2017 erweitert den Kündigungsschutz nun auch auf Stellvertreter des Datenschutzbeauftragten (2 AZR 812/16). Das Bundesarbeitsgericht interpretiert die Vorschrift des § 4f Abs. 3 S. 5 BDSG (der alten Fassung!) weiter. Der Kündigungsschutz soll danach gelten, sobald die verantwortliche Stelle allgemein zur Bestellung eines Datenschutzbeauftragten verpflichtet ist; nicht aber nur für den ersten Datenschutzbeauftragten. Nachdem sich diese Regelung lediglich an anderer Stelle, aber exakt so auch im BDSG-neu findet, gilt dies weiterhin.

Nach Auffassung des Bundesarbeitsgerichts ist es unerheblich, ob die Bestellung eines weiteren Datenschutzbeauftragten überhaupt erforderlich war, um die im Betrieb anfallenden Aufgaben zu erledigen. Allein entscheidend sei, ob der Stellvertreter eigenverantwortlich und frei von Weisungen die Aufgaben eines Datenschutzbeauftragten wahrnehmen soll.

Dies trifft ganz eindeutig dann zu, wenn der Vertreter den ursprünglich bestellten Beauftragten für Datenschutz nicht nur kurzfristig vertreten soll, sondern einspringt, weil der eigentlich bestellte Datenschutzbeauftragte längerfristig verhindert ist.

Was bedeutet das Urteil für die Praxis?

Unternehmen, die gegebenenfalls aufgrund der Vielzahl der zu erledigenden Aufgaben des Datenschutzbeauftragten ein ganzes Datenschutzteam aufbauen bzw. für eine laufende Stellvertretung Sorge zu tragen haben, müssen damit rechnen, sich bei interner Bestellung möglicherweise gleich an mehrere Personen sehr dauerhaft zu binden. Der interne Datenschutzbeauftragte kann grundsätzlich nur beim Vorliegen eines außerordentlichen Grundes gekündigt werden.

Unternehmen, die sich sorgen, aufgrund dieses Kündigungsschutzes personelle Ressourcen zu blockieren, sollten über eine effiziente Alternative zum internen Datenschutzbeauftragten nachdenken. Die einfachste Möglichkeit besteht darin, einen externen Datenschutzbeauftragten zu bestellen. Denn dieser genießt keinen vergleichbaren Kündigungsschutz und erhält die für Unternehmen oftmals so notwendige Flexibilität.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Haftung des Datenschutzbeauftragten

Wer von einem Unternehmen als interner oder externe Datenschutzbeauftragter (DSB) bestellt wird, hat darauf hinzuwirken, dass das Unternehmen ausschließlich datenschutzkonform tätig ist. Mit dieser Verantwortung kommt auf den betrieblichen Datenschutzbeauftragten auch eine gewisse Haftung zu. Wann und in welchem Umfang der DSB haftet und wie sich Haftungsrisiken von internen und externen Datenschutzbeauftragten unterscheiden, erklären wir Ihnen in diesem Artikel.

Wofür haftet der Datenschutzbeauftragte?

Ein Datenschutzbeauftragter kann viele Fehler machen, für die er haftbar gemacht werden kann:

  1. Besonders gravierend sind Problembereiche, die der DSB zwar erkannt, aber nicht gegenüber der verantwortlichen Stelle moniert hat und aus denen dann ein Schaden entsteht, etwa, weil ein Bußgeld gegen das Unternehmen verhängt wird.
  2. Auch wenn der Datenschutzbeauftragte in einer Schulung falsche Informationen an die Mitarbeiter weitergegeben hat und in Folge sensible Daten nach außen dringen, muss sich der DSB in der Verantwortung sehen.
  3. Und schließlich gibt es Mängel, die der Datenschutzbeauftragte (aus einem Mangel an Fachkunde) nicht erkennt, aber hätte erkennen müssen. Auch hierfür sind zahlreiche Konstellationen denkbar.

Wichtig ist dabei vor allem zu wissen, dass der Datenschutzbeauftragte grundsätzlich sowohl für sein eigenes Tun (insbesondere falsche, unvollständige oder zu späte Datenschutzberatung) als auch für sein Unterlassen (fehlender Hinweis auf organisatorische Probleme, „Übersehen“ von Fehlern und Pannen) haftet.

Hat der Datenschutzbeauftragte jedoch die Probleme klar benannt, der Auftraggeber als „verantwortliche Stelle“ dann allerdings die Umsetzung unterlassen oder verzögert, so ist dies zunächst erstmal nicht das Problem des Datenschutzbeauftragten. Denn er selbst hat nicht die Macht oder die Pflicht, Veränderungen im Unternehmen herbeizuführen. Der DSB kann und soll nur auf die Einhaltung der einschlägigen rechtlichen Regelungen „hinwirken“ – und nur dafür haftet er. Er muss sich jedoch bewusst sein, dass es im schlimmsten Fall auch seine Aufgabe sein kann, die Aufsichtsbehörde zu informieren, dass in dem Unternehmen in datenschutzrechtlicher Hinsicht etwas ziemlich schiefläuft.

Wer könnte Haftungsansprüche an den DSB stellen?

Zu Veranschaulichung der möglichen Haftungsansprüche an einen Datenschutzbeauftragten, soll ein Worst-Case-Szenario herangezogen werden: Wenn durch ein Datenleck personenbezogene Daten an Unbefugte gelangen, kann das schnell zu einem großen Schaden führen. Man denke nur an Kreditkartendaten von Kunden, die plötzlich durch Kriminelle genutzt werden. Das führt nicht nur zu konkreten finanziellen Schäden auf dem Konto der Betroffenen. Auch das beklaute Unternehmen selbst trägt von einer solchen Aktion regelmäßig einen großen finanziellen und Imageschaden davon.

Der Datenschutzbeauftragte sieht sich nun gleich einer ganzen Reihe von Anspruchstellern gegenüber:  Neben den direkt Betroffenen werden auch die mittelbar Betroffenen (in diesem Beispiel die Banken und deren Versicherungen) und der Auftraggeber Schadenersatzansprüche erheben. Und nicht zuletzt könnten sich auch die Aufsichtsbehörde und die Staatsanwaltschaft einschalten. Es drohen Geldbußen und -strafen.

Aufsichtsbehörde, Staatsanwaltschaft und Betroffene werden sich mit ihren Ansprüchen in der Regel an den Auftraggeber des Datenschutzbeauftragten wenden. Denn dieser ist „verantwortliche Stelle“ im Sinne des Gesetzes. Der Auftraggeber wird jedoch bei Geldforderungen oft versuchen, möglichst viel davon vom Datenschutzbeauftragten erstattet zu bekommen.

Welches finanzielle Risiko geht mit der Haftung einher?

