Datenschutzbeauftragter

Ein Datenschutzbeauftragter (DSB) wirkt in einer Behörde oder nicht-behördlichen Organisation auf die Einhaltung des Datenschutzes hin. Die Person kann Mitarbeiter der Organisation sein oder als externer Datenschutzbeauftragter bestellt werden.

Aufgaben, Tätigkeit und Bestellung

Die Aufgabe und Tätigkeit eines Datenschutzbeauftragten wird in Deutschland in § 4f und § 4g des Bundesdatenschutzgesetzes (BDSG) sowie den entsprechenden landesrechtlichen Vorschriften geregelt. Der Beauftragte für Datenschutz wirkt auf die Einhaltung des BDSG und anderer Gesetze hin (TMG, TKG, etc.). Eine wesentliche Aufgabe ist die Kontrolle und Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen. Das Personal, welches mit dem Umgang von personenbezogenen Daten beschäftigt ist, wird in geeigneter Form mit dem Gesetz und seiner praktischen Umsetzung (Schulung) vertraut gemacht.

Ein Datenschutzbeauftragter muss bestellt werden, wenn personenbezogene Daten (z. B. Arbeitnehmerdaten in der Personalabteilung, Kunden- und Interessentendaten) automatisiert verarbeitet werden:

• in allen öffentlichen Stellen (beispielsweise Behörden) und
• in nicht-öffentlichen Stellen (beispielsweise Unternehmen, Vereine), wenn mindestens 10 Personen (§ 4 f Abs. 1 S. 1 u. 4 BDSG) mit der Verarbeitung dieser Daten beschäftigt sind oder Zugriff auf diese Daten haben. Diese Grenze entfällt, wenn ein bestimmtes Risiko vermutet wird, welches eine sofortige Bestellung erforderlich macht oder Verfahren eingesetzt werden, die der Vorabkontrolle unterliegen (§ 4 d Abs. 5 BDSG, § 3 Abs. 9 BDSG, § 4 e BDSG, § 4 f Abs. 1 Satz 6 BDSG), oder wenn sie personenbezogene Daten geschäftsmäßig verarbeitet, um diese an dritte Personen weiterzugeben (z. B. Adressdatenhandel). Weiter entfällt diese Grenze auch wenn eine volle Automatisierung der Erfassung beispielsweise für Statistik (z. B. Markt- und Meinungsforschung) oder Forschungszwecke eingesetzt wird.

Bei einer nicht automatisierten Datenverarbeitung greift die Vorschrift erst ab 20 Personen (§ 4 f Abs. 1 S. 1 u. 3 BDSG). Hierbei werden Teilzeitkräfte voll berücksichtigt, der Gesetzgeber spricht auch bewusst nicht von Beschäftigten, sondern von Personen, insbesondere um die Gefahr zu vermeiden, dass Betriebe nur noch mit Selbständigen und freiberuflichen Mitarbeitern arbeiten, um so die Bestellungspflicht zu vermeiden.

Automatisiert ist eine Verarbeitung, wenn hierzu Datenverarbeitungsgeräte (PCs) verwendet werden. Erfolgt die Datenverarbeitung z.B. mittels Karteikarten, so ist sie nichtautomatisiert, sofern diese nicht zur späteren Verarbeitung in der EDV bestimmt sind und dahingehend geführt werden, dies wäre sonst eine Vorbereitung zur Datenverarbeitung.

Der Betrieb muss spätestens einen Monat nach Aufnahme seiner Tätigkeit einen Datenschutzbeauftragten bestellen (§ 4 Abs. 1 S. 2 BDSG). Bei Nichtbestellung oder verspäteter Bestellung kann ein Bußgeld bis 50.000 EURO für diesen Tatbestand erhoben werden § 43 Abs. 1 Nr. 2 BDSG.