Interner Datenschutzbeauftragter

Der interne Datenschutzbeauftragte ist beim Auftraggeber als Arbeitnehmer beschäftigt und genießt daher die Vorteile des sogenannten „innerbetrieblichen Schadensausgleichs“. Danach muss ein Schaden nur dann vom Mitarbeiter aus der eigenen Tasche gezahlt werden, wenn er vorsätzlich oder grob fahrlässig verursacht wurde:

  1. Im Falle der groben Fahrlässigkeit ist bei einem deutlichen Missverhältnis zwischen der Schadenshöhe und dem Einkommen des Datenschutzbeauftragten jedoch auch eine Haftungserleichterung möglich.
  2. Bei mittlerer Fahrlässigkeit wird der Schaden zwischen Arbeitgeber und Arbeitnehmer aufgeteilt. Wie hoch der Anteil des Datenschutzbeauftragten ist, hängt dabei von den Umständen des konkreten Falles ab.
  3. Im Ergebnis trägt aber nur bei leichter Fahrlässigkeit der Arbeitgeber den Schaden komplett und kann nicht auf den internen Datenschutzbeauftragten zurückgreifen.

Dabei ist es wichtig zu wissen, dass „grob fahrlässig“ auch handelt, wer Aufgaben übernimmt, die er vorhersehbar nicht ordentlich erledigen können wird – etwa wegen mangelnder Fachkunde.

Diese Regelungen gelten, sofern im Arbeitsvertrag oder im Rahmen der Bestellung keine für den Datenschutzbeauftragten besseren Regelungen getroffen wurden. Schlechtere Haftungsregelungen für den Datenschutzbeauftragten wären im Arbeitsvertrag allerdings grundsätzlich unzulässig.

Externer Datenschutzbeauftragter

Der externe Datenschutzbeauftragte ist im Gegensatz zum internen Datenschutzbeauftragten beim Auftraggeber nicht angestellt. Er ist selbständig oder ist bei einer anderen Firma angestellt. Immer wieder gibt es auch Fälle, in denen ein angestellter, also interner Datenschutzbeauftragter gleichzeitig noch andere Unternehmen seines Konzerns betreut. Bei diesen ist er dann externer Datenschutzbeauftragter.

Ein externer Datenschutzbeauftragter profitiert selbstredend nicht vom „innerbetrieblichen Schadenausgleich“. Deshalb gilt: Für einen Schaden ist zu haften, wenn er verschuldet, also wenigstens fahrlässig verursacht wurde.

Ist der Datenschutzbeauftragte im Auftrag seines Arbeitsgebers beim Geschädigten eingesetzt, wirken die Grundsätze des innerbetrieblichen Schadensausgleichs nur indirekt. Dann haftet nach außen das Unternehmen, welches den DSB stellt, im Innenverhältnis gelten die oben beschriebenen Regeln.

Welche strafrechtlichen Aspekte betreffen den Datenschutzbeauftragten?

Da der Datenschutzbeauftragte selbst keine Weisungsbefugnisse hat und für die Umsetzung des Datenschutzes nicht verantwortlich ist, kann er sich nur wegen Beihilfe zu Datenschutzverletzungen strafbar machen. Das wäre insbesondere dann der Fall, wenn der Datenschutzbeauftragte eine datenschutzrechtlich unzulässige Aktion – aus welchen Gründen auch immer – bewusst „durchgehen lässt“.

Wie können sich Datenschutzbeauftragte gegen Haftung absichern?

Sorgfältige Arbeit ist ohne Zweifel die beste Absicherung für einen Datenschutzbeauftragten. Dazu gehören neben eigener Sach- bzw. Fachkunde und regelmäßiger Fortbildung auch die genaue Dokumentation der eigenen Arbeit. Als letzter Ausweg müssen die Einschaltung der Aufsichtsbehörde in Betracht gezogen und die Argumente für die getroffene Entscheidung über die Einschaltung dokumentiert werden.

Gerade beim Konzern-Datenschutzbeauftragten gibt es darüber hinaus häufig auch den Wunsch, diesen von allen Haftungsrisiken bestmöglich zu befreien. Denn die ab Mai 2018 anwendbare EU-Datenschutz-Grundverordnung stellt deutlich höhere – existenzbedrohende! – Bußgelder und Sanktionen für Datenschutzverletzungen in Aussicht.

Um den Datenschutzbeauftragten vor solchen Zahlungen bestmöglich zu schützen, sind daher Vereinbarungen möglich, wonach die Unternehmen die Schadenersatzforderungen in den relevanten Fällen selbst tragen und den Datenschutzbeauftragten von der Haftung freistellen. Eine andere Möglichkeit wäre, eine Berufshaftpflichtversicherung für den Datenschutzbeauftragten abzuschließen.

Wichtig ist: Weder Freistellungserklärung noch Versicherung dürfen dazu führen, dass der Datenschutzbeauftragte seine Arbeit schleifen oder in kritischen Situationen den Arbeitgeber gewähren lässt. Denn vorsätzliches Handeln ist bei Freistellungserklärungen und Versicherungen immer, grob fahrlässiges Handeln in der Regel ausgenommen. In diesen Fällen würde der Datenschutzbeauftragte also dennoch selbst haften.

Vollständig aktualisierte Version des Artikels, zuerst erschienen am 15. April 2011.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Wie bestellt man einen externen Datenschutzbeauftragten?

Die meisten Unternehmen in der EU mit mehr als neun Mitarbeitern müssen einen Datenschutzbeauftragten bestellen. Für die allermeisten lohnt es sich dabei, auf einen externen Datenschutzbeauftragten zu setzen. Denn ein solcher Experte verfügt bereits über das notwendige juristische, technische und organisatorische Wissen, um den Datenschutz im Unternehmen effektiv und rechtskonform umzusetzen. Wie die Bestellung eines externen Datenschutzbeauftragten (DSB) funktioniert, erklären wir Ihnen in fünf einfachen Schritten!