Vorabkontrolle

Nach § 4d (5) BDSG unterliegt die Datenverarbeitung der "Vorabkontrolle", wenn sie besondere Risiken für die Rechte und Freiheiten des Betroffenen aufweist. Dies ist insbesondere dann gegeben, wenn besondere Arten personenbezogener Daten nach § 3 (9) BDSG verarbeitet werden oder die Verarbeitung der Daten der Bewertung der Persönlichkeit des Betroffenen dienen soll einschließlich seiner Fähigkeiten, seiner Leistung und seines Verhaltens. Die Vorabkontrolle darf nach § 4d (6) BDSG nur ein Datenschutzbeauftragter durchführen.

Behördlich

Die Behörde auf Bundes- oder Landesebene, die die Einhaltung der Datenschutzgesetze kontrolliert oder eine Person in Betrieben oder Behörden, die beauftragt wurde, sich um die Einhaltung der Regeln und Gesetze zum Datenschutz zu kümmern.

Kirche

Die katholische Kirche und die evangelische Kirche in Deutschland bestellen jeweils für ihren Bereich eigene Datenschutzbeauftragte. Geregelt ist dies in kircheneigenen Gesetzen (Anordnung über den kirchlichen Datenschutz der katholischen Kirche, Datenschutzgesetz der Evangelischen Kirche in Deutschland).

Betrieblich

Der Datenschutzbeauftragte in einem privaten Betrieb wirkt auf die Einhaltung der Datenschutzbestimmungen hin (hat jedoch kein Weisungsrecht). Im Rahmen seiner Tätigkeit stellt der Datenschutzbeauftragte den Istzustand des Betriebes dar, die Prüfung erfolgt hier bereits ab Werktor, es wird typischerweise eine Prüfung des Datenschutzes von Außen nach Innen vorgenommen und geprüft, ob die bestehenden Maßnahmen ausreichen oder Verbesserungsmöglichkeiten bestehen. Der Datenschutzbeauftragte zeigt weiter den Istzustand der EDV und des Netzwerkes auf und prüft, ob hier die Richtlinien eingehalten werden; darüber hinaus spricht der Datenschutzbeauftragte hier auch Empfehlungen zur Verbesserung aus. Für alle Verfahren der Erfassung, Verarbeitung, Übermittlung oder Nutzung von personenbezogenen Daten werden ein Istzustand aufgezeigt, Vorabkontrollen vorgenommen und mögliche Verbesserungen aufgezeigt. Hierbei kann es sein, dass auch Manuals für bestimmte Abläufe erstellt werden. In regelmäßigen Abständen wird der Datenschutzbeauftragte nach eigenem Ermessen prüfen, ob Veränderungen vorgenommen wurden oder ob weitere Optimierungen gegeben sind. Bei Einführung neuer Verfahren ist der Datenschutzbeauftragte hierüber vorab zu informieren und wird ggf. eine Vorabkontrolle vornehmen. Ein wesentliches Augenmerk liegt dabei darauf, dass ausschließlich Befugte eine nur auf den Zweck beschränkte Verarbeitung vornehmen können und dass der Eigentümer der Daten sein Selbstbestimmungsrecht auf Auskunft, Korrektur, Sperrung und Löschung wahrnehmen kann. Außerdem obliegt ihm die Schulung der Mitarbeiter, um sie für die Belange des Datenschutzes zu sensibilisieren. Im Rahmen dieser Arbeit wird der Datenschutzbeauftragte auch typischerweise das Verfahrensverzeichnis und das Verzeichnis Jedermann § 4 g Abs. 2 BDSG erstellen und regelmäßig aktualisieren. Für die Geschäftsleitung und die Mitarbeiter ist der Datenschutzbeauftragte Ansprechpartner in allen Fragen des Datenschutzes. Der Datenschutzbeauftragte kann darüber hinaus in eigenem Ermessen Termine zur freien Beratung im Betrieb einrichten, damit die Mitarbeiter diesen hier aufsuchen und sich beraten lassen können. Weiter informiert der Datenschutzbeauftragte über mögliche Änderungen im Bereich des BDSG und der aufbauenden Gesetze, wenn diese vom Betrieb zu beachten sind.