1. Schritt: Auswahl des geeigneten Datenschutzbeauftragten

Wenn Sie sich im Unternehmen entschieden haben, anstelle eines Mitarbeiters (als internen betrieblichen DSB) lieber einen Datenschutz-Experten als externen Datenschutzbeauftragten zu bestellen, sollten Sie bei der Auswahl des geeigneten Dienstleisters mindestens auf folgende Merkmale achten:

  • Die als externe DSB zu bestellenden Mitarbeiter des Anbieters verfügen über eine entsprechende juristische Qualifikation mit Spezialisierung auf das Datenschutzrecht und die datenschutzrechtlichen Nachbargebiete.
  • Der Anbieter hat Mitarbeiter, die umfassende IT-Kenntnisse vorweisen können, denn nur so kann der Anbieter Ihre IT überhaupt richtig prüfen und Ihnen bei der konkreten Umsetzung der gesetzlichen Vorgaben in Ihrem Unternehmen helfen.
  • Das Team des Anbieters verfügt nachweislich über eine mehrjährige (Berufs-)Erfahrung im Bereich Datenschutz und Datensicherheit, damit alle Beratungsprozesse möglichst hochgradig optimiert sind.
  • Der Anbieter kann Erfahrungen aus Ihrer Branche vorweisen, so dass etwaige Spezialisierungen Ihres Geschäftsmodells nicht zu unerwarteten Hindernissen werden.
  • Die Integration des internationalen Datenschutzrechts ist beim Anbieter eingeschlossen, damit Sie beim Einsatz von Cloud-Computing, Datentransfers in die USA oder dem Einsatz von Software-as-a-Service (SaaS) datenschutzkonform arbeiten können.
  • Im Idealfall gestaltet der Anbieter seine Leistungs- und / oder Kostenstruktur für den externen Datenschutzbeauftragten transparent (z. B. als Datenschutz-Flatrate), so dass Sie vor Kostenfallen bzw. bösen Überraschungen sicher sind.

2. Schritt: Kick-off-Meeting & Dokumentenprüfung

Nachdem Sie sich für das zu Ihrem Unternehmen passende Angebot entschieden haben, wird bzw. sollte ein Kick-off-Meeting stattfinden. Bei dieser ersten Besprechung (vor Ort) werden Ihr Management und andere Verantwortliche

  • über die rechtlichen und tatsächlichen Anforderungen des Datenschutzes und der damit zusammenhängenden Fragen der Datensicherheit informiert
  • und auf die zu erfüllenden Aufgaben vorbereitet.

Zu diesem Kick-off-Meeting sollten Sie dem Datenschutz-Dienstleister vorhandene Unterlagen über den aktuellen organisatorischen und technischen Status im Bereich Datenschutz und IT-Sicherheit vorlegen können. Manche Anbieter wollen diese Unterlagen bereits vorab sichten. Sie können in der Regel anonymisiert und von Geschäftszahlen bereinigt sein.

Der zukünftige externe Datenschutzbeauftragte wird diese Unterlagen sichten, bewerten und auf Vollständigkeit sowie Rechtskonformität überprüfen. Dabei prüft er unter Umständen auch gleich die Website Ihres Unternehmens mit.

[av_sidebar widget_area=’artikelserie-dsb‘ av_uid=’av-1qzwnh3′]

3. Schritt: Datenschutz-Audit

Als nächster Schritt bei der Bestellung des externen Datenschutzbeauftragten folgt das Datenschutz-Audit direkt bei Ihnen im Unternehmen. Das Audit sollte an dem Standort erfolgen, an dem die maßgebliche Unternehmens-IT betrieben wird, damit sich die Prüfer einen konkreten Eindruck verschaffen können.

Im Rahmen des Datenschutz-Audits werden mit unterschiedlichen Verantwortlichen – insbesondere aus den Bereichen IT, Personal, Marketing und Vertrieb – Fragen zu IT-Sicherheitsmanagement, Datenschutzmanagement und Gebäudesicherheit abgeklärt.

Das Audit dient dazu, den Ist-Zustand im Bereich des Datenschutzes zu dokumentieren. Es werden die im Unternehmen bereits getroffenen und noch umzusetzenden Maßnahmen erfasst, die für einen datenschutzkonformen Zustand erforderlich sind.

Im Idealfall prüfen die Experten des Datenschutz-Anbieters nach anerkannten und systematischen Kriterien, etwa den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Davon können Sie ausgehen, wenn ein entsprechend zertifizierter BSI-Auditor dabei ist.

4. Schritt: Auditbericht & Maßnahmenkatalog

Der folgende Auditbericht stellt gewissermaßen die Arbeitsgrundlage für den zu bestellenden externen Datenschutzbeauftragten dar. Dieser kann daraus die fortlaufende Verbesserung der datenschutzrechtlichen Situation in Ihrem Unternehmen herleiten bzw. herbeiführen. Dafür sollte der Bericht

  • eine ausführliche Beschreibung der beim Audit vorgefundenen datenschutzrechtlichen Situation im Unternehmen beinhalten und
  • zu den einzelnen Befunden jeweils eine Handlungsempfehlung geben.

Bei sehr guten Datenschutz-Anbietern sind die Handlungsempfehlungen im Auditbericht mit verschiedenen Prioritätsstufen und Reifegraden versehen. Dadurch können Sie schnell erkennen, ob die Umsetzung die Erfüllung des gesetzlich geforderten Mindeststandards darstellt oder ein darüberhinausgehendes Datenschutz- und Datensicherheitsmanagement verwirklicht.

Übrigens: Für viele kleinere Unternehmen sind die Datenschutz-Maßnahmen bis zu diesem Zeitpunkt bei einigen Anbietern durch das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) finanziell förderbar.

5. Schritt: Bestellung des externen Datenschutzbeauftragten

Nach diesen wichtigen Vorbereitungsschritten sind Sie soweit: Sie können den Experten des Anbieters als externen Datenschutzbeauftragten bestellen. Die Bestellung als formaler Akt sollte dokumentiert erfolgen (z. B. mit unserer Vorlage zur DSB-Bestellung).

Je nach Anbieter kann es sein, dass Sie hierbei zwischen verschiedenen Tarifen wählen können, z. B. von der einfachen Umsetzung der gesetzlichen Mindestanforderungen bis hin zum proaktiven Datenschutz-Management. Bei der Entscheidungsfindung sollten Sie vor allem folgende Aspekte beachten:

  • Wie viele Aufgaben wollen Sie an den externen Datenschutzbeauftragten delegieren – und wie viele können Sie überhaupt intern erledigen?
  • Ist Ihr Unternehmen in einer hinsichtlich des Datenschutzes besonderen Branche (z. B. Finanzen, Gesundheit) tätig?
  • Verfügt Ihr Unternehmen über mehrere Standorte, ggfs. sogar im Ausland bzw. handelt es sich um einen Konzern?

Fazit: Machen Sie den Datenschutz zur Chefsache

Die geschilderten fünf Schritte sind ein prototypischer Weg zur Bestellung eines externen Datenschutzbeauftragten im Unternehmen. Die Vorschläge beruhen auf der langjährigen Praxis der activeMind AG in diesem Bereich. Andere Anbieter können durchaus andere Wege nehmen.

Als Unternehmer sollten Sie jedoch darauf achten, dass Ihr Weg zum externen Datenschutzbeauftragten ähnlich systematisch erfolgt. Denn nur systematisch umgesetzter und entsprechend dokumentierter Datenschutz macht Ihr Unternehmen rechtskonform – und verschafft Ihnen darüber hinaus einen Wettbewerbsvorteil. Selbst wenn Ihnen das Thema Datenschutz also lästig erscheinen sollte, die Bestellung eines externen Datenschutzbeauftragten sollten Sie zur Chefsache machen!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Zuverlässigkeit des Datenschutzbeauftragten

Das Gesetz stellt hohe Anforderungen an die Personen, die zum Datenschutzbeauftragten bestellt werden sollen. Diese Anforderungen lassen sich in die Komplexe der Fachkunde und der Zuverlässigkeit unterteilen. Insbesondere der Begriff der Zuverlässigkeit enthält jedoch keine klare Konturen und Abgrenzungen, und sorgt daher in der Praxis öfter für Verwirrung. Daher soll dieser im Folgenden genauer dargestellt werden.

Was bedeutet Zuverlässigkeit als Anforderung an den Datenschutzbeauftragten?

Zuverlässigkeit setzt zunächst einmal die persönliche Integrität des Datenschutzbeauftragten voraus. Diese beurteilt sich nach dem bisherigen Verhalten des Mitarbeiters im Unternehmen sowie seiner allgemeinen Charakterzüge. Die persönliche Integrität ist sehr wichtig, da der Datenschutzbeauftragte innerhalb des Unternehmens eine besonders hohe Vertrauensstellung in Anspruch nimmt. Er erhält von fast allen Abläufen und Vorgängen im Unternehmen Kenntnis und verfügt daher über ein sehr umfangreiches Wissen über das Unternehmen selbst, aber auch über dessen Mitarbeiter.

Der Datenschutzbeauftragte sollte stets eine neutrale Position im Unternehmen einnehmen, so dass sowohl der Betriebsrat und die Mitarbeiter, als auch die Geschäftsführung ihn als unabhängige Instanz wahrnehmen und sich dessen Unvoreingenommenheit sicher sein können. Denn der Datenschutzbeauftragte stellt sowohl für Personal als auch für die Geschäftsführung die erste Instanz dar, die bei datenschutzrechtlichen Fragestellungen kontaktiert wird. Oftmals kommt es zwischen den Parteien jedoch zum Konflikt, insbesondere was den Umgang mit Mitarbeiterdaten betrifft. Um seiner Vertrauensposition gerecht zu werden, ist es daher wichtig, auch in solchen Streitfällen stets neutral zwischen den Konfliktparteien zu stehen und sich keiner der beiden Seiten zugehörig zu fühlen.

Interessenskonflikte des Datenschutzbeauftragten

Daneben darf der Datenschutzbeauftragte in keinem Interessenkonflikt stehen. Dies ist insbesondere dann möglich, wenn er die Tätigkeit als Datenschutzbeauftragter parallel zu seiner ursprünglichen Tätigkeit im Unternehmen ausführt. Ein Interessenkonflikt entsteht dann, wenn der Datenschutzbeauftragte einerseits die für das unternehmerische Handelnde verantwortliche Person ist, und andererseits dieselbe Handlung datenschutzrechtlich kontrollieren muss.

Dies würde dem Zweck eines Datenschutzbeauftragten zuwider laufen, da dieser grundsätzlich eine neutrale Stelle darstellen soll, die den für den Umgang mit personenbezogenen Daten verantwortlichen Personen „auf die Finger schauen“ soll. Daher ist eine Bestellung von Personen aus der Geschäftsführung sowie von verantwortlichen Personen aus dem Bereich Personal, EDV, Vertrieb oder Marketing nicht zulässig. Auch die Bestellung von Personen aus dem Betriebsrat ist grundsätzlich nicht empfehlenswert.

Als Faustregel lässt sich festhalten, dass all diejenigen, die für den Umgang mit personenbezogenen Daten verantwortlich sind, stets der Gefahr eines Interessenskonflikts ausgesetzt sind und daher grundsätzlich nicht in Frage kommen. Auch wenn es sich aus Sicht der Unternehmen anbietet, den IT-Leiter oder den Leiter der Rechtsabteilung zu bestellen, da diese teilweise schon die erforderliche Fachkunde mitbringen, ist hiervon strikt abzuraten. Es mag zwar wesentlich umständlicher sein, einem Unbeteiligten die erforderliche Fachkunde beizubringen, aber aus rechtlicher Sicht ist dies der einzig gangbare Weg um sich nicht der Gefahr eines Bußgeldes auszusetzen.

Bei der Auswahl eines Datenschutzbeauftragten ist der in Frage kommende Kandidatenkreis also zunächst einmal anhand der Zuverlässigkeit zu sondieren und anschließend ist in einem zweiten Schritt nach dem Merkmal der Fachkunde auszuwählen. Bei vielen Unternehmen stellt sich aufgrund deren Größe jedoch bereits im Rahmen der Zuverlässigkeit das Problem, dass keine geeigneten Kandidaten mehr vorhanden sind.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Ohne Datenschutzbeauftragten droht Bußgeld

Noch immer scheinen es viele Verantwortliche nicht zu wissen, aber so gut wie jedes Unternehmen muss einen betrieblichen Datenschutzbeauftragten bestellen. Bei Zuwiderhandlung droht ein Bußgeld von bis zu 50.000 Euro. Die Aufsichtsbehörden wollen verstärkt die ordentliche Bestellung eines Datenschutzbeauftragten in Unternehmen überprüfen.

Es gibt nur wenige Unternehmen, die nicht auf die eine oder andere Art personenbezogene Daten verarbeiten. Gemeint sind damit Informationen, die einer bestimmten Person zuzuordnen sind, wie beispielsweise Namen, Adressen, Telefonnummern oder Bankdaten von Mitarbeitern, Kunden oder Dienstleistern.

Unternehmen sind dazu verpflichtet, einen betrieblichen Datenschutzbeauftragten zu bestellen, wenn

  • entweder eine Art der Datenverarbeitung eingesetzt wird, die einer Vorabkontrolle unterliegt oder
  • personenbezogene Daten geschäftsmäßig (z.B. Adresshandel) oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden oder
  • mehr als neun Mitarbeiter automatisiert mit personenbezogenen Daten arbeiten.

Beim betrieblichen Datenschutzbeauftragten kann es sich um einen Angestellten handeln, dem neben seiner sonstigen Tätigkeit nachweislich die Zeit, Fortbildungen und Mittel zur Verfügung gestellt werden müssen, damit er diese Funktion erfüllen kann. Oder es kann ein externer Dienstleister mit den datenschutzrechtlichen Belangen des Unternehmens betraut werden.