Der Datenschutzbeauftragte ist in seinem Gebiet weisungsfrei und unabhängig von Vorgesetzten. Er darf wegen Erfüllung seiner Aufgaben nicht benachteiligt werden. Der Datenschutzbeauftragte ist direkt der Geschäftsleitung unterstellt, welche auch seine Berichte und Vorabkontrollen erhält.

Mit der Novellierung des Bundesdatenschutzgesetzes (sog. BDSG-Novelle II 2009) wurde der betriebliche Datenschutzbeauftragte mit einem verbesserten Kündigungsschutz ausgestattet, gem. § 4f Abs. 3 BDSG. Außer wenn Gründe für eine fristlose Entlassung vorliegen, ist die Kündigung des mit dem betrieblichen Datenschutzbeauftragten abgeschlossenen Arbeitsverhältnisses unzulässig. Dieser Kündigungsschutz bleibt auch nach einer Abberufung als betrieblicher Datenschutzbeauftragter für ein weiteres Jahr nach der Beendigung der Bestellung bestehen. Die Bestellung eines internen Datenschutzbeauftragten erfolgt in der Regel auf 5 Jahre, in einigen Bundesländern werden auch 3 Jahre als angemessen angesehen. Eine kürzere Bestellung ist grundsätzlich nicht gegeben, da der interne Datenschutzbeauftragte sonst seine Tätigkeit nicht im angemessenen Umfang ausführen kann. In dieser Zeit ist eine Entlassung des früheren betrieblichen Datenschutzbeauftragten nur bei Vorliegen von Gründen für eine fristlose Kündigung im Sinne des § 626 BGB (Fristlose Kündigung aus wichtigem Grund) gestattet. Die Aufsichtsbehörde kann den bestellten DSB abberufen, wenn er die erforderliche Fachkunde oder Zuverlässigkeit nicht besitzt. Die Bestellung kann durch die Unternehmensleitung widerrufen werden, wenn die Aufsichtsbehörde dies verlangt oder ein wichtiger Grund i.S.v. § 626 BGB gegeben ist.

Fachkunde und Zuverlässigkeit

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die notwendige Fachkunde und Zuverlässigkeit besitzt. Die verantwortliche Stelle ist ausdrücklich verpflichtet (§ 4f Abs. 3 Satz 7 BDSG, § 4f Abs. 2 BDSG), dem betrieblichen Datenschutzbeauftragten für die Erhaltung seiner Fachkunde die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. Die erforderliche Zuverlässigkeit erfordert, dass kein Interessenkonflikt bei der Wahrnehmung der Funktion besteht. Ein solcher besteht vor allem bei allen Personen, die ein eigenes Interesse am Unternehmen (etwa wegen Beteiligung an seinem Vermögen, wie z. B. Teilhaber oder Gesellschafter) oder Leitungsfunktion haben. Geschäftsführer oder der Abteilungsleiter, vor allem der Personal- oder der IT-Abteilung, scheiden deshalb regelmäßig aus. Auch andere Personen außerhalb des Betriebes können ausscheiden, wie beispielsweise der ständige Steuerberater oder Wirtschaftsprüfer ^[1] oder ein externer Datenschutzbeauftragter, welcher selbst einem Interessenkonflikt unterliegen könnte, wenn dieser beispielsweise bei der Firma beschäftigt ist, die auch die IT-Lösung oder andere Lösungen für das Unternehmen realisiert hat, und somit hier Interessenkonflikte und die Gefahr der Selbstkontrolle gegeben sind.

In den praktisch allen Organisationen, vor allem in privatwirtschaftlichen Unternehmen, können externe Datenschutzbeauftragte bestellt werden. Insbesondere aufgrund von Gesetzänderungen im StGB und BDSG 2006, 2008 und 2009 wurde dies ermöglicht, so dass auch Geheimnisträger externe Datenschutzbeauftragte bestellen dürfen. Der Datenschutzbeauftragte ist schriftlich nach den Vorgaben des BDSG zu bestellen.

Die Bestellung eines betrieblichen Datenschutzbeauftragten bereitet oftmals "praktische Schwierigkeiten" für ein Unternehmen, wie es die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen Bettina Sokol in ihrem 17. Datenschutzbericht formulierte: "Grundsätzlich ist die Möglichkeit für die Bestellung externer Beauftragter [...] oft eine praktikable Lösung, da sie häufig selbst nicht über Personal verfügen, das die für Datenschutzbeauftragte erforderliche fachliche Eignung hat." Hierfür wurde die Möglichkeit zur Bestellung eines externen Datenschutzbeauftragten geschaffen, welche mittlerweile auch durch die Berufsbezeichnungen "Fachkraft für Datenschutz und Datenschutzbeauftragter" klar definiert wurde. Im Jahre 1990 hatte das Landgericht Ulm als erstes Gericht in Deutschland über das Berufsbild von Datenschutzbeauftragten zu entscheiden. In seinem in Fachkreisen oft zitierten "Ulmer Urteil" definierte das Gericht die Tätigkeit des Datenschutzbeauftragten als eigenständigen Beruf und legte Kriterien für die Fachkunde fest (Az: 5T 153/90-01 LG Ulm).

Mittlerweile gibt es die Berufe der Fachkraft für Datenschutz und Datenschutzbeauftragter, welche als externer Datenschutzbeauftragter für Betriebe tätig sein können. Zertifizierungen bieten IHK, DEKRA, TÜV und weitere Stellen an; diese arbeiten oft mit den zuvor benannten Stellen zusammen. Bei der Wahl der Schulung zur Fachkraft für Datenschutz oder Datenschutzbeauftragter sollte aber in jedem Fall darauf geachtet werden, dass hier tatsächlich eine Zulassung zur Zertifizierung besteht, da es auch hier schwarze Schafe gibt. Zum Erlangen der Zertifizierung als externer Datenschutzbeauftragter müssen hier erst die Zugangsvoraussetzungen vorliegen (Ausbildung, Studium, Berufserfahrung); ob die Voraussetzungen erfüllt sind, kann die zertifizierende Stelle dann entsprechend mitteilen. Die Zertifizierung erfolgt in der Regel durch ein fünftägiges Seminar mit zwei schriftlichen Prüfungen und einer anschließenden Projektarbeit, die binnen 4 Wochen zur prüfenden Stelle hochgeladen wird. Alle Prüfungen müssen bestanden werden (Praktische Arbeit in der ersten schriftlichen Prüfung, Juristischer Teil, Projektarbeit).

Von einem Datenschutzbeauftragten wird erwartet, dass dieser sich fortlaufend weiterbildet. Weiter wird die Zertifizierung grundsätzlich auf 3 Jahre ausgesprochen und es muss dann eine Rezertifizierung erfolgen (Grundsätzlich frühestens 3 Monate vor Ablauf der laufenden Zertifizierung).

Für interne betriebliche Datenschutzbeauftragte werden vergleichbare Schulungen angeboten, allerdings entfällt hier grundsätzlich die Prüfung der Zugangsvoraussetzung. Der interne Datenschutzbeauftragte darf allerdings dann auch nur für den Betrieb tätig sein und nicht als externer Datenschutzbeauftragter arbeiten.