Die Aufsichtsbehörden gehen immer mehr dazu über, anlasslos die Einhaltung der datenschutzrechtlichen Anforderungen bei Unternehmen in ihrem jeweiligen Zuständigkeitsbereich zu überprüfen. Die ordnungsgemäße Bestellung eines Datenschutzbeauftragten gehört dabei zu den Kernpunkten. Das bayerische Landesamt für Datenschutzaufsicht ist bereits von der zunächst ausschließlichen Dokumentenprüfung dazu übergegangen, Unternehmen auch vor Ort zu überprüfen. Nun hat auch die saarländische Landesdatenschutzbeauftragte eine mehrstufige Prüfung der Unternehmen in ihrem Bundesland angekündigt. Anlass gab hier der Fall eines saarländischen Unternehmens, das sich zunächst geweigert hatte, die datenschutzrechtlichen Anforderungen zu erfüllen und erst nach der Vollstreckung eines Bußgeldes einen Datenschutzbeauftragten bestellte.

Während Sanktionen in den Anfangsjahren des Bundesdatenschutzgesetzes mehr dem Bereich der Theorie angehörten, sind die Aufsichtsbehörden inzwischen immer weniger zögerlich im Gebrauch der ihnen zur Verfügung stehenden Mittel und Maßnahmen. Zuletzt machte der Fall der Waschstraßenkette Mr. Wash Schlagzeilen. Das Unternehmen war wegen der massiven Videoüberwachung seiner Kunden und Mitarbeiter aufgefallen. Neben der Strafe von 54.000 Euro für die viel zu weit gehenden Kameraaufzeichnungen verhängte der Landesdatenschutzbeauftragte von Nordrhein-Westfalen ein zusätzliches Bußgeld von 10.000 Euro für die Tatsache, dass das Unternehmen nicht nachweisen konnte, einen Datenschutzbeauftragten bestellt zu haben. Dabei kam dem Unternehmen zugute, dass als Motivation für die Datenschutzverstöße Fahrlässigkeit angenommen wurde und dass es sich während der Untersuchungen der Aufsichtsbehörde kooperativ verhalten habe. Bei einer anzunehmenden Vorsätzlichkeit wären deutlich höhere Strafen möglich.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Die Fachkunde des Datenschutzbeauftragten

Viele Unternehmen sehen die gesetzliche Vorgabe zur Bestellung eines Datenschutzbeauftragten als lästige Pflicht an. Daher wird oftmals ein Mitarbeiter, der der Geschäftsführung nahesteht oder dem sonst großes Vertrauen entgegengebracht wird, zum Datenschutzbeauftragten bestellt – und eben nicht derjenige mit der größten Fachkunde. Die Bestellung eines nicht fachkundigen Mitarbeiters zum Datenschutzbeauftragten stellt jedoch eine Ordnungswidrigkeit dar und kann mit bis zu 50.000 € Bußgeld geahndet werden. Leider lässt das Gesetz unklar, was genau unter dem Begriff der Fachkunde zu verstehen ist. Genauere Anforderungen haben sich jedoch inzwischen in der Praxis herauskristallisiert und werden im Folgenden dargelegt.

Was ist die Fachkunde des Datenschutzbeauftragten?

Zunächst ist klarzustellen, dass Fachkunde kein starrer Begriff ist, sondern sich jeweils am Ausmaß der Verarbeitung im Unternehmen und dem Schutzbedarf der personenbezogenen Daten orientiert. Je sensibler und umfangreicher die Daten sind, desto höher muss die fachliche Qualifikation des Datenschutzbeauftragten sein. Ein allgemeingültiges, gleichbleibendes Anforderungsprofil gibt es dabei nicht. Das Profil kann sich sogar im Laufe der Ausübung der Tätigkeit des Datenschutzbeauftragten noch ändern oder weiterentwickeln. Ein paar Gemeinsamkeiten lassen sich jedoch trotzdem finden.

[av_sidebar widget_area=’artikelserie-dsb‘ av_uid=’av-2oijbk‘]

Juristische und branchenspezifische Kenntnisse des Datenschutzbeauftragten

Grundsätzlich muss jeder Datenschutzbeauftragte zunächst allgemeine rechtliche Kenntnisse vorweisen können. Diese setzen sich vor allem aus dem allgemeinen Persönlichkeitsrecht, insbesondere in seiner Ausprägung als Recht auf informationelle Selbstbestimmung, den Datenschutzprinzipien, den Vorschriften des BDSG und dem Arbeitsrecht zusammen. Eine fundierte juristische Ausbildung ist hierbei nicht zwingend nötig, jedoch sollten rechtliche Grundlagen beherrscht werden. Daneben werden auch Kenntnisse der technischen Vorschriften des Datenschutzes, wie z. B. die nach §9 BDSG und dessen Anlage, verlangt, da ohne solche Kenntnisse die Kontrolle der IT-Systeme kaum ordnungsgemäß durchführbar ist.

Dazu werden ergänzend jeweils detaillierte branchenspezifische Spezialkenntnisse vorausgesetzt. Je nach Branche erweitert sich das Spektrum der anwendbaren Vorschriften und Gesetze nämlich dramatisch. Der Datenschutzbeauftragte einer Apotheke muss beispielsweise wesentlich tiefere Kenntnisse im Bereich der rechtlichen Behandlung von Patientendaten und dem Risiko der Offenbarung von Privatgeheimnissen vorweisen können, als derjenige eines Autohändlers. Ergänzende Vorschriften können sich beispielsweise aus dem Sozialgesetzbuch, dem Telemediengesetz, dem Strafgesetzbuch oder auch europäischen Verordnungen ergeben.

Als ob das nicht schon genügen würde, werden auch noch allgemeine Kenntnisse in der Informationstechnologie, allgemeinen betriebswirtschaftlichen Abläufen und den Wechselwirkungen innerhalb des eigenen Unternehmens verlangt.

Datenschutzbeauftragte haben ein Recht auf Schulung

Das bedeutet aber nicht, dass der Datenschutzbeauftragte in all diesen Materien ein Experte sein muss. Es genügt wenn Kenntnisse in diesen Bereichen in ausreichendem Maße vorhanden sind. Beim Erwerb und Erhalt dieser Kenntnisse wird der Datenschutzbeauftragte glücklicherweise auch nicht allein gelassen. Die Geschäftsführung ist nämlich gesetzlich verpflichtet, dem Datenschutzbeauftragten die Teilnahme an Fort- und Weiterbildungen zu ermöglichen.

Der Datenschutzbeauftragte kann also verlangen, dass er für die Zeit der Fortbildung von seiner eigentlichen Tätigkeit freigestellt wird und die Kosten der Fortbildung von den Unternehmen getragen werden. Die Häufigkeit dieser Fortbildungen orientiert sich ebenfalls am Schutzbedarf und am Umfang der vom Unternehmen verarbeiteten Daten, kann dabei aber auch von Änderungen der tatsächlichen oder rechtlichen Rahmenbedingungen abhängen. So ist der Schulungsaufwand für den Datenschutzbeauftragten eins Handwerksbetriebes wesentlich geringer, als der einer Bank.

Letztendlich gilt das Motto „ohne Schulung keine Fachkunde“, da wohl nur die allerwenigstensten Mitarbeiter eines Unternehmens alle nötigen Fachkenntnisse besitzen, um die Stelle als Datenschutzbeauftragter sinnvoll besetzen zu können.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Der Datenschutzbeauftragte: ein Papiertiger?

Der Datenschutz ist in unserer Gesellschaft ein immer brisanteres Thema. Das vielleicht wichtigste Mittel, um ihn durchzusetzen, ist die Funktion des Datenschutzbeauftragten. Doch während dem Thema an sich von Erwerbstätigen viel Bedeutung beigemessen wird, sehen sie den Datenschutzbeauftragen als nur mit einem stumpfen Schwert bewaffnet an. Woran das liegt und was ein Unternehmen im eigenen Interesse vielleicht ändern sollte, wird anhand einer Studie der Universität Oldenburg deutlich.

Zwar haben wir die „brave new world“, die Aldous Huxley 1932 so prägnant beschrieben hat, noch nicht erreicht, die Sorgen um den Schutz unserer Daten, um den Verlust unserer Privatsphäre und somit unserer ureigenen Gedankenwelt und Selbstbestimmung ist größer denn je.

Die Dringlichkeit des Themas Datenschutz ist in den vergangenen Jahren auf vielen Ebenen grundsätzlich schon ins Bewusstsein gerückt – bei Behörden, weil sie die Interessen der Bürger berücksichtigen müssen und bei Unternehmen, weil sie die Chance erkannt haben, sich mit einem Thema, das nun immer stärkere Aufmerksamkeit genießt, klare Marktvorteile zu verschaffen: Die Anforderungen von Geschäftspartnern und Kunden in Bezug auf den Datenschutz erfüllen und übertreffen zu können, ist in vielen Branchen längst ein nicht zu unterschätzender Wettbewerbsvorteil geworden.

Umso mehr überrascht das Ergebnis einer Studie der Universität Oldenburg: Von den Organisationen, die dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, hat knapp ein Sechstel überhaupt keinen. Das Thema Datenschutz wird zwar durchaus als wichtig erachtet, dem Datenschutzbeauftragten wird dagegen weniger Bedeutung beigemessen.

Der Datenschutzbeauftragte: ein Papiertiger?

Dabei hat der Gesetzgeber mit der Verpflichtung zur Bestellung eines Datenschutzbeauftragten dafür Sorge getragen, dass das Thema Datenschutz kein reines Lippenbekenntnis bleibt. Die nötige Qualifikation sowie Rechte und Pflichten eines Datenschutzbeauftragten sind klar definiert.

In der Praxis wird der Datenschutzbeauftragte jedoch häufig als zahnloser Tiger wahrgenommen. Die Ursache dafür liegt laut der Studie aber nicht an dem grundsätzlichen Konstrukt des Datenschutzbeauftragten, sondern vielmehr in mangelnder Kommunikation und Transparenz.

Als eine mögliche Ursache für die geringe Bedeutungsbeimessung für die Rolle des Datenschutzbeauftragten nennt die Studie den Umstand, dass in manchen Unternehmen durchaus jemand die Funktion des Datenschutzbeauftragten wahrnimmt, dieser aber nicht offiziell bestellt ist und die Belegschaft auch nicht eindeutig über die Funktion des Datenschutzbeauftragten informiert wurde.

Diejenigen Befragten, die dem Datenschutzbeauftragten wenig Einflussmöglichkeit zusprechen, machten häufig auch die Angabe, dass sie sich wünschen, dass der Datenschutzbeauftragte mehr Beratungs- und Gestaltungsaufgaben in der Organisation wahrnimmt. Ihrem Selbstbild zufolge tun das die Datenschutzbeauftragen jedoch mehr, als es von außen wahrgenommen wird.

Mehr Informationen gefordert

Die Studie kommt zu dem Schluss, dass auch hier die Hauptursache in mangelhafter Kommunikation liegen könnte. Von den befragten Personen wünschten sich etwa 60 Prozent „mehr Informationen“ von ihrem Datenschutzbeauftragten. Außerdem wurden Erfolgsrückmeldungen und konkrete Lösungsansätze als Orientierungshilfe vermisst sowie eine leicht verständliche Aufbereitung der Informationen angemahnt.

Der Datenschutzbeauftragte selbst kann wesentlich dazu beitragen, den stockenden Informationsfluss in Gang zu bringen. Im Folgenden haben wir die wichtigsten Punkte dazu zusammengefasst:

Gewinnen Sie die Geschäftsleitung – Aufklärung über die Bedeutung des Datenschutzes:

Als Beauftragter der Geschäftsleitung ist ein Beschäftigter auf deren Wohlwollen angewiesen. Um dieses zu gewinnen, haben Sie als Datenschutzbeauftragter glücklicherweise sehr gute Argumente auf Ihrer Seite, die Sie der Geschäftsleitung nahebringen sollten: Die wichtigste Aufgabe besteht in vielen Unternehmen darin, den Datenschutz nicht als lästige Compliance-Anforderung zu betrachten, sondern als eine Chance, die gewinnbringend für das Unternehmen eingesetzt werden kann.

Mit dem immer rasanteren Tempo, in dem sich die Datenverarbeitungsmöglichkeiten entwickeln, steigt auch die Unsicherheit über den Schutz persönlicher Daten. Es ist ein starkes Bedürfnis nach Sicherheit vorhanden – und wer dieses nachweislich zufriedenstellen kann, hat einen deutlichen Wettbewerbsvorteil. Immer mehr wird es auch über die IT- und Finanzbranche hinaus üblich, dass große Firmen Aufträge nur an Unternehmen vergeben, die nachweislich die Anforderungen an Datenschutz und Datensicherheit erfüllen. Diese Tendenz nimmt immer mehr zu – wer bereits jetzt alle Anforderungen erfüllt, hat die Nase vorn.

Neben dem „Zuckerbrot“ des Wettbewerbsvorteils steht auch die „Peitsche“ des drohenden Datenskandals. In fast jeder Branche haben es mehrere Unternehmen vorgemacht, was passiert, wenn man den Schutz personenbezogener Daten zu leichtfertig angeht. Mit wenig Rechercheaufwand lässt sich den Negativschlagzeilen entnehmen, was das in Ihrem Geschäftsumfeld bedeuten kann. Dabei sind nicht nur die unmittelbar durch den Vorfall ausgelösten Kosten beachtlich. Bedenken Sie, was eine entsprechende Rufschädigung für die Zukunft Ihres Unternehmens bedeuten kann.