Ein typischer Datenschutzbeauftragter hat gute Kenntnisse im Bereich IT, er verfügt über hinreichende Kenntnisse des BDSG und kann dieses anwenden, er erfüllt die persönlichen Eignungsanforderungen aus dem Ulmer Urteil. Im Beschluss des Düsseldorfer Kreises, einer Versammlung der obersten Aufsichtsbehörden für den Datenschutz in der Privatwirtschaft^[2], vom 24./25. November 2010 werden weitere Anforderungen an die erforderliche Fachkunde definiert.^[3]

Die Anforderungen an die Eignung eines Datenschutzbeauftragten richten sich nach dem Betrieb. Je größer ein Betrieb ist oder je komplexer die Datenverarbeitung ist, umso höher können die Anforderungen sein. Der Datenschutzbeauftragte muss in jedem Fall in der Lage sein, den Datenschutz im Betrieb zu prüfen, sonst ist seine Bestellung unwirksam. Ein externer Datenschutzbeauftragter kann aufgrund von Erweiterungen des StGB auch für Geheimnisträger tätig werden (Beispielsweise Ärzte, Anwälte, Steuerberater etc.), da entsprechende Rechte zur Aussageverweigerung und Beschlagnahmeverbot auf diesen ausgeweitet wurden.

Bei der Bestellung des Datenschutzbeauftragten ist weiter darauf zu achten, dass keine ausgeschlossene Person bestellt wird. Ausgeschlossene Personen sind hier Personen, die in Interessenkonflikte geraten können oder bei denen die Gefahr der Selbstkontrolle besteht. Dies können auch Personen außerhalb des eigenen Unternehmens sein, wie beispielsweise der externe Administrator für die Firma. Typischerweise ausgeschlossen sind der Geschäftsführer oder Inhaber, der Leiter der IT, der Personalchef, der Administrator, der ständige Steuerberater oder Wirtschaftsprüfer ^[4]. Die Aufsichtsbehörden können die Fachkunde des Datenschutzbeauftragten prüfen und sich nachweisen lassen und in berechtigten Fällen auch die unwirksame Bestellung feststellen oder den Datenschutzbeauftragten von seiner Bestellung entheben.

Literatur

• Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (Hrsg.): BfDI-Info 4. Die Datenschutzbeauftragten in Behörde und Betrieb. 8. Auflage. Mai 2010. Download
• Rouven Schwab, Thorsten Ehrhard: Sonderkündigungsschutz für Datenschutzbeauftragte. In: Neue Zeitschrift für Arbeitsrecht 20/2009, S. 1118-1120.
• BDSG Gola/Schomerus 10. Auflage Verlag C.H.Beck München, kommentierte Version des BDSG ISBN 978-3-406-59834-0
• Hilfe - Ich soll Datenschutzbeauftragter werden! Was muss ich können und wissen? Ein Überblick über Anforderungen und Aufgaben (Hrsg.): DATAKONTEXT Download

Siehe auch

• Bundesbeauftragter für den Datenschutz
• Landesbeauftragter für den Datenschutz
• Europäischer Datenschutzbeauftragter
• Berufsverband der Datenschutzbeauftragten Deutschlands

Einzelnachweise

1. ↑ Gola/Schomerus, Kommentar zum BDSG, 7. Auflage, zu § 4f, Rdnr. 27
2. ↑ Düsseldorfer Kreis. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Abgerufen am 22. Juni 2011.
3. ↑ Mindestanforderungen an die Fachkunde des Düsseldorfer Kreises als .pdf-Datei.. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Abgerufen am 22. Juni 2011.
4. ↑ Gola/Schomerus, Kommentar zum BDSG, 7. Auflage, zu § 4f, Rdnr. 27

Weblinks

• Bundesdatenschutzgesetz (gesetzliche Grundlage)
• Zentralarchiv für Tätigkeitsberichte des Bundes- und der Landesdatenschutzbeauftragten und der Aufsichtsbehörden für den Datenschutz - ZAfTDa
• DSBNetwork
• Forum des Bundesdatenschutzbeauftragten
• Verband der Sachverständigen und Datenschutzbeauftragten e.V.
• Leitbild für Datenschutzbeauftragte des Berufsverbandes der Datenschutzbeauftragten Deutschlands

Bitte den Hinweis zu Rechtsthemen beachten!