Gewinnen Sie die Belegschaft – Schaffen Sie Transparenz

Eine Ihrer Hauptaufgaben als Datenschutzbeauftragter besteht darin, dem Thema Datenschutz in Ihrer Organisation Aufmerksamkeit zu verschaffen. Das bedeutet, dass Sie nicht still in Ihrem Kämmerlein vor sich hin arbeiten können, sondern Sie müssen wahrnehmbar das Sprachrohr des Datenschutzes sein. Dies verschafft Ihnen auch die nötige Akzeptanz, um Ihre weiteren Aufgaben besser wahrnehmen zu können.

Konkret bedeutet das, dass Sie möglichst viel schriftlich festhalten sollten. Wenn es um praktische Regelungen im Unternehmen geht, hat eine schriftliche Vereinbarung oder Richtlinie mehr Gewicht (und auch mehr Klarheit!) als eine einmalige mündliche Ansage. Auch aus Sicht Ihrer Kollegen ist es angenehmer, für sie relevante Informieren nicht lediglich zugerufen zu bekommen, sondern im Zweifelsfall zu wissen, in welchen Dokumenten Sie die gesuchten Informationen finden.

Schaffen Sie standardisierte Abläufe. Die meisten Menschen wünschen sich bei der Arbeit eine konkrete Orientierungsmöglichkeit. Das alleinige Bekenntnis zum Datenschutz ist zunächst sehr abstrakt. Wenn Standards und Richtlinien existieren, wird das Thema konkret und praktisch. Achten Sie dabei immer darauf, dass alle Informationen leicht verständlich für jedermann aufbereitet sind. Sie können dazu gerne im activeMind-Blog stöbern. Wir stellen Ihnen für die unterschiedlichsten Sachverhalte zahlreiche Mustervorlagen frei zur Verfügung, die Sie an Ihre Bedürfnisse anpassen können.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Anforderungen an den Datenschutzbeauftragten

Durch die moderne Informationstechnologie lassen sich auch größte Datenmengen schnell und einfach verarbeiten, auswerten, weitergeben und speichern. Aus der Perspektive des Datenschutzes ist das eine dementsprechend große Herausforderung. Das Gesetz stellt daher zurecht strenge Anforderungen an die innerbetriebliche Selbstkontrolle durch den Datenschutzbeauftragten (DSB) auf. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben die Mindestanforderungen an den Datenschutzbeauftragten in einem Beschluss formuliert.

Die Anforderungen muss der Datenschutzbeauftragte bereits zum Zeitpunkt seiner Bestellung erfüllen. Andernfalls ist die Bestellung eventuell nicht wirksam und die gesetzlichen Vorgaben sind nicht erfüllt. Dies stellt ein Risiko dar – nicht nur deshalb, weil diese Ordnungswidrigkeit unter Umständen mit einem empfindlichen Bußgeld geahndet werden kann.

Die Aufsichtsbehörden empfehlen folgerichtig auch ausdrücklich die Teilnahme an entsprechenden Schulungen bereits vor Beginn der Tätigkeit, um eventuelle Informationsdefizite zu beheben, und auch regelmäßig nach der Bestellung, um einen stets aktuellen Informationsstand sicherzustellen.

1. Fachkunde im Datenschutzrecht

Der Beauftragte für den Datenschutz muss mindestens über folgende technisch-organisatorische Kenntnisse verfügen:

  • Grundkenntnisse zu den Persönlichkeitsrechten der Betroffenen und Mitarbeiter
  • umfassende Kenntnisse der einschlägigen Regelungen des BDSG
  • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG. Dies schließt die Fähigkeit ein, die Geeignetheit von technischen und organsisatorischen Maßnahmen zu beurteilen.

2. Branchenspezifische Kenntnisse

Je nach Branche, IT-Infrastruktur und Größe der Organisation und der Sensibilität Daten stellt der Gesetzgeber folgende Anforderungen an den Datenschutzbeauftragten:

  • Umfassende Kenntnis der für das Unternehmen relevanten Vorschriften
  • Fachwissen im Bereich der Informationstechnologie und der Datensicherheit
  • Betriebswirtschaftliches Sachverständnis
  • Kenntnis der Strukturen und Abläufe im Unternehmen
  • Kenntnis über das praktische Datenschutzmanagement

3. Rahmenanforderungen

Neben den persönlichen Anforderungen an den Datenschutzbeauftragten verlangt der Gesetzgeber die Gewährleistung bestimmter Rahmenbedingungen, insbesondere im Hinblick auf die Unabhängigkeit des Datenschutzbeauftragten. Dazu gehören folgende:

  • Der Datenschutzbeauftragte darf bei Erfüllung seiner Aufgaben keinen Interessenkonflikten ausgesetzt sein. Dies bedeutet unter anderem, dass eine Bestellung nicht erfolgen darf, sobald der Beauftragte sich in irgendeiner Weise selbst überwachen müsste. Angehörige der Geschäftsleitung oder Mitarbeiter, die sonst zentrale Verantwortung tragen, scheiden danach regelmäßig aus. Durch ihre Bestellung wird die gesetzliche Verpflichtung nicht erfüllt.
  • Datenschutzbeauftragte sind grundsätzlich auch gegenüber den Verantwortlichen des von ihnen betreuten Unternehmens zur Verschwiegenheit über Informationen verpflichtet, die Rückschlüsse auf bestimmte Personen zulassen.
  • Die Verantwortlichen der zu betreuenden Organisation müssen dem Datenschutzbeauftragten erforderliche Zutritts- und Einsichtsrechte einräumen und gewährleisten, dass er durch entsprechende Weiterbildungen die für die Erfüllung seiner Verpflichtungen notwendigen Kenntnisse pflegt.
  • Internen Datenschutzbeauftragten ist ausreichend Zeit zur Erfüllung ihrer Aufgaben einzuräumen.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Kündigungsschutz für Datenschutzbeauftragte

Mit der Novellierung des Bundesdatenschutzgesetzes am 1.9.2009 wurde der Datenschutzbeauftragte mit einem Kündigungsschutz ausgestattet, § 4f Abs. 3 BDSG. Außer wenn Gründe für eine fristlose Entlassung vorliegen, ist die Kündigung des mit dem betrieblichen Datenschutzbeauftragten abgeschlossenen Arbeitsverhältnisses unzulässig.

Dieser Kündigungsschutz bleibt auch nach einer Abberufung als betrieblicher Datenschutzbeauftragter für ein weiteres Jahr nach der Beendigung der Bestellung bestehen. In dieser Zeit ist eine Entlassung des früheren betrieblichen Datenschutzbeauftragten nur bei Vorliegen von Gründen für eine fristlose Kündigung aus wichtigem Grund (§ 626 BGB) gestattet.

Jedoch kann die Aufsichtsbehörde den bestellten Datenschutzbeauftragten abberufen, wenn er die erforderliche Fachkunde oder Zuverlässigkeit nicht besitzt. Damit kann die Bestellung durch die Unternehmensleitung widerrufen werden, wenn die Aufsichtsbehörde dies verlangt, oder ein wichtiger Grund i.S.v. § 626 BGB gegeben ist.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Aufgaben des Datenschutzbeauftragten

Gemäß § 4 f BDSG haben Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten und nutzen, einen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn mehr als neun Beschäftigte mit dieser Aufgabe betraut sind. Personenbezogene Daten sind z.B. das Geburtsdatum, die Telefonnummer, die Postanschrift oder eine E-Mailadresse; auch eine verwendete IP- Adresse kann hierunter fallen. Der Begriff ist sehr weit zu verstehen. Die betroffenen Daten müssen nicht „vertraulich“ oder „geheim“ sein. Für die in Unternehmen bestellten Datenschutzbeauftragten hat sich die Bezeichnung „betrieblicher Datenschutzbeauftragter“ etabliert.

Aufgaben und Stellung des betrieblichen Datenschutzbeauftragten

Mitwirkung bei der Gewährleistung der Einhaltung der Datenschutzgesetze

Die gesetzlichen Aufgaben des betrieblichen Datenschutzbeauftragten sind in § 4g BDSG definiert. Nach dieser Bestimmung wirkt der betriebliche Datenschutzbeauftragte auf die Einhaltung des BDSG „und anderer Vorschriften über den Datenschutz hin“. Die Verantwortung für die Einhaltung der datenschutzrechtlichen Bestimmungen trifft jedoch zunächst den Rechtsträger des Unternehmens, also entweder eine natürliche oder eine juristische Person.

1. Beratungsaufgaben

Die Beratungsfunktion stellt die zentrale Aufgabe des betrieblichen Datenschutzbeauftragten dar. Diese Beratungsfunktion erstreckt sich keinesfalls ausschließlich auf eine gutachterliche, juristische Tätigkeit im Hinblick auf vorgefundene Sachverhalte und ihre datenschutzrechtliche Bewertung. Die Aufgabe des betrieblichen Datenschutzbeauftragten sollte es sein, das operative Ziel des Unternehmens zu unterstützen und dabei darauf zu achten, dass geltende datenschutzrechtliche Bestimmungen nicht verletzt werden.

2. Schulungsaufgaben

Die Schulung des Personals im Bereich Datenschutz und Datensicherheit ist eine unmittelbare gesetzliche Aufgaben des betrieblichen Datenschutzbeauftragten. Diese wird in

unterteilt.

3. Kontrollaufgaben

Der betriebliche Datenschutzbeauftragte hat eine umfassende Kontrollaufgabe hinsichtlich der datenschutzrechtlichen Unbedenklichkeit der Aktivitäten innerhalb eines Unternehmens, die in Zusammenhang mit der Verarbeitung personenbezogener Daten steht.

4. Registeraufgaben

Gemäß § 4g Abs. 2 in Verbindung mit § 4e Satz 1 Nr. 1-9 BDSG ist dem betrieblichen Datenschutzbeauftragten von der verantwortlichen Stelle eine Übersicht über DV-Systeme, mit denen automatisiert personenbezogene Daten verarbeitet werden, zur Verfügung zu stellen. Diese hat gesetzlich definierte Mindestangaben zu enthalten.

Organisatorische Aufgaben des betrieblichen Datenschutzbeauftragten

Ab einer bestimmten Größenordnung muss sich ein betrieblicher Datenschutzbeauftragter über die Organisation seiner Beratungs-, Schulungs- und Kontrollfunktionen Gedanken machen. Damit besteht für ihn die Pflicht und die Notwendigkeit, ein auf der organisatorischen Ausgestaltung des Unternehmens aufbauendes Konzept für die Organisation der Aufgabenerledigung im Bereich des Datenschutzes zu entwickeln bzw. fortzuentwickeln (Datenschutzkonzept).

Bestellung und formale Position innerhalb des Unternehmens

Interner betrieblicher Datenschutzbeauftragter

Gemäß § 4f Abs. 1 BDSG ist der betriebliche Datenschutzbeauftragte vom Unternehmen schriftlich zu bestellen. Hierfür ist also ein Dokument erforderlich, das von einem befugten Vertreter des Rechtsträgers des Unternehmens zu unterschreiben und vom betrieblichen Datenschutzbeauftragten gegenzuzeichnen ist. Die Bestellung hat den Charakter einer besonderen Vereinbarung (Arbeitsvertragsänderung) und kann nicht im Wege des arbeitsrechtlichen Direktionsrechts auf einen Beschäftigten übertragen werden.

Nach § 4f Abs. 3 Satz 1 BDSG ist der betriebliche Datenschutzbeauftragte der Leitung eines Unternehmens unmittelbar zu unterstellen. Aus dem Wortlaut der Vorschrift ergibt sich direkt, dass ein Mitglied der Unternehmensleitung nicht zum betrieblichen Datenschutzbeauftragten bestellt werden kann. Achtung: seit dem 1.9.2009 besteht für interne Datenschutzbeauftragte Kündigungsschutz! Der interne Datenschutzbeauftragte kann gegen seinen Willen grundsätzlich nicht mehr abberufen werden.

Externer betrieblicher Datenschutzbeauftragter

Nach dem BDSG muss der betriebliche Datenschutzbeauftragte nicht zwingend Beschäftigter des betroffenen Unternehmens sein. Insbesondere bei kleineren Unternehmen kann es sinnvoll sein, einen externen Datenschutzexperten zum betrieblichen Datenschutzbeauftragten zu bestellen. Es ist jedoch immer nur die Bestellung einer natürlichen Person, nicht eines Unternehmens, möglich.

Qualifikation des betrieblichen Datenschutzbeauftragten

Der Datenschutzbeauftragte muss Fachkompetenz in Bezug auf IT-Technologien, Kenntnisse im allgemeinen Datenschutzrecht und im Bereich der datenschutzrechtlich relevanten Bestimmungen des BetrVG, sowie Kenntnisse der Aufgaben-, Struktur- und Funktionsweise des Unternehmens und nicht zuletzt auch Schulungskompetenz besitzen.

Arbeitsrechtliche Stellung des Datenschutzbeauftragten

Werden Mitarbeiter des Unternehmens bestellt, so müssen als Besonderheiten im Hinblick auf die arbeitsrechtliche Stellung des Datenschutzbeauftragten das gesetzliche Benachteiligungsverbot, die direkte Unterstellung unter die Unternehmensleistung bei Ausübung der Tätigkeit des Datenschutzbeauftragten sowie der Kündigungsschutz berücksichtigt werden.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.